Отже, продовжуємо тему Active Directory.
У попередній статті ми побіжно розглянули процес установки компонентів Active Directory. далі пропоную розглянути основні процедури управління даною системою каталогів.
Дисклеймер: в даній темі я не дуже сильний, тому, прохання не сприймати все нижче описане як догму, це скоріше для ознайомлення. Коротше кажучи - сильно не штовхайте :)
Для кращого розуміння принципів управління Active Directory. розглянемо зовсім трохи теорії.
Active Directory має деревоподібну ієрархічну структуру, основу якої складають об'єкти. З 3-х типів об'єктів, нас, в першу чергу, цікавлять облікові записи користувачів і комп'ютерів.
Даний тип об'єктів включає кілька, так званих класів (за термінологію не ручаюсь): Organizational Unit (OU. Контейнер, підрозділ), Group (група), Computer (комп'ютер), User (користувач).
Деякі з них (наприклад OU або група) можуть містити в собі інші об'єкти.
Кожен з об'єктів має своє унікальне ім'я і набір правил і дозволів (групових політик).
Відповідно, адміністрування на даному рівні зводиться до управління деревом об'єктів (OU. Група, користувач, комп'ютер) і управління їх політиками. Основні GUI інструменти для управління AD. знаходяться в Start -> Administrative Tools:
![Основи роботи з active directory частина друга (active) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-c151f032.jpg)
Сьогодні більше поговоримо про управління об'єктами, а про групових політиках я постараюся розповісти в наступний четвер.
Для управління об'єктами, особисто я використовую стару добру оснащення «Active Directory Users and Computers«.
Тут по-замовчуванню ми побачимо в корені стандартні контейнери, які створюються під час установки:
![Основи роботи з active directory частина друга (Directory Users Computers) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-739767a2.jpg)
У контейнері «Users» бачимо єдиного активного користувача «Administrator» і стандартні групи, у кожній з яких свої політики та дозволи:
![Основи роботи з active directory частина друга (directory) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-df13bf7e.jpg)
Що б додати нового адміністратора, нам знадобиться створити користувача і додати його в групу «Domain Admins«.
Щоб не переливати з пустого в порожнє, розглянемо кілька банальних прикладів.
У своєму свіжоспеченому Active Directory я створив новий контейнер (Organizational Unit) з назвою TestOU.
Для невеликі інфраструктурні проекти необов'язково створювати нові OU. можна все складати в дефолтні контейнери в корені, але коли ви захочете розділити велику інфраструктуру, це стає просто необхідно.
Так ось, створимо в нашому OU нового користувача домену (правою кнопкою по OU -> New -> User).
У віконці, що з'явилося заповнюємо ім'я / прізвище, ім'я користувача для входу в систему:
![Основи роботи з active directory частина друга ( «Active Directory Users) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-e27be85b.jpg)
Задаємо початковий пароль і відзначаємо галочками необхідні політики:
![Основи роботи з active directory частина друга (active) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-909f0271.jpg)
У моєму випадку, при першому вході в систему, система попросить користувача в добровільно-примусовому порядку задати новий пароль.
Перевіряємо і натискаємо фініш:
![Основи роботи з active directory частина друга ( «Active Directory Users) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-e1de491a.jpg)
Якщо подивитися на властивості користувача домену, то можна побачити там багато цікавих налаштувань:
![Основи роботи з active directory частина друга (directory) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-7c174d0a.jpg)
Тепер додамо користувача в раніше створену групу. Правою по користувачеві -> Add to Group:
![Основи роботи з active directory частина друга ( «Active Directory Users) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-b43c4171.jpg)
пишемо ім'я групи і натискаємо «Check Names» що б перевірити чи все правильно ми написали, потім натискаємо OK.
Далі я створив ще одну групу з ім'ям TestGroup_NEW:
![Основи роботи з active directory частина друга (directory) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-17e6cdd5.jpg)
і додав її в групу TestGroup, таким чином, у нас вийшла група в групі :)
Заглянувши в властивості групи, ми крім усього іншого, можемо подивитися хто в ній складається:
![Основи роботи з active directory частина друга ( «Active Directory Users) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-44e04370.jpg)
Загалом, все це і так інтуїтивно зрозуміло і просто, але для повноти картини зайвим не буде.
Ну з користувачами і групами, в принципі все ясно, тепер подивимося на адміністрування облікових записів комп'ютерів.
Облікові записи комп'ютерів можуть бути створені як заздалегідь вручну, так і автоматично, при введенні комп'ютера в домен.
Зі створенням вручну все трохи по-іншому, розглянемо приклад, коли це може бути корисно.
Наприклад, нам потрібно надати право на введення в домен комп'ютера користувачем, який не є адміністратором домену (у мене часто таке трапляється).
Або, наприклад, якщо при виконанні автоматизованого клонування віртуальних машин, комп'ютери в домен вводяться за допомогою скриптів і повинні складатися в певний контейнер, можна створити готові облікові записи в потрібному контейнері і надати право на введення їх в домен, конкретного користувача.
Розглянемо процес створення облікового запису комп'ютера на прикладі з картинками. Правою кнопкою на потрібному контейнері -> New -> Computer:
![Основи роботи з active directory частина друга ( «Active Directory Users Computers) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-cabc7c74.jpg)
Вибираємо користувача, який буде власником учеткі:
![Основи роботи з active directory частина друга (active) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-b24c35da.jpg)
Натискаємо ОК-ОК і отримуємо готову обліковий запис комп'ютера.
![Основи роботи з active directory частина друга (active) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-d410b442.jpg)
Якщо заглянемо в її властивості, то побачимо що вона чиста, тому що не містить інформації про вашому комп'ютері:
![Основи роботи з active directory частина друга (directory) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-fb9347a1.jpg)
Облікові записи, групи і контейнери можна переміщати між іншими контейнерами, при цьому, потрібно пам'ятати, що на дочірні об'єкти поширюються доменні політики батьківських об'єктів.
![Основи роботи з active directory частина друга ( «Active Directory Users) Основи роботи з active directory частина друга](https://images-on-off.com/images/141/osnovirabotisactivedirectorychastvtoraya-2f37680a.jpg)
На зображенні бачимо як воно виглядає. За функціоналом багато не скажу, але на перший погляд - це той же самий «Users and Computers» в трохи іншій оболонці. Можливо (навіть швидше за все), він буде більш зручний, для повсякденного використання, справа звички.
Крім стандартного функціоналу «Active Directory Users and Computers» типу, створення / видалення / зміна користувачів / груп / підрозділів / комп'ютерів, тут реалізований просунутий функціонал фільтрів для зручного пошуку об'єктів і управління ними.
Ще один, найбільш хардкорних і, напевно, найбільш функціональний спосіб адміністрування Active Directory - «Active Directory Module for Windows PowerShell«. Скажу чесно - ні разу не користувався, вистачало функціональності графічних утиліт. Командний рядок це добре, але боюся, що доведеться витратити багато часу на вивчення її функціоналу, тут вже на любителя :)
На сьогодні все. Далі буде ;)