Настройка управления доступом и разрешениями на уровне пользователей

if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-sourcedaddy_com-medrectangle-4-0’)};User Creation Tools

One of the most common tasks for administrators is the creation of Active Directory user
objects. Windows Server 2012 R2 includes several tools you can use to create objects. The
specific tool you use depends on how many objects you need to create, the time frame available
for the creation of these groups, and any special circumstances, such as importing users from an existing database.

When creating a single user, administrators can use Active Directory Administrative Center
or the Active Directory Users And Computers console. However, when you need to create
multiple users in a short time frame or you have an existing database from which to import
these objects, you will want to use a more efficient tool. Windows Server 2012 R2 provides
a number of tools you can choose based on what you want to accomplish. The following list
describes the most commonly used methods for creating multiple users and groups. These
tools are detailed in the upcoming sections.

  • Dsadd.exe:The standard command-line tool for creating AD DS leaf objects, which you can use with batch files to create AD DS objects in bulk
  • Windows PowerShell:The Windows maintenance tool that enables you to create object creation scripts of nearly unlimited complexity
  • Comma-Separated Value Directory Exchange (CSVDE.exe):A commandline utility that can create new AD DS objects by importing information from a
    comma-separated value (.csv) file
  • LDAP Data Interchange Format Directory Exchange (LDIFDE.exe):Like CSVDE,
    but with more functionality, LDIFDE is a utility that can import AD DS information
    and use it to add, delete, or modify objects, in addition to modifying the schema, if necessary

These tools all have their roles in network administration; it is up to the administrator to
select the best tool to suit his or her skill set and the particular situation.

The following sections examine various scenarios for using these tools to create user objects.

Создание компьютеров при помощи команд CSVDE и LDIFDE

Утилита командной строки Comma-Separated Values Data Exchange (SCVDE) была подробным образом рассмотрена в статьях, где были описаны способы создания учетных записей компьютеров и групп. Вы уже должны знать о том, что данная команда позволяет импортировать и экспортировать объекты Active Directory из csv-файла. Для этой команды вы можете применять следующие параметры:

  • -i. Параметр, который отвечает за режим импорта. Если вы не укажете данный параметр, то эта команда будет использовать по умолчанию режим экспорта;
  • -f. Параметр, идентифицирующий имя файла, которое предназначено для импорта или экспорта;
  • -k. Параметр, предназначенный для продолжения импорта, пропуская все возможные ошибки;
  • -v. Параметр, используя который вы можете вывести подробную информацию;
  • -j. Параметр, отвечающий за расположение файла журнала;
  • -u. Параметр, позволяющий использовать режим Юникода.

Как вы уже знаете, файлы Lightweight Directory Access Protocol Data Interchange Format (LDIF) также указываются в виде текстовых файлов, где все операции задаются в виде блоков строк, разделенных пустой строкой. В этих файлах каждая новая операция начинается с атрибута DN объекта, после чего идут дополнительные параметры. Как вам уже известно, с этой командой могут применяться следующие параметры:

  • -i. Параметр, который отвечает за режим импорта. Если вы не укажете данный параметр, то эта команда будет использовать по умолчанию режим экспорта;
  • -f. Параметр, идентифицирующий имя файла, которое предназначено для импорта или экспорта;
  • -k. Параметр, предназначенный для продолжения импорта, пропуская все возможные ошибки;
  • -v. Параметр, используя который вы можете вывести подробную информацию;
  • -j. Параметр, отвечающий за расположение файла журнала;
  • -d. Параметр, указывающий корень поиска LDAP;
  • -f. Параметр, предназначенный для фильтра поиска LDAP;
  • -p. Представляет собой область или глубину поиска;
  • -l. Предназначен для указания списка атрибутов с разделительными запятыми, который будет включен в экспорт результирующих объектов;

Пример делегирование административных полномочий

«Поддержка»

Для начала следует на контроллере домена открыть оснастку «Active Directory – пользователи и компьютеры». Здесь необходимо создать глобальную группу безопасности, члены которой смогут присоединять компьютеры пользователей к домену. Другими словами, эта группа будет выглядеть следующим образом:Рис. 1. Свойства группы, отвечающей за присоединение компьютеров к домену

Следующим делом необходимо указать, что компьютеры присоединять к домену могут только лишь пользователи, входящие в созданную на предыдущем этапе глобальную группу безопасности. Для этого следует открыть оснастку «Управление групповой политикой» и перейти к редактору GPME для созданного по умолчанию объекта GPO «Default Domain Controllers Policy», который располагается в подразделении «Domain Controllers».
В отобразившейся оснастке следует перейти к узлу «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователей» и локализовать параметр политики, который называется «Добавление рабочих станций к домену». Открыв диалоговое окно данного параметра политики, вы сразу сможете обнаружить, что по умолчанию там указана группа «Прошедшие проверку», благодаря которой присоединять компьютеры к домену может каждый пользователь. Теперь, для того, чтобы разрешить присоединять к домену компьютеры только пользователям из группы безопасности «Поддержка», следует удалить группу, указанную в этом параметре политики по умолчанию, а затем при помощи кнопки «Добавить пользователя или группу» и диалога поиска объектов Active Directory, следует добавить созданную ранее глобальную группу безопасности. Процесс добавления такой группы изображен на следующей иллюстрации:Рис. 2. Изменение группы, отвечающей за присоединение компьютеров к домену

Теперь несмотря на то, что немного ранее было описано, в каких сценариях выполняется делегирование, и что в большинстве случаев делегирование выполняется на уровне подразделений, в данном случае для предоставления возможности присоединения компьютеров к домену, нам следует в оснастке «Active Directory – пользователи и компьютеры» вызвать мастер делегирования непосредственно для уровня всего домена. Следовательно, в оснастке «Active Directory – пользователи и компьютеры» необходимо в области дерева самой оснастки вызвать контекстное меню для домена и выбрать опцию «Делегирование управления», как показано ниже:Рис. 3. Вызов мастера делегирования управления

На первой странице мастера можно просто ознакомиться с основной задачей данного средства и, ввиду того, что на первой странице нельзя выполнять какие-либо действия, следует просто нажать на кнопку «Далее». На второй странице мастера, странице «Пользователи и группы», нужно локализовать группу, для которой необходимо делегировать управление. В данном примере следует нажать на кнопку «Добавить» и при помощи соответствующего диалога выбрать группу «Поддержка», как показано на следующей иллюстрации:Рис. 4. Добавление группы, для которой выполняется делегирование управления
После того, как группа будет добавлена, для перехода к следующей странице мастера следует нажать на кнопку «Далее».
Страница «Делегируемые задачи» позволяет вам определить конкретные операции, которые должны выполнять в доменных службах Active Directory пользователи или группы пользователей, которые были добавлены на предыдущей странице мастера. Так как в данном примере делегируется задача присоединения компьютеров к домену и такую задачу можно найти в предоставленном списке распространенных задач, следует напротив задачи «Присоединение компьютера к домену» установить флажок и нажать на кнопку «Далее»

Стоит обратить внимание на то, что данный мастер позволяет делегировать не только те задачи, которые фигурируют в данном списке, и в том случае, если вы не смогли здесь сразу найти конкретную задачу, нужно будет создавать особую задачу для делегирования. Создание особой задачи будет показано далее в этой статье, а делегирование задачи присоединения компьютера к домену изображено на следующей иллюстрации:Рис

5. Делегирование задачи присоединения компьютеров к домену для членов группы «Поддержка»

На последней странице мастер повторно проинформирует о том, что работа мастера была успешно выполнена и определенной группе пользователей было передано управление для присоединения компьютеров к домену, что, собственно, и являлось поставленной перед нами задачей:Рис. 6. Завершение процесса делегирования управления

«Поддержка»

Доверчивый

Чтобы разрешить пользователям в одном домене получать доступ к ресурсам в другом, Active Directory использует доверительные отношения.

Доверительные отношения внутри леса создаются автоматически при создании доменов. Лес устанавливает границы доверия по умолчанию, а неявное транзитивное доверие является автоматическим для всех доменов в лесу.

Терминология

Одностороннее доверие
Один домен разрешает доступ пользователям в другом домене, но другой домен не разрешает доступ пользователям в первом домене.
Двустороннее доверие
Два домена разрешают доступ пользователям в обоих доменах.
Надежный домен
Домен, которому доверяют; чьи пользователи имеют доступ к доверяющему домену.
Переходное доверие
Доверие, которое может распространяться за пределы двух доменов на другие доверенные домены в лесу.
Непереходное доверие
Одностороннее доверие, не выходящее за пределы двух доменов.
Явное доверие
Доверие, которое создает администратор. Это не транзитивно и только в одну сторону.
Перекрестное доверие
Явное доверие между доменами в разных деревьях или в одном дереве, когда отношения потомок / предок (дочерний / родительский) не существуют между двумя доменами.
Ярлык
Объединяет два домена в разных деревьях, транзитивный, одно- или двусторонний.
Лесной трест
Относится ко всему лесу. Переходный, одно- или двусторонний.
Область
Может быть транзитивным или нетранзитивным (непереходным), одно- или двусторонним.
Внешний
Подключитесь к другим лесам или доменам, не относящимся к AD. Нетранзитивный, одно- или двусторонний.
PAM доверие
Одностороннее доверие, используемое Microsoft Identity Manager из (возможно, низкоуровневого) производственного леса в «бастионный» лес (уровень функциональности Windows Server 2016 ), которое выдает ограниченное по времени членство в группах.

Типы групп Active Directory

В AD существует два типа групп:

  • Группа безопасности – этот тип группы используется для предоставления доступа к ресурсам. Например, вы хотите предоставить определенной группе доступ к файлам в сетевой папке. Для этого нужно создать группу безопасности.
  • Группа распространения – данный тип групп используется для создания групп почтовых рассылок (как правило используется при установке Microsoft Exchange Server). Письмо, отправленное на такую группу, дойдет всем пользователям группы. Это тип группы нельзя использовать для предоставления доступа к ресурсам домена.

Совет. Несмотря на то, группе безопасности можно также можно присвоить почтовые атрибуты и выполнять на нее почтовые рассылки, делать это не рекомендуется.

Для каждого типа группы существует три области действия:

  • Локальная в домене — используется для управления разрешениями доступа к ресурсам (файлам, папкам и другим типам ресурсам) только того домена, где она была создана. Локальную группу нельзя использовать в других доменах (однако в локальную группу могут входить пользователи другого домена). Локальная группа может входить в другую локальную группу, но не может входить в глобальную.
  • Глобальная группа – данная группа может использоваться для предоставления доступа к ресурсам другого домена. В эту группу можно добавить только учетные записи из того же домена, в котором создана группа. Глобальная группа может входить в другие глобальные и локальные группы.
  • Универсальная группа — рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах. В том случае, если в вашей сети имеется много филиалов, связанных медленными WAN каналами, желательно использовать универсальные группы только для редко изменяющихся групп. Т.к. изменение универсальной группы вызывает необходимость репликации глобального каталога во всем предприятии.

Отдельно выделяют локальные группы. Эти группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличии от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.

Установка модуля Active Directory для Windows PowerShell

По умолчанию в системе установлены не все модули Windows PowerShell, некоторые из них добавляются во время установки соответствующей роли или компонента. Например, если Ваш сервер не является контроллером домена, соответствующего модуля PowerShell (RSAT-AD-PowerShell) для администрирования Active Directory в нем нет, т.е. использовать командлеты PowerShell для управления AD Вы не сможете. Однако Вы можете установить модуль PowerShell для работы с Active Directory. Именно это мы сейчас и рассмотрим, при этом я покажу два варианта установки модуля RSAT-AD-PowerShell — это с помощью «Мастера добавления ролей и компонентов», т.е. используя графический интерфейс и, конечно же, с помощью Windows PowerShell.

Процесс установки модуля Active Directory для Windows PowerShell такой же, как и установка остальных компонентов и средств удаленного администрирования в Windows Server 2016, поэтому если Вы умеете устанавливать роли или компоненты сервера, то с установкой RSAT-AD-PowerShell Вы легко справитесь.

Запускаем «Диспетчер серверов» и нажимаем «Управление ->Добавить роли или компоненты».

На первом окне можем сразу нажать «Далее».

Шаг 3

Далее выбираем тип установки, мы хотим установить компонент, поэтому выбираем первый пункт «Установка ролей или компонентов», жмем «Далее».

Затем выбираем сервер, на который будут установлены роли и компоненты, жмем «Далее».

Шаг 5

На этом шаге нам предлагают выбрать роли для установки, а так как мы не собираемся устанавливать роли, сразу жмем «Далее».

Шаг 6

На шаге выбора компонентов мы ищем пункт «Средства удаленного администрирования сервера -> Средства администрирования ролей -> Средства AD DS и AD LDS -> Модуль Active Directory для Windows PowerShell» и отмечаем его галочкой, жмем «Далее».

Шаг 7

Проверяем выбор компонентов и жмем «Установить».

Начнется процесс установки модуля Active Directory для Windows PowerShell.

Он будет завершен, когда мы увидим сообщение «Установка выполнена на …», нажимаем «Закрыть».

Установка модуля RSAT-AD-PowerShell с помощью PowerShell

Если Вы не хотите щелкать мышкой по окошкам мастера, то Вы можете легко выполнить процедуру установки компонентов с помощью нашего любимого Windows PowerShell, кстати, таким способом это делается, на мой взгляд, гораздо проще и быстрей.

Для установки модуля Active Directory для Windows PowerShell запустите оболочку PowerShell и выполните следующие команды (вместо командлета Add-WindowsFeature можно использовать Install-WindowsFeature).

  
  Import-Module ServerManager 
  Add-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

Смотрим список командлетов PowerShell для работы с Active Directory

Для того чтобы проверить, что у нас установился необходимый модуль PowerShell давайте, выполним команды, которые покажут нам количество командлетов для работы с Active Directory и сам список этих командлетов.

Чтобы узнать, сколько у нас командлетов для администрирования Active Directory пишем вот такую команду

  
  Get-Command -Module ActiveDirectory | Measure-Object

А для того чтобы посмотреть полный перечень командлетов пишем следующую команду, т.е. результат работы Get-Command мы не передаем по конвейеру командлету Measure-Object.

  
  Get-Command -Module ActiveDirectory

Мы видим, что нас появилось 147 командлетов для работы с Active Directory, которые мы теперь можем использовать для администрирования AD.

На этом все, надеюсь, материал был Вам полезен, удачи!

Нравится2Не нравится

Открываем msc windows оснастки через командную строку

msc windows оснастки

Добрый день уважаемые читатели и подписчики блога, сегодня мы с вами поговорим на тему как открыть msc windows оснастки через командную строку, для чего это может быть вам нужно и как это поможет в повседневной практике системного администратора. Поверьте полученные знания в этой статье, в будущем смогут вам сэкономить огромное количество времени и нервных клеток, не говоря уже о возможности блеснуть задротскими знаниями перед вашими коллегами, просто если вы активно используете linux системы и знаете основные команды в консоли, то вам будет интересны и эти. Всегда по возможности стремитесь изучать по мимо GUI интерфейсов, еще и альтернативные методы настройки, так как при настройке Windows Server, все чаще выбирают режим core с минималистическим интерфейсом.

Управление объектами свойств ресурса при использовании Windows PowerShell

ADResourcePropertyNew-ADResourcePropertySet-ADResourcePropertyRemove-ADResourcePropertyDepartNew-ADClaimTypeDescriptionDisplayName

  • Прежде всего, это параметр –IsSecured, отвечающий за то, будет ли создаваемый объект свойств ресурса использоваться для авторизации. Естественно, значение $true считается истиной и позволяет использовать этот объект для авторизации, а значение $false, в свою очередь, создает объект исключительно для классификации;
  • Параметр –ResourcePropertyValueType, при использовании которого вы можете определить тип значения для создаваемого объекта. В качестве значения этого параметра должно выступать различающееся имя объекта msDS-ValueType. Эти значения представляют собой логические типы данных, о которых шла речь ранее в этой статье, и для всего леса они размещаются в разделе конфигурации службы каталогов Active Directory, а если говорить точнее, то в CN=Value Types,CN=Claims Configuration,CN=Services. То есть, в моем случае это CN=MS-DS-SinglevaluedChoice,CN=Value Types,CN=Claims Configuration,CN=Services,CN=Configuration,DC=biopharmaceutic,DC=local. По умолчанию можно выбрать одно из следующих типов значений: MS-DS-DateTime, MS-DS-MultivaluedChoice, MS-DS-SinglevaluedChoice, MS-DS-MultivaluedText, MS-DS-Number, MS-DS-OrderedList, MS-DS-Text, а также MS-DS-YesNo. В принципе, их наименования в пользовательском интерфейсе очевидны, а о назначении я уже говорил несколькими разделами выше, поэтому повторяться просто нет смысла;
  • А также параметр SuggestedValues. Как и в случае с утверждениями, этот параметр отвечает за предложенные значения, в котором, собственно, даже синтаксис идентичен.

Рис. 5. Создание свойства ресурса при помощи Windows PowerShell

Захват и передача ролей мастеров операций

  1. Откройте оснастку, при помощи которой можно идентифицировать роли мастера операций, о которых шла речь в предыдущем разделе настоящей статьи. Например, для передачи роли эмулятора PDC, откройте оснастку «Active Directory – пользователи и компьютеры»;
  2. При помощи текущей оснастки подключитесь к контроллеру домена, на который будет перенесена роли мастера операций. Это можно сделать при помощи диалогового окна «Смена контроллера домена», которое вызывается из контекстного меню корневого узла оснастки. Диалоговое окно смены контроллера домена можно увидеть ниже:Рис. 7. Смена контроллера домена для передачи роли мастера операций
  3. Откройте диалоговое окно «Хозяева операций», перейдите на необходимую вкладку и нажмите на кнопку «Изменить». Роль мастера операций будет передана другому контроллеру домена.

Ntdsutil

  1. Откройте командную строку и в ней перейдите к утилите ntdsutil;
  2. Перейдите к управлению ролью NTDS, используя команду roles;
  3. Нужно установить подключение к контроллеру домену, который в будущем будет выполнять роль владельца мастера операций. Для этого выполните команду connections;
  4. В строке «server connections» введите connect to server и укажите требуемый контроллер домена;
  5. Перейдите обратно к fsmo management, используя команду quit;
  6. Теперь в строке fsmo management укажите команду seize и нажмите на Enter;
  7. На этом, последнем, шаге вам нужно выбрать FSMO-роль, которая будет захвачена с неработающего контроллера домена.
  1. Физически отключить такой контроллер домена от сети;
  2. Понизить роль контроллера домена до рядового сервера при помощи команды Dcpromo /forceremoval;
  3. Очистить метаданные для текущего контроллера домена. Чистить метаданные вы можете при помощи утилиты Ntdsutil с командой Metadata Cleanup;
  4. После удаления метаданных вам нужно подключить сервер к сети, присоединить к домену, а затем повысить сервер до контроллера домена;
  5. На последнем шаге просто передайте роль этому контроллеру домена.

How to Add Custom Commands and Views to the ADUC console?

You can add your own tools and commands to the Active Directory Users and Computers console to launch external applications.

Create a new text file named ping.bat with the following text and save it to local disk:

Create the custom view for the ADUC console

  1. Run the command mmc.exe;
  2. Select File > Add/remove snap-in;
  3. In the list of available snap-ins, select Active Directory Users and Computers and press Add;
  4. Select a container with computers or servers, right-click on it and select New Taskpad View;
  5. Press Next;
  6. Select result pane style – Vertical list, List Size – Medium and press Next > Next;
  7. Specify the taskpad view name: Computer Tools;
  8. In the New Task Wizard window, specify that you want to create a Shell command;
  9. In the Command field, specify “C:PSping.bat”, n the Parameters field -> $COL (computername field);
  10. Input the Task Name and select icon ;
  11. Press Next > Finish.

Now, if you select the Computer object in the ADUC console, the Ping button appears in the list of available actions. By clicking this button, you will check the computer’s availability via ICMP protocol (ping).

This way you can add various administration tools to the ADUC console.

Размещение мастеров операций на контроллерах домена

  • Размещайте роли мастера RID и PDC-эмулятора на одном контроллере домена. Совместное размещение этих ролей мастеров операций обусловлено соображениями балансировки нагрузки. Поскольку эти роли прямые партнёры по репликации, разместив эти роли на отдельных контроллерах домена, вам придётся для соответствующих двух систем устанавливать быстрое подключение и в Active Directory для них создавать явные объекты. Помимо этого, если у вас в организации присутствуют серверы, играющие роли резервных мастеров операций, на таких серверах эти роли также обязаны быть прямыми партнёрами;
  • Размещайте роли мастеров схемы и именования доменов на одном контроллере домена. Как правило, роли мастера схемы и мастера именования доменов рекомендуется размещать на одном контроллере домена, который служит сервером глобального каталога. Роль мастера именования доменов, должна одновременно являться сервером глобального каталога, потому что при добавлении нового домена, мастер должен гарантировать, что в лесу нет объекта с тем же именем, что и у нового добавляемого домена. Если же контроллер домена с ролью мастера именования доменов не будет являться сервером глобального каталога, такие операции как создание внучатых доменов могут завершаться с ошибками. В связи с тем, что эти роли используются реже всего, вы должны проследить, чтобы контроллер домена, который ими управляет, был максимально защищён;
  • Роль мастера инфраструктуры должна размещаться на контроллере домена, который не служит сервером глобального каталога. Обычно мастер инфраструктуры должен разворачиваться на контроллере домена, который не служит сервером глобального каталога, но имеет объект прямого подключения к одному из глобальных каталогов в лесу. Так как сервер глобального каталога хранит частичные реплики всех объектов в лесу, мастер инфраструктуры, размещённый на сервере глобального каталога, не будет выполнять обновления, потому что он не содержит ссылок на объекты, которые не хранит.

Где скачать и как установить

Вначале нужно выполнить установку RSAT на свой ПК. По умолчанию этот инструмент в Win 10 отсутствует. С помощью RSAT удастся дистанционно управлять объектами сети с использованием Диспетчера серверов. Этот сервис нельзя загрузить на ноутбук, работающий на основе Домашней или Стандартной версии. RSAT разрешается скачивать на мощные ПК, имеющие Профессиональную или Корпоративную редакцию Win 10.

Как самостоятельно скачать RSAT:

зайти на сайт «Майкрософт»;

  • найти «Remote Server Administration Tools» (для конкретной редакции Win 10);
  • выбрать пакет, соответствующий конкретной разрядности (х64 или х86);
  • нажать на Download;
  • добавить RSAT на свой ПК;
  • в ходе установки активировать инсталляцию сопутствующих обновлений;
  • в конце перезапустить ПК.

Завершив скачивание RSAT, рекомендуется выполнить активацию этого средства на своем ПК:

  • вызвать Control Panel;
  • отыскать подпункт «Programs and Features»;

кликнуть по «Turn Windows features on or off»;

  • появится окошко «Win Feature»;
  • отыскать «Remote Server Administration Tools»;
  • раскрыть ветку;
  • найти «Role Administration Tools»;
  • пометить птичкой «AD DS and AD LDS Tools» и другие строчки в этой ветке (должны быть активными по умолчанию);
  • выделить «AD DS Tools» и нажать на «ОК».

Установку ADUC удастся выполнить из «Командной строчки с помощью таких команд:

  • «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD»;
  • «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD-DS»;
  • «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD-DS-SnapIns».

Важно! После скачивания инструментов нужно вызвать Панель управления и зайти в подпункт «Administrative Tools». Там должна появиться новая опция под названием «Active Directory Users and Computers»

После появления этого инструмента разрешается подсоединиться к контроллеру. Выполнить это действие пользователь сможет самостоятельно.