Настройка временных прав в active directory 2016

Содержание

Для чего вы можете использовать Active Directory — пользователи и компьютеры?

Надстройка «Active Directory — пользователи и компьютеры» может покрыть большинство задач и обязанностей администратора AD. У него есть свои ограничения — например, он не может управлять объектами групповой политики.

Но вы можете использовать его для сброса паролей, редактирования членства в группах, разблокировки пользователей и многого другого. Вот некоторые основные инструменты в вашем распоряжении, когда вы включаете ADUC на вашем компьютере.

  1. Active Directory Домены и трасты. С помощью этого инструмента вы можете управлять функциональными уровнями леса, UPN (основными именами пользователей), функциональными уровнями нескольких доменов. Это также позволяет управлять доверием между лесами и доменами.
  2. Центр администрирования Active Directory. В этом разделе ADUC вы можете управлять своей историей PowerShell, политиками паролей и корзиной AD.
  3. Сайты и службы Active Directory. Этот инструмент дает вам контроль и понимание сайтов и услуг. Это позволяет планировать репликацию и определять топологию AD.

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с машины, которая не включена в домен (состоит в рабочей группе, или стоит домашняя версия Windows), воспользуйтесь таким методом:

  1. Запустите командную строку и выполните команду запуска остастки от имени другого пользователя: runas /netonly /user:winitproaaivanov mmc
  2. В пустой консоли MMC выберите File->Add/Remove Snap-In
  3. Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите
  4. Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена.

В результате консоль ADUC подключится к контроллеру домена, получит и  отобразит структуру контейнеров (OU) данного домена Active Directory.

Десять команд PowerShell, которые должен знать каждый администратор Windows

Одним из основных инструментов управления доменами Active Directory является оснастка «Active Directory — пользователи и компьютеры» Active Directory (ADUC).

Адаптер ADUC используется для выполнения типичных задач администрирования домена и управления пользователями, группами, компьютерами и организационными подразделениями в домене Active Directory.

По умолчанию консоль Active Directory — пользователи и компьютеры () установлена на сервере, когда она продвигается на контроллер домена во время выполнения  роли доменных служб Active Directory (AD DS).

Чтобы использовать оснастку ADUC в Windows 10, сначала необходимо установить Microsoft Remote Server Administration Tools (RSAT).

RSAT включает в себя различные инструменты командной строки, модули PowerShell и оснастки для удаленного управления серверами Windows, Active Directory и другими ролями и функциями Windows, которые работают на серверах Windows.

Как установить Active Directory — пользователи и компьютеры на Windows 10?

По умолчанию RSAT не установлен в Windows 10 (и других настольных операционных системах Windows).

Средства удаленного администрирования сервера (RSAT) позволяют ИТ-администраторам удаленно управлять ролями и компонентами в Windows Server 2016, 2012 R2, 2012, 2008 R2 с рабочих станций пользователей под управлением Windows 10, 8.1, 8 и Windows 7.

RSAT напоминает средства администрирования Windows Server 2003 Pack (), который был установлен на клиентах под управлением Windows 2000 или Windows XP и использовался для удаленного управления сервером. RSAT не может быть установлен на компьютерах с домашними выпусками Windows.

Форумы

Чтобы установить RSAT, у вас должна быть профессиональная или корпоративная версия Windows 10.

Совет. Как вы можете видеть, пакет RSAT доступен для последней версии Windows 10 1803.

WindowsTH-RSAT_WS_1709 и WindowsTH-RSAT_WS_1803 используются для управления Windows Server 2016 1709 и 1803 соответственно.

Если вы используете предыдущую версию Windows Server 2016 или Windows Server 2012 R2 / 2012/2008 R2, вам необходимо использовать пакет WindowsTH-RSAT_WS2016.

Выберите язык вашей версии Windows 10 и нажмите кнопку «Download».

В зависимости от битности вашей ОС выберите нужный файл * .msu:

  • Для Windows 10 x86 — загрузите WindowsTH-RSAT_ (69.5 MB);
  • Для Windows 10 x64 — загрузите WindowsTH-RSAT_ (92.3 MB);

CredSSP encryption oracle remediation – ошибка при подключении по RDP к виртуальному серверу (VPS / VDS)

Установите загруженный файл (Обновление для Windows KB2693643), дважды щелкнув по нему.

Установите загруженный файл (Обновление для Windows KB2693643), дважды щелкнув по нему.

c:InstallWindowsTH-RSAT_ /quiet /norestart

Как включить службы Active Directory в Windows 10?

Остается активировать необходимую функцию RSAT.

  1. Правой кнопкой на Start и выберите Control Panel
  2. Выберите Programs and Features
  3. На левой панели  нажмите Turn Windows features on or off
  4. Разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
  5. Выберите AD DS Tools и нажмите OK.

Однако вы можете установить функцию AD из командной строки только с помощью этих трех команд:

dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

Please follow and like us:

Windows Server. Средства удаленного администрирования сервера для Windows 10 (RUS)Средства удаленного администрирования сервера для Windows 10NextWindowsTH-RSAT_TP5_Update-x64.msuОткрыть

Да

Лицензионное соглашение Принимаю

ПускСредства администрирования
Инструкции по установкеУстановка средств удаленного администрирования сервера для Windows 10 ВАЖНО!

  1. Когда откроется диалоговое окно «Автономный установщик центра обновления Windows» с запросом на установку обновления, нажмите кнопку Да.
  2. Прочтите и примите условия лицензии. Щелкните Принимаю. Установка может занять несколько минут.

ПРИМЕЧАНИЕ. Все средства включены по умолчанию. Для включения необходимых средств не нужно использовать Включение или отключение компонентов Windows в Windows 10 . Отключение специальных средств

  1. На рабочем столе нажмите Пуск, выберите Все программы, Система Windows (СлужебныеWindows), Панель управления.
  2. Щелкните Программы, а затем в разделе Программы и компоненты выберите Включение или отключение компонентов Windows.
  3. В диалоговом окне Компоненты Windows разверните Средства удаленного администрирования сервера, а затем разверните Средства администрирования ролей или Средства администрирования компонентов.
  4. Снимите флажки рядом с теми средствами, которые вы хотите отключить. Помните, что после отключения диспетчера серверов компьютер следует перезагрузить, а средства, которые были доступны из меню Сервис диспетчера серверов, следует открывать из папки Средства администрирования.
  5. Когда отключение средств, которые вы не планируете использовать, будет завершено, нажмите кнопку ОК.

Удаление средств удаленного администрирования сервера для Windows 10

  1. На рабочем столе нажмите Пуск, выберите Все программы, Система Windows (СлужебныеWindows), Панель управления.
  2. В разделе Программы выберите Удаление программы.
  3. Щелкните Просмотр установленных обновлений.
  4. Щелкните правой кнопкой мыши Обновление для Microsoft Windows (KB2693643), а затем выберите Удалить.
  5. Когда система запросит подтверждение удаления обновления, нажмите кнопку Да.
  • https://winitpro.ru/index.php/2016/04/03/ustanovka-osnastki-active-directory-v-windows-10/
  • http://itisgood.ru/2018/07/25/ustanovka-osnastki-active-directory-v-windows-10/
  • https://bga68.livejournal.com/147321.html

Мультидоменность

Мультидоменная авторизация позволяет проводить аутентификацию пользователей с помощью Active Directory, находящихся в различных доменах внутри организации. При этом необходимо, чтобы сервер с системой находился в корневом домене, а также наличие двусторонних транзитивных отношений между корневым и остальными доменами.

Мультидоменность работает по протоколу NTLM.

Настройки на сервере IIS

1. Для авторизации на сервере через AD необходимо установить службу «Windows – проверка подлинности» ().

Windows Server 2008 R2:

  1. Открыть диспетчер сервера.
  2. Перейти в пункт «Роли».
  3. На вкладке «Службы ролей» нажать на кнопку «Добавить службы ролей».
  4. В пункте «Безопасность» включить пункт «Windows — проверка подлинности».
  5. Нажать «Далее».
  6. «Установить».

Windows Server 2012:

  1. Открыть диспетчер серверов.
  2. «Управление» → «Добавить роли и компоненты».
  3. На шаге «Перед началом работы» нажать «Далее».
  4. На шаге «Тип установки» выбрать «Установка ролей или компонентов» и нажать «Далее».
  5. На шаге «Выбор сервера» выбрать текущий сервер.
  6. Перейти в пункт «Роль веб-сервера(IIS)» → «Службы ролей».
  7. В пункте «Безопасность» включить пункт «проверка подлинности Windows».
  8. Нажать «Далее», затем «Установить».

После установки службы «Windows — проверка подлинности» откройте Диспетчер служб IIS:

  1. Перейти в раздел «Сайты» → Default Web Site (сайт с установленной системой).
  2. Затем перейти в подраздел «Проверка подлинности» (в области просмотра возможностей).
  3. Включить компонент «Проверка подлинности Windows».
  4. Включить компонент «Анонимная проверка подлинности».
  5. Все остальные компоненты выключить, если они включены.

2. Настройка client.config:

  • добавляем теги в :
    <section name="ldapService" type="Config.LDAPConfigurationSection, smcorelib"/>
    <section name="adDomains" type="Config.ADDomainsConfiguration, smcorelib"/>
  • добавляем тег в корень после тега :
    <adDomains>
      <domains>
        <add name="Имя домена" login="Логин пользователя" password="Пароль" ldappath="LDAP://Адрес LDAP(127.0.0.1:389)" />
      </domains>
    </adDomains>

где:

  • значение «Имя домена» – любое понятное имя домена, которое будет использоваться в дереве при загрузке пользователей из каталога;
  • значение «Логин пользователя» – логин любого пользователя того домена, от куда будет производиться загрузка пользователей;
  • значение «Пароль» – пароль пользователя, логин которого использовался в значении «Логин пользователя» (выше);
  • значение «LDAP://Адрес LDAP» – адрес службы LDAP (например: или ).

Для добавления нескольких доменов нужно добавить соответствующее количество строк, начинающихся с тега «add name…».

Настройка рабочих станций

Добавить систему в раздел Местная интрасеть (Свойства браузера → Безопасность → Местная интрасеть → Сайты → Добавить сайт с адресом системы → Закрыть).

Готовим дистрибутив Firefox для развертывания в сети

В разделе «User Configuration» -> «Software settings» -> «Software Installation» щелкаем правой мышкой и создаем новый объект для установки — наш будущий инсталлятор Firefox.

Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку

Важно: выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети

Выбираем «Assigned» (Назначенный):

На этом работа с веткой «Software Installation» закончена.

Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force

Управляем доменом

Теперь, чтобы понять насколько сильно различается управление Active Directory через Powershell и AD AC (Active Directory Administrative Center), рассмотрим пару рабочих примеров.

Создание нового пользователя

Скажем, мы хотим создать пользователя в группе Users и хотим чтобы он сам установил себе пароль. Через AD AC это выглядит так:

Отличий между AD DC и Powershell никаких.

RSAT или локальный серверс GUI:

Powershell:

Добавляем пользователя в группу

RSAT или локальный сервер с GUI:

Powershell:

Получить группу со всеми свойствами можно так:

Ну и наконец добавляем пользователя в группу:

Затем добавляем этот объект в группу:

И проверяем:

Как видим, отличий в управлении AD через AD AC и Powershell почти нет.

Настройка и администрирование детальной политики паролей через Центр администрирования Active Directory

Настройка детальной политики паролей

Центр администрирования Active Directory позволяет создавать объекты детальной политики паролей (FGPP) и управлять такими объектами. Функция FGPP была представлена в Windows Server 2008, но первый графический интерфейс для управления этой функцией появился только в Windows Server 2012. Детальная политика паролей настраивается на уровне домена и позволяет перезаписывать единый пароль домена, предусмотренный в Windows Server 2003. При создании различных FGPP с различными параметрами отдельные пользователи или группы получают различные политики паролей в домене.

Информацию о детальной политике паролей см. в пошаговом руководстве по детальной настройке политик блокировки учетных записей и паролей доменных служб Active Directory (Windows Server 2008 R2).

На панели навигации выберите представление в виде дерева, щелкните свой домен, Система, Контейнер параметров паролей, а затем на панели «Задачи» щелкните Создать и Параметры пароля.

Управление детальной политикой паролей

При создании новой или редактировании уже существующей детальной политики паролей открывается редактор Параметры пароля. Здесь можно настроить все желаемые политики паролей как Windows Server 2008 или Windows Server 2008 R2, но только в специальном редакторе.

Заполните все обязательные (отмеченные звездочкой) и желаемые дополнительные поля и щелкните Добавить, чтобы указать, к каким пользователям или группам необходимо применить эту политику. FGPP перезаписывает параметры политики домена по умолчанию для выбранных субъектов безопасности. На представленном выше рисунке максимально ограничивающая политика применяется только к встроенной учетной записи администратора, чтобы предотвратить компрометацию. Эта политика слишком сложна для ее соблюдения стандартными пользователями, но идеально подходит для учетной записи высокого риска, которой пользуются только специалисты.

Также необходимо указать очередность применения и выбрать пользователей и группы для применения политики в соответствующем домене.

Командлет Active Directory в Windows PowerShell, предназначенный для настройки детальной политики паролей, выглядит следующим образом:

Командлет для настройки детальной политики паролей в Windows Server 2008 R2 и Windows Server 2012 работает одинаково. На приведенном ниже рисунке обозначены соответствующие атрибуты для этих командлетов:

Центр администрирования Active Directory позволяет также найти результирующую детальную политику паролей, примененную к конкретному пользователю. щелкните правой кнопкой мыши любого пользователя и выберите пункт просмотреть результирующие параметры пароля… , чтобы открыть страницу Параметры пароля , которая применяется к пользователю с помощью явного или неявного назначения:

В разделе Свойства вы найдете Напрямую связанные параметры пароля — параметры детальной политики пароля, назначенные соответствующему пользователю или группе напрямую:

Неявное назначение ФГПП здесь не отображается; для этого необходимо использовать параметр просмотреть результирующие параметры пароля… .

Выбор лучших инструментов для безопасности Active Directory

Трудно идти в ногу со всеми лучшими практиками Active Directory. К счастью, вам не нужно идти в одиночку. Существует множество программ, платформ и сервисов, которые помогут вам ориентироваться в этой сложной среде.

Вот несколько наиболее распространенных:

  • Анализаторы разрешений: Этот инструмент помогает быстро и легко определить, какие права и группы доступа кому-то назначены. Просто введите имя пользователя, и программное обеспечение предоставит иерархическое представление действующих разрешений и прав доступа, что позволит вам быстро определить, как каждый пользователь получил свои права.
  • Менеджеры прав доступа: Внедрение менеджера прав доступа может помочь вам управлять разрешениями пользователей, удостовериться что доступ в нужных руках и предоставить вам возможность отслеживать общую активность вашей AD. Эти инструменты также оснащены интуитивно понятными панелями оценки рисков и настраиваемыми отчетами, что позволяет легко продемонстрировать соответствие нормативным требованиям.
  • Платформы мониторинга: программное обеспечение для управления серверами и приложениями позволяет быстро и легко получить снимок общего состояния вашего каталога, а также предоставляет способы углубленного изучения контроллеров домена. Вы можете использовать эти платформы для создания пользовательских порогов оповещений и определения того, что является нормальным для вашего сервера, что позволяет избежать невосприимчивости к оповещениям. Они помогают быть на шаг впереди и принимать превентивные меры.
  • ПО для удаленного управления: данное ПО разработано, чтобы помочь вам решить проблемы быстро и из любой точки мира. С помощью удаленного доступа вы можете получить контроль над компьютерами, когда пользователь вошел в систему, что дает вам возможность взглянуть на проблемы, с которыми они сталкиваются. Это дает вам лучшее представление о проблеме.
  • Менеджеры автоматизации: эти инструменты довольно просты и часто включают в себя интерфейс интерактивных сценариев для создания повторяющихся процессов. У вас есть много задач, которые нужно выполнять на регулярной основе? Менеджер автоматизации позволит вам свернуть эти задачи в «политику», а затем настроить расписание для этой политики.

Старомодный подход с динамическими объектами

Начиная с Windows Server 2003, разработчики Active Directory сделали возможным добавление динамических объектов. Они стали краеугольным камнем создания и настройки объектов, наделенных временными правами. Администраторы получили возможность создавать временные группы, временные учетные записи.

Особенностью динамического объекта является свойство entryTTL, которое характеризует время жизни созданной сущности. Администратор однозначно определяет этот срок во время создания нужного объекта. По истечении срока, указанного в entryTTL, сущность ликвидируется и полностью очищается. Если необходимо продолжить «жизнь» динамического объекта, администратор имеет возможность изменить значение TTL. Если же при создании такой сущности свойство entryTTL остается не заданным, тогда его значением становится значение по умолчанию принятое в домене.

Конфигурация развертывания

Диспетчер серверов начинает установку всех контроллеров домена со страницы Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана. например, при создании нового леса страница « параметры подготовки » не отображается, но при установке первого контроллера домена, который работает Windows Server 2012, в существующем лесу или домене.

На этой странице выполняются проверочные тесты, а затем часть проверок предварительных требований. например, при попытке установить первый Windows Server 2012 контроллер домена в лесу, имеющем функциональный уровень Windows 2000, на этой странице появится ошибка.

При создании нового леса отображаются следующие параметры.

  • При создании нового леса требуется указать имя корневого домена леса. Имя корневого домена леса не может быть одной меткой (например, должно быть «contoso.com» вместо «contoso»). Оно должно использовать разрешенные контексты именования домена DNS. Можно указать международное доменное имя (IDN). Дополнительные сведения о контекстах именования домена DNS см. в статье базы знаний .

  • Имена лесов Active Directory не должны совпадать с внешними именами DNS. Например, если URL-адрес DNS в Интернете — http: / /contoso.com, необходимо выбрать другое имя для внутреннего леса, чтобы избежать будущих проблем совместимости. Данное имя должно быть уникальным и достаточно редким для веб-трафика, например corp.contoso.com.

  • Вы должны входить в группу администраторов сервера, на котором нужно создать новый лес.

дополнительные сведения о создании леса см. в статье установка нового Windows Server 2012 Active Directory леса (уровня 200).

При создании нового домена отображаются следующие параметры.

Примечание

При создании нового домена дерева вместо имени родительского домена необходимо указать имя корневого домена леса, причем остальные страницы и параметры мастера остаются без изменений.

  • Чтобы перейти к родительскому домену или дереву Active Directory, необходимо нажать кнопку Выбрать или ввести имя допустимого родительского домена или дерева. Затем следует ввести имя нового домена в поле Новое имя домена.

  • Домен дерева: необходимо допустимое полное имя корневого домена, причем оно не может быть однокомпонентным и должно отвечать требованиям DNS-имени домена.

  • Дочерний домен: необходимо допустимое однокомпонентное имя дочернего домена, которое отвечает требованиям DNS-имени домена.

  • Мастер настройки доменных служб Active Directory запрашивает учетные данные домена, если текущие учетные данные не для этого домена. Для предоставления учетных данных необходимо нажать кнопку Изменить.

дополнительные сведения о создании домена см. в статьях установка нового Windows Server 2012 Active Directory домена (уровня 200).

При добавлении нового контроллера домена к существующему домену отображаются следующие параметры.

  • Чтобы перейти к домену, необходимо нажать кнопку Выбрать или указать допустимое имя домена.

  • При необходимости диспетчер серверов запрашивает действующие учетные данные. Для установления дополнительного контроллера домена требуется членство в группе администраторов домена.

    кроме того, для установки первого контроллера домена, работающего Windows Server 2012 в лесу, требуются учетные данные, включающие членство в группах в группах Enterprise администраторы и администраторы схемы. Мастер настройки доменных служб Active Directory позднее выдает предупреждение, если у текущих учетных данных нет соответствующих разрешений или если они не включены в группы.

дополнительные сведения о добавлении контроллера домена в существующий домен см. в статье установка реплики Windows Server 2012 контроллере домена в существующем домене (уровня 200).

Развертывание Irfan View при помощи сгенерированного ранее ZAP-файла

«Group Policy Management»

  1. Создается новый объект групповой политики (естественно, при желании вы можете воспользоваться также и любым из существующих объектов GPO), пусть он называется «ZAP Files Publication». Он связывается либо с конкретным подразделением, в которое входят учетные записи пользователей, либо с уровнем всего домена, и из контекстного меню данного объекта следует выбрать соответствующую команду, предназначенную для открытия редактора управления групповыми политиками;
  2. После этого, уже находясь в оснастке «Group Policy Management Editor», нам необходимо развернуть узел User Configuration\Policies\Software Settings, затем перейти к узлу «Software Installation». Чтобы приложение нормально опубликовалось, следует перейти к настройкам данного узла. Другими словами, из контекстного меню данного узла выбираем команду «Properties»;
  3. Здесь, как я уже сказал, чтобы мы смогли без проблем опубликовать наше приложение, нам следует в свойствах этого расширения клиентской стороны указать путь к точке распространения, то есть «\\НАШСЕРВЕР\Install». Помимо этого, на вкладке «Advanced» обязательно необходимо установить флажок на опции «Make 32-bit X86 down-level (ZAP) applications available to Win64 machines». Этих настроек для нас достаточно, сохраняем все внесенные изменения;Рис. 2. Настройка расширение CSE GPSI
  4. Теперь уже можно создавать политику распространения программного обеспечения. Другими словами, из контекстного меню данного узла выбираем команду, предназначенную для создания нового пакета. Теперь в отобразившемся диалоговом окне выбираем из раскрывающегося списка типов файлов тип «ZAW Down-level applications package (*.zap)», а затем переходим к папке с созданным ранее файлом ZAP. Естественно, на данном этапе следует выбрать именно этот файл, как показано на следующей иллюстрации:Рис. 3. Добавление ZAP-файла для развертывания ПО
  5. В связи с тем, что нам особо и не нужно добавлять какие-то дополнительные опции для этого пакета, в отобразившемся диалоговом окне «Deploy Software» среди всех доступных вариантов останавливаемся на «Published» и создаем инсталляционный пакет.

«Software Installation»Рис. 4. Оснастка Group Policy Management Editor после создания пакетаGpupdate/force /boor /logoff«Programs and Features»«Install a program from the network»Рис. 5. Приложение, доступное для инсталляции

Улучшения в области выдачи идентификаторов RID и управления ими

В системе Active Directory в Windows 2000 появился хозяин RID, который выдавал пулы относительных идентификаторов контроллерам домена, чтобы последние могли создавать идентификаторы безопасности (SID) для субъектов безопасности, таких как пользователи, группы и компьютеры. По умолчанию глобальное пространство RID ограничено общим количеством идентификаторов безопасности (230, или 1 073 741 823), которое можно создать в домене. Идентификаторы безопасности нельзя вернуть в пул или выдать повторно. Со временем в большом домене может возникнуть нехватка идентификаторов RID либо их пул может начать иссякать в результате различных происшествий, ведущих к удалению RID.

В Windows Server 2012 решен ряд проблем, связанных с выдачей идентификаторов RID и управлением ими, которые были выявлены клиентами и службой поддержки клиентов Майкрософт с 1999 года, когда были созданы первые домены Active Directory. Сюда входит следующее.

  • В журнал событий периодически записываются предупреждения об использовании идентификаторов RID.
  • Когда администратор делает пул RID недействительным, в журнале создается событие.
  • Ограничение на максимальный размер блока RID теперь устанавливается принудительно в политике RID.
  • Искусственный верхний порог RID теперь применяется принудительно, а если глобальное пространство RID истощается, в журнал заносится запись, что позволяет администратору предпринять меры прежде, чем пространство будет исчерпано.
  • Глобальное пространство RID теперь можно увеличить на один бит, благодаря чему его размер увеличивается вдвое — до 231 (2 147 483 648 идентификаторов безопасности).

Подробнее об идентификаторах RID и хозяине RID см. в разделе Принципы работы идентификаторов безопасности.