Active directory для чайников

Установка модуля Powershell Active Directory на Windows Server

Active Directory для Windows PowerShell уже встроен в операционные системы Windows Server (начиная с Windows Server 2008 R2), но по умолчанию не включен.

В Windows Server 2016, 2019 и 2022 вы можете установить модуль AD для PowerShell из Диспетчера серверов (Добавить роли и компоненты → Функции → Инструменты удалённого администрирования сервера → Инструменты администрирования ролей → Инструменты AD DS и AD LDS → Модуль Active Directory для Windows PowerShell).

В англоязычной версии сервера это соответственно в Server Manager: Add Roles and Features → Features → Remote Server Administration Tools → Role Administration Tools → AD DS and AD LDS Tools → Active Directory module for Windows PowerShell.

Если вы уже установили роль Active Directory Domain Services, то это означает, что модуль Powershell Active Directory уже активирован и дополнительных действий предпринимать не нужно.

Вы также можете установить модуль из консоли PowerShell с помощью команды:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" -IncludeAllSubFeature

Вы можете установить RSAT-AD-PowerShell не только на контроллеры домена. Подойдёт любой рядовой сервер домена или даже рабочая станция. Модуль PowerShell Active Directory устанавливается автоматически при развёртывании роли доменных служб Active Directory (AD DS) (при повышении уровня сервера до контроллера домена AD).

Модуль взаимодействует с AD через веб-службу Active Directory, которая должна быть установлена на вашем контроллере домена (связь осуществляется через TCP-порт 9389).

— Сменить/Задать пароль учётной записи

Для того чтобы сменить или задать пароль учётной записи пользователя воспользуйтесь командами:

Так же как и при создании учётной записи с паролем, для начала нужно присвоить переменной $UserPassword значение введенное в безопасной строке. Здесь для примера, мы использовали другой способ ввода пароля, но вы можете использовать и тот, который показан в пункте — 2.2 — Создание учётной записи с паролем

$UserPassword = Read-Host –AsSecureString

После ввода команды, мы вводим пароль, а далее воспользуемся командлетом Set-LocalUser  с параметром -Password.

Set-LocalUser -Name «ПОЛЬЗОВАТЕЛЬ» -Password $UserPassword

В моём случае, я меняю пароль пользователю — firstdeer.указал -Verbose для вывода сообщения «ПОДРОБНО:…»(Рис.8):

Set-LocalUser -Name «firstdeer» -Password $UserPassword -VerboseРис.8 — Смена пароля пользователю.

Как установить модуль Active Directory PowerShell в Windows 10 в графическом интерфейсе

Для установки модуля Active Directory PowerShell в графическом интерфейсе, нажмите Win+x, затем в открывшемся меню выбираем «Apps and Features» (Приложения и возможности).

Далее выбираем «Optional Features» (Дополнительные компоненты).

Теперь выбираем «Add a feature» (Добавить компонент).

Для установки средств удалённого администрирования Active Directory выбираем «RSAT: Active Directory Domain Services and Lightweight Directory Services Tools» (Средства удалённого администрирования сервера: средства доменных служб Active Director и служб облегчённого доступа к каталогам) и нажимаем на кнопку «Install» (Установить).

Готовим дистрибутив Firefox для развертывания в сети

В разделе «User Configuration» -> «Software settings» -> «Software Installation» щелкаем правой мышкой и создаем новый объект для установки — наш будущий инсталлятор Firefox.

Выбираем файл MSI, заботливо положенного чьими-то руками в расшаренную папку

Важно: выбирать надо сетевой путь до файла, а не локальный, ведь юзера будут получать доступ к вашей инсталляшке не локально на сервере, а по сети

Выбираем «Assigned» (Назначенный):

На этом работа с веткой «Software Installation» закончена.

Закрываем все открытые окна на сервере (если не помешает другим задачам, естественно), Пуск -> Выполнить -> gpupdate /force

Установка модуля Powershell Active Directory на Windows Server

Active Directory для Windows PowerShell уже встроен в операционные системы Windows Server (начиная с Windows Server 2008 R2), но по умолчанию не включен.

В Windows Server 2016, 2019 и 2022 вы можете установить модуль AD для PowerShell из Диспетчера серверов (Добавить роли и компоненты → Функции → Инструменты удалённого администрирования сервера → Инструменты администрирования ролей → Инструменты AD DS и AD LDS → Модуль Active Directory для Windows PowerShell).

В англоязычной версии сервера это соответственно в Server Manager: Add Roles and Features → Features → Remote Server Administration Tools → Role Administration Tools → AD DS and AD LDS Tools → Active Directory module for Windows PowerShell.

Если вы уже установили роль Active Directory Domain Services, то это означает, что модуль Powershell Active Directory уже активирован и дополнительных действий предпринимать не нужно.

Вы также можете установить модуль из консоли PowerShell с помощью команды:

Вы можете установить RSAT-AD-PowerShell не только на контроллеры домена. Подойдёт любой рядовой сервер домена или даже рабочая станция. Модуль PowerShell Active Directory устанавливается автоматически при развёртывании роли доменных служб Active Directory (AD DS) (при повышении уровня сервера до контроллера домена AD).

Модуль взаимодействует с AD через веб-службу Active Directory, которая должна быть установлена на вашем контроллере домена (связь осуществляется через TCP-порт 9389).

Как установить модуль Active Directory PowerShell в Windows 11 в графическом интерфейсе

Для установки модуля Active Directory PowerShell в графическом интерфейсе в Windows 11 откройте «Settings» (Параметры), для этого нажмите Win+i и выберите вкладку «Apps» (Приложения), а затем перейдите в «Optional Features» (Дополнительные компоненты).

Теперь выберите «View features» (Просмотр компонентов) в строке «Add an optional feature» (Добавить компонент).

Для установки средств удалённого администрирования Active Directory найдите «RSAT: Active Directory Domain Services and Lightweight Directory Services Tools» (Средства удалённого администрирования сервера: средства доменных служб Active Director и служб облегчённого доступа к каталогам), поставьте галочку и нажмите на кнопку «Next» (Далее),

затем нажмите «Install» (Установить).

Примечание: если при поиске того или иного компонента вы не можете его найти, то, возможно, данный компонент уже установлен.

Чтобы в этом убедиться в строке поиска под надписью «Installed features» (Установленные компоненты) введите название искомого компонента.

Также помните, что в английской и локализованных версиях Windows данные компоненты называются по-разному!

Как работают активные директории

Основными принципами работы являются:

• Авторизация, с помощью которой появляется возможность воспользоваться ПК в сети просто введя личный пароль. При этом, вся информация из учетной записи переносится.
• Защищенность. Active Directory содержит функции распознавания пользователя. Для любого объекта сети можно удаленно, с одного устройства, выставить нужные права, которые будут зависеть от категорий и конкретных юзеров.
• Администрирование сети из одной точки. Во время работы с Актив Директори сисадмину не требуется заново настраивать все ПК, если нужно изменить права на доступ, например, к принтеру. Изменения проводятся удаленно и глобально.
• Полная интеграция с DNS. С его помощью в AD не возникает путаниц, все устройства обозначаются точно так же, как и во всемирной паутине.
• Крупные масштабы. Совокупность серверов способна контролироваться одной Active Directory.
• Поиск производится по различным параметрам, например, имя компьютера, логин.

Объекты и атрибуты

Объект — совокупность атрибутов, объединенных под собственным названием, представляющих собой ресурс сети.

Атрибут — характеристики объекта в каталоге. Например, к таким относятся ФИО пользователя, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.

Процессы Atieclxx, Atiedxx, Ati2evxx – зачем используются и какой утилите принадлежат

Пример:

“Сотрудник” – объект, который обладает атрибутами “ФИО”, “Должность” и “ТабN”.

Контейнер и имя LDAP

Контейнер — тип объектов, которые могут состоять из других объектов. Домен, к примеру, может включать в себя объекты учетных записей.

Основное их назначение — упорядочивание объектов по видам признаков. Чаще всего контейнеры применяют для группировки объектов с одинаковыми атрибутами.

Почти все контейнеры отображают совокупность объектов, а ресурсы отображаются уникальным объектом Active Directory. Один из главных видов контейнеров AD — модуль организации, или OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат только домену, в котором они созданы.

Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) — основной алгоритм подключений TCP/IP. Он создан с целью снизить количество нюанс во время доступа к службам каталога. Также, в LDAP установлены действия, используемые для запроса и редактирования данных каталога.

Дерево и сайт

Дерево доменов – это структура, совокупность доменов, имеющих общие схему и конфигурацию, которые образуют общее пространство имен и связаны доверительными отношениями.

Лес доменов – совокупность деревьев, связанных между собою.

Сайт — совокупность устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность создания n-ного количества сайтов или объединения n-ного количества доменов под одним сайтом.

Для чего вы можете использовать Active Directory — пользователи и компьютеры?

Надстройка «Active Directory — пользователи и компьютеры» может покрыть большинство задач и обязанностей администратора AD. У него есть свои ограничения — например, он не может управлять объектами групповой политики.

Но вы можете использовать его для сброса паролей, редактирования членства в группах, разблокировки пользователей и многого другого. Вот некоторые основные инструменты в вашем распоряжении, когда вы включаете ADUC на вашем компьютере.

1. Active Directory Домены и трасты. С помощью этого инструмента вы можете управлять функциональными уровнями леса, UPN (основными именами пользователей), функциональными уровнями нескольких доменов. Это также позволяет управлять доверием между лесами и доменами.
2. Центр администрирования Active Directory. В этом разделе ADUC вы можете управлять своей историей PowerShell, политиками паролей и корзиной AD.
3. Сайты и службы Active Directory. Этот инструмент дает вам контроль и понимание сайтов и услуг. Это позволяет планировать репликацию и определять топологию AD.

Выбор версии платформы при запуске на клиентском ПК

В некоторых случаях нам может потребоваться выбор версии платформы на клиентском ПК для подключения к базе данных 1С.

Для чего это может быть нужно:

1. У нас много компьютеров и процесс автоматического распространения платформы на компьютеры пользователей может затянуться и чтобы не оставить без работы пользователей, мы сначала обновляем клиентов, указывая им использовать старую версию платформы для подключения к серверу. После обновления всех компьютеров, мы запускаем обновление на сервере, а в файле v8i указываем использовать новую версию. Профит!
2. При обновлении сервера что-то пошло не так и мы хотим без болезненно вернуться на старую версию для этого даунгрейдим версию сервера, а в файлах v8i указываем какую конкретно версию использовать.
3. У нас может быть несколько серверов 1С, каждый из которых может работать на разных версиях платформы и для каждой базы мы четко указываем какую версию платформы использовать. Например, один сервер может быть Production-сервером, второй может быть Devel-сервер.
4. Любые другие вариации, при которых может потребоваться быстрая смена версии клиента.

Именно поэтому мы и будем использовать быструю смену версий платформы на клиенте.

Чтобы добавить новую версию для использования, её необходимо корректно указать в файле «1CEStart.cfg» в параметре «DefaultVersion», а чтобы 1С знала где искать указанные версии, указываем параметр «InstalledLocation» в том же файле.

Далее просто выбираем необходимую версию в файле v8i параметром «Version».

Установка пользователей и компьютеров Active Directory в Windows 7 и Windows10

Пользователи и компьютеры Active Directory (ADUC) — это инструмент или его можно назвать оснасткой консоли управления Microsoft, которая помогает управлять Active Directory путем создания объектов, перемещения объектов между подразделениями и удаления объектов.

Он позволяет вам контролировать такие объекты, как пользователи и компьютеры, организационные единицы (OU) и их атрибуты. Вы можете использовать его только для перемещения объектов внутри домена, а не в другие домены.

ADUC — единственный инструмент, позволяющий перемещать учетные записи с помощью графического интерфейса. Впервые он был представлен в Windows Server 2000 как базовый инструмент управления Active Directory .

Managing multiple AD instances

Active Directory provides the access rights management system in Windows Server for on-premises resource access but it is also built into many other systems. If you use Microsoft 365 on the cloud, you have another implementation to deal with that you can’t manage from the interface that is built into Windows Server. There are other tools that use Active Directory for user account management, such as Google Workspaces and there are AD implementations available on Azure and AWS. 

Although all of these different flavors of AD are functionally the same, they are technically separate because of the different infrastructure that supports each service, you can’t merge their administration through the native consoles offered by each package. Instead, you need to set up your user accounts in one system and export it to the others – this is known as replication. With this technique, you can create a consistent list of user accounts across all of the applications and platforms that your business users need to get into to and construct a single sign-on environment. 

ManageEngine AD360 – FREE TRIAL

The easiest way to coordinate all of your Active Directory services is through a coordinating third-party tool, such as ManageEngine AD360. The AD360 system is a bundle of AD services and it provides a console that substitutes for the interface of Active Directory. With this system, you manage your standard Active Directory instance through AD360 and that tool ripples those values through to all of your AD instances automatically behind the scenes. The best way to understand the time-saving benefits of such as system is to access the 30-day free trial of AD360.

Features of ManageEngine AD360

ManageEngine AD360 is an integrated Active Directory (AD) management and reporting solution that helps IT administrators simplify their day-to-day tasks. It provides a comprehensive set of features to help manage, monitor, and report on the health and performance of your AD environment. Here are some of its features:

AD Audit and Compliance: Runs AD audits and checks whether significant changes to AD objects comply with IT regulatory compliance standards like SOX, HIPAA, PCI, etc.

Automated Workflow: ManageEngine AD360 provides automated workflows for automating mundane tasks like creating users or resetting passwords. Further, it helps IT administrators easily create reports on user activity, monitor security events, enforce password policies, and more.

Single sign-on Management: With AD360, you may implement a single sign-on environment and use the tool’s multi-factor authentication management features. Further, you have access to change the design of the control console. This enables you to grant Help Desk personnel and junior staff partial views so they may fulfill assigned duties without having full access to your user rights.

Pros:

• With ManageEngine AD360, you can easily set up automated reports for user accounts, computers, groups, GPOs, OUs, and more.
• You can access real-time insights into the health of your network with its advanced monitoring capabilities.
• ManageEngine AD360 offers powerful tools to help you troubleshoot problems quickly and efficiently.
• Helps streamline the Active Directory environment.
• It is a comprehensive Active Directory management solution that helps IT administrators manage and secure their Windows-based networks.

Cons:

• Lacks support for software
• ManageEngine AD360 only works in an Active Directory configuration on Windows Server

Как установить инструменты Active Directory для пользователей и компьютеров в Windows 7?

13 марта 2018 г.
|

более 2 минут

Пользователи и компьютеры Active Directory — это стандартная функция Microsoft Windows Server.

Выберите пакет, разработанный для вашей системы, который может быть 32-разрядным или 64-разрядным. Чтобы узнать, какая версия Windows у вас установлена, вам нужно пройти по следующему пути: меню «Пуск» > «Все программы» > «Стандартные» > папка «Системные инструменты». В папке «Системные инструменты» выберите параметр «Информация о системе», и в столбце значений будет ответ.

Шаг 2. Установите пакет обновления.

Для этого следуйте этим инструкциям:

1. После того, как вы загрузили пакет и открыли его, вы получите сообщение, объясняющее, что вы действительно можете его установить. Нажмите Да.
2. Вы получите окно со всеми условиями соглашения.
3. Вы должны принять это, чтобы продолжить.
4. Начнется установка, и после ее завершения нажмите Закрыть, чтобы закрыть окно.

• в левой части окна щелкните ссылку с надписью «включить или отключить функции Windows»
• следуйте по этому пути: Инструменты удаленного администрирования сервера > Инструменты администрирования ролей > Инструменты AD DS и AD LDS > Инструменты AD DS
• Установите флажок рядом с «Центр администрирования Active Directory» и нажмите «ОК», чтобы сохранить изменения.
• После установки Microsoft Windows Server вы найдете «Пользователи и компьютеры Active Directory» в меню «Пуск» Windows.

Где скачать и как установить

Вначале нужно выполнить установку RSAT на свой ПК. По умолчанию этот инструмент в Win 10 отсутствует. С помощью RSAT удастся дистанционно управлять объектами сети с использованием Диспетчера серверов. Этот сервис нельзя загрузить на ноутбук, работающий на основе Домашней или Стандартной версии. RSAT разрешается скачивать на мощные ПК, имеющие Профессиональную или Корпоративную редакцию Win 10.

Как самостоятельно скачать RSAT:

зайти на сайт «Майкрософт»;

• найти «Remote Server Administration Tools» (для конкретной редакции Win 10);
• выбрать пакет, соответствующий конкретной разрядности (х64 или х86);

• нажать на Download;
• добавить RSAT на свой ПК;
• в ходе установки активировать инсталляцию сопутствующих обновлений;
• в конце перезапустить ПК.

Завершив скачивание RSAT, рекомендуется выполнить активацию этого средства на своем ПК:

• вызвать Control Panel;
• отыскать подпункт «Programs and Features»;

кликнуть по «Turn Windows features on or off»;

• появится окошко «Win Feature»;
• отыскать «Remote Server Administration Tools»;
• раскрыть ветку;
• найти «Role Administration Tools»;
• пометить птичкой «AD DS and AD LDS Tools» и другие строчки в этой ветке (должны быть активными по умолчанию);
• выделить «AD DS Tools» и нажать на «ОК».

Установку ADUC удастся выполнить из «Командной строчки с помощью таких команд:

• «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD»;
• «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD-DS»;
• «Dism / online / enable-feature / featurename:RSAT Client-Roles-AD-DS-SnapIns».

Важно! После скачивания инструментов нужно вызвать Панель управления и зайти в подпункт «Administrative Tools». Там должна появиться новая опция под названием «Active Directory Users and Computers». После появления этого инструмента разрешается подсоединиться к контроллеру

Выполнить это действие пользователь сможет самостоятельно

После появления этого инструмента разрешается подсоединиться к контроллеру. Выполнить это действие пользователь сможет самостоятельно.

Установка оснастки Active Directory в Windows 7

В данной статье поговорим о том, как установить оснастки Active Directory в Windows 7. Как вы, наверное, помните, для того, чтобы в Windows XP появилась оснастка Active Directory Users and Computers (сокращенно ADUC), необходимо установить специальный набор утилит от Microsoft – Windows 2003 Admin Pack. В Windows 7 процесс установки консолей управления Active Directory несколько изменился.

Во -первых , Admin Pak теперь стал называться Remote Server Administration Tools (RSAT). Где найти и скачать RSAT для Windows 7 я уже писал

Обратите внимание, что существует несколько версий RSAT для Windows 7: версии будут отличаться в зависимости от разрядности вашей ОС (32 ил 64 –битная Window 7) и установленного Service Pack (скачать RSAT для Windows 7 SP1). Если вы не знаете, какая версия ОС используется у вас, нажмите кнопку Start, щелкните правой кнопочкой мыши по значку «Computer» и выберите «Properties»

Окно с версией системы будет выглядеть примерно так:

В поле «System type:» будет указан тип вашей ОС Windows 7. В том случае, если вы используете 32 битную версию Windows 7, необходимо скачать файл, имя которого начинается с «x86…» (сейчас это «x86fre_GRMRSAT_MSU.msu», но имя может измениться). Для пользователей 64-битных систем, необходимо скачать файл, имя которого начинается с «amd64…» (сейчас это «amd64fre_GRMRSATX_MSU.msu») – это пакет подойдет даже в том случае, если вы используете процессор, отличный от AMD 64-bit.

После того, как вы скачаете RSAT для Windows 7, его нужно установить (в принципе это обычное обновление Microsoft KB).

Во-вторых , после установки RSAT в Windows 7, по умолчанию большинство дополнительных функций управления отключены, и оснастку управления Active Directory в Windows 7 нужно активировать вручную.

1. Перейдите в раздел Remote Server Administration Tools >Role Administration Tools, и выберите AD DS and AD LDS Tools.

После этого консоль ADUC и другие оснастки управления AD в Windows 7 появится в панели управления в разделе Administrative Tools.

Активировать оснастку «Active Directory User and Computer» в Windows 7 можно и из командной строки, однако в любом случае придется скачать и установить RSAT.

В командной строке с правами администратора наберите следующие команды, добавляющие оснастки Active Directory:

Источник

Импорт и использование модуля PowerShell для Active Directory

В Windows 7 и Windows Server 2008 R2, на которых установлен PowerShell 2.0, чтобы начать пользоваться модулем AD необходимо импортировать его в сессию PowerShell командой:

Кроме того, вы можете экспортировать модуль с удаленной машины, где он уже установлен и импортировать его в свою сессию PowerShell:

В Windows Server 2012 R2/ 2016 и Windows 8.1 / Windows 10 модуль (если он установлен) импортируется в сессию автоматически.

Если компьютер включен в домен, по умолчанию создается диск по имени AD:..Вы можете перейти на этот диск командой CD и использовать привычные команды работы с файловой системой для навигации по этому диску. Пути представлены в формате X500.

Вывести список доступных командлетов модуля для работы с Active Directory можно так:

В различных версия Windows доступно разное количество командлетов:

• Windows Server 2008 R2 — 76 командлетов.
• Windows Server 2012 — 135 командлетов
• Windows Server 2012 R2 / 2016 — 147 командлетов.

Итак, теперь вы можете использовать командлеты PowerShell для администрирования AD. На нашем сайты вы можете познакомиться с использованием следующих командлетов из модуля AD для PowerShell: Get-ADGroupMember , Add-ADGroupMember , Move-ADDirectoryServerOperationMasterRole, .

Подключение консоли ADUC к домену из рабочей группы

Как подсоединиться к контроллеру со своего ПК:

вызвать Командную строчку;

• выполнить команду запуска оснастки от имени другого пользователя;
• ввести: «runas / netonly / user:winitpro \ aaivanov mmc»;

• появится окошко «MMC»;
• открыть в окошке «File»;
• выбрать «Add / Remove Snap In»;
• откроется окошко «Add or Remove Snap In»;
• в левом списке «Snap in» этого окошка отыскать «Active Directory Users and Computers»;
• перенести найденный инструмент в правый список «Console Root»;

• после перенесения кликнуть по «Active Directory Users and Computers»;
• появится всплывающее меню;
• выбрать «Change domain»;

• указать название своего домена;
• подключить ADUC к доменному контроллеру.

Установка RSAT в Windows 10

Установите скачанный файл, дважды щелкнув по нему

Или установите msu файл RSAT из командной строки в «тихом» режиме:

wusa.exe c:\Install\WindowsTH-RSAT_TP5_Update-x64.msu /quiet /norestart

После окончания установки RSAT нужно перезагрузить компьютер.

Осталось активировать необходимый функционал RSAT. Для этого:

1. Щелкните ПКМ по кнопке Start и выберите Control Panel (Панель управления)
2. Выберите Programs and Features (Программы и компоненты)
3. В левой панели нажмите кнопку Turn Windows features on or off
4. В дереве компонентов разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
5. Отметьте раздел AD DS Tools и нажмите OK.

Установка оснастки ADUC также может быть выполнена из командой строки. Последовательно выполните 3 команды:

dism /online /enable-feature /featurename:RSATClient-Roles-AD dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

После установки оснасток управления, в разделеAdministrative Tools панели управления появится ссылка на консоль Active Directory Users and Computers.

Теперь можно запустить оснастку ADUC и подключится к любому контроллеру домена. Если данный компьютер состоит в домене Active Directory, консоль подключится к контролеру домена, на основании текущего Logon сервера.

Установка программ из MSI

Все изложенное далее относится к работе с инсталляционными пакетами типа MSI (расширение .msi). Файлы MSI есть (или их можно извлечь) для многих программ (Adobe Acrobat, The Bat, Opera, Firefox и пр.).

Предположим, мы хотим автоматически установить (а по мере выхода обновлений, устанавливать обновления) броузер Firefox. Файл msi для Firefox можно взять здесь (в новом окне).

Настройку шаблона .adm я пропущу, т.к. далеко не всегда это нужно, а еще чаще этот шаблон фиг найдешь. В итоге — дефолтные настройки (либо, если будем ставить поверх старой версии — настройки будут сохранены). Шаблон .adm нам не нужен.

Создание групп

После перезагрузки в окне Logon появилась дополнительная строчка Logon to, где уже прописано имя твоего домена. В закладке Administrative Tools появилась целая куча новых инструментов. «Да будет Свет!» уже было сказано – теперь начнем заселять наш новый лес.

• Start —> Programs —> Administrative Tools —> Active Directory —> Users and Computers —> Users. Ба-а, сколько тут новых пользователей появилось! С ними разберемся позже, пока начнем создавать группы (папки для них уже сделаны).
• Правая кнопка мыши на Users, меню New Group, пишем «HEAD» и выбираем область действия группы (Group scope) Global.

Небольшое техническое отступление. Есть очень хорошая книга Ф.Зубанова «Active Directory», в которой очень толково расписано, для чего служат определенные области действия групп. Я оставлю тонкости, можешь прочитать сам, если книгу найдешь. Конец отступления.

Таким же методом заводим группы «Бухгалтерия» и «Экономисты».

Главное правило при назначении любых прав гласит: «Все права назначаются через групповые политики». Кратко поясню, что доступ ко всем объектам осуществляется через SID (идентификатор безопасности), и если на какой-нибудь файл ты будешь назначать права конкретному пользователю, а затем удалишь пользователя из системы, то на этом файле останется висеть SID пользователя. Для того чтобы такого не происходило, доступ ко всем ресурсам осуществляется через группы, так как в этом случае операционная система ставит на объект SID группы и, соответственно, в базе AD не появляется лишних записей.

Населяем Эдем живностью. Заводим пользователей. Все так же, как и при создании групп, только выбираем User. Лучше не полениться и полностью заполнить все поля карточки пользователя. Представь, что однажды лень таки пересилила тебя, примерно через полгода смотришь на учетную запись «Света» и мучительно вспоминаешь, к какой из 12-ти работающих в конторе Свет относится эта запись. Мораль: лень в себе нужно контролировать жестко. Итак, тупо заполняем карточки пользователей по списку, выданному кадровой службой. Можно пока не напрягаться с паролями и правами и заниматься только бюрократией. Завели.

Используем базу данных на Windows Server 2012

Установка и настройка Active Directory — весьма нетрудное дело, а также выполняется проще, чем это кажется на первый взгляд.

Чтобы загрузить службы, для начала необходимо выполнить следующее:

1. Поменять название компьютера: нажмите на «Пуск», откройте Панель управления, пункт «Система». Выберите «Изменить параметры» и в Свойствах напротив строки «Имя компьютера» кликните «Изменить», впишите новое значение для главного ПК.
2. Выполните перезагрузку по требованию ПК.
3. Задайте настройки сети так:
   • Через панель управления откройте меню с сетями и общим доступом.
   • Откорректируйте настройки адаптера. Правой клавишей нажмите «Свойства» и откройте вкладку «Сеть».
   • В окне из списка кликните на протокол интернета под номером 4, опять нажмите на «Свойства».
   • Впишите требуемые настройки, например: IP-адрес — 192.168.10.252 , маска подсети — 255.255.255.0, основной подшлюз — 192.168.10.1.
   • В строке «Предпочтительный DNS-сервер» укажите адрес локального сервера, в «Альтернативном…» — другие адреса DNS-серверов.
   • Сохраните изменения и закройте окна.

Установите роли Active Directory так:

1. Через пуск откройте «Диспетчер сервера».
2. В меню выберите добавление ролей и компонентов.
3. Запустится мастер, но первое окно с описанием можно пропустить.
4. Отметьте строку «Установка ролей и компонентов», перейдите дальше.
5. Выберите ваш компьютер, чтобы поставить на него Active Directory.
6. Из списка отметьте роль, которую нужно загрузить — для вашего случая это «Доменные службы Active Directory».
7. Появится небольшое окно с предложением загрузки необходимых для служб компонентов — примите его.
8. После вам предложат установить другие компоненты — если они вам не нужны, просто пропустите этот шаг, нажав«Далее».
9. Мастер настройки выведет окно с описаниями устанавливаемых вами служб — прочтите и двигайтесь дальше.
10. Появиться перечень компонентов, которые мы собираемся установить — проверьте, всё ли верно, и если да, жмите на соответствующую клавишу.
11. По завершении процесса закройте окно.
12. Вот и всё — службы загружены на ваш компьютер.