Занятие 21. Установка Active Directory

План занятия:

Активный каталог в среде Windows Server 2012, может быть выполнена разными способами, в зависимости от того, установлен сервер в режиме Windows Core который не поддерживает установку с графического интерфейса, или выполнена стандартная установка Windows Server, в которой есть возможность устанавливать компоненты в графическом режиме.

Для установки активного каталога для серверного ядра, необходимо:

1. Перейти в консоль Windows PowerShell

2. Выполнить команду Add-Windows Feature AD-domain-services, она позволит установить активный каталог, но не настроить его.

3. Продвижение контроллера домена с помощью PowerShell очень удобно выполнять с помощью модуля ADDS Deployment, который содержит следующие команды:

3.1. Install-ADDS Forest

3.2. Install-ADDS Domain

3.3. Install-ADDS DomainController

4. Для выполнения этих команд необходимо сначала загрузить нужный модуль с помощью команды Import-Module ADDS Deployment. После этого понадобится лишь воспользоваться правильной командой из приведеиного выше списка, в зависимости от того, нужно ли развернуть новый лес, добавить домен в существующий лес или добавить контроллер домена в существующий домен.

Для установки активного каталога в графическом режиме, необходимо:

1. Start -> Server Manager (Пуск -> Диспетчер сервера).

2. Add roles and features -> Next

3. Выбрать Role-based or feature-based Installation (Установка ролей и компонентов) -> Next

4. Выбрать сервер, на который устанавливается роль AD и нажать Далее. Select a server from the server pool -> Next

5. Выбираем роль Active Directory Domain Services (Доменные службы Active Directory), после чего появляется окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features.

6. После этого жмем каждый раз кнопку Next и устанавливаем роль.

Настройка доменных служб активного каталога

1. В окне Server Manager нажать пиктограмму флага с уведомлением и нажать Promote this server to a domain controller(Повысить роль этого сервера до уровня контроллера домена) на плашке Post-deploiment Configuration.

2. Выбрать Add a new forest (Добавить новый лес), ввести название домена и нажать далее.

3. Можете выбрать совместимость режима работы леса и корневого домена. По умолчанию устанавливается Windows Server 2012.

4. На этой вкладке можно будет отключить роль DNS Server. Но, в нашем случае, галочку оставляем.

5. Далее ввести пароль для DSRM (Directory Service Restore Mode — режим восстановления службы каталога) и нажимаем далее.

6. На следующем шаге мастер предупреждает о том, что делегирование для этого DNS-сервера создано не было ( A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server. If you are integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain «itme.info». Otherwise, no action is required.). Нажимаем Next.

7. На следующем шаге можно изменить NetBIOS имя, которое было присвоено домену. Мы этого делать не будем. Просто нажимаем далее.

8. На следующем шаге можно изменить пути к каталогам базы данных AD DS (Active Directory Domain Services – доменная служба Active Directory), файлам журнала, а так же папке SYSVOL. Мы менять ничего не будем. Нажимаем кнопку далее.

9. На следующем шаге производится проверка, все ли предварительные требования соблюдены. После чего покажет нам отчёт. Одно из обязательных требований — это установленный пароль локального администратора. В самом низу можно прочитать предупреждение о том, что после того, как будет нажата кнопка Install уровень сервера будет повышен до контроллера домена и будет произведена автоматическая перезагрузка.

10. Должна появиться надпись All prerequisite checks are passed successfully. Click «install» to begin installation. Нажимаем кнопку Install.

11. После завершения всех настроек, сервер перезагрузится, и вы совершите первый ввод компьютера в ваш домен. Для этого необходимо ввести логин и пароль администратора домена.

 

 

 

Занятие 22. Создание групп

План занятия:

• Области действия групп
• Типы групп
• Создание групп
• Конфигурирование групп

Структура групп AD DS не является новой в AD DS, но она предоставляет эффективный механизм для управления безопасностью при большом количестве пользователей. Без групп, позволяющих логически организовать пользователей, права доступа к о всем объектам в сети понадобилось бы устанавливать вручную для каждого пользователя. То есть при необходимости обеспечить доступ к принтеру для целого отдела пришлось бы вручную добавлять каждого сотрудника этого отдела в список разрешений этого принтера. Подобные вещи сильно усложнили бы администрирование аспектов безопасности. Таким образом, концепция групп разработана для упрощения администрирования: если необходимо обеспечить крупному отделу доступ к одному и тому же принтеру, разрешение достаточно выдать только представляющей этот отдел группе. Это значительно упрощает управление безопасностью и заодно облегчает перенос пользователей при их увольнении или переводе в другой отдел.

Области действия групп

Группы в AD DS работают почти так же, как и в старых структурах (в частности, в Windows NT), но с некоторыми изменениями в структуре. Группы делятся на две категории по типу и по области действия. В AD DS существуют два типа групп: группы доступа и группы рассылки. Группы доступа используются для предоставления членам группы прав доступа к объектам. А группы рассылки служат для отправки почтовых сообщений членам группы. По области действия группы делятся следующим образом:

• Локальные группы компьютера. Локальные группы компьютера, или просто локальные группы, теоретически могут содержать членов из любого доверяемого местоположения. В группы этого типа могут включаться пользователи и группы из локального домена, а также из других доверяемых доменов и лесов. Важно помнить, что локальные группы позволяют обращаться к ресурсам только того компьютера, где они находятся, а это существенно снижает возможности их использования.
• Локальные группы домена. Локальные группы домена во многом подобны локальным группам Windows NT и используются для администрирования ресурсов, содержащихся только в их собственном домене. Они могут содержать пользователей и группы из любых других доверяемых доменов. Чаще всего эти типы групп используются для предоставления доступа к ресурсам группам из других доменов.
• Глобальные группы. Глобальные группы противоположны локальным группам домена. Они могут содержать только пользователей домена, в котором существуют сами, но служат для предоставления доступа к ресурсам других доверяемых доменов. Эти типы групп наиболее удобны для назначения членства учетным записям пользователей, которые выполняют одинаковые функции, например, из глобальной группы сбыта.
• Универсальные группы. Универсальные группы могут содержать пользователей и группы из любых доменов леса и могут предоставлять доступ к любому ресурсу леса. Но наряду с дополнительными возможностями есть и неприятные моменты. Во-первых, универсальные группы доступны только в доменах в режиме Native. Во-вторых, все члены каждой универсальной группы хранятся в глобальном каталоге, что приводит к увеличению объема репликации. Хотя следует отметить, что в Windows Server 2012 система репликации данных о членстве в универсальных группах была существенно упрощена и оптимизирована с помощью инкрементной репликации данных о членстве.

Типы групп

Группа доступа (security group) - наиболее знакомый администраторам тип групп. Они применяются для массового назначения прав доступа к ресурсам и тем самым упрощения администрирования больших групп пользователей. Группы доступа могут создаваться для каждого отдела в организации. Например, администратор может создать для пользователей из отдела маркетинга группу доступа под названием Marketing (Маркетинг), а затем предоставить этой группе права доступа к каким-то конкретным каталогам в среде.

Концепция групп рассылки (distribution group) впервые появилась еще в Windows 2000 Server вместе с реализацией Active Directory. Под группой рассылки подразумевается такая группа, члены которой могут получать отправляемые группе почтовые сообщения по протоколу SMTP (Simple Mail Transfer Protocol - простой протокол электронной почты). В Windows Server 2012 этой возможностью может пользоваться любое приложение, которое способно применять AD DS для поиска в адресной книге (т.е. LDАР-поиска). Группы рассылки часто пугают с почтовыми группами, которые применяются в средах с Exchange 2000/2003/2007/2010/2013. Кроме того, в большинстве случаев группы рассылки не применяются в средах без Exchange Server, поскольку их функциональные возможности ограничиваются только инфраструктурами, которые способны их поддерживать.

В AD DS имеется также концепция почтовых групп (mail-enabled group). Эти группы представляют собой, по сути, те же группы доступа, но могут указываться в адресах электронной почты и использоваться для отправки SМТР-сообщений всем входящим в них членам. Такие группы в основном применяются вместе с Exchange Server, но могут использоваться и вместе со сторонними почтовыми системами, интегрированными с AD DS. В большинстве организаций значительную часть потребностей могут удовлетворять группы доступа с включенной почтовой функцией: они позволяют работать как с безопасностью, так и электронной почтой.

Создание групп

Для создания группы, необходимо:

1) Перейти в server manager

2) В меню tools выбрать Active Directory Users and Computers

3) В зависимости от назначения групп и условий, выбирается где именно будут созданы группы. (Оптимальным решением, является создание собственной организационной единицы, для выполнения дальнейших действий).

4) При нажатии правой кнопкой мыши в пустом пространстве, откроется меню, в котором можно выбрать New, и в появившемся списке выбрать Group.

Конфигурирование групп

После создания группы, можно настроить кто будет входить в данную группу, или в какие группы будет добавлена сама группа. За эти действия отвечают вкладки Members и Member Of. Вкладка Members, позволяет создавать списки пользователей данной группы. Добавляются пользователи при помощи кнопки Add. Вкладка Member Of, позволяет определить в какие группы будет включена данная группа. Это необходимо для более тонких элементов администрирования и назначения прав.

Упражнение

1) Создать 10 пользователей, для сотрудников различных должностей.

2) Создавать группы, позволяющие распределить пользователей.

3) Организовать 2 специализированные группы, для администрирования созданных групп.

4) Для каждой группы создать сетевые ресурсы.