Ниже будет подробно рассказано о том, как добавить нового пользователя на локальный компьютер под управлением Microsoft Windows Server 2012 R2.
0. Оглавление
- Добавление пользователя
- Изменение настроек пользователя
1. Добавление пользователя
Запускаем оснастку «Управление компьютером» (Computer Management). Сделать это можно кликнув правой кнопкой мыши по меню «Пуск» (Start) и выбрав в меню «Управление компьютером» (Computer Management).
Или же выполнив команду compmgmt.msc. (Нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) ввести команду в поле «Открыть» (Open) и нажать «ОК«)
В открывшемся окне раскрываем вкладку «Служебные программы» (System Tools), затем «Локальные пользователи» (Local Users and Groups) и выделив вкладку «Пользователи» (Users) выбираем «Новый пользователь…» (New User…) в меню «Действие» (Action).
Откроется окно создания нового пользователя (New User). Впишем имя пользователя (имя, которое будет использоваться для входа в систему) в графе «Пользователь» (User name), полное имя (будет показываться на экране приветствия) в поле «Полное имя» (Full name) и описание учетной записи в поле «Описание» (Description). Затем дважды введем пароль для создаваемого пользователя. По умолчанию пароль должен отвечать политики надежности паролей. О том как изменить данную политику читайте в статье Изменение политики паролей в Windows Server 2012 R2.
Рекомендую сразу записать введенный пароль в отведенное для хранение паролей место. Для этих целей удобно использовать специальные менеджеры паролей, например бесплатную программу KeePass.
Далее снимем флаг «Требовать смены пароля при следующем входе в систему» (User must change password at next logon) если требуется оставить введенный только что пароль. В противном случае пользователю придется сменить пароль при первом входе в систему.
Установим флаг «Запретить смену пароля пользователем» (User cannot change password) если хотим лишить пользователя данного права.
Установим флаг «Срок действия пароля не ограничен» (Password never expires) если нет необходимости в периодической смене паролей.
Флаг «Отключить учетную запись» (Account is disabled) отвечает за возможность входа пользователя в систему. Оставляем неизменным.
Нажимаем «Создать» (Create) чтобы создать нового пользователя системы.
2. Изменение настроек пользователя
Добавленного только что пользователя мы найдем в таблице пользователей системы на вкладке «Пользователи» (Users) оснастки «Управление компьютером» (Computer Management). Для того чтобы изменить настройки пользователя, необходимо в таблице кликнуть по нему правой кнопкой мыши и в контекстном меню выбрать пункт «Свойства» (Properties).
Откроется окно свойств выбранного пользователя. Пробежимся по наиболее часто используемым настройкам.
На вкладке «Общие» (General) можно изменить параметры, которые мы задавали при добавлении пользователя.
На вкладке «Членство в группах» (Member of) можно увидеть участником каких групп является данный пользователь. Кроме того, здесь можно добавить пользователя в группу или удалить его из выбранной группы.
Например, чтобы сделать пользователя администратором сервера, его необходимо добавить в группу «Администраторы» (Administrators). Для этого нажмем кнопку «Добавить…» (Add…), находящуюся под списком групп, в открывшемся окне выбора группы нажмем «Дополнительно…» (Advanced…) и затем кнопку «Поиск» (Find Now) в окне подбора групп. Выделим необходимую группу в таблице результатов поиска (в нашем случае это группа «Администраторы» (Administrators)) и завершим выбор нажав «ОК» во всех открытых окнах.
На вкладке «Профиль» (Profile) можно задать путь к профилю пользователя (Profile Path), сценарий входа (Logon script), а также подключить сетевой диск, который будет автоматически подключаться при входе пользователя в систему. Для этого установим переключатель «Домашняя папка» (Home folder) в «Подключить:» (Connect:), выберем букву сетевого диска и укажем путь к ресурсу, где будут располагаться файлы. Это может быть локальный путь к папке или сетевой ресурс.
На вкладке «Среда» (Environment) возможно указать программу, которая будет запускаться автоматически при входе пользователя через службу удаленных рабочих столов. В этом режиме работы другие программы и рабочий стол пользователю будут недоступны.
Также здесь можно разрешить/запретить подключение дисков клиента при входе (Connect client drivers at logon), подключение принтеров клиента при входе (Connect client printers at logon) и переопределить основной принтер клиента (Default to main client printer) при работе через удаленных рабочий стол, установив/сняв соответствующие флаги на форме.
На вкладке «Сеансы» (Sessions) можно установить параметры тайм-аута и повторного подключения при работе через службу удаленных рабочих столов.
Вкладка «Удаленное управление» (Remote control) используется для настройки параметров удаленного управления сеансом пользователя при работе через службу удаленных рабочих столов.
Содержание
Создание и управление учетными записями пользователей
Создание локальных учетных записей пользователей
Создание доменных учетных записей пользователей
Установка свойств локальной учетной записи пользователя
Установка свойств доменной учетной записи пользователя
Управление группами
Локальные группы
Группы Active Directory
Задачи администрирования, выполняемые в понедельник утром
Забытые пароли
Заблокированные пользователи
Использование новых средств для управления пользователями и группами
Центр администрирования Active Directory
Основные элементы ADAC
Навигация в ADAC
Просмотр хронологии Power Shell
Модуль Active Directory для Windows Power Shell
Создание пользователей
Установка паролей
Создание множества пользователей за раз
Разблокирование учетной записи пользователя
Включение учетной записи
Отключение учетной записи
Удаление группы
Вероятно, одной из наиболее распространенных задач, которые администратор
будет делать, причем не только во время развертывания, но также на протяже
нии существования среды Windows Server, является создание и управление учетными записями пользователей. Это звучит как довольно простая задача, однако она очень важна по причинам, связанным с управлением временем и с возможными последствиями в отношении безопасности. Администраторы сервера или консультанты должны хорошо понимать процесс. Им может показаться, что допустимо его проигнорировать, поскольку в обычной своей деятельности администраторы сервера или консультанты не создают учетные записи пользователей. Это может быть и так, но они, как правило, являются теми людьми, которые отвечают за создание первых пользователей в новой сети, определение процессов и передачу операции другой бригаде, отделу либо их потребителям. Те же самые старшие сотрудники также должны иметь возможность создания и управления учетными записями для служб и приложений на своих серверах, следуя передовому опыту.
Мы раскроем основы создания и управления учетными записями пользователей,
поэтому любому специалисту найдется, что почерпнуть из этой главы. В любой ситуации, когда доступен только PowerShel\, эта глава послужит источником знаний о том, как справиться с подобной ситуацией. Мы покажем, каким образом создавать и управлять учетными записями пользователей из командной строки и PowerShel\.
Переживать не стоит. В предшествующих главах вы уже видели, что клавиатурные
альтернативы иногда позволяют сберечь немало времени и усилий, и в данной ситуации тенденция остается неизменной.
Мы обсудим распространенные свойства и настройки, которые можно конфигу
рировать для учетных записей пользователей. Мы также рассмотрим группы, причины их использования, методы добавления/удаления пользователей в/из групп, а также рекомендуемые приемы назначения членства в группах. Мы раскроем все
эти темы в трех средах: автономная машина Windows Server, установка Server Core и Active Directory.
Мы продемонстрируем опции Windows Server 2012, большая часть которых иден
тична опциям Windows Server 2008 R2. В Windows Server 2012 доступен ряд новых приемов в форме новой задачи и управляющего инструмента на основе PowerShe\I, который называется центром администрирования Active Directory (Active Directory
Administrative Center) и полностью построен поверх PowerShe\I. Было добавлено намного больше модулей Active Directory для управления посредством инструмента PowerShe\I, ero процессора командной строки и языка сценариев. Эти темы будут рассмотрены в конце главы. Мы уверены, что после чтения этой главы вы поймете значимость данных инструментов в плане экономии времени.
В этой главе вы изучите следующие темы:
• управление пользователями и группами;
• использование Active Directory Administrative Center в Windows Server 2012;
• управление пользователями и группами с помощью PowerShell.
СОВМЕСТИМОСТЬ С WINDOWS SERVER 2012 (R2)
Примите во внимание, что когда мы упоминаем Wmdows Server 2012, то имеем в виду также и Wmdows Server 2012 R2; все возможности применимы к обеим версиям.
Создание и управление учетными записями пользователей
В этом разделе будет показано, как создавать, управлять и удалять локальные
и доменные учетные записи пользователей. Вы узнаете, как выполнять указанные
задачи с применением инструментов администрирования с графическим пользова
тельским интерфейсом, командной строки и PowerShell, хотя вы должны осознавать,что инструменты командной строки скоро, по всей видимости, выйдут из употребления.
В Microsoft собираются усиленно продвигать PowerShell.
Рабочая среда для этой главы содержит контроллер домена по имени
DCO l . Ьigf i rт . сот и сервер-член под названием ServerOl . Ьigfirт . сот. Такая среда позволит продемонстрировать методы создания и управления локальными и доменными учетными записями пользователей.
Создание локальных учетных записей пользователей
Первыми мы рассмотрим способы создания локальных учетных записей пользователей. Для управления локальными учетными записями пользователей предусмотрен один главный инструмент — Computer Management (Управление компьютером), который можно открыть из диспетчера серверов, выбрав в меню Tools (Сервис) пункт Computer Management (Управление компьютером). Этот инструмент предоставляет все те же самые опции, что и при управлении пользователями и группами в Windows Server 2008 R2.
Для целей нашего примера войдите в систему на сервере ServerOl . Ьigfirm. com в качестве администратора, откройте окно Computer Management и раскройте папку \Local Users and Groups \Users (Локальные пользователи и группы \ Пользова тели), как показано на рис. 8.1.
Вы должны видеть две существующих учетных записи пользователей.
• Administrator (Администратор). Это стандартная учетная запись пользователя
администратора. Ниже она будет обсуждаться более подробно.
• Guest (Гость). Назначение этой учетной записи — позволить людям, не имею
щим действительной учетной записи пользователя, войти в систему локально
го компьютера. Такая учетная запись может понадобиться администратору при
наличии многочисленных приходящих и уходящих пользователей.
Рис. 8.1 . Локальные пользователи в окне Computer Maпagement
Вы заметите, что на значке учетной записи Guest имеется изображение неболь
шой стрелки, указывающей вниз. Причина в том, что согласно рекомендуемым
приемам эта учетная запись должна быть отключена и это делается по умолчанию.
Наличие учетной записи Guest не является распространенным требованием на сервере, поэтому необходимость в ее включении может никогда и не возникнуть.
УЧЕТНАЯ ЗАПИСЬ Admi.nistrator
Критически важно ·защитить учетную запись Administrator подходящим для орга
низации способом. Локальная учетная запись Administrator имеет полный кон
троль над сервером, а доменная учетная запись Administrator — над всей сетью!
Таким образом, для них должны быть выбраны очень строгие пароли.
В крупных организациях Administrator представляет собой анонимную учетную
запись. Загляните в журналы безопасности с помощью программы просмотра событий (Eveнt Yiewer) и задайте себе вопрос: «Как узнать, кто сделал данное действие, используя учетную запись Administrator?» Именно поэтому вы должны создать учетную запись пользователя с подходящими административными или делегированными правами для любого администратора, который в них нуждается. Применение стандартной учетной записи Administrator часто запрещено, если только не возникла чрезвычайная ситуация. Чтобы обеспечить безошибочный аудит каждого сотрудника отдела IT в журнале безопасности, понадобится создать учетную запись пользователя Administrator для каждого администратора. Затем вы должны удостовериться в том, что каждый администратор имеет только те права и разрешения,которые ему необходимы для выполнения своей работы.
В некоторых организациях принимают решение полностью отключить учетную запись Administrator. Такое решение нельзя назвать выдающимся, поскольку эта
учетная запись является великолепным «qерным входом» на случай блокировки паролей. Пользователь Administrator является таким, который блокировать нелыя.
Организации могли бы избрать альтернативный подход. Вы можете думать об этом как о «ядерной» опции. Вы наверняка видели фильмы, по сюжету которых два генерала должны ввести два разных ключа, qтобы запустить ракету с ядерной боеголовкой. Неqто похожее вы можете сделать с паролем учетной записи Administrator.
Он может устанавливаться двумя разными особами или даже отделами, причем один вводит первую половину пароля, а другой — вторую половину. Организации, нуждающиеся в опции подобного рода, возможно, располагают отделом IТ-безопасности или внутреннего аудита, который владеет первой половиной пароля, в то время как бригаде администраторов сервера оставляется вторая половина.
Последняя опция предполагает переименование учетной записи Administrator.
По поводу этой опции ведутся споры, поскольку идентификатор безопасности
(security identifier (SID) — код, используемый Windows для уникальной идентификации
объекта) учетной записи может быть предсказан, раз вы имеете доступ к серверу или домену. Некоторые утверЖдают, qто переименовывать эту учетную запись нецелесообразно.
Однако большинство атак из Интернета в действительности роботизированы, а не интеллектуальны. Они нацелены на типовые имена, такие как SA, root или Administrator,
и предпринимают атаки rрубой силой, пытаясь угадать пароль. Чтобы защититься от таких форм атак, учетную запись Administrator полезно переименовать.
В конечном счете, применимы те же самые старые правила безопасности.
Устанавливайте очень строгие пароли для учетных записей Administrator, сокращайте круг лиц, осведомленных о паролях, оrраниqивайте удаленный доступ, где только можно, и контролируйте физический доступ к своим серверам.
В рассматриваемом примере мы покажем, как создать учетную запись пользователя для нового сотрудника по имени S teve Red. В папке \Local Users and Groups\Users щелкните правой кнопкой мыши в центральной панели и выберите в контекстном меню пункт New User (Создать пользователя).
Откроется диалоговое окно New User (Новый пользователь). Заполните сведения о пользователе в перечисленных ниже полях этого диалогового окна (рис. 8.2).
Рис. 8.2. Соэдание новой локальной
• User Name (Имя пользователя ) . В этом поле указывается имя, которое пользователь будет вводить при входе в систему.
Мы настоятельно рекомендуем внедрить какой-то стандарт именоваучетной записи пользователяния. Организация меньшего размера может остановиться на имени SRed для
сотрудника по Steve Red. Вы можете решить воспользоваться какой-то число
вой схемой, к примеру, SRedlSRed, SRedSRedOl или SRedlOSRed. Некоторые
организации предпринимают дальнейшие действия. Другие применяют в качестве имени пользователя идентификатор сотрудника компании. Еще одни организации используют инициалы персоны (включая отчество) вместе с числом, к примеру, SMRedl О. Такие более анонимные системы могут оказаться подходящими, когда персональные данные считаются чувствительными.
• Full Name (Полное имя). В поле Full Name указывается имя особы, которая будет пользоваться учетной записью. Вряд ли ны решите хранить такие имена на
серверах, видимых из Интернета.
• Password (Пароль). В поле Password необходимо установить пароль. Один из
наилучших способов установки пароля предусматривает применение кодовой
фразы (passphrase). За дополнительными сведениями о кодовых фразах обра
щайтесь к учебному примеру далее в главе.
• User Must Change Password at Next Logon (Пользователь должен изменить па
роль при следующем входе). В рассматриваемом примере мы оставляем этот фла
жок отмеченным. Вы можете установить простой мя сообщения пароль вроде
»ваша новая кодовая фраза» 11 оставить флажок User Must Change Password at
Next Logon отмеченным (его состояние по умолчанию). Новый пользователь
получит возможность войти в систему, но будет обязан изменить свой пароль,
чтобы завершить процесс входа. Это гарантирует, что ни один из сотрудников
отдела 1Т не будет знать пароль пользователя. Вы заметите, что следующие два
флажка отображаются серым цветом и недоступны для использования. Они
станут доступными, если снять отметку с флажка User Must Change Password at
Next Logon. Указанные флажки противоположны по смыслу.
• User Cannot Change Password (Пользователь не может изменять пароль). Вы
можете принять решение предотвратить изменение пользователем пароля сво
ей учетной записи. Такая ситуация может возникать при создании учетной за
писи, которая будет применяться приложением или службой. Отметка этого
флажка лишает возможности изменить пароль программу или злоумышленни
ка, атакующего программу.
• Password Never Expires (Срок действия пароля никогда не истекает). Отметка
флажка Password Never Expires приводит к переопределению любых политик
истечения срока действия паролей, которые могут быть установлены где-то
в другом месте, например, в локальной системе или в групповой политике.
Скорее всего, вы будете использовать эту опцию только для учетных записей
служб. Вряд ли вы захотите, чтобы служба наподобие SQL Server прекратила
работу по причине истечения срока действия пароля для ее учетной записи.
• Account ls DisaЫed (Учетная запись отключена). Данный флажок должен быть
вполне понятен. Когда он отмечен, созданную учетную запись применять не
льзя. Это то, что было сделано с учетной записью пользователя Guest. Такое
действие также предпринимается при заблаговременном создании учетных
записей для пользователей и последующим их включением по мере того, как
пользователи действительно приступают к работе.
Вспомните, что установить простой для сообщения пароль можно только для
учетной записи пользователя, и это является тем действием, которое сотрудники
отдела IT выполняют на регулярной основе. Данная опция защитит такую уч:етную запись от неавторизованного использования до тех пор, пока сотрудник не начнет работать с ней и изменит пароль по своему усмотрению.
Щелчок на кнопке Create (Создать) приведет к созданию пользователя SRed и
очистке полей в диалоговом окне New User. Это позволяет быстро добавить дополнительных пользователей, не выбирая снова пункты меню. После создания пользователя щелкните на кнопке Close (Закрыть), чтобы закрыть диалоговое окно New User.
Как показано на рис. 8.3, пользователь теперь создан, и можно продолжить рабо
ту с этой учетной записью, чтобы ее использовать в дальнейшем.
Эта команда создает пользователя на локальном компьютере. По большому счету
она ничего другого не делает. Остальные опции, о которых шла речь выше, не ис
пользуются. Если пароль длиннее 14 символов, будет выдано сообщение о том, что
пароли такой длины могут вызвать проблемы в унаследованных системах Windows,
и предложено подтвердить свой выбор. Если в пароль необходимо добавить пробелы, его придется поместить в двойные кавычки, например:
net user SRED «Му dOg is yellow» /A9D
Чтобы полностью воссоздать то, что вы делали в окне Computer Management, до
бавьте к команде несколько опций:
net user SRed SkyisЫue2013 /fullname : «Steve Red»
/cornrnent : «Manager e>f the server team» /logonpasswordchg : yes /add
Далее приведены краткие описания всех опций.
• /fullname. Назначает учетной записи пользователя имя для будущих ссылок
на него.
• /comment. Заполняет поле Descriptioп (Описание) в окне свойств учетной запи
си пользователя.
• /logonpasswordchg:yes. Заставляет пользователя изменить свой пароль при
первом входе в систему сервера.
• Н иже перечислено несколько других опций, которые встречались в окне
Computer Management.
• /passwordchg. Устанавливается в yes или no дпя указания, может ли пользо
ватель изменять свой пароль.
• /expires. Устанавливается либо в какую-то дату (в формате мм/дд/гг [гг] ) ,
либо в NEVER.
• /active. Включает и.ли отключает учетную запись.
Чтобы получить дополнительную информацию о друтих опциях, введите команду
net help user. Не попадитесь в ловушку, введя вместо этого команду net user /?.
Там вы найдете мало сведений.
Создание доменных учетных записей пользователей
Давайте возвратимся к тому, по какой причине вы можете отдать предпочтение
доменным учетным записям пользователей перед локальными учетными записями.
Получается так, что пользователю Steve Red нужна возможность входа в системы
многих серверов в сети, а не только в данный автономный сервер. Этот пользова
тель собирается работать с множеством служб, и ему необходим механизм единого
входа. Администраторы также хотят настроить только одну учетную запись пользо
вателя и располагать возможностью выдать права лишь одной этой учетной записи.
Пользователь Steve Red желает иметь только одну учетную запись и один пароль.
Решение выглядит простым — создать доменную учетную запись пользователя.
Чтобы сделать это, войдите в систему контроллера домена (в рассматриваемом
примере это DCOl . Ьigfirm . com) и откройте инструмент Active Directory Users and
Computers (Пользователи и компьютеры Active Directory), который находится в папке Administrative Tools (Администрирование) на любом контроллере домена. С помошью бесплатно загружаемых инструментов дистанционного администрирования серверов (Remote Server Administration Tools) можно установить этот и другие инструменты управления серверами на компьютере Windows 8, чтобы проводить из негодистанционное управление.
РАЗДЕЛЕНИЕ АДМИНИСТРАТОРОВ
Одним из решений, которые администраторы Windows не спешат принимать, явля
ется концепция разделения ролей на офисных сотрудников и сетевых администрато
ров. Администраторы Unix делали это десятилетиями, просто применяя команду su.
Другими словами, они входили в сеть от имени рядовой учетной записи с нормаль
ными правами пользователя и поднимали привилегии до более высокой учетной записи, когда требовалось выполнять работы по администрированию. Зачем это может понадобиться? Все очень просто. Представьте, что вы блуждаете по Интернету или читаете свою электронную почту. В это время фрагмент вредоносного ПО ускользнул от защитных механизмов и выполнился. От имени кого он будет запущен? Все верно, от имени вашей учетной записи. Что остановит его от наведения беспорядка в
корпоративной сети, если вы вошли как администратор домена или от имени другой привилегированной учетной записи? Ровным счетом ничего! В Wmdows предлагается
определенная защита посредством системы контроля пользовательских учетных записей ( User Account Control — UAC), но эта защита не идеальна. Подобно физиqеской защите, иногда простейшие решения оказываются наилучшими.
Решение довольно-таки простое и не настолько устрашающее, как могут вообразить
себе многие администраторы Windows, когда слышат о нем. Сотрудники с админис
тративными правами должны иметь по две учетных записи. Первая учетная запись
будет предназначена для повседневной офисной работы, такой как использование
Microsoft Word, путешествия по Интернету или чтение электронной почты. Вторая
учетная запись предназначена для выполнения работ по администрированию.
Именно в этот момент люди начинают протестующе размахивать руками. Но дайте
нам закончить — очень скоро вы увидите, насколько все это просто в действии.
Предположим, что вы настраиваете такой сценарий для пользователя Steve Red. Его обычной ежедневной учетной записью является SRed, под которой он входит в систему на компьютере для выполнения работы, не связанной с администрированием. Вы
также настроили еще одну учетную запись, которая имеет права на упрамение частями Active Directory, определенными серверами и рабочими станциями в офисе.
Эта учетная запись называется SRed-Admin. Вы могли бы применить детализиро
ванную политику паролей, обеспечив более строгие требования для административ
ной учетной записи, но вы решили оставить всех с кодовыми фразами. Это вполне
безопасно.
Каким образом пользователю Steve Red переключаться между разными ролями
в течение дня? Вот как звучит распространенный аргумент против разделения ад
министраторов: «Я не хочу постоянно выходить и потом снова входить в систему».
Справиться с данной проблемой можно несколькими путями.
Вы располагаете возможностью использовать средство Run As (Запуск от имени) для запуска программ из-под других учетных записей пользователей. В Microsoft Wmdows Server и в клиентских ОС Wmdows программы можно запускать от имени пользователя, отличающегося от текущего, под которым был совершен вход в систему. Это средство известно под названием Rнn As. Вы должны выполнить следующие базовые шаги.
J . Отыщите программу, к-оторую нужно запустить.
2. Удерживая нажатой клавишу , щелкните правой кнопкой мыши на значке
программы и выберите в контекстном меню пункт Run as different user (Запуск от
имени другого пользователя).
3. Введите учетные данные пользователя, от имени которого хотите запустить программу.
Некоторые организации применяли такой прием и даже изменяли ярлыки для административных оснасток консоли ММС в палке Administrative Tools, чтобы делать это по умолч:анию. Операционные системы Wiпdows 8 и Wiпdows Server 2012 позволяют
быстро переключ:ать пользователей без необходимости в выходе из системы.
Существуют и другие подходы к обеспечению решения. Некоторые подходы в про
шлом использовали продукты виртуализации презентаций от Citrix для предоставле
ния среды администрирования. Теперь службы удаленного рабочего стола ( Remote
Desktop Services) в Wmdows Server 2008 R2/2012 моrут легко дублировать такой подход, публикуя либо рабочие столы, либо приложения для компьютеров пользователей. Или же можно было бы предложить вариацию решения виртуального административного ПК, запустив такой виртуальный ПК на клиенте Wiпdows 8 Client;
он уже располагает полнофункциональным продуктом Wiпdows Server Hyper-V 3.0.
Финальным реализуемым решением являются серверы управления. Это вьщеленные
серверы Windows, предназначенные специально для управления IТ-инфраструктурой.
Все необходимые инструменты устанавливаются и открываются для совместного использования любым администратором, которому необходимо управлять серверами.
Крупное преимущество этого подхода состоит в том, что на таких серверах управ
ления можно заблокировать подключ:ение к Интернету, а за счет определения соответствующих правил доступа в брандмауэре обеспечить, что только этим серверам управления разрешено управлять остальными серверами. Администратору придется только подключаться к этим серверам управления с применением протокола удаленного рабочего стола (Remote Desktop Protocol — RDP).
Теперь вы должны понимать необходимость в разделении двух жизненных аспектов администратора и убедиться, что не все решения трудны; на самом деле они могут благотворно влиять на экономию времени и усилий.
На рис. 8.4 показано окно Active Directory Users and Computers с контейнером
Users (Пользователи), содержащим несколько встроенных пользователей и групп,
которые являются важными для функционирования Active Directory.
Одни из них используются сейчас, а другие будут применяться, когда вы развер
нете другую функциональность в сети. Нередко в данный контейнер помещают создаваемые учетные записи пользователей. Это значит, что отделить ваши обычные
учетные записи пользователей от встроенных учетных записей становится труднее, равно как усложняется применение политик и делегирование прав администрирования. Мы бы хотели, чтобы в Microsoft решили использовать для этого контейнера
другое имя. Решение особой сложностью не отличается.
1. Создайте в корне домена еще одну организационную единицу (OU), обычно
имеющую имя домена или организации. В этом случае создается OU по имени
BigFirm под bigfirm. com.
2. Создайте архитектуру организационных единиц, чтобы соответствовать политике и административной иерархии организации внутри этого домена. Вы имеете организацию с единственным сайтом, поэтому выполните следующие шаги.
а. Создайте организационную единицу для пользователей (Users).
б. Создайте вторую организационную единицу для компьютеров (Computers).
в. Создайте третью организационную единицу для групп доступа (Securi ty
Groups).
Решение показано на рис. 8.5. Оно позволяет назначить права доступа объектам
каждого типа с детализированным контролем и трактовать их по-разному. Вы
создадите пользователей в OU\BigFirm\Users внутри домена bigfirm. com.
3. Перейдите в организационную единицу, где вы хотите создать нового пользо
вателя.
4. Щелкните правой кнопкой мыши на имени организационной единицы и вы
берите в контекстном меню пункт NewqUser (СоздатьqПользователь), чтобы
создать пользователя. Запустится мастер создания нового объекта-пользовате
ля (New Object — User WIZard).
Как видите, все довольно просто.
Это приведет к автоматическому заполнению полного имени, которое при же
лании можно изменить.
6. Введите имя для входа, такое как SRed (рис. 8.6).
Возможно, это самое подходящее время для напоминания базовой термино
логии тем, кто не знаком с Active Directory и управлением учетными записями
пользователей. Каждый пользователь имеет имена двух типов, с помощью ко
торых он может получать доступ к ресурсам в сети.
Входное имя пользователя. Эrо имя, которое вы знаете лучше других, такое как SRed.
Основное имя пользователя (user principal name — UPN). Это имя пользователя,
которое выглядит похожим на адрес электронной почты. На рис. 8.6 видно,
что именем UPN для пользователя Steve Red является SRed@Ьigfirm. com.
Суффикс UPN ( @bigfirm . com) по умолчанию выводится из имени домена.
В нашем сценарии это bigfirm. com.
Обратите внимание, что суффиксы
UPN можно добавлять к лесу Active
Directory, следуя инструкциям, ко
торые доступны по ссылке http : / /
support .microsoft . com/kЬ/243629.
Входное имя пользователя, которое
было сохранено ради обратной сов
местимости, выглядит как SRed. Вы
также видите имя пользователя для
версий, предшествующих Windows 2000
Server — Bigfirm\SRed. Как ни стран
но, это имя пользователя для версий,
предшествующих Windows 2000 Server,
является в точности тем именем, кота-
7. Щелкните на кнопке Next (Далее) для
перехода на экран, показанный на
рис. 8.7. Опции на этом экране по
добны тем, которые доступны для
локальной учетной записи пользова
теля. Они были описаны ранее, когда
рассматривалось создание локаль
ной учетной записи пользователя.
Распространен ная ошибка здесь —
ввести пароль, который не удовлет
воряет определенным требованиям к
сложности.
Стандартные настройки определены
Рис. 8.8. Новый пользователь в Active Directory
Что собой представляет отличительное имя (distinguished name — DN)? Имя DN
описывает, где объект пользователя создается в Active Directory и как он именует
ся. В данном случае имя DN выглядит так: CN=Steve Red, OU=Users , OU=BigFirm,
DC=bigfinn, DC=corn. Рассмотрим его составные части.
• Общее имя (Common Name — CN). Это имя объекта. В этом случае оно пред
ставляет собой имя объекта пользователя.
• Организационная единица (Organization Unit — OU). Для определения пути
\BigFinn\Users используется несколько таких частей. В имени DN путь ука
зывается в обратном порядке: CN=Steve Red, OU=Users, OU=BigFirrn.
• Компонент домена (Domain Component — DC). Описывает имя домена, например,
bigfirrn. corn. Обратите внимание, что оно не указывается в обратном порядке.
Чтобы получить дополнительную справочную информацию по созданию поль
зователей с помощью команды dsadd, введите dsadd user /?. Вероятно, вы ви
дели, что команда net user имеет опцию /dornain. Возможно, теперь вы думаете, что эта команда была проще, и интересуетесь, по какой причине она не применяется здесь. Дело в том, что команда net user не позволяет указать, где именно
в домене должен быть создан объект пользователя. Пользователя необходимо создать в
\BigFinn\Users, и команда dsaddдaeт возможность сделать это. А теперь посмотрим,
что было создано, и каким образом упрамять учетными записями пользователей.
Установка свойств локальной учетной записи пользователя
Щелкните правой кнопкой мыши на учетной записи пользователя Steve Red, созданной на сервере-члене ServerOl, и выберите в контекстном меню пункт Properties (Свойства).Откроется диалоговое окно свойств, показанное на рис. 8.9. Это диалоговое окно должно выглядеть очень знакомым. Здесь присутствуют настройки, которые вы определили дляучетной записи пользователя при ее создании.
Недоступный флажок Accouпt is locked out (Учетная запись заблокирована) будет доступным и отмеченным, если пользователь окажется заблокированным. Учетная запись блокируется, если политика паролей определяет,
что это должно произойти после установленного количества неудавшихся попыток ввода
Рис. 8.9. Общие свойства локального
пользователя пароля в рамках заданного промежутка времени. По умолчанию это определено в Default Domain Policy. Обратите внимание, что флажком Account is locked out нельзя пользоваться до тех пор, пока учетная запись пользователя не станет заблокированной; диалоговое окно свойств не может применяться для блокировки пользователя.
В последующих разделах рассматриваются свойства объекта пользователя и разнооб
разные атрибуты локальной учетной записи пользователя.
вкладка Member Of
Вкладка Member Of (Членство в группах) используется для управления членством
в группах данной учетной записи пользователя (рис. 8. 10). М ы еще вернемся к этой
вкладке после того, как раскроем понятие групп далее в главе.
Вкладка Profile
Вкладка Profile (Профиль), представленная на рис. 8.1 1 , применяется для управ
ления несколькими настройками.
• Profile Path (Путь к профилю). Данная настройка указывает местоположение,
где находится профиль пользователя. Профиль — это структура папок, содер
жащая настройки, которые являются уникальными для данного пользователя.
Он также включает такие вещи, как папки Му Documents (Мои документы) и
Favori tes (Избранное) пользователя.
• Logon Script (Сценарий входа). Эта настройка позволяет определить сценарий,
который сохраняется на контроллерах домена и запускается каждый раз, ког
да пользователь входит в систему. Для локальной учетной записи пользователя
сценарий входа может храниться локально.
• Home Folder (Домашняя папка). Данная настройка позволяет определить сете
вой диск, который выделяется данному пользователю и отображается на ука
занную букву диска после входа пользователя в систему.
Рис. 8.1 1 . Настройки профиля локального пользователя
ПРОСТОЙ СПОСОБ ПОЛУЧЕНИЯ ИМЕНИ DN
Администраторы иногда могуr быть достаточно ленивыми, чтобы вручную вводить
имя DN организационной един ицы с клавиатуры. Ниже описан альтернативный
способ.
1 . Откройте окно Active Directory Users and Computers.
2. Отметьте в меню View (Вид) пункт Advanced Features (Дополнительные возмож
н о с т и) .
3. В оснастке станут видимыми многие дополнительные элементы.
4. Перейдите к организационной единице, имя DN которой нужно узнать, и открой
те окно ее свойств.
5. Щелкните на вкладке Attribute Editor (Редактор атрибутов) и прокрутите список
Attributes (Атрибуты) вниз до появления атрибута distinguishedNarne.
6.Дважды щелкните на distinguishedName и скопируйте имя DN для далънейщеrо
использования.
Совсем недавно упоминались профили. Все очень просто: администратор создает
для пользователя папку, в которую будут автоматически сохраняться персональные
данные и настройки пользователя, и открывает общий доступ к этой папке на файловом сервере. Она будет иметь такие разрешения безопасности, что получать к ней доступ могут только соответствующий пользователь (а также локальная система и локальные администраторы). Эrо позволит профилю пользователя храниться в данном месте после выхода пользователя из системы и загружаться, когда он входит в систему.
Примером такой папки может служить \ \DCOl \profiles\SRed.
Ниже описаны составные части.
• DCOl — файловый сервер.
• profiles — открытая папка.
Все аутентифицированные пользователи могут производить чтение и запись
в этот открытый ресурс. Папка в файловой системе разрешает чтение своего
содержимого только пользователям, прошедшим аутентификацию. Локальные
администраторы, скорее всего, будут иметь полный доступ к этому открытому
ресурсу и папке. Вы можете сделать такой открытый ресурс невидимым при
просмотре сети, назначив ему имя Profiles$.
• SRed — папка, которая создана для хранения профиля пользователя по имени
Steve Red.
Разрешение безопасности Modify (Изменение) для этой папки позволяет чи
тать и записывать в нее только пользователю по имени Steve Red. Админист
раторы файлового сервера и системы будут иметь к ней полный доступ.
Рис. 8.12. Настройки средылокального пользователя
вкладка Environment
Вкладка Environment (Среда), показанная
на рис. 8. 1 2, управляет тем, как рабочая среда
конфигурируется, когда пользователь входит в систему сервера с применением терминальных служб Windows Server 2008 (Terminal Services)или служб удаленных рабочих столов Windows Server 2012 (Remote Desktop Services), например, за счет использования клиента подключения к удаленному рабочему столу (Remote Desktop Connection). Вы можете сконфигурировать определенную программу на запуск при каждом входе пользователя, отметив флажок Start the following program at logon (Запустить при входе следующую программу). При этом пона добится ввести команду для запуска программы и указать папку, которая будет для программы стартовой. Клиент Remote Desktop Connection позволяет пользователю выбрать отображение своих локальных дисков и принтеров, а также конфигурировать печатные задания для использования сервером стандартного принтера клиентского компьютера.
Администраторы могут дополнительно управлять этими опциями на данной вкладке.
REMOTE DESKTOP SERVICES ИЛИ TERMINAL SERVICES
Функциональность Terminal Services в Windows Server 2012 расширена с целью включения инфраструктуры виртуальных рабочих столов. В Microsoft провели ребрендинг
служб Terminal Services из Wmdows Server 2008 R2, которые получили название Remote
Desktop Services (RDS), сохранив их и в версии Wiпdows Server 201 2. Может возникнуть небольшая путаница, если вы читаете эту главу и все еще работаете в среде Wmdows Server 2008. Просто запомните, что когда мы ссылаемся на Remote Desktop Services, то обычно имеем в ВидУ также и Terminal Services в Wmdows Server 2008/2012.
вкладка Sessions
ВКJiадка Sessioпs представлена на рис. 8. 13.
С ее помощью также можно управлять тем, как службы Remote Desktop Services будут
функционировать для данного пользователя. Сеанс пользователя на сервере будет оставаться в отКJiюченном состоянии, если пользователь решил не выходить из системы. Это значит, что сеанс продолжит использовать ресурсы, а программы продолжат выполнение. Более важно то, что будут потребляться два свободно доступных параллельных сеанса, которые используются администраторами на серверах. Забывчивые администраторы могут быстро задействовать оба эти сеанса, что будет препятствовать нормальному входу на серверы другим администраторам посредством КJiиента Remote Desktop Connection. Следует отметить, что администраторы могутзавершать такие сеансы Вы можете решить поступать так в отношении учетных записей, применяемых для служб. Это означает, что даже если пароль учетной записи окажется скомпрометированным, она не может быть использована злоумышленником через Remote Desktop.
Вкладка Dial-in
Вкладка Dial-in (Дозвон), показанная на рис. 8.16, позволяет администратору управлять тем, может ли пользователь дистанционно подключаться к этому серверу и
каким образом, например, создавая туннель VPN или применяя модем для дозвона.
Как вы, вероятно, уже заметили вносить изменения в любое свойство внутри
этого диалогового окна очень легко, используя оснастку Active Directory Users and
Computers. Посредством команды net user можно управлять только некоторыми из
этих настроек. Давайте рассмотрим несколько из них. Следующая команда изменит
полное имя локальной учетной записи пользователя:
net user SRed /fullnarne : «Steve Red»
А эта команда установит путь к домашней папке:
net user SRed /hornedir: «D: \Horne\SRed»
До действительного запуска команды необходимо удостовериться в корректности
этого пути, поскольку сама команда его не проверяет. Понадобится также верифи
цировать разрешения для данного пользователя.
Показанная ниже команда конфигурирует настройку пути к профилю для поль
зователя:
net user SRed /profilepath : «D : \Profiles\SRed»
Опять-таки, команда не осуществляет проверку на предмет ошибок, поэтому вы
должны сначала убедиться в правильности пути и разрешений.
SRed Properties
Рис. 8.15. Вкладка Remote Desktop
Установка свойств доменной учетной записи пользователя
Давайте посмотрим, чем отличается установка свойств доменной учетной записи
пользователя от недавно описанной установки свойств локальной учетной записи
пользователя.
! . Войдите в систему контроллера домена DCOl .Ьigfirm. com.
2. Найдите объект пользователя.
3. Щелкните правой кнопкой мыши на имени объекта пользователя и выберите
в контекстном меню пункт Properties (Свойства).
Обратите внимание, что вы должны отметить пункт Advanced Features (Допол
нительные возможности) в меню View (Вид) оснастки Active Directory Users
and Computers (ADUC). Диалоговое окно свойств пользователя показано на
рис. 8. 17.
4. Снимите отметку с пункта Advanced Features в меню View оснастки ADUC и
ознакомьтесь со сравнительными характеристиками, приведенными в после
дующих разделах.
Вы заметите, что расширенное представление предлагает намного больше воз
можностей. Здесь следует упомянуть два момента.
• В диалоговом окне свойств для доменной учетной записи пользователя имеется намного больше вкладок с множеством настроек, чем в аналогичном окне
для локальной учетной записи пользователя.
Доменная учетная запись предоставляет администраторам намного больший
контроль над пользователями. Она также позволяет сохранять для каждой
учетной записи пользователя дополнительную информацию, которая может
применяться пользователями или приложениями.
• Локальные и доменные учетные записи пользователей разделяют между собой
множество общих настроек.
Мы не собираемся здесь повторять описание этих настроек, а предполагаем, что
вы читали предшествующие разделы, посвященные локальным учетным записям
пользователей.
Давайте начнем с рассмотрения вкладки General (Общие).
Вкладка Genera/
На рис. 8.17 вы видели описательную информацию для пользователя — обычные
имя и фамилию. У вас также имеется возможность хранить в объекте пользователя
внутри Active Directory и другие сведения о пользователе, такие как офис, где он
работает, телефонный номер, адрес электронной почты и адрес веб-страницы. Вы
обнаружите, что можете использовать настройки адреса электронной почты или
веб-страниuы для данного пользователя, щелкнув правой кнопкой мыши на объекте
пользователя n оснастке Active Directory Users and Computers. Это дает возможность
открыть nеб-страницу полыователя или отправить сообщение по его адресу электронной почты.
Рис. 8.17. Свойства учетной записи
пользователя Active Directory
Вкладка Address
Рис. 8.18. Вкладка Address для
пользователя Active Directory
Вкладка Address (Адрес) представлена на рис. 8.1 8. Она позволяет определить
почтовый адрес для заданного пользователя. Зачем это может понадобиться? Среда
Active Directory может применяться в качестве каталога для пользователей; другими
словами, пользователи могут ее использовать для выяснения информации о других
пользователях в сети или же она может применяться приложениями для сохранения, извлечения и распространения информации среди пользователей.
вкладка Account
На вкладке Account (Учетная запись), показанной на рис. 8.19, можно видеть входное имя пользователя, имя UPN, а также входное имя пользователя для версий, предшествующих Windows 2000 Server, которые были установлены во время создания пользователя. На данной вкладке все эти имена можно изменить.
Щелчок на кнопке Logon Hours (Часы вхо да) приводит к открытию диалогового окна
Logon Hours (Часы входа), представленного на рис. 8.20. Оно позволяет управлять тем, когда пользователь может входить в сеть для досту
па к ресурсам. Это может понадобиться при наличии исключительно строгих требований к
безопасности. Данная настройка конфигурируется не особенно часто.
Рис. 8.21 . Диалоговое окно Logoп Work
statioпs для пользователя Active Directory
На вкладке Accouпt имеется также кнопка Log Оп То (Входить в), щелчок на ко
торой приводит к открытию диалогового окна Logoп Workstatioпs (Рабочие станции
для входа), показанного на рис. 8.21 .
Диалоговое окно Logoп Workstatioпs позволяет управлять тем, какие компьютеры
данный пользователь может применять для входа в Active Directory. Это может быть
необходимым в нескольких случаях.
• Нужен контроль над тем, где некоторые или даже все пользователи соверша
ют вход в систему. Это определенно нестандартный вариант конфигурации, но
уровень безопасности, принятый в определенных организациях, может того
требовать.
• К вам приходит консультант или технический специалист, и вы хотите ограни
чить круг компьютеров, на которых он должен работать.
• Вы создаете учетную запись для приложения или службы и хотите, чтобы она
использовалась только на определенных серверах. Это ограничит ущерб (хотя
и временно), который может быть нанесен в случае компрометации данной
учетной записи.
Настройки, доступные посредством кнопок Log Оп То и Logoп Hours на вкладке
Accouпt, моrут применяться вместе для исполнения ограничений входа в систему,
принятых в отношении доменной учетной записи пользователя.
Вернемся снова к рис. 8.19. Обратили ли вы внимание на множество других оп
ций для управления учетной записью? Чтобы увидеть их, придется прокрутить вниз список Accouпt optioпs (Параметры учетной записи), находящийся в середине вкладки Accouпt диалогового окна.
• User Must Change Password at Next Logon (Пользователь должен изменить
пароль при следующем входе). Применяется для того, чтобы заставить поль
зователя изменить свой пароль после того, как администратор установит или
сбросит его. Это значит, что администратор не должен знать, что пользователь
выбрал в качестве пароля.
• User Cannot Change Password (Пользователь не может изменять пароль).
Используется для учетных записей служб, чтобы гарантировать неизменность
пароля.
• Password Never Expires (Срок действия пароля никогда не истекает).
Переопределяет любые политики устаревания паролей, которые могут быть
сконфигурированы в Active Directory. В идеале применяется для учетных запи
сей служб, а не рядовых пользователей.
• Store Password Using ReversiЫe Encryption (Сохранять пароли с использо
ванием обратимого шифрования). Никогда не отмечайте данный флажок, если
только не имеете стопроцентную уверенность в том, что данное действие не
обходимо. Это требуется, когда приложению нужно знать пароль пользователя
в целях аутентификации. В Microsoft говорят, что это в точности то же самое,
что и хранение пароля в виде простого текста.
• Account ls DisaЬled (Учетная запись отключена). Администратор может от
ключить учетную запись пользователя, чтобы устранить возможность аутенти
фикации или авторизации с ее помощью.
• Smart Card ls Required for lnteractive Logon (Для интерактивного входа
требуется смарт-карта). Среду Active Directory можно сконфигурировать так,
чтобы пользователям было разрешено входит в сеть только при наличии у
них смарт-карт. Такой подход называется двухфакторной аутентификацией.
Другими словами, пользователь применяет для входа то, чем он располагает
(уникальный маркер), и то, что ему известно (секретный РIN-код). Этот под
ход считается намного лучшим решением аутентификации, чем пароли и ко
довые фразы, по следующим причинам.
• Маркером затруднительно поделиться или похитить.
Смарт-карта является уникальной, и ее владельцу сразу станет известным
факт ее похишения, а в случае передачи ее кому-то другому владелец сам не
сможет войти в сеть.
• Используется простой для запоминания РIN-код. Кроме того, применяются
механизмы очень строгого шифрования.
Это означает, что пользователь не имеет дела с часто изменяемыми пароля
ми, которые являются распространенной причиной для беспокойств из-за
того, что сложные пароли нередко забываются.
Потребность в усиленной безопасности может побудить администраторов к
внедрению смарт-карт для некоторых или даже для всех пользователей. От
метка флажка Smart Card ls Required for lnteractive Logon вынудит пользователей
входить в сеть с применением выданных им смарт-карт и запретит вход с пре
доставлением традиционных имени пользователя и пароля.
• Account ls Sensltive and Cannot Ве Delegated (Учетная запись является важной
и не может быть делегирована). С помощью этого флажка указывается, может
ли служба заимствовать права у пользователя. Это делается для того, чтобы
разрешить службе выступать в качестве пользователя. Возможно, вы столк
нетесь с таким поведением на среднем уровне в многоуровневой архитектуре,
такой как часть веб-клиента, сервер приложений среднего уровня и сервер баз данных. По умолчанию этот флажок не отмечен, что разрешает заимствование
прав данной учетной записи.
• Use Kerberos DES Encryption Types for This Account (Использовать для этой
учетной записи типы шифрования Kerberos DES). Некоторые приложения могут
требовать учетной записи службы, которая использует алгоритм шифрования
DES. Для таких учетных записей служб необходимо отметить этот флажок.
После изменения этой настройки может понадобиться сбросить пароль.
• This Account Supports AES 128-Bit Encryption (Эта учеmая запись поддержива
ет 128-битное шифрование AES). Некоторые приложения могут требовать учет
ной записи службы, которая использует алгоритм 128-битноr·о шифрования
AES. Для таких учетных записей служб необходимо отметить этот флажок.
+ Thls Account Supports AES 256-Bit Encryption (Эта учетная запись поддержива
ет 256-битное шифрование AES). См. описание предьщущего флажка.
• Do Not Require Kerberos Preauthentlcation (Не требовать предварительной
аутентификации Kerberos). Этот флажок предназначен для предоставления
пользователям возможности входить в сеть, коrда в ней содержится смесь
разных областей Kerberos, таких как Active Directory и центры распределения
ключей Unix (key distribution center — КОС).
Обратили внимание, что в списке не предусмотрено недоступного флажка, кото
рый бы указывал на заблокированное состояние учетной записи? Это делает совершенно очевидным тот факт, что применять данное диалоговое окно мя блокировки пользователя нельзя. Разблокировать пользователя можно с помощью флажка Unlock
account (Разблокировать учетную запись), расположенного выше списка Account options на вкладке Account.
Последние элементы управления на этой вкладке предназначены ми управления
автоматическим истечением срока действия учетной записи. Вы можете определить дату, по прошествии которой учетная запись больше не будет использоваться. Это
удобно при создании учетной записи пользователя мя приходящих инженеров/консультантов или мя временного/контрактного персонала. Поскольку вам известно,
сколько времени они будут находиться в офисе, вы можете заранее сконфиrуриро
вать учетную запись так, чтобы срок ее действия истекм, и войти с ее помощью
стало невозможно. Это изящно защищает сеть от злоупотреблений с учетными за
писями пользователей.
вкладка Profile
Назначение вкладки Profile (Профиль), представленной на рис. 8.22, обсуждалось
при рассмотрении локальных учетных записей пользователей.
вкладка Telephones
Вкладка Telephones (Телефоны) должна быть очевидной (рис. 8.23). Здесь указы
ваются телефонные номера мя связи с пользователем.
вкладка Organization
Вкладка Organization (Организация) является еще одной информационной DКЛад
кой (рис. 8.24). Мы несколько раз упоминали, что приложения могут использовать
информацию такого рода.
Рис. 8.22. Вкладка Profile для пользо
вателя Active Directory
Рис. 8.23. Вкладка Telephoпes для пользователя Active Directory
Например, настройки на этой ВЮiадке могли бы применяться реализацией служб
Windows SharePoint (SharePoint Services — WSS). Данная информация отображается
в веб-интерфейсе, когда пользователи ищут дополнительные сведения о владельце
определенной документации или о сайте внутри реализации WSS. Службы WSS загружают эту информацию из объекта пользователя, сконфигурированного в Active
Directory. Скажем, если вы просматриваете сведения о пользователе Steve Red на
сервере WSS, то свойства учетной записи SRed будут читаться службой WSS из ActiveDirectory.
Эта ВЮiадка позволяет описать роль пользователя внутри организации — это не
более чем сведения о кадрах, не имеющие отношения к делегированию или адми
нистрированию Active Directory. Можно также указать руководителя, перейдя к дру
гой учетной записи пользователя в Active Directory.
Вкладка СОМ+
На ВЮiадке СОМ+ вы углубляетесь в область программирования приложений
(рис. 8.25). Раздел (partition) — это конфигурация приложения. Приложение может
иметь множество конфигураций. Это значит, что вы можете иметь несколько разде
лов СОМ+ внутри Active Directory. Дополнительные сведения о разделах приложе
ний приведены в документации MSDN.
Набор разделов может содержать множество разделов. Пользователей мож
но привязывать к наборам разделов и, в свою очередь, к содержащимся разделам.
Привязывать можно не только какого-то одного пользователя; можно привязать
всех пользователей в организационной единице за счет привязки этой OU к набо
ру разделов. Создание набора разделов внутри Active Directory описано в MSDN по
ссылке http : //tinyurl . com/2naoft.
Рис. 8.25. Вкладка СОМ+ для поль
зователя Active Directory
Вы уже сталкивались с вкладкой Attribute Editor (Редактор атрибутов), когда име
ли дело со свойствами организационной единицы (рис. 8.26). При желании на ней
можно просматривать или напрямую редактировать свойства объекта, представляю
щего пользователя.
Вкладка PuЫished Certificates
Вкладка PuЫished Certificates (Опубликованн ые сертификаты) показана на
рис. 8.27. Сертификаты предоставляют механизм защиты, основанный на шифрова
нии, который применяется для подтверждения идентичности.
Здесь можно просматривать сертификаты, которые были автоматически назначены
пользователю через Active Directory с использованием служб сертификатов (Certificate
Services). У вас есть возможность вручную назначить пользователю сертификат из
собственного локального хранилища сертификатов либо из файловой системы.
Вкладка Member Of
Вкладка Member Of (Членство в группах) позволяет управлять членством в груп
пах данной учетной записи пользователя (рис. 8.28). Мы вернемся к ней позже в
этой главе, когда будем рассматривать группы и членство в группах.
Как видите, можно также управлять основной группой пользователя. Это требу
ется только в приложениях POSIX (PortaЫe Operating System lnterface for Computer
Environment — интерфейс переносимой операционной системы) или на клиентских
компьютерах Macintosh. Когда один из таких клиентов создает файл или папку на
сервере Windows, этому новому объекту назначается основная группа. Эта группа
должна находиться в собственном домене пользователя и быть либо глобальной,
либо универсальной группой доступа.
Рис. 8.26. Вкладка Attribute Editor
для пользователя Active Directory
вкладка Password Replication
Steve Red Properties
Рис. 8.27. Вкладка PuЫished Certificates
для пользователя Active Directory
Вкладка Password Replicatioп (Репликация паролей) позволяет просматривать, на
какие контроллеры домена только для чтения (read-only domain controller — RODC)
был реплицирован пароль данного пользователя (рис. 8.29). Опция RODC была до
бавлена в архитектуру Active Directory в версии Windows Server 2008. Контроллер
домена RODC можно добавлять в офис филиала, где не может быть обеспечена
физическая защита, достаточная для размещения обычного контроллера домена.
В случае похищения или компрометации RODC вы можете изолировать учетные за
писи пользователей, детали которых хранились на этом RODC.
Вкладка Object
Вкладка Object (Объект), представленная на рис. 8.30, должна быть очень полез
на при поиске и устранении неполадок. На ней можно видеть важную информацию,
такую как:
• когда объект был создан;
• когда объект последний раз изменялся;
• информация USN (update sequence number — порядковый номер обновления),
которая применяется для управления репликацией Active Directory.
Удобной новой опцией на этой вкладке является возможность защиты учетной
записи пользователя от случайного удаления, для чего необходимо отметить флажок
Protect object from accideпtal deletioп (Защитить объект пользователя от случайного
удаления). Это позволяет гарантировать, что никто не сможет неумышленно уда
лить учетную запись для критически важной службы.
Рис. 8.28. Вкладка Member Of для
пользователя Active Directory
Вкладка Security
Рис. 8.32. Дополнительные пользователи Active Directory
Предположим, что вы хотите изменить настройки для всех пользователей в этой
организационной единице. Выделите все учетные записи пользователей, щелкните
правой кнопкой мыши и выберите в контекстном меню пункт Properties (Свойства).
Откроется диалоговое окно свойств, представленное на рис. 8.33. Для несколь
ких пользователей в действительности мало смысла предоставлять абсолютно все
настройки, поэтому вы увидите только подмножество опций.
Чтобы модифицировать настройку, отметьте связанный с ней флажок. Это сде
лает доступным поле редактирования. Теперь эту настройку можно отредактировать
для всех ранее выделенных пользователей (рис. 8.34).
Управление доменными учетными записями пользователей с помощью оснастки
Active Directory Users and Computers выполняется очень легко. А теперь посмотрим,
как поступить, когда единственным вариантом является командная строка.
Рис. 8.ЗЗ. Свойства нескольких объектов
пользователей Active Directory
Рис. 8.34. Изменение атрибутов множества объектов Active Directory
Управление доменными учетными записями пользователей в командной строке
Давайте посмотрим, как решать те же задачи в командной строке. Будет исполь
зоваться команда dsmod с опцией user. Получить справку по этой команде можно
следующим образом:
dsrnod user /?
Обратите внимание, что для модификации настроек пользователя должно быть
указано его имя DN. Вспомните данный ранее в главе совет по получению тако
го имени из свойства distinguishedName объекта учетной записи пользователя на
вкладке Attribute Editor (см. врезку «Простой способ получения имени DN»). Это
можно сделать, когда доступен графический пользовательский интерфейс. Но что,
если это не так? В случае, когда известно имя UPN пользователя, для получения
имени DN можно ввести команду dsquery:
dsquery user -upn SRed@bigfirrn. com
«CN=Steve Red, OU=Users, OU=BigFirrn, DC=bigfirrn, DC=corn»
В качестве альтернативы команду dsquery можно запустить с применением име
ни учетной записи SAM, которое представляет собой дружественное имя, известное
как SRed:
C : \Users\Adrninistrator>dsquery user -sarnid SRed
«CN=Steve Red, OU=Users, OU=BigFirrn, DC=bigfirrn, DC=corn»
dsquery — это действительно мощная команда, поэтому ее полезно изучить,
введя dsquery /?.
Теперь можно продолжить, выполнив команду dsmod. Вот как сконфигурировать
домашнюю папку и отобразить ее на букву диска для пользователя Steve Red:
dsrnod user «CN=Steve Red, OU=Users, OU=BigFirrn, DC=Ьigfirrn, DC=corn»
-hrndir \\DC01\horne$\SRed -hrndrv Р
Команда настроит домашнюю папку (специальную сетевую открытую папку,
специфичную для этого пользователя) с буквой диска Р, которая отображается на
\ \DCOl \home$\SRed всякий раз, когда пользователь Steve Red входит в сеть.
Далее необходимо сконфигурировать руководителя для пользователя Steve Red.
Вы только что узнали, что пользователь по имени Marcel Zehner повышен до на
чальника отдела. Введите следующую команду:
dsmod user «CN=Steve Red, OU=Users , OU=BigFirm, DC=bigfirm, DC=com»
-mgr «CN= Marcel Zehner , OU=Users, OU=BigFi rm, DC=Ьigfirm, DC=com»
Обратите внимание, что вы не вводили для руководителя что-то похожее на
Ьigfirm\mzehner или mzehner. В действительности вы использовали имя DN учет
ной записи пользователя, ямяющегося руководителем.
На первых порах команда dsmod выглядит сложной в применении. Поработайте
с ней некоторое время, и вы увидите, что на самом деле не все так плохо.
ПЕРЕИМЕНОВ.АНИЕ И УДАЛЕНИЕ ОБЪЕКТОВ
Как вы наверняка догадались, решение о переименовании или удалении чего-либо должно приниматься взвешенно. Такие действия имеют весьма серьезные последствия.
Переименование объектов
Каждый объект в Windows имеет имя. Это имя используется для входа в систему,
внутри сценариев, в конфигурации приложений и т.д. Например, если вы создали
учетную запись SCorso, то пользователь по имени Simona Corso будет применять
ее ддя входа. Это имя не отслеживается в Windows, поскольку оно может измениться,
к примеру, на Simona Red, что повлечет за собой изменение имени пользователя на
SiRed. ОС Windows не должна искать в сети все ресурсы, где использовалась учетная
запись SCorso, чтобы изменить в них ссьmку на SiRed: членство в группах, права
доступа к файлам, связи с почтовыми ящиками и тому подобное.
Понятие идентификатора безопасности
Людям проще запоминать и вводить дружественные имена, но Windows назначает каждому объекту специальный код, который называется идентификатором безопасности (security identifier — SID) и представляет собой глобально уникальный идентификатор в пределах Active Directory. Все объекты пользователей и компьютеров
обладают идентификатором SID. Каждая группа также имеет SI D.
Что произойдет, когда вы переименовываете пользователя или группу, являющуюся
участник.ом безопасности (security principal)? Конечно, известное вам имя изменяется. В случае Simona Red необходимо помнить имя пользователя. Однако Windows отслеживает объекты пользователей только по идентификаторам SID. Любые разрешения на доступ к ресурсам, назначенные объекту пользователя, и его членство в группах не изменятся, т.к. идентификатор SID остался прежним. Обратите внимание, что приложения от независимых поставщиков, работающие с именами объектов, а не с идентификаторами SID, потребуют корректировки ссылок на имена
объектов, но приложения, тесно интегрированные с Active Directory, такие как SQL,
SbarePoint или Excbange, продолжат нормально функuионировать.
Здесь важно запомнить, что после изменения имени объекта Active Directory, представляющего пользователя или группу, Wmdows по-прежнему трактует его как тот же самый объект. Разрешения, выданные этому объекту, его атрибуты, членство в группах и прочие аспекты не меняются.
Удаление объекта
Другой сценарий, который вы должны обдумать, связан с удалением объекта. При
назначении разрешений учетной записи SiRed в Windows поддерживается список
разрешений, ассоциированный с идентификатором SID этого пользователя. То же
самое происходит и в случае группы пользователей — разрешения будут ассоциированы с SID объекта группы, а не с его именем.
Восстановление удаленного объекта
При удалении объекта пользователя или группы следует проявлять крайнюю осторожность. Если вы случайно удалили его и хотите восстановить в прежнем состоя
нии, то не сможете сделать это, просто создав новый объект с тем же самым именем.
Вспомните, что идентификатор SID является глобально уникальным, и он не привязан к имени объекта. Созданный в качестве замены объект пользователя SiRed будет иметь другой SID. Открытый файловый ресурс или почтовый ящик, к которому учетная запись SiRed получала доступ, не распознает новый объект пользователя из-за того, что его идентификатор SID отличается по сравнению со старым объектом.
Единственный способ восстановления доступа к удаленному объекту пользователя
или группы предусматривает его восстановление из резервной копии.
Существует несколько способов сделать это, которые обсуждаются по ссылке
http : / /tinyurl . com/2wgo4g. В версии Windows Server 201 2 появилось средство
под названием корзина Active Directory (Active Directory Recycle Bin), упрощающее
процесс восстановления недавно удаленных объектов.
Важно помнить, что Wmdows идентифицирует объект не по имени, а по SID. В ре
зультате повторного создания копии объекта с тем же самым именем будет получен
другой объект.
Передовой опыт
По изложенным причинам мы настоятельно рекомендуем отключать пользователей,
когда поступает запрос на их удаление от руководства или отдела кадров. Это за
блокирует их доступ в сеть. Вдобавок мы рекомендуем создать отдельную организа
ционную единицу для учетных записей, которые были отключены, и перемещать в
нее отключаемых пользователей. Поступая подобным образом, Bf:>l сможете получить
немедленный обзор всех неиспользуемых учетных записей. Всегда есть шанс, что
случилось недопонимание или человек возвратился к работе. Восстановить доступ
легко: просто включите его учетную запись. По истечении согласованного периода
хранения в 30 или 60 дней объект может быть удален.
Для поиска неактивных и отключенных учетных записей в домене Active Directory
можно применять следующую команду:
dsquery user -inactive -disaЫed
Например, эта команда найдет пользователей, которые отключены или были не
активными в течение восьми недель:
dsquery user -inactive В -disaЫed
Чтобы удалить одного или нескольких пользователей, их необходимо выде
лить, щелкнуть правой кнопкой мыши и выбрать в контекстном меню пункт Delete
(Удалить). Удаление пользователя в командной строке также выполняется несложно
с помощью следующей команды:
net user /delete
Вот команда для удаления локальной учетной записи пользователя SRed:
net user SRed /delete
Дпя удаления учетной записи пользователя Active Directory должна использовать
ся команда dsrm с указанием имени DN объекта пользователя:
dsrm «CN=Steve Red, OU=Users, OU=BigFi rm, DC=Ьigfirm, DC=com»
Будет выдан запрос на подтверждение удаления. Иногда требуется отключить
оыдачу такого запроса, например, внутри сценария. Это делается так:
dsrm «CN=Steve Red, OU=Users , OU=BigFirm, DC=Ьigfirm, CC=com» -noprompt
Управление группами
Трактовка коллекции пользователей как единой сущности для какой-то одной
или нескольких целей упрощает решение множества задач администрирования.
Например, вместо выполнения 100 операций по назначению каждому и:з 10 поль
зователей разрешений на доступ к 1 О ресурсам можно поместить пользователей в
группы ( 1 операция) и назначить этой группе разрешения на доступ к ресурсам
( 1 1 операций). Приведенные подсчеты делают вполне понятной необходимость в
применении групп. Вместо того чтобы иметь дело с индивидуумами, вы взаимо
действуете с коллективом, т.е. группой.
В сущности, при назначении разрешений рекомендуется всегда использовать
группы. По этой причине вы должны научиться создавать группы, изменять членс
тво, а также удалять их. Вы узнаете, как создавать, управлять и удалять локаль
ные группы и группы домена с применением оснастки Active Directory Users and
Computers, а также командной строки.
локальные группы
Подобно локальному пользователю, локальная группа существует внутри сер
вера-члена или автономного компьютера, будь то сервер, ноутбук или настольный
компьютер. Она содержит локальные учетные записи пользователей, существую
щие на сервере. Эта группа также может содержать пользователей или группы Active
Directory, членами которых является сервер. Управлять группами можно с использо
ванием тех же самых инструментов с графическим интерфейсом, что и при управле
нии локальными пользователями.
На рис. 8.35 показано, где производится управление локальными группами на
сервере. Как видите, по умолчанию таких групп имеется немало. При добавлении
определенных ролей будут добавляться дополнительные группы.
создание группы
В этом разделе мы создадим новую группу под названием Fileshare. Данную
группу можно применять для назначения ее членам разрешений на доступ к общему
файловому ресурсу, расположенному на этом сервере.
1 . Выберите в меню Action (Действие) пункт New Group (Создать группу) или
щелкните правой кнопкой мыши в центральной панели и выберите в контекс
тном меню пункт New Group.
Откроется диалоговое окно New Group (Новая группа).
Рис. 8.37. Выбор членов группы
4. В группу могут быть добавлены следующие члены:
• пользователи Active Directory или локальные пользователи;
• учетные записи компьютеров из Active Directory;
• группы Active Directory.
Варианты, основанные на Active Directory, будут доступны, только если дан
ный север является членом домена. Сервер, на котором выполняется работа,
SERVEROl, является членом bigfirт. сот.
В текущий момент настройка Select this object type (Выбирать этот тип объек
тов) позволяет добавлять в группу пользователей, группы или учетные записи
служб. Это можно изменить, щелкнув на кнопке Object Types (Типы объектов).
Как показано на рис. 8.38, можно отмечать или снимать отметку с флажков
Computers (Компьютеры), Groups (Группы), Users (Пользователи) и Service
Accouпts (Учетные записи служб). Что понимается под учетными записями
служб? В Windows Server 2012 теперь также есть возможность выбора учетных
записей управляемых служб (Managed Service Accounts — MSA). В зависимос
ти от отмеченных флажков вы изменяете то, что можно добавлять или удалять
из группы во время редактирования членства.
Возвратившись обратно в диалоговое окно Select Users, Computers, Service
Accouпts, ог Groups, вы увидите, что настройка From this locatioп (Из этого мес
тоположения) установлена в домен, членом которого сервер является. Это де
лается по умолчанию мя компьютера-члена домена. Местоположение опреде
ляет, откуда можно выбирать объекты мя помещения в группу. На автоном
ном сервере местоположением может быть только он сам. В данном примере
можно выбирать пользователи или компьютеры из домена Ьigfirm. сот.
5. Это необходимо изменить, чтобы выбрать локальную учетную запись пользо
вателя. Щелкните на кнопке Locations (Местоположения).
Обратите внимание, что в открывшемся диалоговом окне Locations (Местопо
ложения) можно также выбрать другой доверенный домен. Можно даже пе
рейти внутри домена к конкретной организационной единице, чтобы сузить
область поиска доменного пользователя или компьютера.
На рис. 8.39 узел домена раскрыт, чтобы продемонстрировать возможность
прохода по организационным единицам. Тем не менее, нас интересует локаль
ная учетная запись пользователя.
ObJect Types
Рис. а.за. Возможные типы объектов для
членов группы
locatio1\S
Рис. а.39. Выбор местоположения источника
объектов
6. Выберите имя локального сервера,
В качестве альтернативы вы могли бы выбрать домен, чтобы добавить
группу или пользователя из домена Active Directory в свою локальную группу. Если вам точно известно
имя пользователя добавляемой локальной учетной записи, то простовведите его.
Рис. 8.40. Добавление пользователя
в локальную группу
ните на кнопке Check Names (Проверить имена). Производится поиск в базе
данных локальных учетных записей и в диалоговом окне Select Users (Выбор
пользователей) выводится подтверждение того, что пользователем SRed в дейс
твительности является SERVEROl \SRed (рис. 8.40). Если же вы уверены в пра
вильности имени, можете просто ввести его и щелкнуть на кнопке ОК.
8. Если точное имя не известно, щелкните на кнопке Advanced (Дополни
тельно), чтобы открыть диалоговое окно, показанное на рис. 8.41.
Многие опции поиска здесь недоступны, т.к. вы указали для местоположения
локальный компьютер. Эти опции работают, только когда в качестве местопо
ложения установлен домен.
9. Щелкните на кнопке Find N o w (Найти сейчас), чтобы вывести список доступ
ных учетных записей, которые можно добавить в группу, на основе определен
ного ранее критерия.
На рис. 8.42 приведены результаты поиска. Здесь вы можете выбрать объект
или объекты для добавления в группу.
Рис. 8.41 . Расширенное представление
членства в группе
Рис. 8.42. Выбор пользователя для добавления
в группу внутри расширенного представления
1 О. Выберите объект SRed и щелкните на кнопке ОК.
Выбранные объекты отображаются в диалоговом окне Select Users, как пока
зано на рис. 8.43.
1 1 . Щелкните на кнопке ОК, чтобы сохранить это членство. На рис. 8.44 видно,
что группа готова к созданию со своим начальным членством.
12. Завершите процесс, щелкнув на кнопке Create (Создать).
Рис. 8.43. Проверенный потенциальный член
группы
Рис. 8.44. Отображение потенциаль
ных новых членов
На рис. 8.45 можно заметить, что новая группа была создана, и в нее был добав
лен пользователь Steve Red.
Рис. 8.45. Созданная новая группа
Вход с новым ЧЛЕНСТВОМ в ГРУППАХ
Есть одно важное замечание, которое nрименимо к работе как с группами Active
Directory, так и с локальными группами. Пользователь может использовать свое
членство в группах, только когда он выполняет вход после изменения qленства.
Пользователь Steve Red не может работать со своим новым qленством в группе,
т.к. в текущий момент он находится в системе. Вы должны уведомить его о необходимости выйти и снова войти.
Создание группы в командной строке
Группу можно создать в командной строке с помощью команды net localgroup.
Для получения справки введите:
net help localgroup
Для создания группы запустите следующую команду:
net localgroup Fileshare /add
/coпunent : «MernЬers assigned permission to the fileshare on this server»
Ниже приведен синтаксис этой команды:
net localgroup /add /coпunent : «»
Обратите внимание, что вы не можете добавить пользователя в группу во время
ее создания в командной строке.
Добавление пользователя в группу
Давайте добавим в группу новый член. Это можно сделать через оснастку консо
ли ммс.
1. Откройте диалоговое окно свойств группы, представленное на рис. 8.46.
Здесь вы можете видеть существующие члены в группе.
F1feshare Properties
1 МепЬеr af ths group have ассе зз to the fieshcre
Рис. 8.46. Диалоговое окно свойств группы
2. Щелкните на кнопке Add (Добавить), чтобы добавить новый член в группу.
Как и ранее, вы можете установить критерий для объектов, добавляемых в груп —
пу, и указать их источник. Вы собираетесь добавить группу домена в локальную
группу. Вы хотите, чтобы все пользователи, находящиеся в домене, были в со
ставе локальной группы. Вам известно, что для этого предназначена встроенная
группа домена под названием Domain Users (Пользователи домена).
3. Введите имя этой группы и щелкните на кнопке Check Names (Проверить
имена).
На рис. 8.47 видно, что встроенная группа домена Domain Users будет добав
лена в локальную группу.
Рис. 8.47. Добавление группы домена в локальную группу
УДОБНЫЙ ПРИЕМ: ДОБАВЛЕНИЕ ГРУППЫ ДОМЕНА В ЛОКАЛЬНУЮ ГРУППУ
Сценарий добавления группы домена в локальную группу является довольно мощным. Он позволяет администратору повторно использовать коллекцию объектов Active Directory в форме группы Active Diгectory и предоставляет им права доступа к ресурсу на этом сервере. Это может понадобиться в ситуации, когда владелец приложения выдал права локального администрирования единственному серверу и ничему больше. Тогда администраторы могут создать локальные группы и наполнить их группами и пользователями домена. Администратор приложения может открыть общий доступ к своему приложению членам домена, без необходимости в наличии каких-либо прав администрирования домена.
4. Вы также заметите, что группа BIGFIRМ\Domain Users присоединит пользова
теля SRed в качестве члена. Щелкните на кнопке ОК (рис. 8.48).
Самое время взглянуть на добавление членов в группу с применением команд
ной строки. Для этого снова будет использоваться команда net localgroup:
net localgroup Fileshare SRed /add
Приведенная команда добавляет пользователя в группу. Синтаксис команды до
вольно прост:
net localgroup Fileshare /add
Следующая команда добавляет группу Domain Users из домена BigFirm в новую
локальную группу:
Рис. 8.48. Потенциальное новое членство в группе
Рис. 8.49. Членство пользователя в группах
Помните вкладку Member Of (Членство в группах) в диалоговом окне свойств
локальной учетной записи пользователя? А теперь посмотрим на диалоговое окно свойств учетной записи пользователя SRed, показанное на рис. 8.49.
Как видите, членство пользователя в группах было обновлено. Здесь вы можете
так же легко добавить пользователя Steve Red в группу. Вас попросили добавить
пользователя Steve Red в локальную груnпу Administrators. Это сделает его ад
министратором этого и только этого сервера.
1. Щелкните на кнопке Add (Добавить), в результате чего откроется диалоговое
окно, представленное на рис. 8.50.
2. Введите имя группы, в которую хотите добавить этого пользователя, и затем
щелкните на кнопке Check Names (Проверить имена), чтобы удостовериться в
корректности имени груnпы.
Обратите внимание, что локальные учетные записи пользователей можно до
бавлять только в локальные группы, но не в группы домена.
Список членства в группах для локальной учетной записи пользователя теперь
обновился (рис. 8.51 ).
Рис. 8.51 . Обновление членства пользователя в группах
Рис. 8.52. Удаление пользователя из локальной группы
3. Щелкните на кнопке ОК, чтобы сохранить изменения.
Единственный способ воспроизведения этого в командной строке предусматри
вает манипулирование самой группой, а не пользователем:
net localgroup aclministrators SRed /add
Удаление пользователя
Удалить пользователя из локальной группы также легко. Делать это можно одним
из перечисленных далее способов.
• Использование учетной записи пользователя. Применяйте учетную запись
пользователя, если это одноразовая операция или если вы удаляете несколько
прав доступа у какого-то пользователя.
• Использование группы. Применяйте группу, если вы удаляете идентичные
права доступа у нескольких пользователей.
Теперь мы покажем, каким образом модифицировать членство в группе
Fileshare путем удаления из нее пользователя Steve Red.
1. Откройте диалоговое окно свойств группы Fileshare (рис. 8.52).
2. Выберите пользователя SRed.
Удерживая клавишу или , можно выбрать более одного члена с
целью их удаления.
3. Выделив члены, подлежащие удалению, щелкните на кнопке Remove
(Удалить).
На этом все; ничего другого мя удаления члена из группы предпринимать не при
дется. Следующая команда удалит пользователя Steve Red из группы Fi leshare:
net localgroup fileshare SRed /delete
Чтобы удалить группу с использованием оснастки М МС, выполните следующие
шаги.
1. Найдите нужную группу.
2. Щелкните правой кнопкой мыши на группе и выберите в контекстном меню
пункт Delete (Удалить).
Обратите внимание на диалоговое окно, показанное на рис. 8.53, которое откры
вается при удалении группы. Оно сообщает, что удаление повлияет на множество
пользователей или компьютеров, которые являются членами этой группы.
Рис. 8.53. Запрос о том, действительно ли вы уверены в удалении группы
Сновд ВРЕМЯ ПОВЫШЕННОГО ВНИМАНИЯ
Это настолько важно, что стоит повторить: хотя вы видите пользователей, компью
теры и группы как относительно дружественные имена, такие как SRed, SERVEROl
или Fileshare, со стороны Wmdows они распознаются по-другому. Уникальная
идентификация этих участников безопасности осуществляется с помощью SID.
Идентификатор SlD создается каждый раз, когда создается новый участник безопасности. Это значит, что в случае создания учетной записи SRed, ее удаления и повторного создания Windows будет трактовать старый и новый объекты как два разных участника безопасности, хотя вы считаете их одним. В результате разрешения, назначенные старой учетной записи, в новой учетной записи отсутствуют.
Во всплывающем окне на рис. 8.53 предупреждается об этом. Вы должны быть на
сто процентов уверены в том, что организации больше не нуждается в участнике безопасности, прежде чем удалять его. Следует помнить, что после удаления группы теряются назначенные ей разрешения, а также членство в группе. Любой пользова
тель, которому были выданы права доступа к определенному ресурсу посредством
членства в данной группе, утратит доступ к этому ресурсу.
Приведенная ниже команда net localgroup удалит группу Fileshare безо всяких
предупреждений или запросов на подтверждение:
Группы Active Directorv
Базовые концепции групп Active Directory или домена и локальных групп не от
личаются. Они применяются для коллективного обращения к нескольким объек
там идентичным способом. Однако с группами Active Directory можно выполнять
намного больше операций. Это становится возможным из-за того, что группы та
кого типа хранятся в Active Directory на контроллерах домена, подмножество котарых сконфигурировано как глобальный каталог. В результате единственная группа
может содержать многих участников безопасности домена, подобных пользователям
и компьютерам, и использоваться всеми компьютерами внутри домена, к которому
эта группа принадлежит. В действительности группы можно применять за предела
ми их доменов, и существует даже категория групп, которые могут содержать членов
из любого домена в лесе.
Для uелей этого раздела вы должны полагать, что когда мы упоминаем группу, то
имеем в виду группу Active Directory. Есть два базовых типа групп.
• Группа рассылки (distribution group). Группа рассылки используется для объ
единения вместе нескольких объектов с uелью коллективной адресаuии.
Почтовый сервер вроде Microsoft Exchange может предостамять пользователям
группу рассылки как целевой адрес. Пользователь может отправить сообще
ние группе рассылки и почтовый сервер попытается разослать его всем членам
.группы при условии, что они имеют настроенные адреса электронной почты.
• Группа доступа (security group). Группа доступа также может выполнять функ
uию почтовой рассылки. Но основная uель этого типа групп, как должно быть
понятно из названия, связана с доступом. Группу доступа можно применять
для назначения разрешений или прав доступа к объекту или множеству объек
тов, таких как организационная единиuа, папка или компонент приложения.
Это позволяет Active Directory стать не только единым механизмом аутентифи
кации для сети, но также механизмом авторизации. Конечный пользователь
может использовать единственную учетную запись для получения авторизации
к защишенным ресурсам по всему лесу Active Directory, а не только в домене
или каком-то одном компьютере.
Различают три области действия групп.
• Локальная группа домена (domain local group). Локальная группа домена предна
значена для применения только внутри домена, в котором она была создана.
Она может содержать учетные записи пользователей/компьютеров, глобальные
группы и универсальные группы из любого домена в лесе, а также локальные
группы из того же самого домена.
• Dюбальная группа (global group). Это стандартная область действия при созда
нии группы в Active Directory. Глобальная группа может использоваться ком
пьютерами внутри домена, которые являются его членами, а также членами
других доменов в лесе Active Directory. Она может содержать учетные записи
пользователей/компьютеров из домена, в котором была создана.
• У ниве рсальная группа (universal group). Одна черта универсальных групп делает их
весьма отличающимися от групп других двух типов. Группы других дnух типов
хранятся и реплицируются на все контроллеры внутри домена, в котором они
были созданы. Универсальная группа хранится на контроллерах домена, скон
фигурированных в качестве глобального каталога. Это мияет на то, как универ
сальная группа реnлиuируется в домены по всему лесу. В результате появляется
возможность не только использовать универсальную группу всеми компьютера
ми в лесе, но и помещать в нее члены из любого домена внутри леса.
КРАТКОЕ ПРЕДОСТЕРЕЖЕНИЕ ОТНОСИТЕЛЬНО УНИВЕРСАЛЬНЫХ ГРУПП
При проектировании универсальной группы в крупных средах необходимо проявлять крайнюю осторожность, т.к. возникает дополнительная нагрузка репликации, когда группа создается или модифицируется. Active Directory будет реплицировать только изменения в универсальных группах, однако будьте аккуратны, чтобы не допустить масштабных изменений. Кроме того, необходимо удостовериться в том, что контроллеры домена с глобальным каталогом находятся близко к службам, на которые они интенсивно полагаются.
В сетях с единственным доменом особо переживать по поводу универсальных групп не придется, поскольку они применяются не слишком часто. Универсальные группы могут содержать учетные записи пользователей / компьютеров, глобальные группы и
другие универсальные группы из любого домена в лесе.
Возможно, вы отметили один аспект. Группы могут содержать другие группы.
Обычно это называют вложением групп. Для чего вкладывать группы друг в друга?
Ниже описаны два аргумента в пользу этого.
+ Одновременное управление несколькими rруппами. Представьте, что у вас
есть группы под названиями Accounts Management (Управление расчет
ными счетами) и Sales Management (Управление продажами). Вы хотите
иметь возможность работать с этими двумя группами одновременно, напри
мер, предусмотреть для них один адрес электронной почты, который будет
трактоваться как контактный список. Для этого создайте группу по име
ни Management (Управление) и поместите в нее в качестве членов группы
Accounts Management и Sales Management. Затем сконфигурируйте адрес
электронной почты для группы Management.
+ Управление орrанизациою1ыми еЩfНИЦаМИ в разных 6
отделах. В другом сценарии (рис. 8.54) созданы
Bi g Firm
организационные единицы для разных отде-
лов; например, пусть имеется домен \BigFirm,
который содержит организационные едини-
цы \BigFirm\Accounts и \BigFi rm\Sales.
Существуют два уровня IТ-обслуживания.
В BigFirm имеется отдел ГГ, который отвечает
за Active Directory и корпоративные функции
Именно в этом отделе вы работаете. В организационных единицах Accounts и Sales присутствуют небольшие бригады п; которые управляют только внутренними объектами в своихOU. Это называется делегированием. Вы хотите получить возможность создания
группы по имени Management, которая будет содержать начальников всех отде
лов. Вы не планируете управлять этими членами, а взамен поручить делать это 1Т —
персоналу внутри отделов. Создайте группу Accounts Management в \BigFirm\
Accounts и группу Sales Management в \BigFirm\Sales. Это позволит IТ
персоналу внутри отделов управлять двумя указанными группами. Создайте груп
пу Management в \BigFirm. Теперь можете добавить группы, предназначенные
для IТ-персонала внутри отделов, в качестве членов группы Management.
Как видите, группы Active Directory позволяют несколько большее, чем локаль
ные группы. Перед созданием группы важно осознавать, по какой причине она со
здается, и как будет использоваться. Области действия и типы групп можно изме
нять, но вы должны понимать, какое влияние это окажет.
Например, смена типа группы с глобальной на универсальную изменит репликацию Active Directory с выполняющейся между контроллерами домена внутри доме на на репликацию, проводимую между серверами глобального каталога через целый
лес. Дополнительный объем планирования определенно стоит потраченных на него
усилий, как вы увидите по мере чтения остального материала данной книги. Со вре
менем вы обнаружите, что применяете группы для самых разнообразных uелей:
• назначение разрешений общим файловым ресурсам;
• создание почтовых групп рассылки, содержащих члены из всего корпоратив
ного леса;
• назначение прав доступа для развертываемых операuионных систем;
• управление тем, какие компьютеры будут получать автоматизированное раз
вертывание Microsoft Visio;
• управление тем, на кого будет нацелен объект групповой политики (Group
Policy);
• делегирование административных прав части Active Directory.
Вам может показаться, что конuепuия вложения групп является слишком слож
ной и трудно разрешимой. Когда вы объедините ее с описательным стандартом
именования для своих групп, вы сможете сформировать механизм групп, который
очень прост в развертывании и управлении и делает возможным детализированное
делегированное функций администрирования.
Создание групп Active Directory
Самое время создать какие-нибудь группы Active Directory. Предположим, что вы
хотите создать группу, которая будет использоваться только внутри домена. Она будет
применяться для назначения прав доступа любому, кто является руководителем в ор
ганизации. Такое описание говорит о том, что вам нужна область доступа локальной
группы домена и тип группы доступа. Ранее вы создали организационную единиuу
под названием \BigFirm\Securi ty Groups внутри домена bigfirm. com.
1. Откройте оснастку Active Directory
Users and Groups.
2. Щелкните правой кнопкой мыши в цен
тральной панели и выберите в контекс-
тном меню пункт New Group (Создать
группу). Откроется диалоговое окно New
Object — Group (Новый объект — группа).
3. Введите Managemen t в качестве име
ни группы. Это автоматически запол
нит поле имени группы для версий,
предшествующих Windows 2000 Server
(рис. 8.55), которое поддерживается в
целях обратной совместимости с унасле
дованными операционными системами.
4. Выберите переключатель Domaiп local
(Локальная домена) в разделе Group
scope (Область действия группы) и
оставьте выбранным переключатель
Security (Доступа) в разделе Group type
(Тип группы).
5. Щелкните на кнопке ОК, чтобы создать
группу.
Вероятно, вы заметили, что во время со
здания группы отсутствовала возможность
редактирования ее свойств. Вполне вероятно,
что вы хотите добавить описание и члены в
группу. Для этого щелкните правой кнопкой
мыши на имени группы и выберите в кон
текстном меню пункт Properties (Свойства),
Management Propertles
чтобы открыть диалоговое окно Maпagemeпt
Рис. 8.56. Добавление описания группы
Properties (Свойства Management ) , представ-
ленное на рис. 8.56.
Вы уже вводили описание для группы. Такой вид документирования позволя
ет администраторам немедленно понять, для чего предназначена группа. Мы об
суждали необходимость в наличии описания при рассмотрении локальных групп.
Документирование подобного рода становится бесконечно более важным в средах
Active Directory средних и больших размеров, где могут существовать множество
бригад администраторов, работающих с серверами.
СТАНДАРТЫ ИМЕНОВАНИЯ ГРУПП
Если домен будет разрастаться до крупных размеров или станет частью леса, то при
именовании групп важно выбрать какой-нибудь стандарт и неуклонно придержи
ваться его. Вспомните, что группы могут использоваться rде угодно внутри домена
или даже леса Active Directory. При наличии всего лишь двух доменов может подде
рживаться большая база данных пользователей и сложная организация. Насколько
значащим можно считать имя Management в организации, содержащей сотни или
тысячи пользователей? А что скажете о корпоративном или правительственном лесе
с множеством доменов и десятками тысяч сотрудников? Имя Managemen t, вероят
но, подойдет для малой или средней организации с единственным сайтом и неболь
шой бригадой П -специалистов.
Если вы работаете в организации с множеством отделов или сайтов, можете обдумать
создание групп Milan-Accounts Management и Milan-IT Management, например.
Они делают очевидным тот факт, что каждое имя группы ассоциировано с офисом
в городе Милане, а члены группы входят в состав руководства отдела. При наличии
множества доменов в лесе можно было бы предусмотреть группу вроде BigFirm
Milan-Senior Management. Любому администратору в любом домене внутри леса
известно, что это группа из домена BigFirm, а ее <mены работают в офисе в Милане,
к тому же все члены входят в состав старшего руководства в данном офисе.
Мы также рекомендуем добавлять к имени группы какой-то префикс, отражающий
тип этой группы, например, DL для локальной группы домена, DG для глобальной
группы домена или UG для универсальной группы. В итоге получается имя группы
вида DG-IT-Managernent-Milan или DL-IT-Management-Milan. Это позволит лег
ко различать типы rpyrm, что может быть удобно при поиске групп или указании их
в сценариях:.
В нижней части вкладки General (Общие) отображается тип и область действия
группы. Вы можете заметить, что их разрешено изменять. Тем не менее, есть несколь
ко соображений, которые должны быть учтены, прежде чем вносить здесь изменения.
Изменение типа группы с доступа на рассылки означает, что она больше не смо
жет применяться для назначения разрешений. Вам выдается предупреждение о том,
что любые разрешения, назначенные этой группе, могут прекратить свое функцио
нирование. Это особенно важно, если посредством этой группы вы запрещаете до
ступ к критическим ресурсам.
Мы протестируем, как это работает на общих файловых ресурсах, открыв доступ
к папке с использованием группы доступа и добавив в нее несколько членов. Мы
также применили разрешения к этой папке в файловой системе. Далее мы прове
рили, что члены группы имеют доступ к общему ресурсу и все работает должным
образом. Затем мы изменили тип группы, сделав ее группой рассылки. Мы прове
рили разрешения общего ресурса и папки, и группа рассылки по-прежнему имеет
права доступа к нему. Тестирование доступа пользователя показывает, что пользо
ватель все еще располагает правами доступа к этой папке. Пока все хорошо. Затем
пользователь вышел из системы и снова вошел. И вот тут пользователь теряет права
доступа. Группа, ставшая группой рассылки, по-прежнему располагает правами, но
они больше не действуют. После этого мы возвратили тип группы обратно, сделав
ее группой доступа. Чтобы удостовериться в возобновлении доступа пользователя к общему ресурсу, нужно еще раз выйти и войти в систему.
Такое поведение вовсе не должно считаться плохим — ничуть. Давайте подумаем
о сценарии, когда есть много глобальных групп доступа, которым бьuш назначены где-нибудь разрешения на доступ к каким-то общим ресурсам. Вы даже не можете вспомнить, где делались назначения этой группы. Вы принимаете все меры, чтобы выяснить, где эта группа находится и к какому общему ресурсу она принадлежит. Позже вы решаете удалить эту группу, поскольку думаете, что она больше не используется. В такой ситуации вы могли бы просто изменить ее тип на группу рассылки, и все разрешения станут неактивными. Это означает, что группа в какой-то мере отключена. Если спустя некоторое время пользователи начнут жаловаться на отсутствие у них доступа к общему ресурсу XYZ, следовательно, группа все еще эксплуатируется. Мы сознаем, что подход с вовлечением пользователей нельзя назвать особо гладким, но во многих случаях просто нет другого выхода.
Любое действие, которое будет влиять на членов группы, обычно требует от
пользователя выйти и снова войти. Вот уже третий раз в данной главе мы заявляем:
это определенно было решением практически всех вопросов с членством в группах
и назначением прав доступа, с которыми нам приходилось сталкиваться в своей
работе. Помните о нем, когда выдаете пользователю права доступа к ресурсу, добавляя его в группу.
Рис. 8.57. Добавление новых членов в
группу Active Directoгy
Вы не можете изменить группу, являющуюся локальной группой домена, чтобы
превратить ее в глобальную группу, или наоборот. Однако вы можете поменять область действия группы, сделав ее универсальнойгруппой. После этого вы сможете изменить ее либо на локальную группу домена, либона глобальную группу. Удостоверьтесь в том, что список членов не конфликтует с предпочитаемой областью действия группы. Если вы изменяете область действия группы с глобальной на локальную домена, то должны быть уверены, что группа не используется в другом домене. Изменение может привести к утере доступа к защищенным ресурсам для членов группы. Администраторы в крупныхреализациях лесов должны давать себе отчет,что преобразование существующей группы в универсальную группу потенциально увеличивает трафик репликации глобального каталога.
Функциональность членства в группах домена и в локальных группах работает
похожим образом. Откройте диалоговое окно свойств группы (рис. 8.57). Добавлять
и удалять члены можно посредством кнопок Add (Добавить) и Remove (Удалить).
На рис. 8.58 видно, что группы домена способны содержать большее число типов
объектов, чем локальные группы; новые типы описаны ниже.
• Other objects (Другие объекты). Это гибкое решение позволяет добавлять чле
ны, которые создаются приложениями, т.е. это не обычные пользователи, ком
пьютеры или группы.
• Contacts (Контакты). Такие объекты создаются в Active Directory для хранения
контактной информации о людях или организациях. Это могло бы использо
ваться для групп рассылки.
• Service accounts (Учетные записи служб). Это новая возможность Windows
Server 2012, позволяющая настраивать выделенные учетные записи служб
вместо создания учетных записей пользователей и назначения их службам.
OЬJect Types
Рис. 8.58. Выбор типов объектов для потенциальных членов
Поскольку вы имеете дело со списком членов группы домена, вы не можете
добавлять участников безопасности, основанных на локальной машине, т.е. ло
кальных пользователей или локальные группы. Такие участники безопасности су
ществуют только на своем компьютере, поэтому нет никакого смысла добавлять
их группу уровня домена или леса. По этой причине диалоговое окно Locatioпs
(Местоположения), показанное на рис. 8.59, предлагает только домены, которые существуют в лесе.
Рис. 8.59. Выбор местоположения для нового объекта члена
Группы домена можно вкладывать друг в друга; другими словами, группа может
быть членом другой группы. Членством группы в других группах можно управлять
на вкладке Member Of (Членство в группах), приведенной на рис. 8.60.
Вкладка Managed Ву (Управляется), показанная на рис. 8.61, обладает интересной
новой возможностью. Будучи администратором, возможно, вы не имеете понятия,
по какой причине осуществляется доступ к защищенным данным. У вас достаточно
возможностей, чтобы войти в сеть, не говоря уже о том, чтобы знать о полных биз
нес-операциях. Решение лучше всего принимать владельцу данных, обычно началь
нику отдела или ведущему специалисту бригады.
Management Propert!es
Рис. 8.61 . Вкладка Managed Ву для
группы Active Directory
Как часто (но не всегда) выглядит наилучшее решение? Вы можете передать все
полномочия по контролю доступа в руки мадельца данных. Устраните посредника,
в данном случае IТ-специалиста. Если владелец данных может управлять доступом к
ресурсу, то бизнес сумеет приспособиться к возникающим требованиям.
Вкладка Managed Ву позволяет выбрать пользователя или группу в качестве вла
дельца данной группы. Этой группе можно назначить права доступа к ресурсам.
Но самое интересное мы оставили на закуску. Выбранному владельцу можно вы
дать права на управление членством в группе, отметив флажок Manager сап update
membership list (Руководитель может обновлять список членства). Великолепно!
Вы не должны выдавать права руководителя для управления правами доступа к
общей папке. Можете ли вы представить себе, какие бедствия возникли бы в ре
зультате этого? Простое решение заключается в том, чтобы позволить руководи
телю управлять членством в группах, которые имеют права доступа к общей пап
ке. Понадобится всего лишь предоставить механизм для редактирования членства
в группах, такой как оснастка Active Directory Users and Computers, сценарий или,
возможно, веб-аплет.
Создание группы в командной строке
Важно освоить управление группами из командной строки. Сначала мы посмот
рим, как создать группу, используя команду dsadd gro u p . Справку по этой команде
можно получить следующим образом:
dsadd group /?
Ниже приведена простая команда, которая воссоздает то, что можно делать с по
мощью графического пользовательского интерфейса. Она создает локальную группу
домена под названием Management внутри организационной единицы \BigFirm\
Security Groups в домене bigfirm. com.
dsadd group «CN=Management,OU=Security Groups,OU=BigFirm, DC=Ьigfirm, DC=com»
-scope 1
Вот синтаксис команды:
dsadd group -scope
По умолчанию создается группа доступа. Если необходимо создать глобальную
группу, опцию -scope можно не указывать. Глобальная группа рассылки создается
так:
dsadd group «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=com»
-secgrp no -scope g
Изменение в синтаксисе выглядит следуюшим образом:
-secgrp
По умолчанию создается группа доступа, т.е. опцию -secgrp можно опустить,
если это и требуется.
Помните ли вы, что в графическом пользовательском интерфейсе мя создания
групп домена премаrалась только возможность создать группу и ничего больше?
Дnя установки свойств или добавления членов приходилось открывать диалоговое
окно свойств группы.
В командной строке можно воспользоваться следующей командой:
dsadd group «CN=Senior Management, OU=Security Groups, OU=BigFirm,
DC=Ьigfirm, DC=com» -scope g -desc «This g:::oup contains senior nanagers»
-memЬerof «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=com»
-members «CN=Steve Red, OU=Users , OU=BigFirm, DC=t:igfirm, DC=com»
«CN=Simona Corso, OU=Users, OU=BigFirm, DC=Ьigfirm, DC=com»
Эта команда выполняет довольно много действий. В организационной единице
Securi ty Groups (Группы доступа) создается глобальная группа доступа по имени
Senior Managernent (Старшее руководство). В качестве описания группы указы
вается строка This group contains senior rnanagers (Эта группа содержит стар
ших руководителей). Группа Senior Managernent добавляется в виде члена в группу
Managers. И, наконец, в новую группу Senior Managers добавляются два пользо
вателя.
Для модификации существующей группы применяется команда dsrnod. Вот как
получить справочную информацию по ней:
dsmod group /?
Показанная ниже команда добавляет пользователей Steve Red и Sirnona Corso в
группу Managernent:
dsrnod group «CN=Management,OU=Security Groups,OU=BigFirm, DC=Ьigfirm, DC=com»
-addrnbr «CN=Steve Red, OU=Users, OU=BigFirm, DC=Ьigfirrn, DC=com»
«CN=Simona Corso, OU=Users, OU=BigFirrn, DC=Ьigfirm, DC=corn»
Синтаксис выглядит следующим образом:
dsrnod group
-addrnbr
А вот как удалить пользователя Steve Red из группы:
dsmod group «CN=Management, OU=Security Groups, OU=BigFirrn, DC=Ьigfirm, DC=com»
-rmmbr «CN=Steve Red, OU=Users, OU=BigFirm, DC=Ьigfirrn, DC=com»
С помощью приведенной далее команды можно очистить существующий список
членов группы и добавить список на замену:
dsmod group «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=com»
-chrnЬr «CN=Steve Red, OU=Users, OU=BigFirm, DC=Ьigfirm, DC=corn»
Посредством следующей команды можно изменить область действия группы,
сделав ее универсальной:
dsmod group «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьigfirm, DC=co:n»
-scope u
Вот синтаксис опции -scope:
-scope
К сожалению, с помощью команды dsmod group нельзя установить свойства ру
ководителя для группы.
Каким образом удалить группу? Это очень легко:
dsrm «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьig firm, DC=com»
Эта команда удалит группу Management. Она запрашивает подтверждение удале
ния. Пропустить такой запрос можно следующим образом:
dsrm «CN=Management, OU=Security Groups, OU=BigFirm, DC=Ьig firm, DC=com»
-noprompt
Задачи администрирования. выполняемые в понедельник утром
А теперь мы рассмотрим распространенные операционные задачи, которые могут
делаться на регулярной основе. Наш опыт показывает, что любой сотрудник службы
поддержки обнаружит, что утро каждого понедельника расходуется на выполнение
этих задач, если механизм аутентификации спроектирован недостаточно тщательно.
Чтобы понять, что мы имеем в виду, почитайте еще раз обсуждение кодовых фраз
и смарт-карт ранее в этой главе. Мы рассмотрим участников безопасности домена,
поскольку именно они отнимают большую часть времени.
Забытые пароли
Первая задача имеет отношение к сотруднику, который не может запомнить свой
пароль. Обычно это самая частая причина обращения в службу поддержки после
выходных. Давайте посмотрим, как сбросить пароль для пользователя. В конце кон
цов, пользователь является вашим заказчиком, и вы должны обеспечить для него
качественное и своевременное обслуживание.
1. Если вы пользуетесь графическим интерфейсом, перейдите к учетной записи
нужного пользователя внутри оснастки Active Directory Users and Computers.
2. Щелкните правой кнопкой мыши на имени пользователя и выберите в кон
текстном меню пункт Reset Password (Сбросить пароль), чтобы открыть диа
логовое окно Reset Password (Сброс пароля).
3. Введите новый пароль для пользователя, как показано на рис. 8.62
Новый пароль должен удовлетворять политикам паролей, которые применяются
к пользователю. Необычность ситуации в том, что вы собираетесь диктовать этот
пароль пользователю по телефону. Согласно нашему опыту, вы должны выбрать та
кой пароль, который легко продиктовать. Будьте осторожны, т.к. вы можете иметь
дело с людьми, для которых родным языком является не английский. Пароль напо
добие Password123456789 легко сообщить по телефону, и он удовлетворяет стандартным требованиям к паролям.
Enter User Password :
Введите пароль для пользователя:
Confi rm user password :
Подтвердите пароль для пользователя :
dsmod succeeded : CN=Steve Red, OU=Users , OU=BigFi rm, DC=Ьigfirm, DC=com
dsmod выполнилась успешно : CN=Steve Red, OU=Users , OU=BigFirm, DC=b.igfi rm, DC=com
Опция -pwd * указывает на то, что вы введете пароль и подтвердите его. В качес-
тве альтернативы пароль можно сбросить в самой команде:
dsmod user «CN=Steve Red, OU=Users , OU=BigFi rm, DC=Ьigfirm, DC=com»
-pwd Passwordl 2 3 4 5678
К любой из этих команд можно добавить дополнительную опцию, чтобы заста
вить пользователя изменить свой пароль при следующем входе:
dsmod user «CN=Steve Red, OU=Users, OU=BigFi rm, DC=Ьigfirm, DC=com»
-pwd Passwordl 234 5678 -mustchpwd yes
Заблокированные пользователи
Ох уж эти политики блокирования паролей.» Подавляющему большинству «экспертов по безопасности», которых вы встретите в Интернете или лично, нравится
политика «три неудавшихся попытки входа в систему в течение 30 минут должны
приводить к блокировке учетной записи». Знаете что? Это отличный рецепт для
упрощения атаки типа «отказ в обслуживании». Получите на пару минут доступ к
настольному компьютеру внутри леса посредством учетной записи обычного поль
зователя, и вы сможете запустить сценарий, который вмиг совершит по пять не
удавшихся попыток входа для каждого пользователя в Active Directory. В итоге будут
заблокированы все пользователи кроме стандартных учетных записей администра
торов домена. Бизнес-деятельность организации прекратится. Именно по этой причине настоящие эксперты по безопасности рекомендуют вам очень хорошо обду
мать применение варианта блокирования для паролей. (Внутри врезки «Случай для
кодовых фраз» ранее в этой главе была описана альтернатива.) Как раз по этим со
ображениям блокировки по умолчанию отключены в стандартной политике домена (Default Domain Policy). И по нашему мнению это очень хорошо. Тем не менее, некоторые организации включают данную политику. Они могут иметь веские основания для этого. Следовательно, важно знать, каким образом разблокировать учетную запись пользователя. Отметим, что это определено в объекте стандартной групповой политики (GPO) домена внутри Active Directory. Стандартной настройкой в Windows Server 201 2 является О, т.е. не блокировать учетные записи пользователей после не удавшихся попыток входа.
два простых сценария блокировки
Первый сценарий связан с ситуацией,когда пользователь сообщил о том, что компьютер проинформировал о его блокировании. Ему известен пароль, поэтому сбрасывать его не придется. С помощью оснастки Active Directory Users and Computers найдите учетную запись пользователя и откройте для нее диалоговое окно свойств. Как показано на рис. 8.63, вкладка Account (Учетная запись) содержит сообщение, информирующее о том, что учетная запись заблокирована.
Решение очень простое — вы разблокируете
учетную запись. Конечно, пользователь вдобавок мог забыть свой пароль, и тогда его нужно будет сбросить.
Второй сценарий касается ситуации, когда знание пользователя о проблеме ограничивается тем, что он не может войти. Проблемможет быть две. Пользователь мог забыть
Рис. 8.63. Пользователь Active Directory заблокирован
свой пароль, или его учетная запись оказалась заблокированной. Вы должны убить двух зайцев одним выстрелом, имея дело с
обеими возможностями. Откройте диалоговое окно Reset Password (рис. 8.64).
The user mJlt Jogolf ;!lld then logan aglll»I for the cNnge to take effed
AccOtrt lodt.Ol.A smtus on ttu Domait Catroler: locXed О1А
Рис. 8.64. Разблокирование учетной
записи пользователя и сброс пароля
К сожалению. похоже, что способ разблокирования учетных записей в команд
ной строке отсутствует — разумеется, исключая PowerShell.
Итак, мы раскрыли все возможности базового управления пользователями и
группами, которые являются общими для всех версий Windows Server. А теперь давайте посмотрим, что появилось нового в Windows Server 201 2.
Использование новых средств для управления пользователями и группами
Все, что обсуждается в данном разделе, применимо к версиям Windows Server
2008 R2, Windows Server 2012 и Windows Server 2012 R2. В Windows Server 2012 были внесены два значительных изменения, имеющие отношение к управлению пользователями и группами.
• Центр администрирования Active Directory (Active Directory Administrative
Center — ADAC) был обновлен и построен поверх PowerShel\. Кроме того,
в консоль были интегрированы новые средства, такие как корзина Active
Directory с графическим пользовательским интерфейсом и деталюированные
политики паролей.
• В ADAC бьu�а добавлена хронология PowerShel\ для более простого управления
и создания пользователей и групп, а также других объектов.
В Windows Server 2008 R2 уже был интегрирован инструмент PowerShell 2.0, и
в плане управления пользователями и группами каких-либо новых командлетоn в
Windows Server 2012 не появилось. Хотя в Windows Server 201 2 интегрирован новый
инструмент PowerShell 3.0, а в Windows Server 2012 R2 — PowerShel\ 4.0, большинс
тво новых командлетов, связанных с Active Directory, предназначены для управления
компонентами Active Directory, а не пользователями и группами.
Тем не менее, по ссылке http : //tinyurl . com/Sotmff можно загрузить бес
платные команды PowerShell для Active Directory от Quest (Free PowerShell Commands
for Active Directory). Эти командлеты обладают синтаксисом, похожим на синтаксис
встроенных командлетов Windows Server 2012, но в некоторых отношениях предла
гают чуть лучшую поддержку и гибкость, например, при доступе к атрибутам поль
зователей. В настоящем разделе мы рассмотрим встроенные командлеты PowerShell
в Windows Server 2012.
Центр администрирования Actlve Directorv
Разработчики из Microsoft расширили и привели в порядок графический поль
зовательский интерфейс нового центра администрирования Active Directory, сделав
его больше ориентированным на задачи. Ходят слухи о том, что инструмент Active
Directory Users and Computers (Пользователи и компьютеры Active Directory), или
ADUC, в дальнейшем не будет поддерживаться, и основное внимание будет сосре
доточено на Active Directory Administrative Center (ADAC). Тем не менее, в Windows
Server 2012 доступны оба инструмента, и один не может работать без другого. Мы
считаем ADUC унаследованным, а ADAC — будущим инструментом.
Стратегия Microsoft предельно ясна: PowerShell. Учитывая, что ADAC — это
просто графический пользовательский интерфейс для доступа к функциональности
PowerShell, полезно исследовать возможности данного инструмента. В Microsoft хотели предоставить инструмент для быстрого и простого выполнения часто повторяющихся задач, таких как обработка блокировок пользователей утром по понедельникам. Инструмент ADAC доступен через меню Tools (Инструменты) диспетчера
серверов на контроллере домена Windows Server 2012.
Его можно также использоватьна компьютере Windows 8, на котором установлены инструменты дистанционного администрирования серверов (Remote Server Administration Tools) для Windows 8(http : / /www . microsoft . com/en-us /download/detail s . aspx? id=2 8 97 2).
Если на компьютере функционирует версия Windows 8. 1 , и вы хотите управ
лять из него сервером Windows Server 201 2 R2, проследуйте по ссылке http : //
www .microsoft . com/en-us/download/details . aspx? id=392 96. Данный инс
трумент загружается несколько дольше, чем Active Directory Users and Computers, так
что можете запускать его утром и оставлять в работающем состоянии до конца дня.
основные элементы ADAC
Открыв ADAC, вы увидите, что означает ориентация на задачи (рис. 8.65). В цен
тральной панели находится интерфейс, специально предназначенный для сброса
паролей и разблокирования учетных записей пользователей. Это наиболее распро
страненные задачи Active Directory, выполняемые персоналом п; так что их наличие
в инструменте имеет смысл.
Что бы происходило в отсутствие ADAC, когда пользователь позвонил в корпоративную службу поддержки с просьбой сбросить его пароль или разблокировать учетную запись? Техническим специалистам из службы поддержки понадобится найти этого пользователя в организационных единицах Active Directory. После этого они могут щелкнуть правой кнопкой мыши на имени пользователя, открыть диалоговое
окно его свойств и выполнить задачу. Это предполагает знание инженером службы
поддержки способа поиска в Active Directory. Кроме того, тратится также и время.
На рис. 8.65 видно, что с помощью ADAC инженер службы поддержки просто вводит имя пользователя и новый пароль. Флажок Unlock account (Разблокировать учетную запись) недоступен, т.к. эта учетная запись не заблокирована.
Инструмент ADAC также облегчает нахождение объектов службой поддержки.
На рис. 8.66 показано, что мя поиска объекта можно ввести его имя.
Рис. 8.66. Поиск объекта в Active Directory
На рис. 8.66 представлены результаты поиска. Вы видите, насколько легко было
найти объект пользователя SRed. Теперь инженер службы поддержки может щелк
нуть правой кнопкой мыши на объекте пользователя и выполнить мя него необ
ходимые задачи администрирования. Средство поиска довольно интеллектуально,
потому что оно ищет в атрибутах объекта, т.е. свойствах объекта. Инженер мог бы
искать S, Steve или Steve Red и все равно найти объект пользователя SRed. Поиск
совершенно не ограничивается объектами пользователей! Искать в домене можно
объект любого типа, такой как группы и компьютеры.
Чтобы добраться до средства Global Search (Глобальный поиск), щелкните на эле
менте Global Search в навигационной панели слева. В панели справа отобразятся поисковые опции средства Global Search.
Щелчок на раскрывающемся списке Add criteria (Добавить критерий) предостав
ляет доступ к действительно мощным опциям мя уточнения поиска (рис. 8.67).
Взгляните на эти встроенные критерии и подумайте, насколько полезными они могут оказаться. Каждое утро вы можете начинать с поиска заблокированных учетных
записей и разблокирования их до того, как сотрудники прибудут на свои рабочие
места. При рассмотрении локальных учетных записей пользователей мы рекомендовали отключать учетные записи вместо немеменного их удаления. Чтобы установить один из критериев поиска, отметьте флажок рядом с критерием и щелкните на
кнопке Add (Добавить).
На рис. 8.67 выбрана опция Users with enaЫed accounts who have not logged оп for
more than а given number of days (Пользователи с включенными учетными данными,
которые не входили на протяжении заданного количества дней).
Рис. 8.67. Потенциальный критерий поиска
В центре диалогового окна, показанного на рис. 8.68, видно, что вы можете вы
брать количество дней из заранее определенного диапазона опций. Это очень удоб
но. В идеальном случае отдел кадров должен связываться с IТ-отделом всякий раз,
когда сотрудник покидает компанию. Тем не менее, все мы люди, и все мы допус
каем ошибки. Применяя такой поисковый запрос, вы можете идентифицировать
«просроченные» учетные записи пользователей и отключить их. Чтобы удалить критерий поиска, щелкните на значке х серого цвета справа.
Вы даже можете построить более сложный запрос, щелкнув на раскрывающемся
списке Add criteria. Например, типом объекта мог бы быть Computer (Компьютер), а имя объекта начинаться с В. Это значит, что вы получите результаты поиска, которые не содержат объекты других типов наподобие групп, пользователей и организационных единиц.
Рис. 8.68. Нахождение всех пользователей, которые не входили в течение 1 5 дней
Щелкнув на небольшом значке с дискетой правее поля поиска, запрос можно
сохранить для последующего использования. Запросу назначается имя (лучше опи
сательное), а доступ к нему осуществляется по щелчку на значке, расположенном
слева от значка с дискетой. Раскроется список всех сохраненных запросов. Выбор
сохраненного запроса приводит к его загрузке и выполнению.
После того, как объект найден, с ним необходимо что-то делать. Когда объект вы
бран, в панели Tasks (Задачи) справа отобразятся контекстно-чувствительные действия.
Для управления выбранным объектом понадобится щелкнуть на одной из задач.
навигация в ADAC
Ознакомившись с основами, давайте начнем с изучения навигации в ADAC.
Навигационная панель имеет списковое представление (отображаемое по умолча
нию) и древовидное представление. Списковое представление содержит предвари
тельно выбранное множество местоположений, включая перечисленное ниже:
• область ADAC Overview (Обзор ADAC), с которой вы начинаете и в которой
можно быстро обработать базовые запросы пользователей и производить прос
той поиск;
• домен, откуда можно переходить в любую организационную единицу или кон
тейнер;
• контейнеры Users (Пользователи) и Computers (Компьютеры), rде в идеаль
ном случае ничего не добавляется;
• инструмент Global Search, с которым вы уже знакомы.
Чтобы добавить другие местоположения, щелкните правой кнопкой мыши в на
вигационной панели и выберите в контекстном меню пункт Add Navigatioп Nodes
(Добавить узлы для навигации). Откроется окно, в котором можно проходить по
структуре Active Directory (рис. 8.69).
• ,User (Создатьq Пользователь) в панели Tasks. Откроется диалоговое окно,
представленное на рис. 8. 72. Ого! Это огромное диалоговое окно поначалу может
слегка приводить в растерянность. Давайте осмотримся вокруг, прежде чем что-то
делать. Для начала упростим обстоятельства. Чтобы создание пользователя стало
возможным, вам необходимо заполнить только поля, помеченные символом звез
дочки (*) красного цвета. Навигационная панель слева подсказывает, что данное
окно разбито на разделы. С помощью кнопки Sections (Разделы), находящейся в
правом верхнем углу, можно сворачивать или разворачивать эти разделы. Это поз
воляет скрывать любые разделы, которыми вы никогда не пользуетесь. Инструмент
ADAC запомнит, какие разделы свернуты или развернуты .
Рис. 8. 72. Соэдание нового пользователя в ADAC
На рис. 8. 73 показано это же диалоговое окно, в котором были свернуты разде
лы Orgaпizatioп (Организация) в центре окна и Епсгурtiоп optioпs (Параметры шиф
рования) справа вверху. Кроме того, в нем заполнены поля, чтобы создать нового
пользователя по имени Kevin Greene. Вместо прохода по экранам мастера и затем
открытия диалогового окна свойств пользователя для завершения операции, все не
обходимое можно сделать здесь. В этом диалоговом окне доступны все распростра
ненные опции для настройки пользователя. Такое первоначально приводящее к рас
терянности окно сокращает время, затрачиваемое на создание и конфигурирование
учетной записи пользователя.
На рис. 8.76 показано, что подобно диалоговому окну мя создания пользователя,
некоторые разделы можно сворачивать. Сейчас это и будет сделано.
Чтобы упростить представление, можете щелкнуть на кнопке Sections и свернуть
раздел Member Of (Членство в группах)
Давайте создадим группу по имени Helpdesk. На рис. 8.77 приведено запол
ненное диалоговое окно для создания новой группы Helpdesk. Опять-таки, в этом
единственном диалоговом окне можно вводить большой объем информации, не
проходя по экранам мастера и затем редактируя свойства объекта группы.
Create r.roup: Helpde�k
Рис. 8.77. Создание группы Helpdesk в ADAC
Выполните перечисленные ниже шаги.
1. Введите имя группы и заполните поле Group (SamAccouпtName) (Имя учетной
записи SAM для группы).
2. Укажите тип и область действия группы.
3. Отметьте флажок Protect from accidental deletion (Защитить от случайного
удаления), чтобы эту группу нельзя бьuю непредумышленно удалить.
4. Укажите адрес электронной почты для распространения почты (это требует
совместимой почтовой службы).
5. Введите описание и примечания.
6. Укажите руководителя группы, который будет управлять членством в группе.
Теперь члены старшего руководства могут изменять членство в группе
Helpdesk.
7. Добавьте двух пользователей в группу Helpdesk.
8. Щелкните на кнопке ОК, чтобы создать группу.
Возвратившись в окно свойств объекта группы, можно отредактировать конфи
гурацию или членство в группе (рис. 8.78).
Рис. 8. 78. Просмотр свойств объекта группы в ADAC
Как и со свойствами объекта пользователя, в диалоговом окне для создания объ
екта группы атрибуты из раздела Exteпsioпs не видны.
В завершение работы с Active Directory Administгative Center мы приведем еще
несколько советов.
• Инструмент ADAC может быть остановлен только на машинах с Windows
Serveг 2012 и компьютерах с Windows 8, на которых функционируют Remote
Server Administrative Tools (RSAТ).
• Вы можете управлять доменами в своем лесе или в других лесах, связанных
доверительными отношениями, и вы располагаете для этого соответствующи
ми разрешениями.
• В навигационной панели вы можете щелкнуть правой кнопкой мыши на име
ни домена и посредством контекстного меню подключиться к другим конт
роллерам доменов.
Это может делаться для выполнения работ на контроллере домена в другом
сайте с целью, например, управления локальными пользователями и получе
ния немедленных результатов, не ожидая репликации меЖду сайтами.
• Чтобы можно было использовать ADAC для управления доменом, по крайней
мере, на одном контроллере этого домена должны быть установлены веб-служ
бы Active Directory (Active Directory Web Services — ADWS).
Если вы устанавливаете контроллер домена Windows Server 2012, то службы
ADWS установятся и запустятся автоматически.
Они предоставляют интерфейсв виде веб-служб для управления Active Directory с помощью таких средств,как ADAC и PowerShell.
Внутри области ADAC Overview в ADAC вы найдете гиперссьшки на онлайновое
содержимое по ADAC и новым модулям PowerShell для управления Active Directory
с применением PowerShell.
Просмотр хронологии PowerShell
Вы могли заметить, что в ADAC имеется один новый раздел, который называ
ется Windows PowerShell History (Просмотр хронологии PowerShell). По обыкнове
нию он свернут, и если вы не осведомлены о нем, то будете спокойно работать в
ADAC, даже не подозревая о его существовании. Чтобы развернуть раздел Windows
PowerShell History, понадобится щелкнуть на кнопке со стрелкой, указывающей вниз
(рис. 8.79).
Рис. 8. 79. Отображение раздела Windows PowerShell History
На рис. 8.79 видно, что есть новый пользователь по имени Chris Greuter.
Непосредственно после щелчка на кнопке О К в диалоговом окне создания пользо
вателя в хронологии PowerShe\l появляются команды PowerShell. Например, чтобы
создать простого включенного пользователя с минимальным вводом, запускаются
пять разных командлетов. Внимательно взглянув на эти команды, вы увидите, что
они предпринимают следующие действия.
1. Командлет New-ADUser настраивает базовую структуру объекта пользователя
без пароля. Вследствие этого учетная запись блокируется.
2. Командлет Set-ADAccountPassword устанавливает пароль для пользователя.
3. Командлет EnaЫe-ADAccount включает учетную запись пользователя, т.к. па
роль бьш установлен.
4. Командлет Set-ADAccountControl устанавливает все параметры учетной за
писи AD, которые расположены на вкладке Account (Учетная запись) диало
гового окна свойств объекта пользователя. Эти параметры предназначены для
указания таких характеристик, как имеет ли пользователь возможность изме
нять пароль либо истекает ли срок действия его пароля.
5. Командлет Set-ADUser устанавливает дополнительные параметры пользовате
ля, вроде того, должен ли пользователь изменить пароль при следующем входе
или требуется ли для входа см арт-карта.
Именно так ADAC работает «за кулисами». Разумеется, если вы собираетесь со
здать объект пользователя, то не будете запускать пять командлетов по отдельности;
вместо этого вы упакуете всю необходимую информацию в одну строку.
Нет разницы в том, создаете вы пользователя, группу или даже организацион
ную единицу; инструмент ADAC регистрирует в этом окне каждый шаг PowerShell.
Чтобы просмотреть полные детали по каждой команде, можете щелкнуть на значке +
слева от командлета. Это приведет к разворачиванию всех параметров, как показано
на рис. 8.80.
Рис. 8.80. Развернутый командлет PowerShell
При желании можете щелкать на всех значках +, и ADAC обучит вас этим ко
мандам. Разве это не хорошая возможность? На самом деле все даже еще лучше.
В верхней части раздела Windows PowerShell History расположены ссылки на различ
ные действия. В поле Search (Поиск) можно искать определенную команду. По мере
набора панель результатов будет корректироваться согласно введенным данным в
этом поле.
Рядом с полем Search находятся ссылки на пять действий, а также ссылка Help
(Справка):
• С о р у (Копировать)
• Start Task (Начать задачу)
+ End Task (Завершить задачу)
• Clear All (Очистить все)
• Show All (Показать все)
Действие С ору позволяет скопировать полную строку команды из хронологии
PoweгShell с целью последующей ее вставки в окно редактора, такого как Notepad
(Блокнот). Можно даже выбрать несколько строк команд, щелкая на них при удер
живаемой в нажатом состоянии кнопке , и затем щелкнуть на Сору.
Скорее всего, вы уже поняли, что этот небольшой раздел быстро заполняется,
и если необходимо отследить некоторое действие, то могут возникнуть проблемы
с выяснением, к какому шагу относится тот или иной командлет. По этой причине
могут использоваться действия Start Task, End Task и Clear All. Прежде чем начать,
удостоверьтесь в том, что флажок Show All, показанный ранее на рис. 8.79, не от
мечен. Позже мы объясним, что он делает, но пока оставьте его неотмеченным и
выполните следующие шаги.
1. Щелкните на Clear All.
Это приведет к очистке всех команд в панели Windows PowerShell History.
2. Щелкните на Start Task. Откроется прямоугольная область, где необходимо
ввести значащее описание задачи, которую планируется выполнить, например,
New User (Новый пользователь).
3. Создайте нового пользователя в Active Directory с применением ADAC, щелк
ните на кнопке ОК в диалоговом окне создания пользователя и затем щелкни
те на End Task.
4. Щелкните на Start Task еще раз и введите в прямоугольной области описания
задачи Delete User (Удалить поль
зователя).
5. Перейдите к ранее созданному поль
зователю в ADAC и удалите его.
6. Снова щелкните на End Task. Вы
должны получить сгруппирован
ное представление команд, как на
рис. 8.81.
Вы получаете не только структури
рованный обзор в окне; скопиро
вав команды внутрь редактора, вы
увидите, что описания New User и
Delete User добавлены к сценарию
в виде комментариев, что действи
тельно удобно.
/WINDOWS POWERSHEU HISТORY
1 Seorrh Р Сору Start Task End Т asl,DC
13 Set-ADAccountControt
Рис. 8.81. Группирование команд PowerShell
Последней опцией является Show All. Если вы отметите этот флажок, в панели
Windows PowerShell History отображается больше команд.
7. Выберите организационную единицу \BigFirm\Users и нажмите клавишу
, чтобы обновить ее содержимое.
Обратите внимание, что отобразились команды, которых вы ранее не nиде.ш.
Почему это произошло? Подумайте о следующем: инструмент ADAC построен
поверх PowerShell, так что когда вы обновляете организационную единицу, на
самом деле вы заставляете ADAC повторно запросить ее. В PowerShel\ это дела
ется с помощью командлета Get-ADObj ect. Скорее всего, вам не нужно такое
обилие команд PowerShe\I, поэтому лучше снимите отметку с флажка Show All.
Итак, вы ознакомились с основами создания объектов в PowerShe\I. В следующем
разделе PowerShel\ будет рассматриваться более глубоко.
Модуль Active Directorv для Windows PowerShell
Модуль Active Directory дпя Windows PowerShe\I позволяет выполнять операции
в командной строке и внутри сценариев с использованием нового языка оболочки
Microsoft. Подобно ADAC, он доступен только n Windows Server 201 2 и Windows 8
(с установленными инструментами Remote Server Administration Tools). Также подоб
но ADAC, в домене, которым нужно управлять, должна быть установлена роль ADWS
хотя бы на одном контроллере домена. Чтобы обеспечить оптимальную произво
дительность, на контроллерах домена Windows Server 2003 или Windows Server 2008
внутри сайта можно установить службу шлюза для управления Active Directory
(Active Directory Management Gateway Service; http : //tinyurl . com/yЫxwey).
Теперь мы рассмотрим, как управлять пользователями и группами с применением
данного модуля PowerShel\. Мы опишем наиболее распространенные сценарии, но
настоятельно рекомендуем продолжить изучение этой темы на веб-сайте Microsoft:
http : //technet .microsoft . com/en-us/library/hh85227 4 . aspx
Вы не будете использовать обычное окно PowerShe\I. Вместо этого необходимо
запустить модуль Active Directory для Windows PowerShe\I через меню Admiпistrative
Tools (Администрирование) либо на контроллере домена Windows Server 2012, либо
на машине Windows 8 с установленными инструментами RSAТ.
В случае Windows Server 2008 R2 при открытии окна PowerShe\I в первый раз по
надобится загрузить модуль Active Directory с помощью следующей команды:
PS C : \Users\Administrator> Import-Module ActiveDirectory
В Windows Server 2012 ситуация более комфортная, т.к. этот модуль загружается
автоматически. Как только вы введете команду, которую оболочка распознает как
командлет Active Directory, модуль автоматически загрузится.
Базовые команды PowerShel\ для создания объектов Active Directory, подоб
ных пользователям, группам, компьютерам, организационным единицам и т.д» в
Windows Server 2012 не изменились. Таким образом, если вы создавали сценарии с
помощью Active Directory для PowerShe\I 2.0, они будут также работать в Windows
Server 2012 и Windows Server 2012 R2.
ОБНОВЛЕНИЕ СПРАВОЧНЫХ ФАЙЛОВ
Перед тем, как погружаться в исследования PowerShell 3.0/4.0, мы настоятельно ре
комендуем обновить локально хранящиеся справочные файлы. Это легко делается
запуском командлета Update-Help. Он подключится к Интернету и загрузит пос
ледние справочные файлы для текущих модулей, загруженных в оболочку, и для мо
дулей, установленных в переменной среды PSModulePath. Сами справочные файлы
являются файлами САВ, содержащими ХМL-файлы, которые будут автоматически
извлечены и скопированы по соответствующему пути.
Хорошо, а как быть, если подключение к И нтернету отсуrствует? Вы можете вос
пользоваться командлетом Save-Help, в котором указывается путь для сохранения
файлов. Вы просто переносите справочные файлы на отключенный компьютер и за
пускаете команду, например, Update-Help -SourcePath С : \Temp, чтобы импор
тировать их на этот компьютер с устаревшими данными.
Доступен намного больший объем информации; если вы интересуетесь этой те
мой, проследуйте по ссылке http: / /technet .microsoft . com/en-us/library/
hh849720 . aspx.
Соэдание пользователей
Давайте приступим к выполнению каких-нибудь операций по администрирова
нию пользователей. Имеет смысл сначала создать пользователя. Для этого предна
значен командлет PowerShell под названием New-ADUser:
PS C : \Users\Adrninistrator> New-ADUser «Philipp Witschi»
Инструмент PowerShell содержит справку и примеры. Чтобы получить справку по
New-ADUser, введите следующую команду:
PS C: \Users\Adrninistrator> Get-Help New-ADUser
Получить примеры применения командлета можно так:
PS C : \Users\Adrninistrator> Get-Help New-ADUser -examples
Наконец, с помощью приведенной ниже команды можно извлечь более деталь
ные сведения о командлете:
PS C: \Users\Adrninistrator> Get-Help New-ADUser -detailed
Эти команды получения справки совместимы со всеми коман.плетами, поставля
емыми модулями Microsoft в PowerShell. Есть еще несколько удобных моментов, на
которые стоит обратить внимание. Коман.плету можно указать флаг -whatif, чтобы
посмотреть, что произойдет, если он будет выполнен:
PS C : \Users\Adrninistrator> New-ADUser PWitschi -whatif
What if: Performing operation «New» on Target «CN=PWitschi, CN=Users,
DC=Ьigfirm, DC=com»
В действительности ничего не делается; это всего лишь имитирует команду и
сообщает, каким был бы результат в случае запуска команды без флага -whatif.
Кроме того, можно указать на необходимость запроса подтверждения, прежде чем
выполнять команду. Это позволяет дважды обдумать набранную команду перед тем,
как ее запускать:
PS С : \Users\Administrator> New-ADUser PWitschi -confirm
Confirm
Are you sure you want to perform this action?
Performing operation «New» on Target «CN=PWitschi, CN=Users, DC=bigfirm, DC=com» .
[ У ] Yes [А] Yes to All [N] No [ L] No to All [S] Suspend [ ? ] Help
(default is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «New» на цели «CN=PWi tschi , CN=Users, DC=Ьigfirm, DC=com » .
[ У} Да [А} Да для всех [NJ Нет [L} Нет для всех [SJ Приостановить [ ?} Справка
(по умолчанию «У») :
Флаги -whatif и -confirm можно использовать во всех последующих примерах
комаНД11етов, чтобы иметь уверенность в том, что все совершаемые действия кор
ректны.
Предыдущая команда New-ADUser создает нового пользователя PWi tschi н
стандартном местоположении для новых пользователей, которым обычно являет
ся контейнер Users. Как утверждалось ранее, это не самое лучшее место для хра
нения учетных записей пользователей. Здесь содержится несколько специальных
пользователей и групп, поэтому вы должны трактовать контейнер Users как спе
циальный. Местоположением для учетных записей ваших пользователей является
\BigFirm\Users. Если необходимо сконфигурировать некоторые свойства для
пользователя, можно поступить так:
PS С : \Users\Administrator> New-ADUser «Philipp Witschi»
-SamAccountName » PWitschi»
-GivenName «Philipp»
-Surname «Witschi»
-DisplayName «Philipp Witschi»
-Path ‘ OU=Users, OU=BigFirm, DC=bigfirm, DC=com ‘
-UserPrincipalName «PWitschi@bigfirm . com»
Ниже описаны флаги, указанные в команде.
-SamAccountName. Входное имя пользователя (до Windows 2000 Server). Напри
мер, выше было указано PWi tschi, поэтому пользователь сможет войти, исполь
зуя доменное имя BigFirm\PWitschi.
-GivenName. Имя этого пользователя.
-surname. Фамилия этого пользователя.
-DisplayName. Данное свойство объекта пользователя хранит отображаемое имя.
-Path. Отличительное имя организационной единицы, где необходимо создать
новый объект пользователя. В этом случае указана организационная единица
\BigFirm\Users в домене bigfirm. com.
-UserPrincipalName. Имя участника безопасности (UPN) — это входное имя
пользователя, имеющее похожую на адрес электронной почты форму.
Запустив приведенную выше команду, вы увидите, что в указанной организаuи
онной единице создан новый пользователь. Вы также обнаружите, что этот пользо
ватель отключен. Почему? Инструмент PowerShe\l требует явно указания на то, что
пользователь должен быть включен.
Зачем может понадобиться такой способ создания пользователя? Вы можете вы
полнять большой объем работ по созданию множества учетных записей Д11Я поль
зователей. Но вы не хотите, чтобы эти учетные записи были включены до того, как
связанные с ними люди окажутся готовыми использовать их. Когда этот момент на
ступит, вы можете установить уникальный пароль Д11 Я пользователя и затем вклю
чить учетную запись. PowerShell допускает подобную гибкость.
Установка паролей
Ведь вы не устанавливали пароль, не так ли? Вы и не обязаны делать это. Однако
при желании вы можете указать пароль с применением флага -AccountPassword.
Здесь есть одна загвоздка: флаг -Account Password требует ввода защищенной
строки, поэтому нельзя ввести просто Му PasswOrd. Вы должны создать защишен
ную строку до создания пользователя. Для этого сушествует много способов; ин
струмент PoweгShell весьма открыт в том, как можно решать ту или иную задачу.
Предположим, что вам нужно создать 10 объектов пользователей и установить
для них один и тот же пароль, а также включить пользователей. Кроме того, необ
ходимо заставить пользователей изменить свои пароли при первом входе в систему.
Вот как можно поступить:
PS C: \Users\Administrator> $pw = Read-Host «Please Enter The Password»
-AsSecureString
Please Enter The Password: * * * * * * * * * * * * * * * * *
Введите п а роль: * * * * * * * * * * * * * * * * *
PS С : \Users \Adrninistrator> New-ADUser «Phil ipp W i tschi»
-SamAc:::ountName «PWitschi» -GivenName «Philipp» -Surname «Witschi»
-DisplayName «Philipp Witschi»
-Path ‘ OU=Users, OU=BigFirm, DC=bigfirm, DC=com ‘
-UserPrincipalName «PWitschi@bigfirm. com»
-Accou�tPassword $pw -EnaЫed 1 -ChangePasswordAtLogon 1
Первая строка предлагает администратору ввести пароль. Введенный текст бу
дет преобразован в защищенную строку, которая затем сохраняется в переменной
$pw. С имвол $ указывает PoweгShell, что pw является переменной, т.е. контейне
ром, где можно сохранять значение. КоманД11ет Read-Host запросит значение. Флаг
-AsSecureString преобразует введенное вами значение в защищенную строку.
З начение переменной $pw находится в памяти данного сеанса PowerShel\ до тех пор,
пока либо не будет перезаписано, либо не закроется окно PowerShell.
П осле запуска команды вам преД11агается ввести пароль. Введите легкую Д11Я пе
редачи строку, которая удовлетворяет требованиям к сложности и Д11ине пароля.
В торая команда создаст пользователя. Ч тобы удовлетворить своим требованиям,
можно добавить несколько флагов.
-AccountPassword. Указывает на использование переменной $pw из предыдушей
команды. Позволяет передавать желаемый пароль Д11 Я нового пользователя в виде
защищенной строки.
-EnaЬle. П ринимает значение 1 (объект пользователя должен быть включен) или
О (объект пользователя должен быть отключен).
-ChangePasswordAtLogon. Принимает значение 1 (заставлять изменить паро.1ь)
или О (не застаолять изменить пароль).
В результате такой комбинаuии объект пользователя создается с заданным паро
лем и во включенном состоянии, к тому же пользователю придется изменить свой
пароль, когда он первый раз входит в систему.
Запускать uелых две команды только для одного пользователя выглядит расто
чительным, не правда ли? Однако с помощью этого подхода вы можете обеспечить
повторение второй команды для оставшихся девяти пользователей, которые необхо
димо создать. Все 10 пользователей получать один и тот же пароль.
Если вы хотите создать только одного пользователя, то можете сделать все в
одной команде. Этот подход задействует всю мощь PowerShel\. Запуск командлета
Read-Host можно вкладывать:
PS C : \Users\Administrator> New-ADUser » Philipp Witschi»
-SamAccountName «PWitschi» -GivenName «Philipp» -Surname «Witschi»
-DisplayName «Philipp Witschi»
-Path ‘ OU=Users , OU=BigFirm, DC=bigfirm, DC�com’
-UserPrincipalName «PWitschi@bigfirm . com»
-AccountPassword (read-host » Please Enter The Password»
-AsSecureString) -EnaЫed 1 -ChangePasswordAtLogon 1
Please Enter The Password: **********
Здесь вы заменяете переменную $pw командлетом Read-Host, которая применя
лась в предыдущем подходе. Это приводит к тому, что команмет Read-Host выпол
няется перед тем, как командлет New-ADUser может быть завершен, и затем требу
емая защишенная строка передается в качестве значения флагу -AccountPassword.
Когда вы запустите данную команду, запрашивается пароль, после чего пользователь
будет создан.
создание множества пользователей за раз
Представьте, что вы работаете администратором Active Directory в университете.
Вероятно, у вас есть лес для учетных записей студентов. Ежегодно летом вы удаляете
все старые учетные записи студентов, после чего создаете новые учетные записи для
студентов, приступивших к учебе в первом семестре года. Вы имеете дело с задачей,
предполагающей создание десятков тысяч объектов пользователей. Действительно
ли вы собираетесь использовать для этого ADUC, ADAC или один из ранее пока
занных примеров PowerShell? Мы надеемся, что вы не планируете применять такие
подходы.
Выполнить эту работу, приложив весьма небольшие усилия, можно с помощью
однострочной команды PowerShell. Вам понадобится создать файл значений с раз
делителями-запятыми (comma-separated value — CSV) в Excel или в какой-то другой
программе редактирования электронных таблиu. Более сложная сеть может иметь
систему управления персоналом, которая позволяет создать такой файл через про
uесс экспорта.
Файл CSV — это текстовый файл, который содержит строку заголовков, описы
вающую значения, и последовательность строк, по одной на пользователя. Каждая
строка включает значения, которые описывают пользователя.
Ниже показано содержимое файла по имени users . csv, который можно использовать для создания трех пользователей.
NalDe
Saml\ccaun t
GivenName Sшnаше DisplayName Path
UserPrincipal Accoun t
Name Name Passwo:i:d
Rachel RКelly Rachel Kelly Rachel OU=Users, RKelly@
NewPasswOrd
Kelly Kelly OU=BigFirrn, Ьigfirrn. com
rx>Ьigfirrn,
OC=com
Ulrika UGerhardt Ulrika Gerhardt Ulrika OU=Users, UGerhardt@
NewPasswOrd
Gerhardt Gerhardt OU=BigFirrn, Ьigfirrn. com
OC=Ьigfirrn,
OC=com
Tomasz TKozlowski Tomasz Kozlowski Tomasz OU=Users, TKozlowski@
NewPasswOrd
Kozlowski Kozlowski OU=BigFirrn, Ьigfirrn. сот
OC=Ьigfirrn,
OC=com
Если вы откроете СSV-файл users . csv в редакторе Notepad (Блокнот), он будет
выглядеть примерно так:
Narne, SamAccountName, GivenNarne, Surnarne, DisplayNarne, Path, UserPrincipalNarne,
AccountPassword
Rachel Kelly, RKelly, Rachel, Kelly, Rachel Kelly, «OU=Users, OU=BigFirrn,
DC=Ьigfirrn, DC=corn» , RKelly@Ьigfirrn. com, NewPasswOrd
Ulrika Gerhardt, UGerhardt, Ulrika, Gerhardt, Ulrika Gerhardt, «OU=Users,
OU=BigFirrn, DC=Ьigfirrn, DC=corn» , UGerhardt@Ьigfirrn. com, NewPasswOrd
Tomasz Kozlowski, TKozlowski, Tomasz, Kozlowski, Tornaz Kozlowski,
«OU=Users, OU=BigFirm, DC=Ьigfirrn, DC=com» , TKozlowski@Ьigfirm.com,NewPasswOrd
ОБРАТИТЕ ВНИМАНИЕ НА СТРОКУ ЗАГОЛОВКОВ
В строке заголовков указаны те же самые флаги, которые применялись ранее с ко
мандлетом New-ADUser. Строки, следующие за строкой заголовков в файле CSV, со
держат значения для создания пользователей.
Теперь необходимо запустить команду, которая прочитает все строки файла с : \
users . csv. Затем эта команда выполнит команДJiет New-ADUser, используя значе
ния из файла. Вот эта команда:
PS C : \Users\Adrninistrator> Import-CSV c: \users . csv 1 foreach
{ New-ADUser -Name $ . Name -SamAccountName $ . SamAccountName
-GivenName $ . GivenName
-Surname $ . Surname
-DisplayName $ . DisplayName
-Path $ . Path
-UserPrincipalName $ _ . UserPrincipalName
-AccountPassword (ConvertTo-SecureString -AsPlainText $ _ .AccountPassword -Force)
-EnaЫed $true
-ChangePasswordAtLogon 1 )
Пусть размер этой команды вас не пугает и не запутывает. Как только вы разо
бьете ее на компоненты, вы легко ее поймете.
Im.port-csv. Этот комаНДJiет PowerShell будет читать файл CSV, созданный ра
нее и сохраненный как С : \users . csv.
1 . Это символ конвейера. Часть мощи инструмента PowerShell связана с тем, что
он предостамяет вам возможность передавать результаты выполнения одного
командлета другому командлету. В рассматриваемом случае производится чтение
файла CSY и передача находящихся в нем данных следующей части команды.
foreach. Этот командлет получает содержимое файла CSY, который читается
как три элемента, точнее — три строки данных (исключая строку заголовков).
Командлет FOREACH будет выполнять задачу с применением каждой из этих
строк в качестве параметра.
New-ADUser. Вы уже знаете, что этот командлет создает пользователя. Но как
он получает значения для своих флагов’?
$_. Каждый флаг в командлете New-User требует значения. Как вам извес
тно, значения в файле CSV указываются в соответствие со строкой заголов
ков. Каждая из записей $ в команде ссылается на один из элементов в стро
ке заголовков. Вы должны знать, что $ представляет объект в PowerShell, а
$ _ . Name — свойство Name этого объекта. Например, $
_
. Name ссылается на
заголовок Name в файле CSY. Таким образом, командлет New-ADUser получит
значение Rachel Kelly из первой строки и подставит его вместо $ _ . Name.
AccountPasword. Вы снова преобразуете пароль в защищенную строку, чтобы
удовлетворить требованиям этого флага.
Введенная команда прочитает три строки данных из файла CSV. Она загрузит
значения и создаст на их основе три объекта пользователей в организаuионной еди
ниuе, указанной в файле CSV Пользователи получат пароли, будут включенными и при первом входе должны будут изменить свои пароли.
Вы можете совершенно свободно добавлять в этот файл CSV дополнительные
столбцы, соответствующие другим флагам в команде, чтобы в дальнейшем запол
нять атрибуты объекта пользователя, такие как блуждающий профиль, домашняя
папка и т.д.
Используя такой подход, вы можете вручную или автоматически (посредством
какого-нибудь инструмента экспорта из системы управления персоналом) создать
файл CSV и затем запустить одну команду для создания множества учетных записей
для пользователей. Именно для этого предназначен инструмент PowerShell: упроще
ние выполнения работы за счет автоматизации.
Разблокирование учетной записи пользователя
Инструмент PowerShell можно также применять для выполнения более призем
ленной работы. Чтобы разбJ10кировать учетную запись пользователя, можно запус
тить следующую команду:
PS C : \Users\Administrator> Unlock-ADAccount -identity SRed
С помощью флага -identi ty указывается имя объекта пользователя, подлежа
щего разблокировке. В этом примере мы используем дружественное входное имя.
Для идентификаuии объекта пользователя может понадобиться указать имя DN:
PS C: \Users\Adrninistrator> Unlock-ADAccount -identity «CN=Steve Red,
OU=Users , OU=BigFirm, DC=bigfirm, DC=com»
Сбросить пароль пользователя можно с помощью такой команды:
PS C : \Users\Adrninistrator> Set-ADAccountPas sword -identity SRed -reset
-newpassword ( read-host » Please Enter The New Password»
-AsSecureString )
Please Enter The New Password : * * * * * * * * * *
В команд.лете Set-ADAccountPassword также применяется флаг -identity для
указания объекта пользователя, подлежащего управлению. Флаг -reset уведомляет
PowerShell о том, что производится не обычное изменение пароля, которое пред
полагает знание старого пароля. Вместо этого вы хотите изменить пароль, пос
кольку пользователь его попросту забыл. При этом снова используется команд.лет
Read-Host для чтения пароля и его преобразования в защищенную строку с целью
ее передачи флагу -newpassword в качестве значения.
Команд.лет Get-ADUser позволяет получить свойства объекта пользователя:
PS C : \Users\Adrninistrator> Get-ADUser SRed
DistinguishedName
EnaЬled
GivenName
Name
Obj ectClass
Obj ectGUI )
SamAccountName
SID
Surname
UserPrincipalName
CN=Steve Red, OU=Users , OU=Bi gFirm, DC=bigfirm, DC=com
True
Steve
Steve Red
user
5fa7 f3ac-93ec- 4 cf8 -Ьf8 0-2 1368f8b3a8d
SRed
S-l-5-21-362588191 8-2577536232-3089104 624-1108
Red
SRed@bigfirm. com
По умолчанию он извлекает только небольшой набор доступных атрибутов. Если
uы хотите просмотреть все, что доступно в объекте пользователя, запустите команд
лет Get-ADUser с запросом всех свойств, используя шаблон *:
PS C : \Users\Adrninistrator> Get-ADUser SRed -properties
* 1
Результаты, выдаваемые Get-ADUser, по конвейеру передаются команд.лету More,
поэтому их вывод приостанавливается до нажатия любой клавиши. В противном
случае результаты выводятся настолько быстро, что вы просто не успеете их про
читать. Если результаты включают намного больше атрибутов, чем вас интересует,
измените предыдущую команду, указав желаемые свойства. Но в любом случае вы
должны знать, какие свойства запрашивать, и в этом помогает шаблон *.
PS C : \Users\Adrninistrator> Get-ADUser SRed -properties HomeDirectory
DistinguishedName
EnaЫed
Gi\•enName
HomeDirectory
Name
Obj ectClass
Obj ectGUI D
SamAccountName
SID
Surname
UserPrincipalName
CN=Steve Red, OU=Users , OU=BigFirm, DC=Ьigfirm, JC=com
True
Steve
\\DC01 \home$\SRed
Steve Red
user
5fa7 f3ac-93ec-4cf8-Ьf80-2 1 3 68 f8b3a8d
SRed
S-l-5-2 1-36258 8 1 9 1 8-2577536232-3089104 624-1 108
Red
SRed@Ьigfirm . com
В данном примере в стандартный вывод командлета Get-ADUser включается
также и атрибут HomeDirectory.
Можно вывести атрибуты сразу нескольких пользователей, задав какой-то кри
терий поиска:
PS C : \Users\Administrator> Get-ADUser -Filter ‘ Name -like » * » ‘
-SearchBase «OU=Users, OU=BigFirm, DC=bigfirm, DC=com»
В команде применяются два флага.
-Filter. Здесь указывается любой объект с именем, соответствующим шабло
ну *, т.е. все объекты пользователей.
-SearchВase. Здесь поиск дополнительно уточняется путем указания органи
зационной единицы \BigFirm\Users в домене.
Приведенная выше команда возвращает стандартные свойства всех объектов
пользователей в организационной единице \BigFirm\\Jsers.
Если вы хотите модифицировать свойство объекта пользователя, воспользуйтесь
командлетом Set-AD\Jser:
PS C : \Users\Administrator> Set-ADUser SCorso -Description «IT Manager»
С помощью этой команды модифицируется атрибут -Description пользовате
ля SCorso. После ее выполнения описание объекта пользователя изменяется на rт
Manager. Получить список модифицируемых атрибутов можно, выполнив следую
щую команду:
PS C : \Users\Administrator> Get-Help Set-ADUser
Допускается изменять свойство большого количества объектов за один раз. В сле
дующем примере будут модифицированы все объекты в организационной единице
\BigFirm\Users. С применением командлета Get-ADUser осуществляется поиск
пользователей в указанной организационной единице, а результаты передаются по
конвейеру в командлет Set-AD\Jser:
PS С : \Users\Administrator> Get-ADUser -Filter ‘ Name -like » * » ‘
-SearchBase «OU=Users, OlJ=BigFirm, DC=bigfirm, DC=com» 1 Set-ADUser
-Description «Member of I T »
Поиск производится точно так же, как было описано немного ранее. Найденные
объекты передаются посредством конвейера в Set-ADUser. Свойство описания всех
обнаруженных пользователей изменяется на MemЬer of IT.
включение учетной записи
Ранее упоминалось о том, что может возникнуть необходимость создать объект
пользователя, но включить его только тогда, когда сотрудник будет готов к его ис
пользованию. Вот как включить объект пользователя Philipp Witschi:
PS C : \Users\Administrator> EnaЬle-ADAccount -Identity PWitschi
отключение учетной записи
Мы уже обсуждали причины, по которым имеет смысл отключать учетные за
писи на определенное время, прежде чем окончательно удалять их. Н иже показано,
как отключить учетную запись:
PS C : \Users\Administrator> DisaЫe-ADAccount -Identity PWitschi
Наконеu, вы добрались до момента, когда хотите удалить учетную запись поль
зователя:
PS C : \Users\Administrator> Remove-ADUser -Identity PWitschi -confirm
Confirm
Are you sure you want to perform this action?
Performing operation «Remove » on Target
«CN=PW itschi, CN=Users , DC=Ьigfirm, DC=com» .
[У] Yes [А] Yes to All [ N ] No [ L] No to All [ S ] Suspend [ ? ] Help
(defaul t is «У») :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Remove » на цели
«CN=PWi tsch i , CN=Users , DC=Ьigfirm, DC=com «.
{У] Да {А] Да для всех {N] Нет [L] Нет для всех (SJ Приостановить { ?] Справка
(по умолчанию «У») :
Ради осторожности командлет Remove-ADUser запускается с флагом -confirm.
Это дает возможность обдумать последствия выполнения командлета и решить, про
должать ли данное действие. Если командлет Remove-ADUser должен быть запущен
внутри сценария, то, скорее всего, флаг -confirm указываться не будет, т.к. вряд ли
вы захотите, чтобы сценарий остановился где-то на полпути своего выполнения и
ожидал взаимодействия с ним.
На этом рассмотрение процесса управления пользователями с помощью
PowerShell завершено. М ы переходим к управлению группами. Первым делом, мы
создадим группу с применением командлета New-ADGroup. Заметили ли вы сходство
между всеми командлетами подобного рода? Это характерная черта PowerShell. Имя
командлета начинается с глагола, такого как Get, Set или New, после которого сле
дует описание действия командлета.
PS C : \Users\Administrator> New-ADGroup -Name «IT Adrninistrators»
-SamAccountName » I T Adrninistrators» -GroupCategory Security -GroupScope
DomainLocal -DisplayName » IT Administrators» -Path «OU=Security Groups ,
OU=BigFirm, DC=Ьigfirm, DC=com» -Description «MemЬers of this group are in IT»
Приведенная команда создаст локальную группу доступа домена по имени
IT Administrators в организаuионной единице \BigFirm\Securi ty Groups.
Ниже описаны флаги, используемые в команде.
-Name. Имя группы.
-SamAccountName. Имя группы до Windows 2000 Server.
-GroupCategory. Может быть либо Security (или 1) для группы доступа,
либо Distribt.:tion (или О) для группы рассьUJки.
-GroupScope. Может быть либо DomainLocal (или О) для локальной группы
домена, либо Global (или 1) для глобальной группы, либо Universal (или 2)
для универсальной группы.
-DisplayName. Отображаемое имя группы.
-Path. Отличительное имя организаuионной единиuы, в которой будет распо-
лагаться группа.
-Description. Описание объекта группы для ссылки в будущем.
Имея группу, можно приступить к добавлению в нее членов. Для этого служит
командлет Add-ADGroupMemЬer. Его можно применять множеством разных спосо
бов. Мы начнем с простейшего из них:
PS C : \Users\Administrator> Add-ADGroupMemЬer «IT Administrators» -MemЬer SRed
Флаг -Identify позволяет сообщить PowerShe\I, какую группу необходимо из
менить. Затем с помощью флага -MemЬer указывается добавляемый пользователь.
В приведенном выше примере объект пользователя SRed добавляется в группу до
ступа rт Administrators. Особенности начинаются, когда нужно добавить сразу
нескольких пользователей. Если вы делаете это из командной строки PowerShe\I,
можете воспользоваться следующим подходом:
PS C : \Users\Adrninistrator> Add-ADGroupMemЬer «IT Administrators»
cmdlet Add-ADGroupMemЬer at command pipeline position 1
Supply values for the following parameters :
MemЬers [ O ] : SCorso
MemЬers [ l ] :MZehner
MemЬers [ 2 ] :
В этом случае вы указываете в команде управляемую группу, но не список новых
членов. В результате PowerShel\ начинает запрашивать члены по одному. Вы указы
ваете имя пользователя SCorso как члена О, имя пользователя MZetшer как члена 1 ,
после чего в ответ на запрос очередного пользователя нажимаете клавишу ,
чтобы завершить команду. Введенные вами пользователи добавляются в группу.
В качестве альтернативы можно применить другой подход:
PS C: \Users\Adrninistrator> Add-ADGroupMemЬer » IT Adrninistrators»
-MemЬer SCorso, MZehner
Разделителем между именами объектов пользователей, подлежащих добавлению
в группу IT Administrators, служит запятая.
Может понадобиться добавить в группу очень большое число пользователей. Для
этого используются результаты поиска, генерируемые командлетом Get-ADUser:
PS C : \Users\Adrninistrator> Add-ADGroupMemЬer «IT Adrninistrators» -Member
(Get-ADUser -Filter ‘ Name -like » * » ‘
-SearchBase «OU=Users, OU=BigFirm, DC=Ьigfirm, DC=com» )
В показанной команде присутствует вложен ны й запрос Get-ADUser, кото
рый при менялся ранее при управлении пользователями с помощью PowerShell.
Вложенный командлет Get-ADUser выступает в качестве значения для флага
-MemЬer командлета Add-ADGroupMemЬer. Командлет Get-ADUser находит всех
пользователей в организационной единице \BigFirm\Users. Обнаруженные в ре
зультате поиска пользователи добавляются в группу IT Administrators.
Вспомните, что вы не ограничены добавлением в группу Active Directory только
пользователей. Можно также добавлять другие группы, делая их вложенными:
PS C: \Users\Adrninistrator> Add-ADGroupMemЬer » IT Adrninistrators» «Helpdesk»
Эта команда добавит группу Helpdesk в группу IT Administrators.
Часто возникает потребность в получении списка членов той или иной группы.
В следуюшей простой команде используется командлет Get-ADGr·oupMember для
вывода списка членов группы IT Administrators:
PS C : \Users\Administrator> Get-ADGroupMernЬer «IT Administrators»
distinguishedName : CN=Helpdesk,OU=Security Groups,OU=BigFirm, DC=Ьigfirm, DC=com
name Helpdesk
obj ectClass group
objectGUID 93e9b2lb-023a-4e46-88b5-3c4cbf71f218
SamAccountName
SID
Helpdesk
S-1-5-21-3625881918-2577536232-3089104624-1115
distinguishedName : CN=Steve Red, OU=Users, OU=BigFirrn, DC=Ыgfirm, DC=corn
narne Steve Red
obj ectClass user
obj ectGUID 5fa7f3ac-93ec-4cf8-bf80-21368f8b3a8d
SamAccountNarne
SID
SRed
S-1-5-21-3625881918-2577536232-3089104624-1108
Команда возвращает все непосредственные члены данной группы, но не чле
ны вложенных в нее групп. Такой список не особенно полезен в качестве отчета.
Инструмент PowerShell позволяет указывать, какие атрибуты возвращаемых объек
тов должны отображаться:
PS С : \Users\Administrator> Get-ADGroupMernЬer «IT Administrators» 1
FT ObjectClass, Name
ObjectClass
group
user
Narne
Helpdesk
Steve Red
Результаты выполнения командлета Get-ADGroupMember по конвейеру пе
редаются в командлет FT, который представляет собой псевдоним командлета
Format-TaЬle. Это дает возможность указывать свойства или атрибуты, которые
должны присутствовать в списке.
АВТОМАТИЧЕСКАЯ ПОДГОНКА СТОЛБЦОВ
Вполне возможно, что при запуске команды с множеством свойств она будет отобра
жаться в окне командной строки некорректно, т.е. выглядеть так, как будто столбцы
имеют неправильные размеры. Чтобы решить эту проблему, добавьте в конец коман
ды ключ -auto. Как вам известно, в PowerSheU не всегда нужно указывать имя фла
га полностью. Например, ключ -auto обозначает флаг -AutoSize, который инс
труктирует командпет FT о том, что ширина столбцов должна быть автоматически
подогнана с учетом содержимого. Команда будет выглядеть следующим образом:
PS C : \Users\Administrator> Get-ADGroupMember «IT Administrators»
-recursi ve 1 FT
-auto
В предыдущем примере запрашиваются свойства ObjectClass и Name. В резуль
тате получается удобный отчет с объектами, являющимися непосредственными чле
нами группы IT Administrators.
Тем не менее, если группа содержит в качестве членов другие группы, понадо
бится полный рекурсивный список членов:
PS С : \Users \Administrator> Get-ADGroupMember » I T Administrators »
-recursive 1 FT DistinguishedName
Di stinguishedName
CN=Steve Red, OU=Users , OU=BigFirm, DC=bigfirm, DC=com
CN=Kevin Greene , OU=Users , OU=BigFi rm, DC=bigfirm, DC=com
CN=Marcel Zehner, OU=Users , OU=BigFi r�, DC=bigfirm, DC=com
50 1
К командпету добавляется флаг -Recurs i ve, а его результаты через конвейер
передаются командпету FT или Format-TaЫe для получения отличительных имен
всех объектов, которые имеют членство в группе IT Administrators.
Следующей операцией, которая может потребоваться, является удаление членов
из группы. Для этого применяется командпет Remove-ADGroupMerrber:
PS C : \Users \Administrator> Remove-ADGroupMemЬer «IT Administrators»
-MemЬer SRed
Confi rm
Are you sure you want to perform this action?
Performing operation «Set» on Target «CN=IT Administrators , OU=Security
Groups, OU=BigFirm, DC=bigfirm, DC=com» .
[У] Yes [А] Yes to All [ N ] No [ L ] No to All [ S ] Suspend [ ? ] Help
(de fault is «У » ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Se t » на цели «CN=IT Administra tors , OU=Securi ty
Groups , OU=Bi gFi rm , DC=Ьigfi rm , DC=com » .
[ У] Да [А] Да для всех [N] Нет [L] Нет для всех [S) Приостановить [ ?] Справка
(по умолчанию «У») :
Здесь вы инициируете удаление пользователя SRed из группы IT Administrators.
Командпет Remove-ADGroupMember всегда .запрашивает подтверждение действия.
В ответ на запрос подтверждения можно вводить несколько вариантов.
Yes (Да). Продолжить удаление указанного пользователя из группы.
Yes to All (Да для всех). Используйте этот вариант, если вы затребовали уда
ление нескольких членов из группы и уверены, что хотите удалить их все.
No (Нет). Не удалять указанного пользователя из группы.
L (Нет для всех). Отказаться от всех операций удаления, запрошенных в ко
манде.
s (Приостановить). Приостановить выполнение операции. Произойдет возврат
в режим командной строки. Возобновить выполнение команды до этого мо
мента можно, введя Exi t.
Следующая команда удалит несколько пользователей, перечисленных через
запятые:
PS С : \Users \Administrator> Remove-ADGroupMemЬer -Icientity » IT
Administrators » -Member SCorso, SRed
Confirm
Are you sure you want to perform this action?
Performing operation «Set » on Target «CN=IT P.dministrators , OU=Security
Groups, OU=BigFirm, DC=Ьigfirm, DC=com» .
[У] Yes [А] Yes to All [N] No [L] No to All [S] Suspend [ ? ] Help
(default is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие?
Выполнение операции «Set » на цели «CN=IT Administra tors , OU=Securi ty
Groups, OU=BigFirm, DC=Ьigfirm, DC=com «.
[ У] Да {А] Да для всех [NJ Нет [L] Нет для всех [SJ Приостановить [ ?] Справка
(по умолчанию «У») :
Имена пользователей scorso и SRed разделены запятой. Подобным образом
можно добавлять множество пользователей или даже групп.
Может понадобиться удалить множество пользователей или групп, используя
результаты поиска какого-то вида. В приведенном ниже примере с помощью ко
мандлета Get-ADUser находятся все пользователи в организационной единице
\BigFirrn\Users и удаляются из группы IT Administrators:
PS C : \Users\Adrninistrator> Remove-ADGroupMember «IT Adrninistrators»
-Member (Get-ADUser -Filter ‘ Narne -like » * » ‘
-SearchBase «OU=Users, OU=BigFirm, DC=Ьigfirm, DC=com»)
Confirm
Are you sure you want to perform this action?
Performing operation «Set» on Target «CN=IT Adrninistrators, OU=Security
Groups , OU=Bigfirm, DC=Ьigfirm, DC=com» .
[У] Yes [А] Yes to All [NJ No [LJ No to All [SJ Suspend [ ? ] Help
(default is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Set» на цели «CN=IT Administra tors, OU=Securi ty
Groups , OU=BigFirm, DC=Ьigfirm ,DC=com » .
[ У] Да [А] Да для всех [N] Нет [L] Нет для всех [S] Приостановить [ ?] Справка
(по умолчанию «У») :
Как видите, значение для флага -MernЬer не указывается. Вместо этого вы ис
пользуете вложенный командлет Get-ADUser. Он находит всех пользователей, под
лежащих удалению, и результат передается командлету Remove-ADGroupMernЬer.
Если вы подтвердите выполнение действия, все пользователи в организационной
единице \BigFirrn\Users будут удалены из группы IT Administrators.
Здесь имеется похожее затруднение, как во время применения такого же подхода
с запросом при добавлении пользователей в группу. Если любой из результирующих
объектов вложенного запроса Get-ADOser не является членом указанной группы,
потерпит неудачу вся операция Rernove-ADGroupMember. Таким образом, если вы
запросите всех пользователей в организационной единице \BigFirm\Users и один
из них не находится в данный момент внутри группы rт Adrninistrators, то опе
рация удаления завершится неудачей.
Возможно, необходимо удалить всех членов из группы. Для этого потребует
ся запросить члены группы и вложить эту команду в команду удаления членов из
группы:
PS C: \Users\Administrator> Remove-ADGroupMember «IT Adrninistrators»
-MemЬer (Get-ADGroupMember «IT Administrators» )
Confirm
Are you sure you want to perform this action?
Performing operation «Set» on Target «CN=IT Adrninistrators, OU=Security
Groups, OU=BigFirm, DC=bigfirm, DC=com» .
[У] Yes [А] Yes to All [N] No [L] No to All [S] Suspend [ ? ] Help
(defaul t is «У» ) :
Подтверждение
Вы уверены, что хотите выполнить это действие ?
Выполнение операции «Se t » на цели «CN=IT Adminis tra tors , OU=Securi ty
Groups , OU=BigFirm , DC=bigf irm, DC=com «.
{У] Да {А] Да для всех {N] Нет {L] Нет для всех {S] Приостановить { ?] Справка
(по умолчанию «У») :
С помощью командлета Get-ADGroupMember извлекаются все члены группы
IT Administrators. Данный запрос вложен в команду Remove-ADGroupMemЬer и
возвратит результаты как значение мя флага -MemЬer команды.
Это дает много способов мя создания группы, используя PowerShe\l, добавления
в нее членов, запрашивания членства и удаления членов. Осталось только взглянуть
на то, как удалять группу.
Удаление группы
Удаление группы — очень простая задача. Необходимо запустить командлет
Remove-ADGroup и указать имя группы:
PS С: \Users\Adrninistra’:or> Remove-ADGroup «IT Adrninistrators»
Confirm
Are you sure you want to perform this action?
Performing operation «Remove» on Target «CN=IT
Aciministrators, OU=Security
Groups, OU=BigFirm, DC=bigfirm, DC=com» .
[У] Yes [А] Yes to All [NJ No [LJ No to All [SJ Suspend ( ? ] Help
(default is «У» ) :
Лодтверж.пение
Вы уверены, что хотите выполнить это действие?
Выполнение операции «Remove » на цели «CN=IT Administra tors , OU=Securi ty
Groups , OU=BigFirm , DC=Ьigfirm, DC=com » .
[У] Да [А] Да для всех [N] Нет [L] Нет для всех {S] Приостановить { ?] Справка
(по умолчанию «У») :
Здесь удаляется группа IT Administrators. При этом не имеет значения, со
держит ли группа какие-то члены или нет — она будет удалена. Убедитесь, что эта
группа больше не нужна. Не забывайте, что вы не сможете просто воссоздать группу
и тем самым восстановить все назначенные разрешения, поскольку идентификатор
SID, присвоенный старой группе, является глобально уникальным.
Наконец, раздел, посвященный модулю Active Directory для Windows PowerShell,
завершен. Поначалу этот модуль казался сложным в применении. Конечно, в не
больших средах использование PowerShell может не дать ощутимых преимуществ,
но это, чему вы должны научиться. В средах среднего размера вы обнаружите, что
применение PowerShe\l обеспечит более быстрое получение результатов. В крупных
средах вы сочтете PowerShell средством, с помощью которого появляется возмож
ность выполнять сложные операции очень быстро и с минимальными усилиями.
Один из самых важных аспектов администрирования сервера под управлением Windows Server 2012 — это управление пользователями. Учетные записи пользователей играют ключевую роль в обеспечении безопасности системы и предоставлении прав доступа к ресурсам сервера. В этой статье мы предоставим вам полезные советы и инструкции по управлению пользователями в Windows Server 2012.
Первый шаг в управлении пользователями — это создание учетной записи пользователя. Для этого вы можете воспользоваться инструментом «Учетные записи пользователей и группы локальной безопасности», который можно найти в «Панели управления». Создавая учетную запись, укажите имя пользователя, пароль, указывающий на строгие требования к безопасности, и назначьте соответствующие группы, в которые пользователь будет включен.
Однако просто создание учетной записи пользователя недостаточно. Вам необходимо управлять правами доступа пользователя к ресурсам сервера. В Windows Server 2012 есть несколько способов сделать это. Например, вы можете использовать инструмент «Учетные записи пользователей и группы локальной безопасности» для назначения различных разрешений на файлы и папки. Вы также можете использовать групповую политику для ограничения доступа пользователя к определенным приложениям или настройкам операционной системы.
Содержание
- Управление пользователями в Windows Server 2012
- Создание нового пользователя
- Назначение прав доступа пользователю
- Установка и смена пароля пользователя
- Установка пароля пользователя:
- Смена пароля пользователя:
- Управление группами пользователей
- Ограничение доступа пользователей к ресурсам
- Отслеживание активности пользователей
- Удаление пользователя из системы
Управление пользователями в Windows Server 2012
Система управления пользователями в Windows Server 2012 предоставляет администратору широкие возможности для организации и контроля доступа к ресурсам сервера. В данной статье будут рассмотрены основные инструменты и методы управления пользователями.
1. Создание пользователей:
- Для создания нового пользователя необходимо зайти в Административный центр Windows Server и выбрать раздел «Локальные пользователи и группы».
- В разделе «Пользователи» выберите команду «Создать нового пользователя».
- Укажите имя пользователя, пароль и другие необходимые данные.
- Подтвердите создание пользователя.
2. Назначение прав доступа:
- Для назначения прав доступа к определенным ресурсам необходимо выбрать пользователя в разделе «Локальные пользователи и группы».
- Откройте свойства пользователя и перейдите на вкладку «Членство в группах» или «Права пользователя».
- Добавьте пользователя в нужную группу или настройте его права доступа.
- Сохраните изменения.
3. Управление паролями:
- Для управления паролями пользователей выберите раздел «Локальные пользователи и группы» и откройте свойства нужного пользователя.
- Перейдите на вкладку «Общие» и выберите «Сбросить пароль».
- Установите новый пароль для пользователя.
- Сохраните изменения.
4. Установка ограничений:
- Для установки ограничений на использование ресурсов сервера выберите пользователя и откройте его свойства.
- Перейдите на вкладку «Сеансы» и настройте ограничения по времени, дисковому пространству и другим параметрам.
- Сохраните изменения.
5. Управление аккаунтами:
- Для управления аккаунтами пользователей выберите раздел «Локальные пользователи и группы» и откройте свойства нужного аккаунта.
- Перейдите на вкладку «Общие» и выберите «Включить/отключить аккаунт».
- Установите нужное состояние аккаунта (включен или отключен).
- Сохраните изменения.
6. Аудит действий пользователей:
- Для настройки аудита действий пользователей откройте «Политику аудита безопасности локальной Групповой политики» в разделе «Локальные пользователи и группы».
- Выберите нужные параметры аудита (например, вход в систему, изменение файлов и т.д.).
- Сохраните изменения.
Разработчики Windows Server 2012 предоставили администратору мощные инструменты для управления пользователями. Ознакомившись с основными методами и инструментами, вы сможете эффективно организовать и контролировать доступ пользователей к ресурсам сервера.
Создание нового пользователя
- Откройте Панель управления.
- Выберите раздел «Учетные записи пользователей».
- Нажмите на кнопку «Создание учетной записи».
- Введите имя нового пользователя.
- Выберите тип учетной записи – обычный пользователь или администратор. Обычному пользователю доступно меньше привилегий, а администратору предоставлены все права.
- Введите пароль для нового пользователя.
- Желательно установить срок действия пароля и требование смены пароля при первом входе.
- Нажмите на кнопку «Создание учетной записи», чтобы завершить процесс.
После создания нового пользователя его имя будет отображаться в списке учетных записей. Вы можете изменить параметры учетной записи или удалить ее, если это потребуется.
Теперь вы знаете, как создать нового пользователя в Windows Server 2012 через Панель управления. Это очень удобный способ добавить новый аккаунт и назначить ему необходимые права и настройки.
Назначение прав доступа пользователю
Права доступа позволяют определить, какие действия пользователь может выполнять с файлами, папками и другими ресурсами на сервере. Назначение прав доступа пользователю осуществляется для обеспечения безопасности данных и ограничения доступа к конфиденциальной информации.
При назначении прав доступа можно указать следующие действия, которые пользователь может выполнять:
- Чтение (Read): пользователь может просматривать содержимое файла или папки, но не может изменять его.
- Запись (Write): пользователь может создавать новые файлы или папки и редактировать существующие.
- Изменение (Modify): пользователь может изменять содержимое файла или папки, но не может удалять ее или изменять права доступа.
- Полный доступ (Full Control): пользователь имеет полные права для выполнения любых операций с файлом или папкой, включая изменение прав доступа других пользователей.
Необходимо учитывать, что назначение прав доступа следует осуществлять с учетом принципа «не превышайте необходимого». То есть каждому пользователю следует назначать только те права, которые необходимы для выполнения его задач и работы с конкретными ресурсами.
С помощью прав доступа можно также организовать иерархию доступа к данным. Например, можно создать группы пользователей с определенными правами и назначать доступ к различным папкам и файлам группам пользователей, вместо назначения прав доступа каждому пользователю индивидуально.
Важно регулярно проверять и обновлять назначенные права доступа, особенно при появлении новых пользователей или изменении условий работы. Это позволит поддерживать безопасность данных и предотвратить несанкционированный доступ.
Для назначения прав доступа пользователю в Windows Server 2012 необходимо открыть свойства файла или папки, перейти на вкладку «Безопасность» и добавить или удалить пользователей в списке с указанием соответствующих прав доступа.
Правильное назначение прав доступа пользователю является важным аспектом обеспечения безопасности данных и эффективной работы в Windows Server 2012.
Установка и смена пароля пользователя
Установка пароля пользователя:
- Откройте управление пользователями, нажав Win + X и выбрав «Панель управления».
- Перейдите в раздел «Учетные записи пользователей» и выберите нужного пользователя.
- Нажмите на кнопку «Создание пароля».
- Введите новый пароль в поле «Пароль» и повторите его в поле «Подтверждение пароля».
- Нажмите на кнопку «Создать пароль».
Смена пароля пользователя:
- Откройте управление пользователями, нажав Win + X и выбрав «Панель управления».
- Перейдите в раздел «Учетные записи пользователей» и выберите нужного пользователя.
- Нажмите на кнопку «Сменить пароль».
- Введите текущий пароль в поле «Старый пароль».
- Введите новый пароль в поле «Новый пароль» и повторите его в поле «Подтверждение пароля».
- Нажмите на кнопку «Сменить пароль».
После успешной установки или смены пароля пользователя, он может использовать новый пароль при входе в систему.
Управление группами пользователей
Для создания новой группы пользователей необходимо следовать следующим шагам:
- Откройте Панель управления.
- Выберите раздел «Учетные записи пользователей» или «Учетные записи компьютеров» в зависимости от того, на каком уровне хотите создать группу пользователей.
- Нажмите на опцию «Создать группу».
- Введите имя группы и описание, если необходимо.
- Нажмите кнопку «Создать», чтобы завершить процесс создания группы пользователей.
После создания группы пользователей можно приступить к управлению ее членами и разрешениями:
- Выберите созданную группу пользователей в списке.
- Нажмите на опцию «Свойства группы» или «Участники группы», чтобы добавить или удалить пользователей из группы.
- Используйте вкладку «Разрешения» для установки разрешений для группы пользователей на различные ресурсы в сети.
Управление группами пользователей позволяет значительно упростить задачу управления пользователями в Windows Server 2012. Создание групп, добавление пользователей и назначение разрешений становится более эффективным и удобным.
Ограничение доступа пользователей к ресурсам
В Windows Server 2012 есть несколько способов ограничить доступ пользователей к различным ресурсам. Это позволяет управлять безопасностью и защитить важные данные.
Один из способов — это использование разрешений и атрибутов безопасности. С помощью разрешений можно установить, какие действия пользователи могут выполнять с определенными файлами и папками. Например, вы можете разрешить пользователям только чтение или запретить им изменение или удаление файлов.
Другой способ — это использование групповой политики. Групповая политика позволяет установить определенные правила и ограничения для групп пользователей. Например, вы можете запретить доступ к определенным программам или функциям операционной системы.
Также в Windows Server 2012 есть возможность установить ограничения на использование ресурсов системы. Например, вы можете ограничить количество выделенной оперативной памяти или процессорного времени для определенного пользователя или группы пользователей.
Все эти способы позволяют очень гибко настраивать доступ пользователей к ресурсам и обеспечивать безопасность системы и данных. Они могут быть использованы как отдельно, так и в комбинации друг с другом, в зависимости от конкретных требований и потребностей.
Отслеживание активности пользователей
Windows Server 2012 предоставляет несколько способов отслеживания активности пользователей:
1. Аудит объектов домена
С помощью функции аудита объектов домена администраторы могут отслеживать различные события, такие как вход в систему, попытку доступа к файлам или папкам, изменение учетных записей пользователей и групп, и другие события, которые могут быть важными для безопасности системы.
2. Использование журналов аудита
Windows Server 2012 имеет функцию журналов аудита, которая позволяет администраторам отслеживать и анализировать записи аудита для определенных действий пользователей. Это может быть полезным при расследовании нарушений безопасности или проведении аудита системы.
3. Мониторинг сетевого трафика
Дополнительным способом отслеживания активности пользователей в Windows Server 2012 является мониторинг сетевого трафика. С помощью специальных инструментов администраторы могут отслеживать сетевую активность пользователей, включая передачу данных, доступ к ресурсам и другие действия.
Важно отметить, что при отслеживании активности пользователей необходимо соблюдать принцип прозрачности и соблюдать правила конфиденциальности. Действия администраторов должны быть соответствующими и обоснованными.
Удаление пользователя из системы
Для удаления пользователя из Windows Server 2012, следуйте этим шагам:
- Откройте «Панель управления» и выберите «Системы и безопасность».
- В разделе «Администрирование» щелкните на ссылке «Учетные записи пользователей».
- В списке пользователей найдите пользователя, которого хотите удалить, и щелкните на него правой кнопкой мыши.
- В контекстном меню выберите «Удалить».
- Подтвердите удаление пользователя, нажав «OK».
После этого учетная запись пользователя будет удалена из системы Windows Server 2012. Важно отметить, что при удалении пользователя будут также удалены все его файлы и папки.
Windows Server 2012 является одной из наиболее популярных операционных систем для предоставления надежной и безопасной среды на серверах. Однако, несмотря на все преимущества этой платформы, без должной настройки прав доступа, система может стать уязвимой к атакам и утечкам данных.
Настройка прав доступа в Windows Server 2012 – это процесс, который позволяет администраторам задать различные уровни доступа к ресурсам, файлам и папкам в системе. Правильная конфигурация прав доступа позволяет предотвратить несанкционированный доступ, уменьшить риск утечки информации и обеспечить защиту важных данных.
Основные рекомендации по настройке прав доступа в Windows Server 2012 включают следующие меры безопасности:
1. Ограничение количества учетных записей администратора. Важно ограничить доступ к учетным записям, имеющим полные права администратора. Рекомендуется создать ограниченное количество учетных записей администратора и только при необходимости предоставлять им полные права в системе.
2. Применение принципа «наименьших привилегий». Важно предоставлять пользователю только необходимые права доступа, минимизируя риск возможного воздействия от его активности в системе.
3. Установка паролей на учетные записи. Для повышения безопасности системы необходимо установить сложные пароли на все учетные записи. Пароли должны быть уникальными и регулярно меняться.
Содержание
- Настройка прав доступа в Windows Server 2012: основные принципы
- Установка и активация Windows Server 2012
- Создание пользователей в Windows Server 2012: шаги и настройки
- Назначение разрешений на файлы и папки: настройки безопасности
- Управление группами пользователей: рекомендации и методы настройки
- Настройка прав доступа к ресурсам в локальной сети: сетевые шары и печать
Настройка прав доступа в Windows Server 2012: основные принципы
Принцип | Описание |
---|---|
Принцип наименьших привилегий | Пользователям должны предоставляться только необходимые права доступа для выполнения их работы. Избегайте предоставления административных прав доступа пользователям, чья работа не требует таких привилегий. |
Принцип разграничения доступа | Разграничение доступа означает предоставление каждому пользователю только тех прав доступа, которые необходимы ему для выполнения своих задач. Это позволяет избежать потенциальных угроз безопасности, таких как несанкционированный доступ к данным или изменение конфиденциальных настроек. |
Принцип регулярного обновления | Важно регулярно проверять и обновлять права доступа на сервере Windows Server 2012. Это позволит предотвратить накопление ненужных или устаревших прав, а также поддерживать актуальный уровень безопасности. |
Принцип проверки доступа | Периодически следует проверять и анализировать текущие права доступа для идентификации возможных проблем безопасности. Это включает проверку назначенных прав, а также обнаружение и удаление неиспользуемых учетных записей. |
Принцип минимизации прав | При настройке прав доступа следует учитывать принцип минимизации прав, который заключается в предоставлении пользователям только необходимых прав доступа для осуществления их работы. Это уменьшает риски несанкционированного доступа и повышает безопасность системы. |
Соблюдение данных принципов при настройке прав доступа в Windows Server 2012 поможет обеспечить безопасность сервера и защитить данные от несанкционированного доступа.
Установка и активация Windows Server 2012
Для установки Windows Server 2012 необходимо выполнить следующие шаги:
- Подключите установочный носитель с Windows Server 2012 к серверу.
- Перезагрузите сервер и выберите загрузку с установочного носителя.
- Выберите язык установки, формат времени и клавиатуры.
- Нажмите кнопку «Установить сейчас».
- Примите лицензионное соглашение и нажмите «Далее».
- Выберите тип установки (Чистая установка или Обновление).
- Выберите раздел для установки Windows Server 2012 и нажмите «Далее».
- Дождитесь завершения процесса установки.
- После завершения установки система автоматически перезагрузится.
После установки Windows Server 2012 необходимо активировать систему, чтобы получить полный доступ ко всем функциям. Для активации выполните следующие шаги:
- Откройте «Системные настройки» через пункт «Пуск» и «Панель управления».
- Выберите вкладку «Активация» и нажмите кнопку «Изменить ключ продукта».
- Введите ключ продукта Windows Server 2012 и нажмите «Далее».
- Дождитесь завершения процесса активации.
- После успешной активации вы получите уведомление об успешной активации.
После установки и активации Windows Server 2012 можно приступать к настройке прав доступа и управлению сервером.
Создание пользователей в Windows Server 2012: шаги и настройки
Создание пользователей в операционной системе Windows Server 2012 позволяет администратору предоставить индивидуальные учетные записи и соответствующие права доступа для каждого пользователя в сети. В этом разделе мы рассмотрим основные шаги и настройки при создании пользователей.
1. Открытие управления пользователями
Для создания нового пользователя необходимо открыть Управление пользователями. Это можно сделать следующим образом:
- Щелкните правой кнопкой мыши по значку «Пуск» в левом нижнем углу рабочего стола.
- В контекстном меню выберите пункт «Управление».
- В окне «Управление» найдите и щелкните на пункте «Инструменты администрирования».
- В списке инструментов администрирования выберите пункт «Управление пользователями».
2. Создание нового пользователя
После открытия Управления пользователями вы можете приступить к созданию нового пользователя:
- Щелкните правой кнопкой мыши по области «Пользователи», расположенной в левой части окна Управление пользователями.
- В контекстном меню выберите пункт «Новый пользователь».
- В появившемся окне «Новый пользователь» заполните необходимые поля, включая имя пользователя, пароль и описание.
- После заполнения полей нажмите кнопку «Создать».
3. Настройка параметров пользователя
После создания нового пользователя вы можете настроить различные параметры его учетной записи:
- Щелкните правой кнопкой мыши по имени нового пользователя в области «Пользователи».
- В контекстном меню выберите пункт «Свойства».
- В появившемся окне «Свойства пользователя» вы можете настроить такие параметры, как полное имя пользователя, адрес электронной почты, группы, в которых пользователь находится, и другие.
- После внесения необходимых изменений нажмите кнопку «ОК», чтобы сохранить настройки.
Обратите внимание, что для создания пользователей в Windows Server 2012 вам понадобятся права администратора.
Создание пользователей и настройка их параметров в Windows Server 2012 позволяет гибко управлять доступом к ресурсам сети и повышает безопасность системы. Следуйте указанным выше шагам, чтобы создать новых пользователей и настроить их учетные записи в соответствии с потребностями вашей организации.
Назначение разрешений на файлы и папки: настройки безопасности
Для настройки безопасности файлов и папок в Windows Server 2012 используется механизм контроля доступа на основе списков учётных записей (Access Control Lists, ACL). Разрешения ACL позволяют определить различные уровни доступа к файлам и папкам для пользователей, групп пользователей или служб.
При настройке прав доступа необходимо учитывать следующие рекомендации:
- Не предоставляйте ненужные разрешения. Назначайте только те права, которые необходимы для выполнения задачи пользователем или группой.
- Следите за принципом «принципа наименьших привилегий». То есть, пользователи должны иметь только минимальные права доступа к файлам и папкам, необходимые для их работы.
- Используйте группы пользователей для упрощения настройки прав доступа. Разрешения назначаются на группы, а не на отдельные учётные записи.
- Отслеживайте использование унаследованных разрешений. Установите только необходимые разрешения на папки и файлы, чтобы не допускать возможности несанкционированного доступа.
- Не используйте общие разрешения. Назначение общих разрешений может привести к нежелательному общему доступу к файлам и папкам.
Рекомендации по настройке прав доступа помогут обеспечить безопасность данных и предотвратить потенциальные угрозы.
Управление группами пользователей: рекомендации и методы настройки
Группы пользователей представляют собой удобный способ для организации и управления доступом к ресурсам на сервере. В данном разделе мы рассмотрим основные рекомендации и методы настройки групп пользователей в Windows Server 2012.
1. Создание групп пользователей
Перед настройкой прав доступа необходимо создать необходимые группы пользователей. Рекомендуется создавать группы на основе функциональных ролей и определенных прав доступа. Например, вы можете создать группу «Администраторы», «Модераторы», «Пользователи» и т.д. Это позволит упростить процесс назначения прав и контроля доступа.
2. Назначение прав доступа
После создания групп пользователей необходимо назначить им определенные права доступа к ресурсам. Для этого можно использовать инструменты управления группами, доступные в Windows Server 2012. Например, можно использовать «Учетные записи и группы локальных пользователей и компьютеров», чтобы назначить пользователям определенные группы и настроить их права доступа.
3. Ограничение доступа
Кроме назначения прав доступа, также рекомендуется ограничить доступ к определенным ресурсам или папкам. Для этого можно использовать фильтрацию доступа по группам пользователей. Например, вы можете установить разрешения на папку так, чтобы только определенные группы имели доступ к ней. Это позволит улучшить безопасность и управление ресурсами на сервере.
4. Регулярное обновление прав доступа
Права доступа могут меняться в течение времени, поэтому рекомендуется регулярно обновлять их. Для этого можно применить аудит доступа к ресурсам и анализировать результаты. Также стоит регулярно проверять права доступа групп пользователей и, при необходимости, вносить изменения.
5. Документирование настроек прав доступа
Для удобства управления правами доступа рекомендуется документировать все настройки. Например, можно создать таблицу с перечислением групп пользователей и их правами доступа к ресурсам. Это поможет в случае потери данных или необходимости быстро восстановить настройки прав.
В конечном итоге, управление группами пользователей является важной частью обеспечения безопасности и удобства администрирования сервера. Следуя рекомендациям и методам настройки, вы сможете эффективно управлять правами доступа и предотвратить несанкционированный доступ к ресурсам.
Настройка прав доступа к ресурсам в локальной сети: сетевые шары и печать
Основным инструментом для настройки прав доступа к сетевым шарам и принтерам является Диспетчер файлов. Чтобы открыть Диспетчер файлов, нужно выполнить следующие действия:
- Нажмите сочетание клавиш Win + E, чтобы открыть Проводник.
- В левой части окна Проводника найдите и выберите Управление файлами.
- В открывшемся меню выберите Диспетчер файлов.
После открытия Диспетчера файлов выполните следующие шаги для настройки прав доступа:
- Выберите сетевой шару или принтер, для которого нужно настроить доступ.
- Нажмите правой кнопкой мыши и выберите Свойства.
- В открывшемся окне Свойства выберите вкладку Безопасность.
- Нажмите на кнопку Редактировать.
- Добавьте или удалите пользователей или группы в списке доступа, указав нужные разрешения.
- Нажмите ОК, чтобы сохранить изменения.
Также, помимо Диспетчера файлов, можно использовать Групповые политики для настройки прав доступа к ресурсам в локальной сети. Групповые политики позволяют централизованно управлять правами доступа для всех пользователей или групп в домене.
Для настройки групповых политик выполните следующие действия:
- Откройте Групповые политики с помощью команды gpedit.msc в строке поиска меню Пуск или через Консоль управления.
- Перейдите к разделу Конфигурация компьютера > Параметры Windows > Безопасность > Параметры локальной политики > Назначение прав.
- Выберите нужную политику для настройки прав доступа и откройте ее для редактирования.
- Установите необходимые значения разрешений для пользователей или групп в поле Безопасное наследование или других полей, в зависимости от требуемых настроек.
- Сохраните изменения и закройте Групповые политики.
Настройка прав доступа к ресурсам в локальной сети позволяет обеспечить безопасность данных и контроль над доступом пользователей. Следуя указанным рекомендациям, вы сможете эффективно управлять доступом к сетевым шарам и принтерам в вашей сети.
Время на прочтение
6 мин
Количество просмотров 32K
На WindowsITPro вышла интересная статья Windows Server 2012 Active Directory Security Changes, посвященная ключевым изменениям Active Directory в Windows Server 2012.
Статья большая, поэтому я решил разбить ее на две части. В первой части мы остановимся на динамическом контроле доступа (Dynamic Access Control), который представляет собой большой шаг вперед в модели авторизации в Windows и Active Directory. Во второй части будут рассмотрены другие изменения в AD Server 2012, которые касаются вопросов безопасности, а именно:
- Новые функции управления безопасностью в ADAC (графический интерфейс корзины AD и гранулярных политик паролей),
- Сервисные учетные записи, управляемые группами (Group Managed Service Accounts)
- Первичные компьютеры.
Хочу отметить, что язык статьи достаточно сложный, поэтому перевод местами может хромать. Прошу заранее извинить за это.
Динамический контроль доступа: все дело в заявках
Динамический контроль доступа представляет собой наиболее фундаментальное изменение в плане безопасности, которое включено в Server 2012. Динамический контроль доступа интегрирует в себе модель контроля доступа на основе заявок (claims-based access control — CBAC) с моделью ОС Windows и AD. Заявки (claims) представляют собой своеобразные утверждения о пользователях или устройствах (например, “Имя моей учетной записи JanDC”, “Я состою в отделе продаж” и т.д.), которые выпускаются доверенными источниками (trusted authority). Microsoft впервые представила CBAC в Active Directory Federation Services v 1.0 (ADFS v1) в Windows Server 2003.
Заявки могут представить гибкий механизм для обмена доверенными идентификационными атрибутами между ADFS серверами. Организации теперь могут использовать заявки для защиты данных в файле и папке, хранящихся на доменных (domain-joined) машинах под Windows Server 2012 или Windows 8. Контроллеры домена в Server 2012 могут выпускать заявки (claim statements) в ходе аутентификации пользователя или машины; осуществляется это путем включения заявки в аутентификационный билет (authentication ticket) пользователя или машины. (Более подробная информация о заявках и том, как Microsoft использует их, находится на MSDN A Guide to Claims-based Identity and Access Control.)
Динамический контроль доступа основан на нескольких новых и усовершенствованных функциях авторизации данных в Windows, которые предназначены для:
- Классификации и тегирования данных
- Применения настроек контроля доступа на основе заявок (CBAC)
- Аудита доступа к данным
- Шифрования данных.
С точки зрения разработчиков в динамический контроль доступа были внесены многочисленные изменения в ключевые компоненты, службы и протоколы Windows. Они касаются AD, объектов групповых политик, DNS, Kerberos, Local Security Authority (LSA) и Netlogon процессов, равно как и такие сетевых протоколов как Server Message Block (SMB), LDAP и удаленный вызов процедур (remote procedure call – RPC). Microsoft привнесла несколько изменений в Server 2012, которые были обусловлены появлением динамического контроля доступа:
- Расширение логики контролера домена и Kerberos Key Distribution Center (KDC) для того, чтобы активировать выпуск заявок и токенах аутентификации (authentication tokens)
- Изменение формата токена Kerberos для осуществления транспортировки заявок
- Добавлены альтернативные потоки данных (alternate data streams — ADS) в NTFS, добавлена поддержка кастомных свойств для файлов и папок
- Включено хранение конфиденциальных выражений в ACL файла и папки для осуществления гибкого контроля доступа и настройки аудита
- Расширена схема AD, что теперь позволяет осуществлять централизованное хранение свойств и политик динамического контроль доступа.
Политики центрального доступа
Динамический контроль доступа может использовать AD для хранения политик центрального доступа (central access policies — CAP); делается это для того, чтобы применить эти политики к членам домена. В диалоговом окне Advanced Security Settings для папок была добавлена вкладка Central Policy (показано на рисунке 1). Из этой вкладки, администраторы могут выбрать политику центрального доступа (CAP), которую они хотят присвоить заданной папке. Теперь можно задавать политику доступа к файлам и папкам в вашем домене или лесе, основываясь на значениях стандартных и кастомных атрибутов ваших объектов AD (пользователи или компьютеры). Например, вы можете отказать пользователю в доступе к сетевой папке на файловом сервере, если атрибут Department пользовательского объекта AD не содержит значение “Sales» или «Marketing.» Эта гибкая логика авторизации очень отличается от той логики, которая была раньше (SID пользователя и группы).
Центральные политики доступа (CAP) можно задать из контейнера динамического контроля доступа (DAC), который представлен в обновленном Active Directory Administrative Center (ADAC), что показан на рисунке 2, или c помощью PowerShell комендлетов. С помощью тех же инструментов можно активировать поддержку заявок (claim statements) для объектов AD (пользователи и компьютеры) и добавить значения этим атрибутам. Контроллер домена Server 2012 добавит заявки (claim statements) к токенам авторизации пользователя и компьютера только в том случае, если атрибуты этих объектов действительно содержат информацию и связаны с активированным типом заявки. Перед тем как ваш контроллер домена в Windows Server 2012 сможет выпускать заявки, эту фунцию необходимо включить; имейте ввиду, что КД в Server 2012 по умолчанию не активны для использования CBAC. Чтобы включить CBAC, используйте настройку объекта групповой политики Domain Controller support for Dynamic Access Control and Kerberos armoring в контейнере \Computer Configuration\Policies\Administrative Templates\System\KDC. Чтобы использовать объекты групповых политик для распространения CAP на ваши машины, вы можете использовать опцию объекта групповой политики Central Access Policy в контейнере \Computer Configuration\Policies\Windows Settings\Security Settings\File System.
Аудит доступа к файлам и папкам в Windows Server 2012
С введением динамического контроля доступа заявки можно гибко использовать не только для делегирования доступа к файлам и папкам, но и для аудита доступа к ним. Например, в Server 2012 мы можете настроить правило аудита для отслеживания всех пользователей, которым был предоставлен или запрещен доступ к папкам, которые помечены как “конфиденциальные” (свойство “confidential”). Чтобы централизованно задать настройки аудита для файлов и папок на основании заявок, используйте объект групповой политики Global Object Access Auditing, который Microsoft представила в Windows Server 2008 R2 и который теперь расширен с помощью динамического контроля доступа.
Администраторы могут задавать гибкие настойки контроля доступа и аудита доступа к файлам и папкам; это осуществлять как в качестве добавления, так и независимо от централизованно определённых CAP’ов. Были изменены диалоговые окна в Advanced Security Settings в Windows 8 и Server 2012, чтобым можно было задавать условные выражения (conditional expressions) при настройке авторизации и аудита файлов и папок. Рисунок 3 показывает этот новый интерфейс, иллюстрируя тем самым определение разрешения, которые включает условное выражение в папку, названную SharedData.
Классификация данных
Помимо аудита и контроля доступа Dynamic Access Control также дает новые гибкие механизмы классификации данных. Теперь можно добавить кастомные свойства файлу или папке, которые получили название свойства глобальных ресурсов (global resource properties); это осуществляется через диалоговые окна настроек аудита и контроля доступа. Снова, вы можете сделать то же самое с помощью ADAC или PowerShell командлетов. Чтобы распространить (propagate) эти кастомные свойства на ваши доменные компьютеры, Microsoft оснастила клиенты Windows 8 и Server 2012 специальными расширениями, которые используют LDAP, чтобы подключиться к AD и извлечь эти свойства. Эта новая функция классификации дает вам осуществлять гибкую классификацию данных на основе выбранных вами атрибутов и, соответственно, применять защиту.
Вы можете классифицировать файлы и папки вручную, используя вкладку Classification в свойствах файла или папки, как показано на рисунке 4. Эта вкладка появляется только в системах, в которых присутствует установленная функция Desktop Experience и которая хостит (host) File Server Resource Manager role service
Автоматизация процесса классификации файлов
Процесс классификации файлов можно автоматизировать, если использовать функцию File Classification Infrastructure (FCI). FCI была представлена в Server 2008 R2 и позволяет администраторам определять кастомные классификационные ярлыки (теги), устанавливать правила классификации и истечения ее срока и формировать отчеты по классификациям. Администраторы могут управлять FCI прямо из File Server Resource Manager (FSRM). FCI может быть использована с RMS Bulk Protection Tool, чтобы автоматически применять RMS защиту к файлам.
Это довольно короткое введение в динамический контроль доступа. Подробную информацию (настройка, конфигурирование, решение проблем) можно найти в white paper от Microsoft («Understand and Troubleshoot Dynamic Access Control in Windows Server 8 Beta».)