Active directory administrative center windows 10

Установка оснастки Active Directory в Windows 10

Одним из основных инструментов управления доменами Active Directory является оснастка «Active Directory — пользователи и компьютеры» Active Directory (ADUC).

Адаптер ADUC используется для выполнения типичных задач администрирования домена и управления пользователями, группами, компьютерами и организационными подразделениями в домене Active Directory.

По умолчанию консоль Active Directory — пользователи и компьютеры (dsa.msc) установлена на сервере, когда она продвигается на контроллер домена во время выполнения роли доменных служб Active Directory (AD DS).

Чтобы использовать оснастку ADUC в Windows 10, сначала необходимо установить Microsoft Remote Server Administration Tools (RSAT).

RSAT включает в себя различные инструменты командной строки, модули PowerShell и оснастки для удаленного управления серверами Windows, Active Directory и другими ролями и функциями Windows, которые работают на серверах Windows.

Как установить Active Directory — пользователи и компьютеры на Windows 10?

По умолчанию RSAT не установлен в Windows 10 (и других настольных операционных системах Windows).

Средства удаленного администрирования сервера (RSAT) позволяют ИТ-администраторам удаленно управлять ролями и компонентами в Windows Server 2016, 2012 R2, 2012, 2008 R2 с рабочих станций пользователей под управлением Windows 10, 8.1, 8 и Windows 7.

RSAT напоминает средства администрирования Windows Server 2003 Pack (adminpak.msi), который был установлен на клиентах под управлением Windows 2000 или Windows XP и использовался для удаленного управления сервером. RSAT не может быть установлен на компьютерах с домашними выпусками Windows.

Чтобы установить RSAT, у вас должна быть профессиональная или корпоративная версия Windows 10.

Вы можете загрузить последнюю версию средств удаленного администрирования сервера для Windows 10 (Версия: 1803 1.0, Дата публикации: 5/2/2018), используя следующую ссылку: https://www.microsoft.com/en-us/download/details .aspx? >

Совет. Как вы можете видеть, пакет RSAT доступен для последней версии Windows 10 1803.

WindowsTH-RSAT_WS_1709 и WindowsTH-RSAT_WS_1803 используются для управления Windows Server 2016 1709 и 1803 соответственно.

Если вы используете предыдущую версию Windows Server 2016 или Windows Server 2012 R2 / 2012/2008 R2, вам необходимо использовать пакет WindowsTH-RSAT_WS2016.

Выберите язык вашей версии Windows 10 и нажмите кнопку «Download».

В зависимости от битности вашей ОС выберите нужный файл * .msu:

• Для Windows 10 x86 — загрузите WindowsTH-RSAT_WS2016-x86.msu (69.5 MB);
• Для Windows 10 x64 — загрузите WindowsTH-RSAT_WS2016-x64.msu (92.3 MB);

Установите загруженный файл (Обновление для Windows KB2693643), дважды щелкнув по нему.

Установите загруженный файл (Обновление для Windows KB2693643), дважды щелкнув по нему.

После завершения установки RSAT вам необходимо перезагрузить компьютер.

Как включить службы Active Directory в Windows 10?

Остается активировать необходимую функцию RSAT.

1. Правой кнопкой на Start и выберите Control Panel
2. Выберите Programs and Features
3. На левой панели нажмите Turn Windows features on or off
4. Разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
5. Выберите AD DS Tools и нажмите OK.

Однако вы можете установить функцию AD из командной строки только с помощью этих трех команд:

Источник

Управление Active Directory, инструментарий администратора

Управление Active Directory, инструментарий администратора

Добрый день! Уважаемые читатели и гости, одного из крупнейших IT блогов на просторах рунета Pyatilistnik.org. В прошлый раз я вам подробно рассказал, как производится установка Active Directory в Windows Server 2019. Мало поставить AD нужно еще ей уметь управлять. В данной заметке я вам покажу весь инструментарий, который позволит вам производить администрирование Active Directory по всем направлениям. Данный набор утилит и оснасток просто обязан знать системный администратор и уметь его применять на практике в своей работе.

Список инструментов по управлению Active Directory

Когда люди говорят про администрирование доменных служб Active Directory, то у каждого в этом понятии свои представления со своими утилитами. Ниже я вам хочу подробно рассказать, о всех утилитах и инструментах. Среди инструментов администрирования службой Active Directory существуют как графические оснастки, так и утилиты командной строки или PowerShell, давайте с ними знакомиться.

• Оснастка «Active Directory Пользователи и компьютеры» (Active Directory Users and Computers) — Данная оснастка является краеугольной в инфраструктуре доменных служб AD. Ее так же называют еще сокращенно ADUC. В ней вы спокойно можете:

1. Создавать и полностью администрировать учетные записи пользователей, компьютеров и групп безопасности
2. Менять, сбрасывать пароли
3. Создавать организационные подразделения OU, для структурирования и выстраивания иерархической системы распределения учетных записей в AD. Делают это для правильного применения групповых политик и возможного делегирования. Когда на отдельную OU вы захотите дать права доступа и управления не администратору домена.
4. Просматривать атрибуты объектов. Атрибутов в схеме AD очень много и можно создавать и добавлять свои.

Выглядит оснастка «Active Directory Пользователи и компьютеры» вот так. В левом столбе у вас будет ваша иерархическая структура, состоящая из контейнеров и организационных подразделений OU.Выбрав нужную OU вы увидите список объектов, которые в ней находятся. Тут могут быть группы безопасности, контакты, пользователи и компьютеры. У встроенных записей уже сразу будет идти описание в виде назначения и тип.

• Центр администрирования Active Directory — данная оснастка управления появилась еще в Windows Server 2012 и построена она полностью на PowerShell. Компания Microsoft в момент продвижения своего нового языка управления, за счет данного центра администрирования показывала администраторам, как бы выглядела команда из графического GUI интерфейса в виде командлетов. Данная оснастка позволяет на выходе получать готовые команды. Так же вы тут сможете управлять из графического интерфейса политиками паролей Active Directory (PSO)

Данная оснастка будет чем-то напоминать «Диспетчер серверов» по внешнему виду. Будет с левой стороны отображать контейнеры и OU, по центру их содержимое, а справа панель с действиями.

• Оснастка Active Directory — Домены и доверие (Active Directory Domains and Trusts). Как не трудно догадаться, она позволяет управлять транзитивными, односторонними, двусторонними отношениями между различными доменами и серверами поддерживающими kerberos 5 и выше. Данную оснастку используют довольно редко, в основном между крупными и средними компаниями, когда нужно настроить авторизацию учетных записей одного домен в другом, или предоставить доступ к ресурсам одного домена из другого. Выглядит оснастка «Active Directory — Домены и доверие» вот так. В левой части у вас будет список ваших доменов и поддоменов. Открыв их свойства на вкладке «Отношения доверия» вы увидите список доменов, тип доверия и транзитивность. В свойствах каждой записи можно посмотреть и настроить направление доверия.

• Продолжаем рассматривать средства администрирования Active Directory, следующим инструментом у нас будет консоль управления AD — сайты и службы (Active Directory Site and Service). В задачи данной оснастки входит разделение ваших доменов и сайтов на сегменты репликации. По умолчанию контроллеры домена реплицируются каждые 15 минут, когда они находятся в одной локальной сети, то это не проблема, но представим себе ситуацию, что у вас есть головной офис и региональный, в каждом из офисов свои контроллеры. Канал между офисами сделан по VPN на Juniper или Cisco. Понятно, что это некая точка отказа и не у всех есть деньги на хорошую скорость, поэтому с репликами могут быть проблемы. Так же можете получиться такая ситуация, что пользователь из региона будет пытаться авторизоваться на контроллере домена из головного офиса, что повлечет задержки в его входе на компьютер, хотя у него под боком стоят свои контроллеры в локальной сети.

Для таких случаев и применяется оснастка «сайты и службы». Позволяя сегментировать по сетям сайты в которые будут входить свои локальные контроллеры домена, которые будут иметь приоритет при поиске пользователем DC при авторизации, если их не найдет, то пойдет в другой сайт. Выглядит оснастка управления вот так. Тут кстати можно задавать промежутки в репликации или же запустить ее вручную.

• Не могу не упомянуть оснастку «Схема Active Directory (Schema Active Directory)», благодаря которой у вас есть возможность не только просматривать текущую схему, классы и атрибуты, вы можете тут их создавать. Я вам уже описывал процесс создания нового класса и атрибута AD.

• Утилита ADSIEdit, она же редактор атрибутов Active Directory. Про данную утилиту я подробно уже рассказывал, советую почитать, если в нескольких словах, то в ее задачи входит в удобном виде дать пользователю инструмент по редактированию схемы, конфигурации или контекста именования. Тут вы можете менять нужные вам атрибуты у объектов AD, просматривать текущие и многое другое. Выглядит это вот так, слева вы все так же видите иерархию контейнеров, справа записи и в свойствах их атрибуты.

• Следующее средство управления Active Directory, это инструмент LDP.exe, входит в состав операционной системы. LDP — это бесплатный клиент протокола доступа к каталогам Light (LDAP) с графическим интерфейсом, который позволяет выполнять операции и поиск LDAP, а также просматривать метаданные. Напоминаю, что LDAP работает по порту 389.

• Еще одно средство администрирования AD, это Active Directory Replication Status Tool. Средство проверки состояния репликации Active Directory (ADREPLSTATUS) анализирует состояние репликации для контроллеров домена в домене или лесу Active Directory. ADREPLSTATUS отображает данные в формате, аналогичном REPADMIN / SHOWREPL * /CSV, импортированному в Excel, но со значительными улучшениями.

Конкретные возможности для этого инструмента включают в себя:

1. Выставлять ошибок репликации AD, возникающие в домене или лесу
2. Распределяет приоритеты по ошибкам, которые необходимо устранить, чтобы избежать создания устаревших объектов в лесах Active Directory.
3. Помогает администраторам и специалистам службы поддержки устранять ошибки репликации, используя ссылки на материалы по устранению неполадок репликации Active Directory в Microsoft TechNet
4. Разрешает экспорт данных репликации администраторам исходного или конечного домена или специалистам службы поддержки для автономного анализа.

Выглядит ADREPLSTATUS вот таким образом.

• Утилита командной строкиDSADD — это инструмент командной строки, встроенный начиная с Windows Server 2008. Он доступен, если у вас установлена ​​роль сервера доменных служб Active Directory (AD DS). Чтобы использовать dsadd , вы должны запустить команду dsadd из командной строки с повышенными привилегиями. Утилита позволяет создавать объекты в Active Directory (Пользователей, компьютеры, группы)

• Утилита командной строки DSGET — выводит вам свойства у объектов в базе AD. Когда не было еще командлетов, это было одно из моих любимых средств администрирования Active Directory

• Утилита командной строки DSMOD— позволяет вносить изменения в свойства объектов AD

• Утилита командной строки DSMOVE — позволяет перемещать объекты

• Утилита командной строки DSQUERY — позволяет делать поисковые запросы в базе данных AD

• Утилита командной строки DSRM — для удаления объектов в AD

• Утилита командной строки repadmin— это одно из главнейших средств, которое должен знать системный администратор. В большинстве случаев репликация Active Directory работает довольно хорошо. Однако, когда процесс репликации прерывается, устранение неполадок иногда может быть на удивление трудным. К счастью, операционная система Windows включает инструмент командной строки Repadmin, который можно использовать для диагностики (а в некоторых случаях и исправления) репликации Active Directory. Я уже приводил вам пример работы утилиты, когда мы проверяли репликацию на контроллерах домена.

• Утилиты командной строки redirusr и redircmp — первый инструмент позволяет переназначить контейнер по умолчанию для пользователей в Active Directory с «User» на нужный администратору. Инструмент redircmp делает то же самое, но для компьютеров. По умолчанию идет контейнер «Computers». Удобно менять месторасположение для компьютеров, для того, чтобы при вводе их в домен, к ним сразу применялись групповые политики, которые напомню к контейнерам не применяются, кроме изначально созданных.

• Утилита командной строки NTDSUTIL — это вторая по важности утилита по управлению AD. Она нужна для работы с базой данных Active Directory. NTDSUTIL мы использовали при захвате ролей FSMO, удаление неисправного контроллера домена, переместить базу AD или сжать базу данных, применений у нее очень много.

• Самое мощное средство для администрирования и управления Active Directory, это модуль со специальными командлетами PowerShell. Называется он «Модуль Active Directory для Windows PowerShell». Существует огромнейший пласт команд, который помогут вам автоматизировать и выжать из AD все соки, это незаменимое средство для массовых изменений настроек, поиска и выборки элементов.

• Утилита командной строки dcdiag. Как видно из названия она используется для поиска проблем в доменных службах. Утилита позволяет выполнить до 20 тестов над инфраструктурой Active Directory. DCDiag — анализирует состояние контроллеров домена в лесу или на предприятии и сообщает о любых проблемах, помогающих в устранении неполадок, она содержит подробные сведения о том, как выявлять ненормальное поведение в системе.

• Когда речь идет про управление Active Directory инфраструктурой, то нельзя обойти вниманием утилиты Марка Русиновича Sysinternals. Первый инструмент ADExplorer — это расширенный просмотрщик и редактор Active Directory (AD). Вы можете использовать AD Explorer для удобной навигации по базе данных AD, определения избранных местоположений, просмотра свойств и атрибутов объекта без необходимости открывать диалоговые окна, редактировать разрешения, просматривать схему объекта и выполнять сложные поиски, которые можно сохранить и повторно выполнить.AD Explorer также включает в себя возможность сохранять снимки базы данных AD для автономного просмотра и сравнения (Снапшоты AD). Когда вы загружаете сохраненный снимок, вы можете перемещаться и исследовать его, как если бы вы работали с действующей базой данных. Если у вас есть два снимка базы данных AD, вы можете использовать функцию сравнения AD Explorer, чтобы увидеть, какие объекты, атрибуты и разрешения безопасности изменились между ними. Удобно для расследования инцидентов по безопасности.

• Утилита администрирования ADInsight — это инструмент мониторинга в реальном времени LDAP (облегченный протокол доступа к каталогам), предназначенный для устранения неполадок клиентских приложений Active Directory. Используйте подробное отслеживание связей клиент-сервер Active Directory для решения проблем аутентификации Windows, Exchange, DNS и других проблем.ADInsight использует методы внедрения DLL для перехвата вызовов, которые приложения выполняют в библиотеке Wldap32.dll, которая является стандартной библиотекой, лежащей в основе API-интерфейсов Active Directory, таких как ldap и ADSI. В отличие от инструментов сетевого мониторинга, ADInsight перехватывает и интерпретирует все клиентские API, включая те, которые не приводят к передаче на сервер. ADInsight отслеживает любой процесс, в который он может загрузить свою трассируемую DLL, что означает, что ему не требуются административные разрешения, однако при запуске с правами администратора он также будет отслеживать системные процессы, включая службы Windows.
• Утилита командной строки AdRestore — утилита для восстановления удаленных объектов в AD. На текущий момент не актуальна, так как уже начиная с Windows Server 2008 R2 была реализована функция корзины Active Directory, которая легко справляется с восстановлением.
• Оснастка редактор управления групповыми политиками — позволяет применять политики на организационные подразделения и объекты находящиеся в них. Централизованное, массовое распространение настроек.

Источник