Как установить Active directory в windows server 2008R2 / Как установить контроллер домена
Как установить Active directory в windows server 2008R2 / Как установить контроллер домена
Добрый день уважаемые читатели блога pyatilistnik.org, сегодня хочется рассказать в данной статье как установить контроллер домена. Когда то я тоже начинал мечтать об админстве, и на первой же работе я увидел, что же такое AD, осознал всю мощь MS :). Шло время я немного вырос в своих глазах в профессиональном плане и решил сделать тестовый стенд, о том как его делать будет отдельная статья, и первое что я решил попробовать поставить свой домен.
Когда вы уже поставили windows server 2008R2 все обновили настроили статику назвали свой компьютер как нужно (об этом тут), у меня это будет для примера DC, то можно приступать.
Как установить active directory
Открываем Диспетчер сервера, это централизованный и краеугольный инструмент Microsoft по добавлению ролей, но все тоже самое можно сделать и через powershell. Нажимаем добавить роли
Откроется мастер со справочной информацией, жмем далее. Советую сразу поставить снизу галку, пропустить эту страницу, я сомневаюсь, что вы будите ее читать.
как установить active directory
Выбираем Доменные службы Active Directory.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-03
Дальше мастер скажет, что нужно поставить компоненты NET.Framework 3.5.1, жмем добавить
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-04
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-05
В следующем окне нас подробно познакомят c Active directory, жмем ДАлее
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-06
Жмем установить. Процесс быстрый буквально пару минут.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-07
Видим, что Active Directory установилась успешно
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-08
После установки в диспетчере ролей мы видим ошибку и ее текст, мол введите в пуске dcpromo.exe и будут вам счастье, так и поступим.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-09
Открываем пуск и пишем dcpromo.exe
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-10
Дальше нас поприветствует мастер установки Active directory. Жмахаем Далее.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-11
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-12
Создаем новый домен в новом лесу.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-13
Придумываем имя нашего домена, я выбрал contoso.com в целях тестового тестирования, вам же хочу посоветовать прочитать статью как правильно выбрать имя домена Active Directory,
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-14
Начнется проверка уникальности имени нового леса.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-15
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-16
Выбираем режим работы домена windows server 2003 , я выбрал этот режим для того чтобы показать как поднимается режим работы, вы же выбирайте сразу 2008R2, чтобы получить все его преимущества о которых позже.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-17
Выбираем уровень леса тоже windows server 2003 по тем же причинам.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-18
Дальше нам скажут, что вам еще поставят DNS сервер. Жмем далее.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-19
Спросят про делегирование, жмем ДА.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-20
В следующем окне, нам покажут и предложат папки размещения Базы данных.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-21
Попросят придумать и ввести пароль Администратор, пароль должен включать в себя большую букву, маленькую и цифру и быть не менее 6 символов.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-22
Дальше мы можем посмотреть настройки и экспортировать их, могут пригодиться для файла автоматической установки, ставим галку перезагрузиться после выполнения.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-24
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-25
После перезагрузки посмотрим в диспетчере сервера какие события произошли и нет ли там ошибок.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-26
Иногда может получиться что сеть видится не как доменная, а как неопознанная. Это происходит когда в настройках ip прописывается днс сервер вида 127.0.0.1. Его нужно сменить на нормальный вида 10.10.10.1.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-27
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-28
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-29
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-30
После чего выключим и включим интерфейс, увидим что все ок и сеть определилась как доменная.
Как установить Active directory в windows server 2008R2 — Как установить контроллер домена-31
На этом роль можно считать полностью развернутой, простейшие вещи с Active directory мы разберем в следующей статье:) Так же если вы изначально задали неправильное имя контроллера домена и хотите его сменить то посмотрите Как переименовать контроллер домена в Windows Server 2008 R2-2 часть через утилиту netdom
Права и привилегии встроенных групп в Active Directory
Права и привилегии встроенных групп в Active Directory
Добрый день уважаемые читатели, мне очень часто задают вопрос по правам у групп контейнера Builtin в Active Directory, в этой статье я постараюсь на него ответить. Права пользователей позволяют пользователям и группам в компьютерной среде пользоваться особыми привилегиями и правами на вход в систему. Администраторы могут назначать права учетным записям группы или отдельных пользователей. Эти права позволяют пользователям выполнять конкретные действия, такие как интерактивный вход в систему или архивирование файлов и каталогов.
Для упрощения администрирования учетных записей пользователя назначить привилегии следует в первую очередь учетным записям группы, а не отдельным учетным записям пользователя. При назначении привилегий учетной записи групп пользователи автоматически получают эти привилегии, когда становятся членами этой группы. Этот метод администрирования привилегий значительно проще назначения отдельных привилегий каждой учетной записи пользователя в момент создания учетной записи.
Список Builtin Active Directory групп
Открывая оснастку ADUC (Active Directory пользователи и компьютеры) и видим в контейнере Builtin вот такой список групп, каждая их них имеет подробное описание по ее применению. Самыми используемыми на практике я могу выделить:
- Администраторы
- Администраторы Hyper-V
- Операторы архива
- Операторы настройки сети
- Серверы лицензий сервера терминалов
- Пользователи удаленного рабочего стола
В следующей таблице перечислены и описаны предоставляемые пользователю привилегии.
sysrtfm
Блог, инструкция системного администратора, форум, советы, помощь
Делегирование прав в Active Directory
Привет, сегодня, с позволения своего коллеги Дружкова Дмитрия (автора данной инструкции), поделюсь с Вами опытом делегирования административных полномочий для работы в Active Directory. Изначально задача заключается в том что бы предоставить ограниченные права рядовому сисадмину для администрирования Organization Unit (OU) отдельного филиала компании. Работать будем в WIndows Server 2008 R2.
Административные полномочия включают в себя полный доступ и распространяются на следующие объекты: Группа , Компьютер , Контакт , Общая папка , Подразделение , Пользователь , Принтер . Данные права доступа не распространяются на объект, на который непосредственно производится делегирование (например, права доступа на удаление контейнера отсутствуют).
Для делегирования полномочий на объект Active Directory необходимо иметь права доступа администратора на него.
1. Выделить требуемый объект и нажатием правой кнопкой мыши вызвать меню свойств (для этого в консоли «Active Directory – Пользователи и компьютеры» в меню «Вид» должен быть выбран пункт «Дополнительные компоненты» ). Выбрать пункт меню «Делегирование управления…»(рисунок 1).
2. В появившемся приветственном окне «Мастера делегирования управления» меню нажать кнопку «Далее» (рисунок 2).
3. В окне «Пользователи или группы» нажать кнопку «Добавить» и в появившемся меню выбрать требуемую группу безопасности или учётную запись (делегирование прав доступа на контейнер предпочтительно производить для доменной группы безопасности). После выбора всех требуемых учётных записей нажать «ОК» и «Далее» (рисунок 3).
4. В окне «Делегируемые задачи» выбрать «Создать особую задачу для делегирования» и нажать «Далее» (рисунок 4).
5. В окне «Тип объекта Active Directory» выбрать пункт меню «Только следующими объектами в этой папке:» и далее отметить следующие объекты:
· Группа объектов
· Компьютер объектов
· Контакт объектов
· Общая папка объектов
· Подразделение объектов
· Пользователь объектов
· Принтер объектов
Отметить пункты «Создать в этой папке выбранные объекты» и «Удалить из этой папки объекты».
Нажать кнопку «Далее» (рисунок 5).
6. В окне «Разрешения» оставить пункт меню «Общие» и выбрать «Полный доступ». Нажать «Далее» (рисунок 6).
7. В окне «Завершение мастера делегирования управления» нажать «Готово» (рисунок 7).