Active directory administrative center

Управление Active Directory, инструментарий администратора

Управление Active Directory, инструментарий администратора

Добрый день! Уважаемые читатели и гости, одного из крупнейших IT блогов на просторах рунета Pyatilistnik.org. В прошлый раз я вам подробно рассказал, как производится установка Active Directory в Windows Server 2019. Мало поставить AD нужно еще ей уметь управлять. В данной заметке я вам покажу весь инструментарий, который позволит вам производить администрирование Active Directory по всем направлениям. Данный набор утилит и оснасток просто обязан знать системный администратор и уметь его применять на практике в своей работе.

Список инструментов по управлению Active Directory

Когда люди говорят про администрирование доменных служб Active Directory, то у каждого в этом понятии свои представления со своими утилитами. Ниже я вам хочу подробно рассказать, о всех утилитах и инструментах. Среди инструментов администрирования службой Active Directory существуют как графические оснастки, так и утилиты командной строки или PowerShell, давайте с ними знакомиться.

• Оснастка "Active Directory Пользователи и компьютеры" (Active Directory Users and Computers) — Данная оснастка является краеугольной в инфраструктуре доменных служб AD. Ее так же называют еще сокращенно ADUC. В ней вы спокойно можете:

1. Создавать и полностью администрировать учетные записи пользователей, компьютеров и групп безопасности
2. Менять, сбрасывать пароли
3. Создавать организационные подразделения OU, для структурирования и выстраивания иерархической системы распределения учетных записей в AD. Делают это для правильного применения групповых политик и возможного делегирования. Когда на отдельную OU вы захотите дать права доступа и управления не администратору домена.
4. Просматривать атрибуты объектов. Атрибутов в схеме AD очень много и можно создавать и добавлять свои.

Выглядит оснастка "Active Directory Пользователи и компьютеры" вот так. В левом столбе у вас будет ваша иерархическая структура, состоящая из контейнеров и организационных подразделений OU.Выбрав нужную OU вы увидите список объектов, которые в ней находятся. Тут могут быть группы безопасности, контакты, пользователи и компьютеры. У встроенных записей уже сразу будет идти описание в виде назначения и тип.

• Центр администрирования Active Directory — данная оснастка управления появилась еще в Windows Server 2012 и построена она полностью на PowerShell. Компания Microsoft в момент продвижения своего нового языка управления, за счет данного центра администрирования показывала администраторам, как бы выглядела команда из графического GUI интерфейса в виде командлетов. Данная оснастка позволяет на выходе получать готовые команды. Так же вы тут сможете управлять из графического интерфейса политиками паролей Active Directory (PSO)

Данная оснастка будет чем-то напоминать "Диспетчер серверов" по внешнему виду. Будет с левой стороны отображать контейнеры и OU, по центру их содержимое, а справа панель с действиями.

• Оснастка Active Directory — Домены и доверие (Active Directory Domains and Trusts). Как не трудно догадаться, она позволяет управлять транзитивными, односторонними, двусторонними отношениями между различными доменами и серверами поддерживающими kerberos 5 и выше. Данную оснастку используют довольно редко, в основном между крупными и средними компаниями, когда нужно настроить авторизацию учетных записей одного домен в другом, или предоставить доступ к ресурсам одного домена из другого. Выглядит оснастка "Active Directory — Домены и доверие" вот так. В левой части у вас будет список ваших доменов и поддоменов. Открыв их свойства на вкладке "Отношения доверия" вы увидите список доменов, тип доверия и транзитивность. В свойствах каждой записи можно посмотреть и настроить направление доверия.

• Продолжаем рассматривать средства администрирования Active Directory, следующим инструментом у нас будет консоль управления AD — сайты и службы (Active Directory Site and Service). В задачи данной оснастки входит разделение ваших доменов и сайтов на сегменты репликации. По умолчанию контроллеры домена реплицируются каждые 15 минут, когда они находятся в одной локальной сети, то это не проблема, но представим себе ситуацию, что у вас есть головной офис и региональный, в каждом из офисов свои контроллеры. Канал между офисами сделан по VPN на Juniper или Cisco. Понятно, что это некая точка отказа и не у всех есть деньги на хорошую скорость, поэтому с репликами могут быть проблемы. Так же можете получиться такая ситуация, что пользователь из региона будет пытаться авторизоваться на контроллере домена из головного офиса, что повлечет задержки в его входе на компьютер, хотя у него под боком стоят свои контроллеры в локальной сети.

Для таких случаев и применяется оснастка "сайты и службы". Позволяя сегментировать по сетям сайты в которые будут входить свои локальные контроллеры домена, которые будут иметь приоритет при поиске пользователем DC при авторизации, если их не найдет, то пойдет в другой сайт. Выглядит оснастка управления вот так. Тут кстати можно задавать промежутки в репликации или же запустить ее вручную.

• Утилита ADSIEdit, она же редактор атрибутов Active Directory. Про данную утилиту я подробно уже рассказывал, советую почитать, если в нескольких словах, то в ее задачи входит в удобном виде дать пользователю инструмент по редактированию схемы, конфигурации или контекста именования. Тут вы можете менять нужные вам атрибуты у объектов AD, просматривать текущие и многое другое. Выглядит это вот так, слева вы все так же видите иерархию контейнеров, справа записи и в свойствах их атрибуты.

• Следующее средство управления Active Directory, это инструмент LDP.exe, входит в состав операционной системы. LDP — это бесплатный клиент протокола доступа к каталогам Light (LDAP) с графическим интерфейсом, который позволяет выполнять операции и поиск LDAP, а также просматривать метаданные. Напоминаю, что LDAP работает по порту 389.

• Еще одно средство администрирования AD, это Active Directory Replication Status Tool. Средство проверки состояния репликации Active Directory (ADREPLSTATUS) анализирует состояние репликации для контроллеров домена в домене или лесу Active Directory. ADREPLSTATUS отображает данные в формате, аналогичном REPADMIN / SHOWREPL * /CSV, импортированному в Excel, но со значительными улучшениями.

Конкретные возможности для этого инструмента включают в себя:

1. Выставлять ошибок репликации AD, возникающие в домене или лесу
2. Распределяет приоритеты по ошибкам, которые необходимо устранить, чтобы избежать создания устаревших объектов в лесах Active Directory.
3. Помогает администраторам и специалистам службы поддержки устранять ошибки репликации, используя ссылки на материалы по устранению неполадок репликации Active Directory в Microsoft TechNet
4. Разрешает экспорт данных репликации администраторам исходного или конечного домена или специалистам службы поддержки для автономного анализа.

Выглядит ADREPLSTATUS вот таким образом.

• Утилита командной строкиDSADD — это инструмент командной строки, встроенный начиная с Windows Server 2008. Он доступен, если у вас установлена ​​роль сервера доменных служб Active Directory (AD DS). Чтобы использовать dsadd , вы должны запустить команду dsadd из командной строки с повышенными привилегиями. Утилита позволяет создавать объекты в Active Directory (Пользователей, компьютеры, группы)

• Утилита командной строки DSGET — выводит вам свойства у объектов в базе AD. Когда не было еще командлетов, это было одно из моих любимых средств администрирования Active Directory

• Утилита командной строки DSMOD— позволяет вносить изменения в свойства объектов AD

• Утилита командной строки DSMOVE — позволяет перемещать объекты

• Утилита командной строки DSQUERY — позволяет делать поисковые запросы в базе данных AD

• Утилита командной строки DSRM — для удаления объектов в AD

• Утилита командной строки repadmin— это одно из главнейших средств, которое должен знать системный администратор. В большинстве случаев репликация Active Directory работает довольно хорошо. Однако, когда процесс репликации прерывается, устранение неполадок иногда может быть на удивление трудным. К счастью, операционная система Windows включает инструмент командной строки Repadmin, который можно использовать для диагностики (а в некоторых случаях и исправления) репликации Active Directory. Я уже приводил вам пример работы утилиты, когда мы проверяли репликацию на контроллерах домена.

• Утилиты командной строки redirusr и redircmp — первый инструмент позволяет переназначить контейнер по умолчанию для пользователей в Active Directory с "User" на нужный администратору. Инструмент redircmp делает то же самое, но для компьютеров. По умолчанию идет контейнер "Computers". Удобно менять месторасположение для компьютеров, для того, чтобы при вводе их в домен, к ним сразу применялись групповые политики, которые напомню к контейнерам не применяются, кроме изначально созданных.

• Утилита командной строки NTDSUTIL — это вторая по важности утилита по управлению AD. Она нужна для работы с базой данных Active Directory. NTDSUTIL мы использовали при захвате ролей FSMO, удаление неисправного контроллера домена, переместить базу AD или сжать базу данных, применений у нее очень много.

• Самое мощное средство для администрирования и управления Active Directory, это модуль со специальными командлетами PowerShell. Называется он "Модуль Active Directory для Windows PowerShell". Существует огромнейший пласт команд, который помогут вам автоматизировать и выжать из AD все соки, это незаменимое средство для массовых изменений настроек, поиска и выборки элементов.

• Утилита командной строки dcdiag. Как видно из названия она используется для поиска проблем в доменных службах. Утилита позволяет выполнить до 20 тестов над инфраструктурой Active Directory. DCDiag — анализирует состояние контроллеров домена в лесу или на предприятии и сообщает о любых проблемах, помогающих в устранении неполадок, она содержит подробные сведения о том, как выявлять ненормальное поведение в системе.

• Когда речь идет про управление Active Directory инфраструктурой, то нельзя обойти вниманием утилиты Марка Русиновича Sysinternals. Первый инструмент ADExplorer — это расширенный просмотрщик и редактор Active Directory (AD). Вы можете использовать AD Explorer для удобной навигации по базе данных AD, определения избранных местоположений, просмотра свойств и атрибутов объекта без необходимости открывать диалоговые окна, редактировать разрешения, просматривать схему объекта и выполнять сложные поиски, которые можно сохранить и повторно выполнить.AD Explorer также включает в себя возможность сохранять снимки базы данных AD для автономного просмотра и сравнения (Снапшоты AD). Когда вы загружаете сохраненный снимок, вы можете перемещаться и исследовать его, как если бы вы работали с действующей базой данных. Если у вас есть два снимка базы данных AD, вы можете использовать функцию сравнения AD Explorer, чтобы увидеть, какие объекты, атрибуты и разрешения безопасности изменились между ними. Удобно для расследования инцидентов по безопасности.

• Утилита администрирования ADInsight — это инструмент мониторинга в реальном времени LDAP (облегченный протокол доступа к каталогам), предназначенный для устранения неполадок клиентских приложений Active Directory. Используйте подробное отслеживание связей клиент-сервер Active Directory для решения проблем аутентификации Windows, Exchange, DNS и других проблем.ADInsight использует методы внедрения DLL для перехвата вызовов, которые приложения выполняют в библиотеке Wldap32.dll, которая является стандартной библиотекой, лежащей в основе API-интерфейсов Active Directory, таких как ldap и ADSI. В отличие от инструментов сетевого мониторинга, ADInsight перехватывает и интерпретирует все клиентские API, включая те, которые не приводят к передаче на сервер. ADInsight отслеживает любой процесс, в который он может загрузить свою трассируемую DLL, что означает, что ему не требуются административные разрешения, однако при запуске с правами администратора он также будет отслеживать системные процессы, включая службы Windows.
• Утилита командной строки AdRestore — утилита для восстановления удаленных объектов в AD. На текущий момент не актуальна, так как уже начиная с Windows Server 2008 R2 была реализована функция корзины Active Directory, которая легко справляется с восстановлением.
• Оснастка редактор управления групповыми политиками — позволяет применять политики на организационные подразделения и объекты находящиеся в них. Централизованное, массовое распространение настроек.

Очередь просмотра

Очередь

• Удалить все
• Отключить

YouTube Premium

Хотите сохраните это видео?

• Пожаловаться

Пожаловаться на видео?

Выполните вход, чтобы сообщить о неприемлемом контенте.

Понравилось?

Не понравилось?

Текст видео

Applies To: Windows 7, Windows Server 2008 R2, Windows Server 2012
In the Windows Server® 2003 and Windows Server 2008 operating systems, administrators could manage and publish information in their Active Directory® environments by using the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in. Beginning in Windows Server 2008 R2, in addition to using Active Directory Users and Computers, administrators can manage their directory service objects by using the new Active Directory Administrative Center.

Note:- The version of Active Directory Administrative Center that is included in Windows Server 2012 has additional improvements, including a Windows PowerShell History Viewer to help you learn Active Directory cmdlets. For more information, see Active Directory Administrative Center Enhancements.

Built on Windows PowerShell™ command-line interface technology, Active Directory Administrative Center provides network administrators with an enhanced Active Directory data management experience and a rich graphical user interface (GUI). Administrators can use Active Directory Administrative Center to perform common Active Directory object management tasks through both data-driven navigation and task-oriented navigation.
You can use Active Directory Administrative Center to perform the following Active Directory administrative tasks:
Create new user accounts or manage existing user accounts

Create new groups or manage existing groups

Create new computer accounts or manage existing computer accounts

Create new organizational units (OUs) and containers or manage existing OUs

Connect to one or several domains or domain controllers in the same instance of Active Directory Administrative Center, and view or manage the directory information for those domains or domain controllers

Filter Active Directory data by using query-building search

In addition, you can use the enhanced GUI to customize Active Directory Administrative Center to suite your particular directory service administering requirements. This can help improve your productivity and efficiency as you perform common Active Directory object management tasks.

Active Directory Administrative Center provides network administrators with an enhanced Active Directory data management experience and a rich graphical user interface (GUI). Administrators can use Active Directory Administrative Center to perform common Active Directory object management tasks (such as user, computer, group, and organization units management) through both data-driven and task-oriented navigation. Administrators can use the enhanced Active Directory Administrative Center GUI to customize Active Directory Administrative Center to suite their particular directory service administering requirements.

There are several special cons />

1. Active Directory Administrative Center can be installed only on computers running the Windows Server 2008 R2 operating system. Active Directory Administrative Center cannot be installed on computers running Windows 2000, Windows Server 2003, or Windows Server 2008.

2. Active Directory Administrative Center cannot be installed on the Windows 7 operating system. However, this functionality will be available in future releases of Windows 7.

3. In this release of Windows Server 2008 R2, you cannot use Active Directory Administrative Center to manage Active Directory Lightweight Directory Services (AD LDS) instances and configuration sets.

One of the collest features of Active Directory Administrative Center is that it gives administrators the ability to m anage Active Directory objects across multiple domains within the same instance of Active Directory Administrative Center . When you open the Active Directory Administrative Center, the domain that you are currently logged on to (the local domain) appears in the Active Directory Administrative Center navigation pane. Depending on the rights of your current set of logon credentials, you can view or manage the Active Directory objects in this local domain. You can also use the same instance of the Active Directory Administrative Center and the same set of logon credentials to view or manage Active Directory objects from any other domain (that belongs or does not belong to the same forest as the local domain) as long as it has an established trust with the local domain (Both one-way trusts and two-way trusts are supported.)

You can also open the Active Directory Administrative Center using a set of logon credentials that is different from your current set of logon credentials. This can be useful if you are logged on to the computer that is running the Active Directory Administrative Center with normal user credentials, but you want to use Active Directory Administrative Center on this computer to manage your local domain as an administrator. This can also be useful if you want to use Active Directory Administrative Center to remotely manage a domain that is different from your local domain with a set of credentials that is different from your current set of logon credentials. However, this domain must have an established trust with the local domain.

For more information on Active Directory Administrative Center features, including details on the Overview page, the customizable navigation pane, the breadcrumb bar, the query building search and filtering mechanisms, etc. see What’s New in AD DS: Active Directory Administrative Center ( http://go.microsoft.com/fwlink/?Link > ).

This posting is provided "AS IS" with no warranties, and confers no rights.