Active Directory. Создание домена (Windows Server 2012) и настройка учетных записей.

Службы Active Directory (AD) - решение от компании Microsoft позволяющее объединить различные объекты сети (сетевые устройства, принтеры, ПК, пользователи, сервера) в единую систему. В данном случае AD выступают в роли каталога (базы данных), в котором хранится информация.

Служба каталогов

Для реализации данного решения, необходим специальный сервер - контроллер домена. Именно он будет выполнять функции аутентификации пользователей и устройств в сети, а также выступать в качестве хранилища базы данных. При попытке использовать любой из объектов (ПК, сервер, принтер и т.д.) сети, выполняется обращение к контроллеру домена, который либо разрешает это действие (есть необходимые права), либо блокирует его.

С помощью Active Directory можно поделить компьютеры на различные рабочие группы (организационные подразделения). Это существенно упрощает использование инфраструктуры в двух случаях:

1. Изменение существующих настроек группы. Поскольку настройки хранятся в единой базе данных, при их модификации, они будут применены для всех компьютеров, относящихся к этой группе.
2. Добавление нового пользователя. Он автоматически получает установленные для его группы настройки, что существенно ускоряет создание новой учетной записи.

В зависимости от пользователя (учетной записи, которая используется) и его группы можно ввести ограничение на использование функционала операционной системы. Например, вы можете ограничить установку приложений всем кроме администраторов.
С помощью AD достаточно легко реализуется технология Distributed File System (DFS), которая используется для управления файлами. Фактически, это распределенная сеть для хранения файлов - физически они располагаются на нескольких серверах, но логически находятся в одном месте. Это удобная функция, позволяющая масштабировать существующую инфраструктуру, добавляя новые сервера, а не заменяя ими старые.

Базовые настройки виртуальной машины следующие:

• нажимаем ПКМ по пуску и выбираем System (Система);

System

• затем выбираем "Advanced system settings" (Дополнительные системные настройки);

Advanced system settings

• переходим во вкладку "Computer name" (Имя компьютера) и нажимаем "Change..." (Дополнительно);

Change

• в новом окне можем прописать имя виртуальной машины и указать домен

Для изменения сетевых параметров:

• повторно нажимаем ПКМ по пуску и выбираем "Network Connections" (Сетевые подключения);
• затем нажимаем ПКМ по нашему сетевому подключению и выбираем "Properties" (Свойства);

Properties

• в новом окне нас интересуют настройки IPv4, поэтому дважды кликаем по строчке "Internet Protocol Version 4 (TCP/IPv4)" (Протокол Интернета версии 4);

Ethernet Properties

• прописываем сетевые реквизиты. В нашем случае ip, default gateway (Шлюз по умолчанию) и DNS будут иметь один и тот же адрес: 172.56.104.42. Subnet mask (Маска подсети): 255.255.255.0.

Internet Protocol Version 4 (TCP/IPv4)

После всех манипуляций перезагружаемся:

Restart

После того, как мы настроили наши виртуальные машины, приступим к установке компонентов, таких как: Active Directory и DNS.
Для этого открываем Server Manager (Диспетчер серверов), нажимаем "Manage" (Управление), затем "Add Roles and Features Wizard" (Добавить роли и компоненты):

Server Manager

Нажимаем "Next" (Далее), выбираем "Role-based or feature-based installation" (Установка ролей или компонентов). Далее в списке выбираем тот сервер, на котором будем устанавливать данные компоненты:

Role-based or feature-based installation

Нажимаем "Next" и отмечаем "Active Directory Domain Services" и "DNS Server":

Выбор компонентов

Нажимаем "Next" несколько раз, затем проверяем всю информацию и нажимаем "Install" (Установка):

Install

После чего начинается установка:

Начало установки

Успешное завершение установки

После установки компонентов перезагружаем сервер и повторно открываем Server Manager. При открытии мы видим, что у нас появилось уведомление в правом верхнем углу, нажимаем на него и производим финальную настройку службы Active Directory, а именно: повышаем роль этого сервера до уровня контроллера домена.

Настройка службы Active Directory

В новом окне выбираем "Add a new forest" (Добавить новый лес) и ниже прописываем Root domain name (Имя корневого домена).

Доменом называется основная административная единица в сетевой инфраструктуре предприятия, в которую входят все сетевые объекты, такие как: пользователи, компьютеры, принтеры, общие ресурсы и т.д.

Несколько доменов, связанных между собой, называется лесом. Связи между доменами называются отношениями доверия или иерархией.

Мы будем создавать новый лес, так как мы делаем новую инфраструктуру.

Также необходимо ввести имя домена. Нежелательно задавать имя внешнего домена. Для внутренних доменов рекомендуется зона local.

Add a new forest

Нажимаем "Next" и задаем пароль для режима восстановления служб каталогов:

После того, как задали пароль, нажимаем "Next" и получаем следующее сообщение:

DNS Options

Это означает, что на данный момент нет возможности создать делегирование DNS-сервера. Не обращаем внимания и нажимаем "Next".

Прописываем имя домена:

Domain name

Далее оставляем по умолчанию пути расположения базы данных и перед установкой проверяем всю информацию. Если все корректно - нажимаем "Install" (Установка).
После установки появится данное сообщение, после чего сервер перезагрузится:

Завершение установки

После перезапуска заходим в Server Manager, где создадим подразделение и нового пользователя домена с правами администратора. Для этого нажимаем "Tools" (Средства) и выбираем "Active Directory Users and Comouters" (Пользователи и компьютеры Active Directory):

Server Manager

Нажимаем ПКМ на наш домен, наводимся на "New" (Создать) и выбираем "Organizational Unit" (Подразделение):

Active Directory Users and Comouters

Вводим имя нашего подразделения:

New Object

Затем в созданном подразделении создадим еще два подразделения, такие как: Admins (Администраторы) и OrdinaryUsers (Простые пользователи):

Создание подразделений Admins и OrdinaryUsers

Созданные подразделения

Далее переместим учетную запись "admin", которая была создана при установке, в подразделение "Admins".

Заходим в "Users" находим нашу учетную запись, нажимаем ПКМ и выбираем "Move" (Переместить). Выбираем, созданное нами ранее, подразделение "Admins".

Move

Затем в контейнере "Admins" создадим новую учетную запись и назовем ее "Lucifer":

New user

Lucifer

Admins

После этого нажимаем ПКМ по учетной записи "Lucifer", выбираем "Properties" (Свойства), заходим во вкладку "Member of" (Член групп) и выбираем "Add..." (Добавить...):

Lucifer Properties

Select Groups

Нажимаем "Advanced..." (Дополнительно...):

Advanced...

Затем выбираем "Find now"... (Поиск...) и выбираем следующие группы:

• Administrations (Администраторы);
• Cloneable Domain Controllers (Владельцы-создатели групповой политики);
• Domain Admins (Администраторы домена);
• Enterprise Admins (Администраторы предприятия);
• Schema Admins (Администраторы схемы)
  

Выбранные группы

Дважды нажимаем "ОК".

Таким образом, в подразделении теперь имеется две учетные записи с правами администратора.
Перезагружаем нашу виртуальную машину, чтобы залогиниться под новой учетной записью и отключить старую "admin".

Other user

Аналогичным образом заходим в AD Users and Computers, находим учетную запись "admin", нажимаем ПКМ и выбираем "Disable Account"

Disable Account

Видим, что напротив учетной записи "admin" появилась стрелка вниз - это означает, что на данный момент УЗ отключена.

Отключенная УЗ admin

На этом настройка домена и учетных записей завершена, в следующей статье разберем настройку DHCP и DNS-сервера, а также узучим, что такое "Доменные зоны"

Источники: https://www.it-lite.ru/blog/iaas/obzor-vozmozhnostey-active-directory/, https://www.youtube.com/playlist?list=PLH3y3SWteZd0VUZR7npwEGo0c1RpLJ7E9