3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Установка оснастки Active Directory в Windows 10

Содержание

Установка оснастки Active Directory в Windows 10

Одной из наиболее часто используемых консолей управления объектами в домене Active Directory – MMC оснастка Active Directory Users and Computers (или ADUC). Чтобы пользоваться этой оснастку с клиентского компьютера с Windows 10, необходимо установить компонент Microsoft Remote Server Administration Tools (RSAT). RSAT представляет собой набор различных инструментов и утилит для управления серверами Windows Servers, доменом Active Directory и другими ролями и функциями Windows.

  • Скачать RSAT для Windows 10
  • Установка RSAT в Windows 10
  • Подключение консоли ADUC к домену из рабочей группы

Установка Remote Server Administration Tools (RSAT) в Windows 10 v1903 в Offline-режиме

Ранее мы уже писали об особенностях установки пакета Remote Server Administration Tools (RSAT) в Windows 10. Но время идёт и новые релизы Windows 10 вносят новые правила работы с этим пакетом. В этой заметке мы поговорим об особенностях автономной установки RSAT в актуальной версии Windows 10 1903.

Графический интерфейс «Параметры Windows» и UAC

В рассматриваемой нами версии Windows 10 активацию компонент RSAT можно выполнить через графический интерфейс Windows, пройдя последовательно в Параметры Windows > Приложения > Дополнительные возможности > Добавить компонент

Однако, если с помощью этого графического интерфейса мы попытаемся выполнить добавление компонент на системе, подключенной к локальному серверу WSUS/SCCM SUP, то может получиться так, что мы даже не сможем получить перечень доступных к установке компонент.

Эта проблема будет воспроизводится в том случае, если текущий пользователь системы не имеет прав локального администратора и доступ к интерфейсу добавления компонент выполняется с запросом повышения привилегий UAC. При этом, если войти в систему интерактивно с правами администратора, то список компонент в графическом интерфейсе мы всё же сможем увидеть.

Компоненты RSAT и PowerShell

В качестве альтернативного варианта получения списка опциональных компонент Windows можно использовать оболочку PowerShell, запущенную с правами администратора. Для получения компонент, относящихся к пакету RSAT можно выполнить команду:

Установку той или иной компоненты можно выполнить командой типа:

Feature On Demand и проблема Offline-клиентов

Теперь нам понятно, что графический интерфейс Windows 10 1903 работает с UAC криво, а в PowerShell всё в этом плане хорошо. Однако, безотносительно способа установки, в том случае, если компьютер настроен на использование WSUS/SUP и не имеет прямого доступа в интернет, при попытке установки выбранной компоненты мы можем получить ошибку 0x800f0954 .

И ошибка эта будет воспроизводиться как при использовании PowerShell, так и при использовании графического интерфейса. Правда, в графическом интерфейсе, опять же, это может быть не так очевидно.

Как я понял, связано это с тем, что для установки опциональных компонент требуется наличие доступа к комплекту пакетов установки Feature On Demand (FOD) для нашей «модной» версии Windows 1903. Именно в этот комплект включаются компоненты RSAT, начиная с обновления Windows 10 1809 от Октября 2018 года. Об этом, в частности, гласит примечание на странице загрузки Remote Server Administration Tools for Windows 10

Интересно то, что на этой же веб-странице имеется сноска о том, что пользователям, использующим WSUS/SUP, и получающим выше обозначенную ошибку 0x800f0954 , для возможности установки компонент RSAT придётся настраивать прямой доступ на Windows Update, либо использовать метод с сетевым каталогом.

Known issues affecting various RSAT versions:

Issue: RSAT FOD installation fails with error code 0x800f0954
Impact: RSAT FODs on Windows 10 1809 (October 2018 Update) in WSUS/SCCM environments
Resolution: To install FODs on a domain-joined PC which receives updates through WSUS or SCCM, you will need to change a Group Policy setting to enable downloading FODs directly from Windows Update or a local share.

И в этой ситуации администраторы используют разные пути. Некоторые идут по пути наименьшего сопротивления, не заморачиваясь при этом вопросами удобства и безопасности, и отключают на время установки RSAT нацеливание клиента на WSUS с последующей организацией прямого доступа к Windows Update.

На мой взгляд, этот метод «так себе», так как далеко не всегда и не во всех ситуациях возможно, или даже временно допустимо, обеспечивать прямой доступ на внешние интернет-узлы. К тому же решение с временной правкой реестра и последующим перезапуском службы клиента Windows Update назвать удобным язык не повернётся. При этом ведь ещё нужно помнить про том, что нигде в групповых политиках не должно быть настроено явных запретов на до-загрузку контента Windows c Windows Update.

Feature On Demand и WSUS

А что же нам в этой ситуации может предложить наш локальный источник обновлений — WSUS? Если заглянуть в свойствах сервера WSUS в перечень продуктов, относящихся к Windows 10 (…интересно, в Microsoft сами ориентируются в этом списке?…), то мы увидим такую интересную позицию, как Windows 10 Feature On Demand.

Не найдя нигде в открытых источниках вменяемого развёрнутого описания этой позиции (…впрочем, как и многих других…) мы решили включить её и проверить, что она нам даст. По итогу могу сказать, что среди метаданных о более, чем тысячи обновлений, прилетевших после синхронизации WSUS с Windows Update, я увидел только некоторые компоненты FOD, большинство из которых применимы только для старых версий Windows 10. Ну и в придачу мы получили целый ворох языковых пакетов на всех мыслимых и немыслимых языках, невзирая на то, что в настройках сервера WSUS у нас включены только английский и русский языки. В общем и целом эта позиция на WSUS для нас оказалась бесполезной и даже вредительской.

Раздача Feature On Demand для Offline-клиентов

В результате проведённых экспериментов стало очевидно, что единственным приемлемым в нашей ситуации вариантом, позволяющим выполнять Offline-установку RSAT, является вариант с развёртыванием специального сетевого каталога с компонентами Feature On Demand с нацеливанием клиентов на этот каталог через групповые политики.

Для начала нам потребуется получить образы дисков с компонентами FOD для нашей версии Windows 10. Загрузить эти образы можно вручную с сайта Volume Licensing Service Center (VLSC)

Создаём на файловом сервере общедоступный сетевой ресурс для клиентских систем 64-bit и распаковываем в него всё содержимое образов SW_DVD9_NTRL_Win_10_1903_64Bit_MultiLang_FOD_.ISO . Рядом создаём аналогичный ресурс для систем 32-bit и распаковываем туда образы SW_DVD9_NTRL_Win_10_1903_W32_MultiLang_FOD_.ISO .

Распакованный контент будет представлять из себя множество *.cab файлов, среди которых есть и интересующие нас опциональные компоненты RSAT.

Теперь на любом Offline-клиенте c Windows 10 1903 мы можем попытаться выполнить установку компонент RSAT c помощью PowerShell, указывая в качестве источника получения подготовленный сетевой каталог:

Имейте в виду, что командлет Add-WindowsCapability работает довольно специфично. То есть он может отработать без ошибки, но если в указанном источнике не будут найдены файлы, подходящие для данной системы, никакой установки на самом деле не произойдёт… Разумеется, «это не баг, а фича»… Поэтому после выполнения командлета установки всех нужных компонент, лучше повторно проверять установленные компоненты:

После этого установленные компоненты RSAT можно будет видеть в уже «горячо полюбившейся» нам графической оболочке Windows 10 1903 в ранее упомянутом перечне дополнительных компонент Windows

И отсюда же их можно будет удалить при необходимости.

Таким образом все администраторы в организации смогут с помощью PowerShell вручную установить нужные им компоненты RSAT на свои системы Windows 10 1903, не имея прямого доступа в интернет. Однако Offline-установку можно сделать ещё удобней, если дополнительно настроить специальный параметр групповой политики, указывающий клиентам расположение сетевого каталога с компонентами FOD. Описан этот параметр GPO, например, в документе: How to make Features on Demand and language packs available when you’re using WSUS/SCCM.

Переходим в консоль управления групповыми политиками и в разделе политик Administrative Templates > System находим параметр «Specify settings for optional component installation and component repair«

Включаем этот параметр и указываем путь к сетевому каталогу с компонентами FOD в поле «Alternate source file path«.

Этот параметр групповой политики фактически принесёт на клиентские системы параметр реестра » LocalSourcePath » в ключе HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesServicing

После этого Offline-установка компонент FOD станет доступна и через графический интерфейс Windows без использования танцев с PowerShell

Однако при этом стоит помнить про ранее обозначенный нюанс с пустым списком компонент в случае использования графического интерфейса в связке с UAC. То есть выполнять установку компонент FOD через графический интерфейс окна «Параметры Windows» нужно только при интерактивном входе в систему из под административной учётной записи. Если по какой-то причине заходить в систему администратором интерактивно нет желания/возможности, то можно использовать выше описанный метод с установкой через PowerShell.

При этом опять же стоит отметить то, что приятным плюсом использования настройки пути к компонентам FOD через групповую политику станет и то, что теперь при использовании PowerShell не потребуется явно указывать путь для установки нужных компонент:

И вроде бы теперь всё здорово, результат достигнут, то есть Offline-установка работает и через графический интерфейс и через PowerShell. Но дивные «фичи» на этом не кончаются.

Обработка «LocalSourcePath» с несколькими путями

Ещё одной странной штукой, которая была обнаружена при работе с выше обозначенным параметром групповой политики, это то, что, судя по описанию в GPO, значение опции «Alternate source file path» может принимать несколько путей с разделителем в виде точки с запятой. Однако практические эксперименты с Windows 10 1903 показали, что при считывании значения » LocalSourcePath » из реестра система заглядывает только в первый по счёту каталог (указанный до точки с запятой), а остальные игнорирует. Такое поведение вполне вписывается в рамки обработки значения ключа -Source командлета Add-Windows​Capability, в описании которого есть соответствующее примечание

If you specify multiple Source arguments, the files are gathered from the first location where they are found and the rest of the locations are ignored.

Вариантом выхода из этой ситуации может быть отказ от использования классического параметра из административных шаблонов GPO и настройка пути в реестре средствами Group Policy Preferences (GPP) с использованием таргетинга по версии и разрядности клиентской операционной системы.

Читать еще:  Установка процессора в сокет 1151

По крайней мере именно на таком варианте мы и остановились, как на наиболее гибком и работоспособном.

Финиш

В итоге квест под названием «Выполнить Offline-установку RSAT в Windows 10 и не слететь с катушек» пройден, и теперь все административные пользователи, работающие на новой Windows 10 1903, могут устанавливать компоненты RSAT, как через графический интерфейс Windows, так и через PowerShell фактически в Offline-режиме и без дополнительных сложностей и манипуляций по аналогии с Online-клиентами.

PS: Никогда ещё установка RSAT в Windows у меня не была такой увлекательной и долгой. Чем больше смотрю на новые релизы Windows 10, тем становится интересней, во что же вся эта тенденция в итоге выльется. Коллега предположил, что в итоге получится, что-то вроде ранних выпусков Mandriva Linux – жутко красиво, но пользоваться этим без слёз невозможно

Установка модуля Active Directory для Windows PowerShell

По умолчанию в системе установлены не все модули Windows PowerShell, некоторые из них добавляются во время установки соответствующей роли или компонента. Например, если Ваш сервер не является контроллером домена, соответствующего модуля PowerShell (RSAT-AD-PowerShell) для администрирования Active Directory в нем нет, т.е. использовать командлеты PowerShell для управления AD Вы не сможете. Однако Вы можете установить модуль PowerShell для работы с Active Directory. Именно это мы сейчас и рассмотрим, при этом я покажу два варианта установки модуля RSAT-AD-PowerShell — это с помощью «Мастера добавления ролей и компонентов», т.е. используя графический интерфейс и, конечно же, с помощью Windows PowerShell.

Процесс установки модуля Active Directory для Windows PowerShell такой же, как и установка остальных компонентов и средств удаленного администрирования в Windows Server 2016, поэтому если Вы умеете устанавливать роли или компоненты сервера, то с установкой RSAT-AD-PowerShell Вы легко справитесь.

Установка модуля RSAT-AD-PowerShell с помощью мастера

Шаг 1

Запускаем «Диспетчер серверов» и нажимаем «Управление ->Добавить роли или компоненты».

Шаг 2

На первом окне можем сразу нажать «Далее».

Шаг 3

Далее выбираем тип установки, мы хотим установить компонент, поэтому выбираем первый пункт «Установка ролей или компонентов», жмем «Далее».

Шаг 4

Затем выбираем сервер, на который будут установлены роли и компоненты, жмем «Далее».

Шаг 5

На этом шаге нам предлагают выбрать роли для установки, а так как мы не собираемся устанавливать роли, сразу жмем «Далее».

Шаг 6

На шаге выбора компонентов мы ищем пункт «Средства удаленного администрирования сервера -> Средства администрирования ролей -> Средства AD DS и AD LDS -> Модуль Active Directory для Windows PowerShell» и отмечаем его галочкой, жмем «Далее».

Шаг 7

Проверяем выбор компонентов и жмем «Установить».

Начнется процесс установки модуля Active Directory для Windows PowerShell.

Он будет завершен, когда мы увидим сообщение «Установка выполнена на …», нажимаем «Закрыть».

Установка модуля RSAT-AD-PowerShell с помощью PowerShell

Если Вы не хотите щелкать мышкой по окошкам мастера, то Вы можете легко выполнить процедуру установки компонентов с помощью нашего любимого Windows PowerShell, кстати, таким способом это делается, на мой взгляд, гораздо проще и быстрей.

Для установки модуля Active Directory для Windows PowerShell запустите оболочку PowerShell и выполните следующие команды (вместо командлета Add-WindowsFeature можно использовать Install-WindowsFeature).

Смотрим список командлетов PowerShell для работы с Active Directory

Для того чтобы проверить, что у нас установился необходимый модуль PowerShell давайте, выполним команды, которые покажут нам количество командлетов для работы с Active Directory и сам список этих командлетов.

Чтобы узнать, сколько у нас командлетов для администрирования Active Directory пишем вот такую команду

А для того чтобы посмотреть полный перечень командлетов пишем следующую команду, т.е. результат работы Get-Command мы не передаем по конвейеру командлету Measure-Object.

Мы видим, что нас появилось 147 командлетов для работы с Active Directory, которые мы теперь можем использовать для администрирования AD.

На этом все, надеюсь, материал был Вам полезен, удачи!

  • Start the downloaded installer and follow the instructions.
  • Click Start , enter Programs and Features into the search field, and start the application.
  • Select the features to install:

The following are the recommended features to administer a Samba Active Directory installation:

FeatureDescription
Group Policy Management ToolsProvides the Group Policy MMC Snap-ins: Management Tool, Management Editor and Starter GPO Editor.
Active Directory Module for Windows PowerShellOptional. Enables Active Directory (AD) PowerShell cmdlets.
AD DS ToolsProvides the Active Directory Users and Computers (ADUC) and Active Directory Sites and Services MMC Snap-in.
Server for NIS ToolsAdds the UNIX Attributes tab to ADUC objects properties. It enables you to configure RFC2307 attributes.
DNS Server toolsDNS MMC Snap-in for remote DNS management.
Remote Desktop Services ToolOptional. Adds the Remote Desktop Services Profile tab to the ADUC user object’s properties and installs the RDP server administration MMC Snap-in. Install this feature to configure remote desktop protocol (RDP) settings in ADUC.
  • Click OK to install the features.

You can find the installed tools in the Administrative tools menu in your start menu. Alternatively, add the Snap-ins in the MMC using the File / Add/Remove Snap-in menu.

How Do I Add Active Directory Users and Computers?

Some of you might have already looked for ADUC on your laptop to discover that it’s not there. It’s not part of the default installation, and how you get it installed depends on your version of Windows.

In current versions of Windows, ADUC is part of an administrative suite of tools called Remote Server Administration Tools (RSAT).

Remote Server Administration Tools (RSAT)

In an October 2018 update, Microsoft moved all of the Active Directory administration tools to a ‘feature on demand’ called RSAT. Attackers use whatever they can for privilege escalations and exfiltration. They don’t need RSAT to do major damage to your network, but it sure makes it easier! If an attacker got hold of a computer with ADUC installed, they could just change passwords and access rights at will. That would be very bad.

Anyway, if you want to access ADUC on your computer, you need to install RSAT. ADUC is not part of the default installation for any Windows version. Follow the instructions below to install:

Installing ADUC for Windows 10 Version 1809 and Above

    1. From the Start menu, select Settings > Apps.
    2. Click the hyperlink on the right side labeled Manage Optional Features and then click the button to Add feature.
    3. Select RSAT: Active Directory Domain Services and Lightweight Directory Tools.
    4. Click Install.
    5. When the installation completes, you will have a new menu item in the start menu called Windows Administrative Tools.

Installing ADUC for Windows 8 and Windows 10 Version 1803 and Below

    1. Download and install Remote Server Administrator Tools depending on your version of Windows. The link is for Windows 10, other versions are available in the Microsoft Download Center.
    2. Click the Start button and select Control Panel > Programs > Programs and Features > Turn Windows features on or off.
    3. Scroll down the list and expand Remote Server Administration Tools.
    4. Expand Role Administration Tools.
    5. Expand AD DS and AD LDS Tools.
    6. Check AD DS Tools, then select “OK.”
    7. When the install completes you will have a folder for Administrative Tools on the Start menu. ADUC should be in this list.

Troubleshooting RSAT Installation

There are two common installation issues to check if something goes sideways and you can’t get RSAT installed. First, check that you have enabled Windows Firewall. RSAT uses the Windows Update backend and thus needs Windows Firewall enabled.

Sometimes after the install, you might be missing tabs and such. Uninstall and reinstall. You might have had an older version and the update didn’t work 100%. You can also right click on ADUC in the Start menu and verify the shortcut is pointing to %SystemRoot%system32dsa.msc. If it doesn’t point there then you need to uninstall and reinstall for sure.

Установка и настройка средств удаленного администрирования сервера на Windows 10

Ранние версии Windows Server имели графический интерфейс, похожий на другие аналогичные клиенты. Это упрощало администрирование, поскольку пользователю не нужно было изучать два разных интерфейса. Для удаленного администрирования нужно было подключиться к серверу с помощью удаленного рабочего стола. Однако информация сеанса терялась по завершении сеанса RDP . С переходом к версиям Windows Server без GUI-интерфейса возникла необходимость удаленного управления сервером без входа или выхода из сеанса RDP . Пакет средств удаленного администрирования сервера ( RSAT ) был создан специально для решения этой проблемы.

В этой статье мы рассмотрим, что представляют собой инструменты RSAT в Windows 10 , а также запустим « Диспетчер серверов » и попытаемся подключиться к удаленному серверу.

Средства удаленного администрирования сервера в Windows 10

RSAT позволяет администраторам запускать инструменты на удаленном сервере для управления его функциями, ролями и службами. Windows 10 имеет встроенную поддержку RSAT . Ниже представлены различные возможности установки RSAT :

  • Установлен по умолчанию в Windows Server 2016 , Windows Server 2012 , Windows Server 2012 R2 и более ранних версиях;
  • Может быть загружен и установлен как автономный пакет обновлений на клиентах под управлением Windows 10 Professional , Windows 10 Enterprise и Windows 10 Education ;
  • Невозможно установить на клиентах под управлением Windows 10 Home или любой ARM-версии ;
  • Невозможно установить на любой из серверных версий операционной системы;
  • Поддерживается удаленное администрирование Windows Server Core или минимального интерфейса Windows Server 2016 , Windows Server 2012 R2 и в некоторых случаях Windows Server 2012 .

Доступные инструменты

Матрицу поддержки RSAT на платформе Windows 10 можно найти здесь . Ключевым моментом является то, что инструменты Hyper-V не являются частью RSAT для Windows 10 , в отличие от более ранних версий. Hyper-V поставляется как часть Windows 10 и может использоваться без установки RSAT . Другие инструменты, которые недоступны в данном релизе:

  • Утилиты администрирования BitLocker Drive Encryption ;
  • Direct Access ;
  • Routing and Remote Access ;
  • Remote Desktop Services ;
  • Windows PowerShell cmdlets for Cluster Aware Updating ;
  • Windows PowerShell cmdlets for Best Practices Analyzer .
Читать еще:  Подбор оперативной памяти под процессор

Настройка доступных инструментов

Начнем с установки RSAT для Windows 10 . Как уже было сказано, RSAT доступен только для Windows 10 Professional , Enterprise и Education. Он может работать как на 86-разрядной , так и на 64-разрядной версии Windows 10 . Обратите внимание, что предыдущие версии RSAT следует удалить до установки актуальной версии. Чтобы получить доступ к версиям Windows Server 2012 и Windows Server 2008 и управлять ими, необходимы дополнительные обновления для этой версии RSAT . Также обратите внимание, что на удаленном сервере должно быть включено дистанционное управление Windows PowerShell и « Диспетчер серверов ».

Средства удаленного администрирования активированы по умолчанию в Windows Server 2016 , 2012 R2 и 2012 . Следующие шаги были выполнены на устройстве с установленной операционной системой Windows 10 Enterprise x64 , работающей в VMWare . Вы должны повторить их в собственной системе.

  • Загрузите файл настройки RSAT:

  • Необходимо выбрать программу установки, соответствующую используемой архитектуре. В данном случае это 64-разрядная система , поэтому мы загрузим файл WindowsTH-KB2693643-x64.msu ;
  • Дважды кликните по файлу установщика, чтобы начать инсталляцию. Примите условия лицензии и дождитесь окончания установки;
  • В более ранних версиях Windows после установки пакета RSAT приходилось вручную активировать эти инструменты. Но в Windows 10 эти инструменты доступны для использования сразу после завершения установки. Флажок рядом с инструментами RSAT установлен. Это означает, что мы можем продолжать:

  • Теперь перейдите в Панель управления — Система и безопасность — Администрирование , чтобы найти все установленные инструменты RSAT :

  • Перейдите в Панель управления — Программы — Удалить программу ;
  • Нажмите « Просмотр установленных обновлений »;
  • Кликните правой кнопкой мыши по элементу « Обновление для Microsoft Windows (KB2693643) » и выберите пункт « Удалить »;
  • Подтвердите действие, нажав кнопку « Да »:

  • Перейдите в Панель управления — Программы — Программы и компоненты и нажмите « Включить компоненты Windows »;
  • Снимите флажки напротив тех инструментов, которые вы хотите удалить:

Запуск диспетчера серверов

Инструменты, включенные в пакет RSAT , не могут использоваться для управления локальным компьютером. В диспетчере серверов должен быть указан удаленный сервер. Большинство инструментов RSAT интегрированы в диспетчер серверов, поэтому рекомендуется сначала добавить в него пулы серверов перед развертыванием этих инструментов. Чтобы запустить диспетчер серверов:

  • Откройте меню « Пуск », и кликните по элементу « Диспетчер серверов ». Или кликните по полю поиска Cortana в панели задач и начните вводить « Диспетчер серверов ». Вы должны увидеть соответствующую строку в Cortana . Нажмите на эту строку, чтобы запустить « Диспетчер серверов »:

  • Откроется панель управления диспетчера серверов:

  • В ней можно добавлять удаленные серверы и назначать роли для них;
  • Если ПК является частью домена, можно выполнить поиск серверов в Active Directory вашей организации, или ввести IP-адрес по своему выбору. Также можно импортировать адреса серверов из файла;
  • В меню « Инструменты » перечислены все инструменты RSAT , доступные для удаленного администрирования сети.

Профессиональные советы

Иногда приходится работать на различных клиентах, и нужно иметь возможность управлять удаленным сервером с них. Но повторная настройка может занять много времени. Если версии диспетчера серверов на различных клиентах аналогичны, можно скопировать файлы из указанных ниже мест на исходном клиенте в те же места на новом клиенте. Таким образом, при последующем запуске диспетчера серверов на новом клиенте вы найдете конфигурацию, заданную на предыдущем клиенте.

Скопируйте файлы из следующих расположений:

Помните, что версии диспетчера серверов на исходном и новом клиентах должны быть идентичны.

Известные ошибки

В настоящее время RSAT поддерживает только локализацию EN-US . Если вы инсталлируете RSAT на машине, для которой задан регион, отличный от EN-US , установка будет выполнена, но в диалоговом окне « Включение и выключение компонентов Windows » вы не увидите ни одного из инструментов. Чтобы решить эту проблему, установите языковый пакет EN-US . После того, как настроите инструменты в диалоговом окне « Включение и отключение компонентов Windows », можно вновь задать свой регион и язык.

Заключение

В этой статье мы привели краткое руководство по работе с пакетом RSAT и Диспетчером серверов для Windows 10 удаленного администрирования . RSAT устанавливается и настраивается очень просто. Он позволяет эффективно администрировать удаленный сервер. « Диспетчер серверов » включает в себя большое количество различных функций, для полного рассмотрения которых требуется отдельное руководство.

Отказ от использования графического интерфейса на серверах является желательным, поскольку это минимизирует различные риски, а также разгружает ЦП и ОЗУ .

Консоли Active Directory MMC для администраторов

После того как вы полностью реализовали в службе Active Directory модель делегирования полномочий по принципу предоставления минимальных прав, я рекомендую сделать следующий шаг — создать средства управления, способные максимально облегчить администраторам выполнение делегированных им задач. Это особенно важно для администраторов низовых подразделений, которые, как правило, лишь в общих чертах знакомы с Active Directory и со специфическими процедурами, принятыми в организации. Создав производственные консоли MMC, вы сможете сделать видимыми задачи, инструментальные средства и документацию, что расширит возможности администраторов. Консоли будут состоять из панелей задач, а панели задач будут формироваться из сохраненных запросов, а не из организационных единиц или контейнеров иерархии Active Directory. Интегрируйте документацию по процедурам управления непосредственно в консоль вместе с административной начальной страницей, которая может служить и первой страницей консоли, и узлом для перехода на каждую панель задач.

Формирование консоли с сохраненными запросами

Прежде всего, откройте пустую консоль MMC и добавьте в нее оснастку Active Directory Users and Computers. Вы можете формировать панели задач на базе структуры организационных единиц, но предпочтительным вариантом будет создание сохраненных запросов.

На мой взгляд, сохраненные запросы представляют собой основу для эффективного администрирования в оснастке Active Directory Users and Computers. Вы можете создавать сохраненные запросы, отображающие представления объектов на базе областей управления администраторов. Так, для справочной службы организации можно создать представления всех пользователей, не относящихся к категории администраторов, всех клиентских компьютеров и всех групп. Для команды сотрудников, осуществляющих поддержку пользователей в определенной рабочей зоне или в департаменте, можно создать представление, отображающее пользователей и компьютеры в данной области управления, основываясь на членстве упомянутых объектов в соответствующей группе.

Когда вы будете создавать сохраненный запрос для объектов «пользователь», последуйте моему совету и добавьте столбец с именами регистрации для версий операционных систем, предшествующих Windows 2000, поскольку многие инструменты и сценарии в данном наборе ресурсов могут добавляться как задачи панели задач и принимать имена регистрации для версий операционных систем, предшествующих Windows 2000, в качестве параметров. На экране 1 показан сохраненный запрос, отображающий учетные записи всех пользователей в домене, не относящихся к категории администраторов.

Создание панели задач с задачами для каждой делегированной функции

Теперь для каждого сохраненного запроса следует создать представление панели задач с заданиями для функций, делегированных вами для членов группы, которая будет пользоваться консолью. К примеру, если вы делегировали право переустановки паролей пользователей, включите задачу для команды меню Reset Password. Ниже перечислены действия, которые необходимо предпринять, чтобы создать представление панели задач для сохраненного запроса, отображающее объекты пользователя.

  1. Правой кнопкой мыши щелкните на сохраненном запросе, отображающем объекты, для которых вы делегировали административные задачи, и в раскрывшемся меню выберите пункт New Taskpad View.
  2. На экране появится окно мастера New Taskpad View Wizard. Нажмите Next.
  3. На странице Taskpad Style нажмите кнопку Next.
  4. На странице Taskpad Reuse выберите переключатель Selected Tree Item и нажмите Next.
  5. На странице Name And Description примите имя, предлагаемое по умолчанию, и нажмите Next.
  6. Сбросьте флажок Add New Tasks To This Taskpad After The Wizard Closes и нажмите кнопку Finish.

После того как вы создадите представление панели задач, добавьте задачи для каждой делегированной функции. При добавлении задач для таких команд, как Reset Password, задачи добавляются из меню команд. Процесс добавления задач из меню команд состоит из следующих этапов.

  1. Правой кнопкой мыши щелкните на сохраненном запросе, для которого вы создали данную панель задач, и в раскрывшемся меню выберите пункт Edit Taskpad View.
  2. Перейдите на вкладку Tasks.
  3. Нажмите кнопку New.
  4. Откроется окно мастера New Task Wizard. Нажмите кнопку Next.
  5. Поставьте флажок Menu Command и нажмите кнопку Next. На экране откроется страница Menu Command, как показано на экране 2.
  6. В списке Available Commands выберите нужную команду. Список команд из меню в списке Available Commands базируется на типе объекта, выделенного в левой части диалогового окна. Это один из самых сложных этапов процесса построения панели задач. Рассмотрим для примера экран 2. Команда Disable Account в списке присутствует, а команды Enable Account там нет. Дело в том, что выделенный в данном случае объект — это уже активированная учетная запись пользователя. Если же в левой части окна вы выделите отключенную учетную запись пользователя, в списке появится команда Enable Account, а команда Disable Account исчезнет. Поэтому, для того чтобы нужная вам команда была доступна, необходимо выделять объект соответствующего типа.
  7. Нажмите кнопку Next.
  8. В поле Task Name введите имя задачи. Это имя будет текстом гиперссылки на соответствующую задачу.
  9. При желании можно ввести описание в поле Description. Данное описание будет отображаться под гиперссылкой на панели задач.
  10. Нажмите кнопку Next.
  11. Выделите значок или поставьте флажок Custom Icon, после чего нажмите кнопку Browse для выбора нужного значка. В файле C:WindowsSystem32Shell32.dll вы найдете много интересных и красочных значков. В файле C:WindowsSystem32Imageres.dll систем Windows Vista и Windows Server 2008 также имеется множество значков.
  12. Выбрав нужный значок, нажмите кнопку Next.
  13. Нажмите Finish, а затем ОК, закрывая тем самым диалоговое окно Properties для выбранного запроса.

В результате должна получиться панель задач, подобная той, что показана на экране 3. Я добавил еще несколько задач. Помните, что задачи чувствительны к контексту: добавленные вами задачи появляются на панели задач лишь тогда, когда вы выделяете объект на панели деталей.

Добавление к панели задач инструментов и сценариев

Не забывайте встраивать в панели задач ссылки на полезные инструменты и утилиты от Microsoft из набора Windows Administration Resource Kit, а также от сторонних производителей. Кроме того, добавьте команды оболочки, которые могут запускать популярные приложения, такие как командная строка. Работающий с этой консолью администратор будет регистрироваться в своей системе с использованием учетной записи без дополнительных прав. Затем он будет запускать эту консоль с расширенными правами своей учетной записи администратора. Все процессы, запущенные с консоли, будут наследовать учетные данные с расширенными правами, обеспечивая пользователю упрощенный доступ к административным инструментам без необходимости повторного ввода второго имени и пароля.

Читать еще:  Windows boot manager как убрать в БИОСе?

Добавление к консоли процедур и документации

Я рекомендую встраивать документацию вашей среды и процедур, относящихся к администрированию Windows, непосредственно в MMC. Это можно делать двумя способами. Во-первых, вы можете добавить задачу на базе команды оболочки в панель задач, открывающую документ в соответствующем приложении. Скажем, команда оболочки может запускать файл winword.exe с параметром, открывающим документацию по процедурам. Во-вторых, если такая документация имеется в вашей корпоративной сети, вы можете интегрировать ее с помощью оснастки Link to Web Address.

Создание административной домашней страницы внутри консоли

Внутри консоли создайте узел, который можно использовать в качестве домашней страницы для консоли. Навигация между панелями задач реализована не лучшим образом, поэтому будет проще использовать эту домашнюю страницу в качестве своего рода базы или узла, из которого вы сможете переходить на индивидуальные панели задач. Каждая задача будет иметь одну навигационную ссылку на эту страницу.

В качестве такой домашней страницы можно использовать любую панель задач, но, если у вас имеется корпоративный сетевой узел для администраторов, скажем портал SharePoint для ИТ-службы, рекомендую добавить этот портал к MMC с помощью оснастки Link to Web Address, а затем создать панель задач с использованием той же оснастки. Если же вы используете панель задач в формате, не преду­сматривающем применение списков, домашней страницей может служить любая оснастка папки.

В одном месте, где мы применяли такие консоли, в качестве административной домашней страницы MMC использовалась панель задач для оснастки Link to Web Address, которая, в свою очередь, указывала на домашнюю страницу узла SharePoint нашей ИТ-службы. В результате платформа SharePoint позволяла нам с легкостью управлять веб-содержимым, которое было интегрировано непосредственно в консоль. К примеру, мы включили в домашнюю страницу SharePoint рабочий календарь смен службы поддержки и важные объявления, чтобы эти сведения регулярно попадали на глаза администраторам, когда те переходят с одной панели задач на другую.

Включите в список MMC Favorites все панели задач

Откройте панель задач, которую вы хотите сделать доступной для администраторов, работающих с консолью. С помощью меню Favorites добавьте этот узел к имеющемуся в консоли списку Favorites. Проделайте данную операцию со всеми панелями задач, которые хотите сделать доступными для администраторов. Не забудьте добавить в папку Favorites и административную домашнюю страницу.

Создайте задачи перехода

Отредактируйте представление задач административной домашней страницы и добавьте задачи перехода к каждому узлу, включенному в папку Favorites. Затем отредактируйте каждую панель задач и добавьте одну обратную навигационную ссылку на административную домашнюю страницу. Завершив выполнение этих операций, вы сможете использовать задачи перехода на каждой панели задач для перехода с одной административной домашней страницы на другую и каждую панель задач консоли.

На экране 4 представлен пример созданной описанным образом административной домашней страницы. На каждую из остальных панелей задач консоли можно попасть с использованием задач перехода на левой стороне данной панели задач.

Сохранение консоли в пользовательском режиме

Чтобы пользователи не имели возможности модифицировать созданную вами панель задач, сохранять консоль следует в пользовательском режиме. Для изменения режима работы консоли в меню File выберите пункт Options. По умолчанию новые консоли сохраняются в авторском режиме, что дает пользователям возможность добавлять и удалять оснастки, просматривать все участки дерева консоли и сохранять индивидуальные настройки. Пользовательский режим, напротив, ограничивает возможности консоли в том отношении, что изменять их нельзя. Всего существует три типа пользовательских режимов, их описание приведено в таблице. Режим User Mode — Full Access обычно выбирается для консоли, предназначенной для использования опытными администраторами, которым поручаются различные задания, предполагающие широкое применение оснасток консоли. User Mode Limited Access представляет собой защищенный режим и поэтому выбирается для консолей, предназначенных для администраторов с меньшим набором рабочих заданий. В случаях когда консоль уже не сохраняется в авторском режиме, вы — изначальный автор — можете вносить изменения в консоль, щелкая на сохраненной консоли правой кнопкой мыши и выбирая в раскрывшемся меню пункт Author.

Блокировка представления Console View

Этот последний шаг позволяет полностью заблокировать консоль. Если вы откроете меню View и выберете команду Customize, то сможете скрыть некоторые или все компоненты окна MMC. К примеру, скрыв дерево консоли, вы лишаете администраторов возможности просмотра данной папки, поскольку ограничиваете их панелями задач и навигационными ссылками, которые им предоставили.

Распространение консоли

Сохраните специализированную консоль в каталоге, доступном для всех администраторов. В этом случае вам будет легче управлять редактированием консоли. Помните, что, в сущности, консоли представляют собой набор инструкций, интерпретируемых с помощью файла mmc.exe, — инструкций, которые указывают на то, какие оснастки нужно добавлять и какими компьютерами мы будем управлять с помощью этих оснасток. Собственно оснасток консоли не содержат. Поэтому, если оснастки, упоминаемые в консоли, заблаговременно не установлены, консоль не будет функционировать надлежащим образом. Так что вам нужно удостовериться в том, что вы установили соответствующие оснастки из набора Administrative Tools (adminpak.msi в системах Windows XP и Windows Server 2003) или из набора инструментов дистанционного администрирования серверов (remote server administration tools, RSAT, в системах Windows Vista или Windows Server 2008).

Дэн Холм (danh@intelliem.com) — директор консалтинговой службы Intelliem, которая организовывает консультации для предприятий, внедряющих SharePoint, Office, Windows и Active Directory

Поделитесь материалом с коллегами и друзьями

Schema master — Хозяин схемы Active Directory

А вы знали, что при повреждении схемы AD придется восстанавливать все КД во всем лесу? А ведь это действительно так, вот почему будьте очень аккуратны при внесении изменений в схему. А пока немного теории.

Теория

Поскольку хозяин схемы — роль уровня леса, то в каждом конкретном лесе AD она существует всегда в единственном экземпляре. Другими словами существует только один контроллер домена, который имеет право вносить изменения/обновления в схему, тем не менее реплика схемы присутствует на каждом контроллере домена и при необходимости роль может быть захвачена принудительно любым DC, но об этом позже. На практике изменения схемы происходят крайне редко, например при установке сервера Exchange или других приложений, которые хранят некоторые свои данные (например объекты конфигурации) в AD.

Все-таки что такое схема AD 1 ? Это прежде всего набор объектов и их атрибутов, которые используются для хранения данных. Мало кому это определение что-то объясняет, попробую рассказать более детально на примере. Что такое объект? Например объектами являются учетные записи пользователей или компьютеров. В данном случае в схеме AD находится класс user, который определяет все атрибуты объекта учетной записи пользователя:

Каждая учетная запись пользователя в домене будет иметь все эти атрибуты. Но значения атрибутов могут быть и не заданы. Можно проверить какие атрибуты и их значения имеет моя недавно созданная учетная запись администратора домена. Чтобы это сделать, необходимо зайти в консоль adsiedit.msc и открыть контекст именования по умолчанию. В иерархии находим объект пользователя и открываем его свойства:

Вы можете увидеть, что объект имеет все атрибуты, которые определены в классе user. Если вы сами решили убедиться в сказанном мной и информация у вас различается, то обратите внимание на кнопку Фильтр, возможно у вас показываются не все атрибуты. Например можно сделать так, чтобы отображались атрибуты только имеющие значения. Администрировать объекты через adsiedit.msc не лучшая затея, делайте это через соответствующие оснастки.

Для интереса можно посмотреть атрибуты объекта сервера Exchange 2013, ведь Exchange вносит множество новых классов в схему:

В большинстве случаев вопросы касательно мастера схемы обходят стороной и достаточно лишь знать, что эта роль отвечает за внесение изменений в схему AD. Тем не менее схема изначально создавалась таким образом, чтобы в неё мог вносить изменения кто угодно. То есть сторонние компании могут разрабатывать свои приложения таким образом, чтобы они хранили свои данные в AD. Для этого на официальных источниках есть множество объемных гайдов 2 3 4 , некоторые из них доступны и на русском 5 языке.

Лучшие практики

Схема AD имеет принципиально важное значение для работоспособности Active Directory, а потому нуждается в соответствующем администрировании, хоть и о ней в большинстве случаев просто забывают. Ниже сформулированы лучшие практики администрирования схемы.

1) Перед изменением схемы всегда делайте резервное копирование. Перед процессом изменения схемы вы можете отключать все контроллеры домена, разумеется кроме одного, который является хозяином этой роли. После этого делаете резервную копию контроллера домена, выполняете все необходимы изменения и если все прошло удачно, то просто включаете заглушенные ранее DC. Если же что-то пошло не так, просто поднимаете единственный работающий на это время контроллер из резервной копии, включаете остальные и далее исследуете проблему;

2) Рекомендуется держать роли мастера именования доменов и хозяина схемы на одном и том же контроллере домена 6 7 :

На уровне леса роли хозяина схемы и хозяина именования доменов необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования доменов, должен одновременно являться сервером глобального каталога. В противном случае некоторые операции, использующие хозяин именования доменов (например создание внучатых доменов), могут завершаться неудачно.

Таким образом, контроллер домена, поддерживающий роль хозяина схемы, должен также отвечать за роль мастера именования доменов и являться глобальным каталогом.

3) Если вы по каким-либо причинам лишились сервера-хозяина схемы, то на любом другом контроллере домена вы можете принудительно захватить эту роль, но помните, что после этого изначальный хозяин схемы не должен появиться в сети.

4) Без крайней на то необходимости не выполняйте изменения схемы вручную. Если это все же нужно сделать в любом случае, см. пункт 1.

How to Add Custom Commands and Views to the ADUC console?

You can add your own tools and commands to the Active Directory Users and Computers console to launch external applications.

Create a new text file named ping.bat with the following text and save it to local disk:

  1. Run the command:
  2. Select File > Add/remove snap-in;
  3. In the list of available snap-ins, select Active Directory Users and Computers and press Add;
  4. Select a container with computers or servers, right-click on it and select New Taskpad View;
  5. Select result pane style – Vertical list, List Size – Medium and press Next > Next;
    $COL (computername field);
    Finish.

Now, if you select the Computer object in the ADUC console, the Ping button appears in the list of available actions. By clicking this button, you will check the computer’s availability via ICMP protocol (ping).

This way you can add various administration tools to the ADUC console.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector