Обзор возможностей Active Directory: фундамент для инфраструктуры

Инсталляция операционной системы

В качестве платформы виртуализации будет использоваться инфраструктура VMWare, VSphere 6.7 с гипервизором той же версии.

Сама же виртуальная машина должна обладать следующими минимальными техническими характеристиками — 1 Core, 2 RAM, 30 GB SSD.

При проектировании инфраструктуры возникает вопрос именования как виртуальных машин, так и самих хостов. В этом вопросе моя позиция состоит в жестком соблюдении конвенции именования. Например, виртуальная машина будет иметь следующее имя: , где

• Обязательный географический признак, например, kv – Kyiv;
• Сокращение dc будет означать domain controller;
• 01, порядковый номер сервера. Если планируется несколько серверов с развертываемым сервисом, номер обязателен;
• – внутренняя DNS зона организации.

Описанный способ удобен ввиду явной однозначности интерпретирования. Можно с уверенностью понять, что за сервис и где его расположение.

В качестве операционной системы будет использоваться Windows Server 2019 Standard Core. В конфигурации виртуальной машины обязательное наличие UEFI и включенным Secure Boot. Сервер устанавливается стандартно и после завершения процесса необходимо задать пароль встроенной учетной записи Administrator:

Окно задания пароля administrator установленного Windows Server Core

После описанных шагов, сервер готов для предварительной конфигурации перед установкой первого контроллера домена.

Процедура настройки Server 2012

Приложение: посмотрите что бы у вас корректно была настроена сетевая карта пример:

После того как вы загрузили Microsoft Windows Server 2012, открываем «Диспетчер серверов»

Выбираем пункт «Добавить роли и компоненты»

Перед началом работы, можете прочитать приведенную информацию, после чего перейти в следующий раздел кнопкой «Далее»

В разделе выбора типа установки, оставляем галочку «Установка ролей или компонентов» так как пока что служба удаленных рабочих столов нам не нужна, жмем «Далее»

Выбираем тот сервер, к которому применяем изменения, здесь ничего пока не меняем и продолжаем «Далее»

• Установка нового контроллера домена Active Directory

В появившимся мастере находим строку «Доменные службы Active Directory» выделяем ее, после открывшегося меню жмем «Добавить компоненты» для того что бы продолжить работу мастера нажмите «Далее»

Нам предлагают выбрать какие-то дополнительные компоненты, пока оставляем все без изменений и продолжаем установку «Далее»

Вашему вниманию будет представлена краткая информация о том, что такое доменные службы, для чего они нужны и на что следует обратить внимание! После прочтения материала, переходим к следующему шагу «Далее»

В поле подтверждения установки компонентов кликаем «Установить»

Установка занимает определенное время, и после того как она завершится получаем сообщение о том, что требуется дополнительная настройка, но так как инсталляция завершилась успешно, просто закройте окно!

Для продолжения настройки, нужно добавит роль DNS.

Для этого вновь заходим в «Диспетчер серверов – Добавить роли и компоненты»

Как только вы дошли до вкладки «Роли сервера» найдите и добавьте роль DNS сервер путем «Добавления компонентов»

Соответственно для подтверждения установки компонентов жмем кнопку «Установить»

• Настройка Active Directory Domain Services

После выполненной установки закройте окно

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с машины, которая не включена в домен (состоит в рабочей группе, или стоит домашняя версия Windows), воспользуйтесь таким методом:

1. Запустите командную строку и выполните команду запуска остастки от имени другого пользователя: runas /netonly /user:winitproaaivanov mmc
2. В пустой консоли MMC выберите File->Add/Remove Snap-In
3. Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите
4. Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена.

В результате консоль ADUC подключится к контроллеру домена, получит и  отобразит структуру контейнеров (OU) данного домена Active Directory.

• Десять команд PowerShell, которые должен знать каждый администратор Windows

Одним из основных инструментов управления доменами Active Directory является оснастка «Active Directory — пользователи и компьютеры» Active Directory (ADUC).

Адаптер ADUC используется для выполнения типичных задач администрирования домена и управления пользователями, группами, компьютерами и организационными подразделениями в домене Active Directory.

По умолчанию консоль Active Directory — пользователи и компьютеры () установлена на сервере, когда она продвигается на контроллер домена во время выполнения  роли доменных служб Active Directory (AD DS).

Чтобы использовать оснастку ADUC в Windows 10, сначала необходимо установить Microsoft Remote Server Administration Tools (RSAT).

RSAT включает в себя различные инструменты командной строки, модули PowerShell и оснастки для удаленного управления серверами Windows, Active Directory и другими ролями и функциями Windows, которые работают на серверах Windows.

Как установить Active Directory — пользователи и компьютеры на Windows 10?

По умолчанию RSAT не установлен в Windows 10 (и других настольных операционных системах Windows).

Средства удаленного администрирования сервера (RSAT) позволяют ИТ-администраторам удаленно управлять ролями и компонентами в Windows Server 2016, 2012 R2, 2012, 2008 R2 с рабочих станций пользователей под управлением Windows 10, 8.1, 8 и Windows 7.

RSAT напоминает средства администрирования Windows Server 2003 Pack (), который был установлен на клиентах под управлением Windows 2000 или Windows XP и использовался для удаленного управления сервером. RSAT не может быть установлен на компьютерах с домашними выпусками Windows.

• Форумы

Чтобы установить RSAT, у вас должна быть профессиональная или корпоративная версия Windows 10.

Вы можете загрузить последнюю версию средств удаленного администрирования сервера для Windows 10 (Версия: 1803 1.0, Дата публикации: 5/2/2018), используя следующую ссылку: -us/download/details .aspx? ID = 45520

Совет. Как вы можете видеть, пакет RSAT доступен для последней версии Windows 10 1803.

WindowsTH-RSAT_WS_1709 и WindowsTH-RSAT_WS_1803 используются для управления Windows Server 2016 1709 и 1803 соответственно.

Если вы используете предыдущую версию Windows Server 2016 или Windows Server 2012 R2 / 2012/2008 R2, вам необходимо использовать пакет WindowsTH-RSAT_WS2016.

Выберите язык вашей версии Windows 10 и нажмите кнопку «Download».

В зависимости от битности вашей ОС выберите нужный файл * .msu:

• Для Windows 10 x86 — загрузите WindowsTH-RSAT_ (69.5 MB);
• Для Windows 10 x64 — загрузите WindowsTH-RSAT_ (92.3 MB);

• CredSSP encryption oracle remediation – ошибка при подключении по RDP к виртуальному серверу (VPS / VDS)

Установите загруженный файл (Обновление для Windows KB2693643), дважды щелкнув по нему.

Установите загруженный файл (Обновление для Windows KB2693643), дважды щелкнув по нему.

c:InstallWindowsTH-RSAT_ /quiet /norestart

После завершения установки RSAT вам необходимо перезагрузить компьютер.

Что такое делегирование AD

Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.

Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.

Что такое топология компьютерных сетей

Установка доверительных отношений

В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не наоборот, соответственно первый имеет доступ к ресурсам второго, а второй не имеет доступа. Во втором виде доверие “взаимное”. Также существуют «исходящие» и «входящие» отношения. В исходящих – первый домен доверяет второму, таким образом разрешая пользователям второго использовать ресурсы первого.

При установке следует провести такие процедуры:

• Проверить сетевые связи между котроллерами.
• Проверить настройки.
• Настроить разрешения имен для внешних доменов.
• Создать связь со стороны доверяющего домена.
• Создать связь со стороны контроллера, к которому адресовано доверие.
• Проверить созданные односторонние отношения.
• Если возникает небходимость в установлении двусторонних отношений – произвести установку.

Установка служб RDP

(установка служб удаленных рабочих столов)

В «Диспетчере серверов» выберите «Управление» и «Добавить роли и компоненты»:

На первым шаге «Мастера добавления ролей и компонентов» и нажимаем «Далее»:

На втором шаге выбираем «Установка служб удалённых рабочих столов»:

В следующем шаге мастер попросит Вас выбрать тип развертывания. Выберите «Стандартное развертывание» и нажимаем «Далее»:

Выберите сценарий «Развертывание рабочих столов на основе сеансов» и “Далее”:

Нажмите «Далее»:

Здесь нужно выбрать сервер «Посредник подключений к удалённому рабочему столу», выбираем сервер в «Пуле серверов» и нажимаем «Далее».

На этом этапе выберите сервер из списка «Пул серверов» и нажмите «Далее»:

Укажите сервер «Узла сеансов удалённых рабочих столов» выбрав сервер из списка “Пул серверов” и нажмите “Далее”:

Поставте галочки напротив пункта “Автоматически перезапускать конечный сервер, если это потребуется” и нажмите «Развернуть»:

Дождитесь установки выбраных ролей, после чего компьютер будет перезагружен. После перезагрузки автоматически запустится «Мастер добавления ролей и компонентов», который настроит установленные службы.

Дождитесь окончания настройки и нажмите “Закрыть”:

На этом установка «Службы удалённых рабочих столов» окончена.

Настройка хоста управления гипервизором Hyper-V на Windows 1

Все манипуляции выполняются на системе «клиента», т. е. хоста управления, если не сказано иное.

Устанавливаем Windows 8.1

После завершения установки, создаем пользователя-оператора с парой логин-пароль как для дополнительного админа на Hyper-V: hvoper (пароль должен совпадать с «коллегой» из гипервизора имеющего права группы Hyperv-V-Администраторы там – добавляли выше с помошью hvremote)

Рис. 14

После установки гостевой ОС настроим ее сетевой интерфейс, указав нужные адреса. Т.к. в нашем примере, ВМ будет размещаться в самом Hyper-V, у которого я напомню, в конфигурации сети адрес из «скрытого» сегмента, то и указать надо будет обе сети, чтобы доступ был как у ВМ к гипервизору, так и к ВМ «извне» (основной, «нескрытый» пул адресов рабочей сети).

Например и как в данной статье.

Активируем удаленный доступ к ВМ и правило на входящие подключения в брандмауэре. Правим файл hosts (необходимо для корректной работы оснасток в Windows 8 по имени хоста сервера):

hyperv01

Устанавливаем компонент «Диспетчер управления Hyper-V»: Панель управления — Программы и компоненты — Включение и отключения компонентов Windows;

Рис. 15

В загрузившемся окне диалога, отмечаем галкой пункт «Hyper-V» – применяем изменения кнопкой ОК.

Загружаем Средства удаленного администрирования сервера для Windows 8.1 (RSAT) и устанавливаем.

Рис. 16

Загружаем на хост управления скрипт HVRemote. Файл скрипта необходимо поместить в любой каталог, до которого есть прописаный путь в переменной текущего пользователя или системы (например корень домашней папки — %userprofile% (C:\Users\username\), C:\Windows\).

Рис. 17

Запускаем командную строку Windows от имени администратора и окне CMD выполняем:

C:Windows\System32\cscript C:\Windows\System32\ /AnonDCOM:grant

Если пользователь в вашей ОС один и он администратор, то при действующих переменных можно сделать тоже самое короткой формой команды:

сscript /AnonDCOM:grant

Обращаем внимание на регистр символов в командах — в моем случае система выполняла данные команды только при правильном написании.

Запускаем команду для тестирования настроек связки клиент-сервер Hyper-V:

Вариант с CMD «от имени администратора»:

C:Windows\System32\cscript C:\Windows\System32\ /show /target:hyperv01

Или от пользователя-администратора

cscript /show /target:hyperv01

Смотрим в самом конце экрана вывода, если есть ошибки устраняем, вдумчиво изучая текст ошибок.

Запускаем mmc Добавляем необходимые оснастки (во всех случаях для сервера HYPERV01):

Диспетчер Hyper-V Брандмауэр Windows Управление компьютером

Для последнего пункта. если он востребован, необходимо в правила брандмауэра на сервере Hyper-V добавить несколько дополнительных, для обеспечения требуемых типов соединений в зависимости от нужного раздела данной оснастки — их нетрудно найти в оснастке «Брандмауэр Windows» для HYPERV01, в перечне имеющихся по-умолчанию правил. Кроме этого, на хосте управления также надо добавить некоторые отдельные правила, например одно важное для оснастки «Управление дисками» сервера. Для доступа к службе VirtualDisk на Hyper-V, в брандмауэре хоста управления надо включить разрешающее правило:

«Удаленное управление томами — загрузчик службы виртуальных дисков».

Рис. 18

После того, как консоль MMC настроена, сохраняем ее конфигурацию в файл в удобном месте — например на рабочем столе.

По завершении перечисленных этапов настройки, у нас в руках удобное рабочее место по администрированию сервера Hyper-V с привычным интерфейсом.

Рис. 19

Теперь, вы можете заняться изучением возможностей бесплатного Hyper-V в удобном интерфейсе. Главное не выключайте ВМ управляющего хоста.