Средства удаленного администрирования Active Directory в Windows 10

Подготовьте облако к работе

Перед тем, как разворачивать серверы, нужно зарегистрироваться в и создать платежный аккаунт:

1. Перейдите в консоль управления, затем войдите в или зарегистрируйтесь, если вы еще не зарегистрированы.
2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша виртуальная машина, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсы

В стоимость инсталляции Active Directory входят:

• плата за постоянно запущенные виртуальные машины (см. тарифы Yandex Compute Cloud);
• плата за использование динамических или статических публичных IP-адресов (см. тарифы Yandex Virtual Private Cloud);
• стоимость исходящего трафика из в интернет (см. тарифы Yandex Compute Cloud).

Открываем msc windows оснастки через командную строку

msc windows оснастки Добрый день уважаемые читатели и подписчики блога, сегодня мы с вами поговорим на тему как открыть msc windows оснастки через командную строку, для чего это может быть вам нужно и как это поможет в повседневной практике системного администратора. Поверьте полученные знания в этой статье, в будущем смогут вам сэкономить огромное количество времени и нервных клеток, не говоря уже о возможности блеснуть задротскими знаниями перед вашими коллегами, просто если вы активно используете linux системы и знаете основные команды в консоли, то вам будет интересны и эти. Всегда по возможности стремитесь изучать по мимо GUI интерфейсов, еще и альтернативные методы настройки, так как при настройке Windows Server, все чаще выбирают режим core с минималистическим интерфейсом.

Установите RSAT для версий и ниже

Установка RSAT и включение Active Directory в более старой версии Windows 10 занимает немного больше времени. Имейте в виду, что ограничение для редакций Enterprise и Professional по-прежнему действует. Давайте посмотрим, как включить Active Directory в версиях 1803 и ниже.

1. Запустите браузер вашего компьютера.
2. Перейдите в Центр загрузки Microsoft и найдите Средства удаленного администрирования сервера для Windows 10.
3. Нажмите кнопку «Скачать».
4. Выберите последнюю версию, чтобы обеспечить максимальную совместимость.
5. Нажмите кнопку «Далее» и дождитесь завершения загрузки.
6. Затем нажмите клавишу «Win» на клавиатуре.
7. Поиск панели управления.
8. На панели управления нажмите на вкладку «Программы».
9. Далее выберите «Программы и компоненты».
10. Нажмите «Включить или отключить функции Windows».

11. Разверните раздел «Инструменты удаленного администрирования сервера» в меню.
12. Далее выберите «Инструменты администрирования ролей».
13. Выберите «Инструменты AD LDS и AD DS».
14. Установите флажок «Инструменты AD DS».

15. Нажмите кнопку «ОК».

Параметр «Администрирование» теперь должен появиться в меню «Пуск». Вы должны найти там все инструменты Active Directory, и вы можете использовать и изменять их через это меню.

Настройка MyChat Server: получение списка пользователей каталога Active Directory

ВНИМАНИЕ! Если вы используете версию или выше — то вам нужно продолжить установку по описанию в онлайн-справке.

Главная цель проделанных выше операций – это подготовка к импорту необходимых пользователей из каталога Active Directory в MyChat. Импортируются не только логины, но и вся доступная справочная информация (фамилия, имя, рабочий телефон, мобильный телефон, отдел, офис, название организации, E-mail и другие доступные данные).

В MyChat импортировать пользователей можно двумя способами:

1. Импорт пользователей напрямую из каталога Active Directory по протоколу LDAP
2. Импорт пользователей из файла

Импорт пользователей напрямую из каталога Active Directory по протоколу LDAP

Рассмотрим детально первый способ импорта пользователей – напрямую из Active Directory по протоколу LDAP. Сервер MyChat может быть установлен на любом компьютере в сети компании, главное – доступ к серверу с настроенной службой AD LDS.

В MyChat сервере заходим в «Управление» и открываем раздел «Интеграция с Active Directory». В методе импорта пользователей выбираем первый пункт «Из контроллера домена (LDAP)».

Заполняем поля необходимые для подключения к Active Directory и жмем «Импорт»:

Как показано на скриншоте, в левой части отображается список пользователей, полученных из каталога. Теперь их можно выделить и импортировать в сервер, для этого отметьте нужных пользователей, нажмите кнопку, отделяющую нужных пользователей для импорта (зеленая стрелочка вправо), и нажмите «Импорт пользователей в MyChat».

ВНИМАНИЕ! В версиях MyChat Server до версии включительно не поддерживаются логины для получения списка пользователей в кириллице (русскими буквами «администратор»), это же касается и паролей, если в пароле или логине есть русские буквы – результат будет нулевым. Получение списка пользователей, с использованием кириллических логинов и паролей, возможно с версии сервера и выше.

Импорт пользователей из файла

Теперь обратим внимание на второй способ получения списка пользователей Active Directory – «Из файла».

Этот способ более универсален и гибок.

Метод получения пользователей Active Directory из файла, также разобьем на два простых шага, для лучшего понимания:

1. Создаем файл со списком доменных пользователей

   Для этого заходим в каталог, где установлен сервер чата и находим файл export_ad_users_, если сервер установили в каталог по умолчанию, вы найдете его в C:\Program Files\MyChatServer\doc\ActiveDirectory\.

   Этот скрипт экспортирует всех пользователей Active Directory строкой «dsquery user -name * -limit 0 | dsget user -samid -fn -mi -ln -display -office -tel -email -hometel -pager -mobile -fax -iptel -webpg -title -dept -company -mgr -hmdir > ».

   Описание полей, которые импортируются из ActiveDirectory:

   samid – логин; fn – имя; mi – инициалы, не импортируется; ln – фамилия; display – не импортируется; office – номер рабочей комнаты, офиса; tel – рабочий номер телефона (основной); email – электронная почта; hometel – домашний номер телефона; pager – номер пейджера; mobile – номер мобильного телефона; fax – факс; iptel – номер IP телефона, не импортируется; webpg – домашняя web-страничка; title – должность; dept – подразделение, отдел; company – название компании; mgr – не импортируется; hmdir – не импортируется.

   Гибкость этого способа заключается в том, что вы можете самостоятельно настроить условия экспорта списка пользователей из Active Directory.

   Вы можете настроить этот скрипт под себя, например, экспортировать пользователей только из определенных подразделений. Для этого ознакомьтесь со справочной информацией по модулям dsquery и dsget.

2. После выполнения сценария export_ad_users_ вы получаете файл , этот файл и будет импортирован в сервер MyChat:

   Такими несложными способами вы получите пользователей домена.

Что такое редактор атрибутов Active Directory

И так ранее мы с вами установили Active Directory, и разобрались со всеми понятиями активного каталога, из которых мы выяснили, что администратор, получает информацию о всех объектах схемы в виде красивого графического интерфейса, например, оснастки ADUC, а вот контроллеры домена и другие компьютеры, получают информацию об объектах в виде языка LDAP, который лежит в основе Active Directory.

В итоге можно дать вот такое определение редактору атрибутов Actvie Directory – это дополнительная надстройка в графической утилите управления объектами активного каталога, позволяющая в удобном для человека редакторе, внести изменения в нужные атрибуты схемы, а так же проверить и посмотреть остальные значения в неизменяемых атрибутах.

Приведу простой пример использования редактора атрибутов:

• Необходимо узнать distinguished name
• Задать automapping для почты пользователю с правами только на чтение

Примеров может быть очень много, так как атрибутов огромное количество. ниже давайте разберемся, где все это можно посмотреть.

Миграция GPO

Вопрос миграции GPO похож на вопрос миграции OU: во многих случаях будет уместно создать новые политики, а не переносить треш.

Но если нужно перенести политики, делается это так:

Сделаем backup политики из Source domain и скопируем его в Target domain:

В Target domain создадим пустую политику и запустим Import settings (мастер предложит сделать backup существующей политики, но смысла в этом нет т.к. она пустая).

Обратите внимание, при импорте нужно указывать папку в которой находится backup (например C:shareGPimport) а не папку с backup (например C:shareGPimport{%uid%})

После импорта, политику можно произвольным образом переименовать, убедиться, что все опции были перенесены корректно и применить ее к соответствующим OU в Target domain: