Служба каталогов Active Directory в Windows 2000 Server

Может случится ситуация, когда нам необходимо по каким-то причинам вывести контроллер домена из AD (физический выход из строя сервера, например) . При этом необходимо выполнить правильное удаление неактивного DC из Active Direcroty. Проведем пошаговое удаление вышедшего из строя контроллера домена из Active Directory с помощью утилиты NTDSutil.

Версии Windows 10

Чтобы включить Active Directory-пользователи и компьютеры на ПК с Windows 10, сначала необходимо установить RSAT — средства удаленного администрирования сервера. Если вы используете более старую версию Windows 10, то есть 1803 или ниже, вам нужно будет загрузить файлы RSAT из центра загрузки Microsoft.

Версии Windows 10
Версии Windows 10
Версии Windows 10

С другой стороны, во всех версиях Windows 10, начиная с выпуска 10 октября 2020 года, RSAT включен как «Функция по требованию». Вам не нужно загружать инструменты, а только устанавливать и включать их. Обратите внимание, что только выпуски Enterprise и Professional поддерживают RSAT и Active Directory.

Версии Windows 10
Версии Windows 10
Версии Windows 10

Версии Windows 10
Версии Windows 10
Версии Windows 10

Управление групповыми политиками Active Directory (AD GPO)

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Что такое групповые политики и зачем они нужны?

Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу.

Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды. С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Читайте также:  10 функций, которые очистят и ускорят ваш компьютер на Windows 10

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики.

MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее).

Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

Нажмите OK.

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest ->Domains -> ->Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

Читайте также:  Как перенести windows 10 на ssd без переустановок: 3 простых способа

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration ->Policies ->Administrative Templates ->Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

В открывшемся окне отметьте Enable

В дремучих лесах AD

Бегло рассмотрим ключевые понятия Active Directory, которые постоянно будут использоваться в дальнейшем. Начнем от наименьшей структурной единицы AD — домена.

Доменом можно назвать логическую группу (пользователей, хостов, серверов и так далее), которые поддерживают централизованное администрирование.

Деревом называется набор доменов, которые используют общее пространство имен (по аналогии с обычным DNS). Важно, что дочерний домен автоматически получает двухсторонние доверительные отношения с родительским доменом.

Доверие — это своеобразное соглашение между двумя доменами, устанавливающее разрешения на доступ к тем или иным объектам или ресурсам.

Ну а лес, в свою очередь, является наиболее крупной структурой в Active Directory и объединяет все деревья. В результате все деревья в лесу обычно объединены двунаправленными доверительными отношениями, что позволяет пользователям в любом дереве получать доступ к ресурсам в любом другом, если они имеют соответствующие разрешения и права.

По умолчанию первый домен, создаваемый в лесу, автоматически становится его корневым доменом.

Завершив теоретический экскурс, можно переходить к практике, чем и займемся. При этом мы будем предполагать, что уже получен базовый доступ с небольшими пользовательскими привилегиями. Допустим, что социнженерия дала свои плоды и после отправки специально сформированного письма (например, с документом во вложении) кто-то открыл документ и мы получили шелл.

Переход к Active Directory

Active Directory имеет множество достоинств, однако, это весьма значительное изменение в существующих технологиях. Как же внедрить новое средство? С одной стороны, многие службы каталогов уже существуют, и имеются средства для их переноса в Active Directory. Для многих организаций самой важной из уже используемых каталогов является служба каталога Exchange, поэтому компания Microsoft предлагает утилиту Active Directory Connector (ADC) для Exchange 5.x, упрощающую миграцию.

Читайте также:  Как отключить спящий режим и гибернацию в Windows 10

Кроме этого, в большинстве организаций переход от Windows NT 4.0 к Windows 2000 не произойдет мгновенно и займет некоторое время.

Поэтому важно иметь возможность совместного использования в одном домене обеих операционных систем.

Для клиентов Windows NT 4.0 домен Windows 2000 выглядит как обычный домен Windows NT 4.0, для клиентов Windows 2000 как домен Windows 2000.

Для реализации такой возможности Контроллер домена Windows 2000 Server может эмулировать РDС-контроллер Windows NT Server 4.0. BDC-контроллеры в таком домене выполняют репликацию с контроллера домена Windows 2000 Server так, будто это традиционный PDC-контроллер.

Нужно понимать, что за этим стоит: для перехода от домена Windows NT Server 4.0 к домену Windows 2000 Server необходимо сначала обновить существующий PDC-контроллер, чтобы он смог загрузить в Active Directory имеющуюся учетную информацию (учетные записи пользователей, компьютеров и т. д.). Затем, по мере необходимости, можно обновить до Windows 2000 другие BDC-контроллеры, рядовые (member) серверы и клиентов.

В домене Windows 2000, в который входят BDC-контроллеры Windows NT 4.0, репликацию системного тома SYSVOL нужно настраивать дополнительными средствами/поскольку контроллеры домена на базе Windows 2000 не реплицируют эту информацию на BDC-контроллеры.

При переходе к Windows 2000 Server можно также пересмотреть существующую структуру домена. Лучше иметь меньшее число доменов, и, поскольку Active Directory позволяет использовать домены больших размеров, можно объединить несколько доменов в один. Если новый домен получится слишком большим, могут появиться проблемы с трафиком при репликации, однако с меньшим числом доменов все равно справиться легче.

Кроме того, Windows 2000 Server позволяет делегировать административные функции на уровне учетных записей, входящих в организационную единицу внутри домена, а не только на уровне домена.

Наконец, имеет смысл потратить больше времени на проектирование доменов и пространств имен внутри каждого домена. В среде Windows NT Server 4.0 во многих организациях домены "размножались" без должного контроля, что приводило к запутанной системе имен и доверительных отношений.

При использовании Active Directory создание эффективной структуры "с нуля" окупится в дальнейшем простотой администрирования сети.