Если вы работаете в IT, вероятно, вы уже внимательно изучили Microsoft Active Directory. Но для настройки и управления службой Active Directory (AD) вам понадобится доступ к инструментам администрирования AD.
В этом руководстве вы узнаете, как открыть три самых важных инструмента администратора AD: Active Directory Users and Computers (ADUC), центр администрирования Active Directory (ADAC) и также Active Directory Sites and Services для более сложных настроек.
Как открыть Active Directory Users and Computers
Начнем с самого популярного инструмента на контроллере домена (DC) – Active Directory Users and Computers. Чтобы открыть Active Directory Users and Computers, войдите на контроллер домена и откройте Server Manager в меню Пуск. Затем в меню Инструменты в Server Manager нажмите Active Directory Users and Computers.
Для получения более подробной информации о доступе к Active Directory и другим способам открытия инструментов администратора читайте далее!
Log360, решение SIEM компании ManageEngine с интегрированными возможностями DLP и CASB, обнаруживает угрозы по всей сети предприятия, охватывая конечные точки, брандмауэры, веб-серверы, базы данных, коммутаторы, маршрутизаторы и даже источники в облаке.
Какие инструменты можно использовать для настройки и управления Active Directory?
Прежде чем мы рассмотрим, где можно открыть инструменты, я опишу три основных графических интерфейса пользователя для управления AD и то, что вы можете с ними сделать!
Центр администрирования Active Directory
Центр администрирования Active Directory, относительно новый инструмент для доступа к AD, впервые был выпущен вместе с Windows Server 2012. Он был создан для предоставления графического интерфейса пользователя (GUI) для некоторых специализированных функций, чтобы специалисты по ИТ и администраторы могли легче выполнять рутинные задачи в AD.
Административный центр Active Directory предоставляет графический интерфейс для Корзины Удаленных объектов Active Directory. Он также предоставляет графический и эффективный интерфейс для управления политиками паролей с точностью настройки.
Также имеется инструмент под названием Просмотрщик истории Windows PowerShell. Он показывает результирующую команду PowerShell, которая выполняется за кулисами при выполнении действия в ADAC. Это круто!
Пользователи и компьютеры Active Directory
Active Directory Users and Computers, определенно самый популярный инструмент для доступа к AD, установлен на контроллерах домена и добавляется как инструмент удаленного доступа при установке соответствующего инструмента в Windows 10, Windows 11 или других серверах семейства Windows.
Вы можете использовать этот инструмент для управления вашей средой AD с множеством вариантов и методов для выполнения ваших ежедневных задач «IT-специалиста». Ознакомьтесь с нашим руководством по Как установить Active Directory Users and Computers на Petri, чтобы узнать больше о том, как начать работу с ADUC.
Active Directory Sites and Services
Active Directory Sites and Services (ADSS) используется для управления логической структурой сети вашего домена AD. Здесь вы создаете и управляете узлами – логическими, часто географическими границами, указываемыми сетевыми подсетями.
Сервисы, которые предлагает ADSS, включают интерфейс для управления репликацией между ваших контроллерами домена.
Если у вас возникли проблемы с репликацией между контроллерами домена, это первое место, на которое вы должны обратить внимание!
Log360, решение SIEM от ManageEngine с интегрированными возможностями DLP и CASB, обнаруживает угрозы по всей протяженности и ширине корпоративной сети, охватывая конечные точки, брандмауэры, веб-серверы, базы данных, коммутаторы, маршрутизаторы и даже источники в облаке.
Какие разрешения вам нужны для доступа к Active Directory?
Если вы являетесь стандартным пользователем без прав администратора, вы не сможете пройти далеко за пределы возможности «чтения» содержимого каталога (пользователи, компьютеры и т. д.) в Active Directory Users and Computers. Чтобы вносить изменения, добавлять пользователей и сбрасывать пароли, вам потребуются дополнительные разрешения.
Для доступа к ADUC вам необходимо иметь как минимум доступ «Чтение» к группе Аутентифицированные Пользователи группа. Затем вы можете либо добавить свою учетную запись пользователя в группу Администраторы домена, либо использовать мастер Делегирование управления в ADUC, чтобы предоставить только необходимые права для учетной записи пользователя.
Где находятся инструменты администрирования для Active Directory?
Инструменты администрирования для Active Directory могут быть открыты в разных местах. Вот три основных места, где вы можете найти инструменты:
- На контроллере домена.
- Используя инструменты удаленного администрирования сервера (RSAT) в Windows.
- Использование модуля AD для PowerShell.
Откроете инструменты администратора Active Directory на контроллере домена
Управление AD с помощью инструментов администратора на DC не рекомендуется компанией Microsoft. Однако традиционно это является удобным и эффективным способом, когда вам нужно просто что-то выполнить.
ADUC – один из административных инструментов (доступен через меню “Пуск”), который устанавливается по умолчанию на контроллерах домена Windows Server. То есть, когда установлена роль службы домена Active Directory на Windows Server.
Какие разрешения вам нужны для входа на контроллер домена?
Вам нужны минимальные разрешения пользователя на “Вход на рабочем месте”, которые могут быть предоставлены вам различными способами: быть членом группы локальных администраторов и быть членом группы администраторов домена – два возможных варианта. Вы также можете быть включены в группу пользователей удаленного рабочего стола на DC для входа.
Разрешения для доступа к DC необходимы дополнительно к правам, необходимым для открытия AD с учетной записи сервера-члена или рабочей станции, присоединенной к вашему домену.
Где найти инструменты администратора AD на контроллере домена
Как я упоминал немного ранее, все инструменты администратора AD можно найти в папке Администрирование в меню “Пуск”.
Также их можно найти как плитку справа в меню “Пуск” и в разделе “Администрирование Windows” в полном списке приложений.
Log360, решение SIEM от ManageEngine с интегрированными возможностями DLP и CASB, обнаруживает угрозы по всей сети предприятия, охватывая конечные точки, брандмауэры, веб-серверы, базы данных, коммутаторы, маршрутизаторы и даже источники в облаке.
Установите инструменты администратора AD в Windows, чтобы получить доступ к Active Directory
Управление Active Directory через инструменты администратора на контроллере домена не рекомендуется, поскольку это увеличивает риск компрометации вашего домена AD. Всегда старайтесь устанавливать инструменты на сервер или рабочую станцию, присоединенные к AD.
Однако инструменты администратора AD не устанавливаются в Windows по умолчанию. Вот как их установить в Windows:
Если вы используете версию Windows 10 до 1803 включительно (вы не должны, она уже не поддерживается!), выполните следующие действия:
- Скачайте инструменты RSAT для вашей платформы.
- Запустите установленный пакет.
- Щелкните по меню Пуск, и все инструменты должны быть указаны в разделе Административные инструменты.
Если у вас установлена версия Windows 10 1809 или более поздняя, или Windows 11, выполните следующие шаги:
- Нажмите Пуск -> Приложения -> Дополнительные возможности -> Добавить дополнительную возможность.
- Прокрутите список до пунктов, начинающихся с ‘RSAT’. Найдите ‘RSAT: Инструменты служб каталогов Active Directory и службы легковесного каталога‘.
- Установите флажок для установки и нажмите Установить или Далее.
Вот и все! После завершения установки инструменты будут находиться в меню Пуск в разделе Административные инструменты. Более подробные инструкции по установке средств удаленного администрирования сервера на Windows можно найти на Petri.
Установите модуль PowerShell для Active Directory
Последний инструмент, который мы рассмотрим здесь, – это Модуль Active Directory для Windows PowerShell. Он также включен на всех контроллерах домена и входит в состав инструмента RSAT, указанного как «RSAT: Службы каталога Active Directory и инструменты для служб каталогов Lightweight Directory Services».
Вы можете прочитать мою статью о командлете PowerShell ‘Get-ADUser’, чтобы узнать, как установить этот модуль на вашем рабочем месте или контроллере домена.
Заключение
Active Directory существует примерно 23 года, начиная с Windows 2000. Теперь доступны различные инструменты для доступа к информации Active Directory.
Пользователи и компьютеры Active Directory, Административный центр Active Directory, Сайты и службы Active Directory, и даже Центр администрирования Windows теперь в силах. Последний существенно развивался на протяжении многих лет, и теперь с его помощью можно выполнить удивительное количество задач в AD.
Log360, решение SIEM от ManageEngine с интегрированными возможностями DLP и CASB, обнаруживает угрозы на всей протяженности корпоративной сети, охватывая конечные точки, брандмауэры, веб-серверы, базы данных, коммутаторы, маршрутизаторы и даже источники в облаке.
Связанный материал:
- Как исправить ошибку “Контроллер домена Active Directory не может быть связан”
- Как исправить ошибку “доверительные отношения между рабочей станцией и основным доменом не удалось”
- Как создать резервную копию Active Directory
- Как восстановить Active Directory
- Как получить список всех пользователей в Active Directory