- Что такое Active Directory в Windows 10 и для чего это нужно
- Версии Windows 10
- Подключение консоли ADUC к домену из рабочей группы
- Основные понятия, встречающиеся в ходе работы
- Возможные проблемы
- Основные принципы работы
- Установка оснастки RSAT Active Directory в Windows 10 и 11
- Где скачать и как установить
- Как пользоваться консолью Active Directory?
- Подключение консоли ADUC к домену из рабочей группы
- Необязательное действие: дополнительный сервер и лес
- Создание виртуальной машины
- Завершение развертывания операционной системы
- Установка необходимых компонентов для Active Directory
- Создание среды AD для Windows Server
- Создание пользователя AD для Windows Server
- RSAT for Windows 10 v1809
- Устанавливаем роль
Что такое Active Directory в Windows 10 и для чего это нужно
Microsoft разработала новую программу, позволяющую объединить все сетевые объекты (компьютеры, маршрутизаторы, принтеры, профили пользователей, серверы) в единую систему. Это хранилище называется Active Directory или Active Directory (сокращенно AD).
Для реализации этой программы нужен специальный сервер, а точнее контроллер домена. Он будет хранить всю информацию. Он аутентифицирует (через протокол Kerberos) пользователей и различные устройства в сети. Контроллер домена будет контролировать доступ к объектам в своей сети, то есть разрешать запрошенное действие или, наоборот, блокировать его.
Использование Active Directory имеет ряд преимуществ. Эта программа обеспечивает безопасную работу, облегчает взаимодействие различных объектов в одной сети. Используя AD, вы можете ограничить ряд функций для определенных пользователей.
Данные, хранящиеся на таком сервере, защищены от внешнего доступа. Сервисы AD обеспечивают удобный обмен файлами (на основе технологии DFS), собирают все объекты в одной системе (поддерживается стандарт LDAP). Возможна интеграция с Windows Server по протоколу RADIUS.
Active Directory можно использовать в Win10 Professional Edition. Существует специальный инструмент управления доменом (оснастка ADUC), который позволяет настроить AD под вашу операционную систему. Этот адаптер позволяет контролировать сетевые объекты и управлять ими.
Перед использованием ADUC рекомендуется установить службу RSAT, которая включает в себя командную строку, Power Shell и средства удаленного управления сервером.
Важно! Active Directory выступает в роли каталога, хранилища информации о пользователях и сетевой инфраструктуре. Этот проект реализован через контроллер домена. Этот сервер контролирует доступ (разрешает или блокирует запросы) к объектам в сети. AD рекомендуется для крупных компаний.
Версии Windows 10
Чтобы включить пользователей и компьютеры Active Directory на ПК с Windows 10, необходимо сначала установить RSAT — средства удаленного администрирования сервера. Если вы используете более старую версию Windows 10, например 1803 или более раннюю, вам необходимо загрузить файлы RSAT из Центра загрузки Microsoft.
С другой стороны, во всех версиях Windows 10 с момента выпуска 10 октября 2020 г. RSAT включен как «Функция по запросу». Вам не нужно загружать инструменты, просто установите и активируйте их. Обратите внимание, что только версии Enterprise и Professional поддерживают RSAT и Active Directory.
Подключение консоли ADUC к домену из рабочей группы
Как подключиться к контроллеру с ПК:
- вызов командной строки;
- запустить команду оснастки от имени другого пользователя;
- введите: «runas /netonly/user:winitproaaivanov mmc»;
- Появится окно «MMC»;
- открыть в окне «Файл»;
- выберите «Добавить/удалить оснастку»;
- Откроется окно «Добавить или удалить оснастку»;
- в левом списке «Snap in» этого окна найдите «Active Directory Users and Computers»;
- переместите найденный инструмент в правый список «Консольный корень»;
- после переноса нажмите на «Пользователи и компьютеры Active Directory»;
- появится всплывающее меню;
- выберите «Сменить домен»;
- введите имя вашего домена;
- подключите ADUC к контроллеру домена.
Основные понятия, встречающиеся в ходе работы
В процессе активации инструментов возникают следующие термины:
- леса (леса) — элементы структуры AD, содержащие домены;
- DNS — доменное имя, разрешенное в AD;
- сервер — компьютер (выполняет определенные функции в домене);
- Контроллер домена — контроллер домена (сервер, на котором находится хранилище данных — каталог, к которому поступают запросы от пользователей);
- домен — элемент AD, включающий в себя объекты (ПК, принтеры, профили пользователей) в сети.
Возможные проблемы
Во время активации AD и RSAT может возникнуть ряд сложностей, например, возможность запускать программы, которые другой пользователь не активировал заранее. Кроме того, мы должны помнить, что инструмент удаленного управления нельзя установить на ПК, работающий на домашней или стандартной версии Win 10. Инструмент RSAT можно добавить только в Корпоративную или Профессиональную ОС.
Этот инструмент находится на веб-сайте Microsoft. Разработчики предлагают программы для конкретной версии Win 10. Если тип редакции не указан, для загрузки RSAT необходимо использовать RTM (полная версия ОС Windows.
Чтобы скачать дополнительные компоненты для работы на удаленном сервере, не нужно искать специальное ПО. Это действие можно выполнить с помощью мастера добавления компонентов. Рекомендуется заранее добавить резервный контроллер домена, чтобы предотвратить возможные ошибки.
Основные принципы работы
Инструмент Active Directory — это основной узел в инфраструктуре, управляющий объектами в сети и контролирующий доступ к ним. В случае сбоя AD все устройства и серверы будут недоступны. Чтобы защитить свою систему от такой проблемы, вы можете использовать один или несколько повторяющихся контроллеров домена.
Принципы Active Directory:
- работает непрерывно и круглосуточно;
- вся информация хранится в каталогах на контроллере домена и их дубликатах;
- позволяет делать резервную копию для восстановления сервера;
- обеспечивает взаимодействие между объектами в одной сети;
- контролирует доступ к объектам (защищает информацию).
Установка оснастки RSAT Active Directory в Windows 10 и 11
В современных версиях Windows 10 (начиная со сборки 1809) и Windows 11 средства управления RSAT устанавливаются онлайн как функции по требованию. Чтобы установить средства управления RSAT Active Directory в Windows 10/11, выберите «Настройки» -> «Приложения» -> «Дополнительные функции» -> «Добавить дополнительную функцию» (см раздел «Функции).
Введите Active Directory в поле поиска и выберите компонент RSAT для установки: доменные службы Active Directory и инструмент облегченных служб каталогов.
Нажмите Далее->Установить, чтобы начать установку.
Windows подключится к серверам Microsoft, загрузит и установит набор инструментов управления Active Directory (который включает в себя графические консоли Active Directory, инструменты командной строки и модуль Active Directory PowerShell).
Кроме того, вы можете установить набор функций администратора AD с помощью PowerShell:
Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
В изолированных сетях, где нет доступа к Интернету, вы можете установить инструменты RSAT Active Directory, используя образ Windows 10 Features on Demand ISO (образ FOD можно загрузить из кабинета лицензирования Microsoft).
Чтобы установить инструменты Active Directory, из сетевого каталога, содержащего образ FoD, выполните команду:
Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 -LimitAccess -Source fs01DistrWindows10-FOD
В более ранних версиях Windows 10, а также в Windows 8.1 вы можете установить RSAT с помощью обновления MSU. Вы можете скачать RSAT здесь:
- RSAT для Windows 10 1803/1709 — https://www.microsoft.com/en-us/download/details.aspx?id=45520
- RSAT для Windows 8.1 — https://www.microsoft.com/en-us/download/details.aspx?id=39296
Скачайте версию файла RSAT в зависимости от разрядности вашей операционной системы и установите его. Дважды щелкните файл, чтобы начать установку:
Или установите файл RSAT MSU из командной строки в автоматическом режиме:
wusa.exe c:InstallWindowsTH-RSAT_TP5_Update-x64.msu /quiet /norestart
После завершения установки RSAT перезагрузите компьютер.
Осталось активировать необходимый функционал RSAT. Для этого:
- Щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Панель управления
- Выберите программы и функции
- На левой панели нажмите кнопку Включение или отключение компонентов Windows
- В дереве компонентов разверните Средства удаленного администрирования сервера->Средства администрирования ролей->Средства AD DS и AD LDS
- Проверьте раздел «Инструменты AD DS» и нажмите «ОК.
Установку оснастки ADUC также можно выполнить из командной строки. Запустите 3 команды последовательно:
dism/online/enable-feature/featurename:RSATClient-Roles-AD
dism/online/enable-feature/featurename:RSATClient-Roles-AD-DS
dism/online/enable-feature/featurename:RSATClient-Roles-AD-DS-SnapIns
После установки оснастки «Администрирование» в разделе «Администрирование» Панели управления (Панель управленияСистема и безопасностьИнструменты Windows) появится ссылка на консоль «Пользователи и компьютеры Active Directory.
Где скачать и как установить
Сначала вам нужно установить RSAT на свой компьютер. По умолчанию этот инструмент недоступен в Win 10. С помощью RSAT вы можете удаленно управлять сетевыми объектами с помощью диспетчера серверов. Эта служба не может быть загружена на ноутбук под управлением Home или Standard. RSAT разрешено загружать на мощные ПК под управлением профессиональной или корпоративной версии Win 10.
Как скачать RSAT самостоятельно:
- перейти на сайт Майкрософт»;
- найти «Средства удаленного администрирования сервера» (для конкретной редакции Win 10);
- выбрать пакет, соответствующий определенной разрядности (x64 или x86);
- нажмите Загрузить;
- добавить RSAT на свой ПК;
- во время установки включить установку сопутствующих обновлений;
- в конце перезагрузите компьютер.
После загрузки RSAT рекомендуется активировать этот инструмент на вашем ПК:
- позвонить в панель управления;
- найти подпункт «Программы и компоненты»;
- нажмите «Включить или отключить функции Windows»;
- появится окно «Win Feature»;
- найти «Средства удаленного администрирования сервера»;
- открыть филиал
- найти «Инструменты администрирования ролей»;
- отметьте «AD DS and AD LDS Tools» и другие строки в этой ветке (должны быть активны по умолчанию);
- выберите «Инструменты AD DS» и нажмите «ОК».
Установку ADUC можно выполнить из «Командной строки» с помощью следующих команд:
- «dism / online / enable-feature / featurename: RSAT Client-Roles-AD»;
- «dism / online / enable-feature / featurename: RSAT Client-Roles-AD-DS»;
- «Dism/online/enable-feature/featurename: RSAT Client-Roles-AD-DS-SnapIns».
Важно! После загрузки инструментов необходимо вызвать панель управления и перейти в подпункт «Административные инструменты». Должна появиться новая опция под названием «Пользователи и компьютеры Active Directory». После появления этого инструмента разрешено подключение к контроллеру. Пользователь может выполнить это действие самостоятельно.
Читайте также: Автоматическое подключение к интернету в Windows 10: все доступные способы
Как пользоваться консолью Active Directory?
Чтобы запустить консоль ADUC, щелкните ярлык в Панели управления или выполните команду:
dsa.msc
Все аутентифицированные пользователи домена могут использовать консоль ADUC для просмотра объектов Active Directory.
Если ваш компьютер находится в домене Active Directory, консоль ADUC подключится к контроллеру домена на основе текущего сервера входа в систему. Имя контроллера домена, от которого вы получаете информацию, указано вверху.
Вы можете подключиться к другому контроллеру домена или домену AD, щелкнув корень консоли и выбрав элемент в контекстном меню.
Консоль Active Directory отображает древовидную структуру организационных единиц (Organizational Unit, OU) для вашего домена (и отдельный раздел с сохраненными запросами / Saved Queries AD).
Администратор домена может создавать контейнеры (OU) в соответствии с физической или логической структурой предприятий. С помощью контекстного меню вы можете создавать новые объекты в AD (пользователи, группы, компьютеры, OU, контакты), переименовывать, перемещать или удалять объекты. В зависимости от типа выбранного объекта элементы контекстного меню могут различаться.
Например, у пользователя есть возможность сбросить пароль AD или заблокировать/разблокировать учетную запись.
Вы можете использовать контекстное меню поиска для поиска объектов в AD.
Администратор может делегировать права на создание/редактирование/удаление объектов в Active Directory другим пользователям или группам.
Используя меню View -> Add/Remove Columns, вы можете добавить атрибуты объекта, которые вы хотите отобразить в консоли ADUC.
В консоли ADUC вы можете просматривать или изменять свойства объектов домена. Например, вы можете открыть свойства пользователя и изменить настройки. Часть атрибутов пользователя находится на соответствующих вкладках, а полный список атрибутов пользователя доступен на вкладке редактора атрибутов AD (Attribute Editor).
Вы можете добавить отдельную вкладку с изображением пользователя AD.
При присоединении к контроллеру домена RODC вы не сможете изменять свойства объектов AD.
Чтобы отображать системные контейнеры и свойства объектов в оснастке AD (по умолчанию скрыты), включите опцию View -> Advanced Features.
После этого все объекты будут иметь ряд системных вкладок. Например, на вкладке Объект можно получить каноническое имя объекта, дату создания учетной записи и включить опцию защиты объекта от случайного удаления).
Подключение консоли ADUC к домену из рабочей группы
Если вы хотите использовать консоль ADUC для подключения к контроллеру домена с компьютера, который не входит в домен (принадлежит к рабочей группе), используйте этот метод:
- Запустите командную строку и выполните команду для запуска оснастки от имени другого пользователя: runas /netonly /user:winitproaaivanov mmc
- В пустой MMC-консоли выберите File->Add/Remove Snap-in
- Переместите оснастку «Пользователи и компьютеры Active Directory» на правую панель и нажмите «Добавить;
- Чтобы подключиться к домену, щелкните корень консоли и выберите «Изменить домен». Введите доменное имя.
В результате консоль ADUC подключится к контроллеру домена, извлечет и отобразит структуру контейнера (OU) этого домена Active Directory.
Необязательное действие: дополнительный сервер и лес
В этом необязательном разделе показано, как создать дополнительный сервер и/или лес. Эти элементы могут быть полезны в некоторых более продвинутых руководствах (например, Pilot Cloud Sync для существующего синхронизированного леса AD).
Если вам нужен только дополнительный сервер, завершите процесс после шага «Создать виртуальную машину» и присоедините полученный сервер к ранее созданному домену.
Создание виртуальной машины
- откройте PowerShell ISE от имени администратора.
- Запустите следующий скрипт.
Завершение развертывания операционной системы
Для завершения создания виртуальной машины необходимо завершить установку операционной системы.
- В диспетчере Hyper-V дважды щелкните виртуальную машину.
- Нажмите кнопку «Пуск».
- Вам будет предложено нажать любую клавишу для загрузки с CD или DVD. Делает.
- На экране-заставке Windows Server выберите язык и нажмите кнопку Далее.
- Щелкните Установить.
- Введите лицензионный ключ и нажмите «Далее.
- Отметьте «Я принимаю условия лицензии» и нажмите «Далее.
- Выбрать пользовательский: установить только Windows (дополнительно)
- Нажмите «Далее
- После завершения установки перезапустите виртуальную машину, войдите в систему и запустите Центр обновления Windows, чтобы поддерживать виртуальную машину в актуальном состоянии. Установите последние обновления.
Установка необходимых компонентов для Active Directory
После этого перед установкой Active Directory необходимо выполнить еще несколько шагов. В частности, вам необходимо переименовать виртуальную машину, установить статический IP-адрес и предоставить информацию DNS, а также установить инструменты удаленного управления сервером. Сделайте следующее.
- откройте PowerShell ISE от имени администратора.
- Запустите следующий скрипт.
Создание среды AD для Windows Server
Итак, вы создали виртуальную машину, переименовали ее и присвоили ей статический IP-адрес. Теперь вы можете установить и настроить доменные службы Active Directory. Сделайте следующее.
- откройте PowerShell ISE от имени администратора.
- Запустите следующий скрипт.
Создание пользователя AD для Windows Server
Теперь, когда среда Active Directory создана, вам нужна тестовая учетная запись. Он будет создан в локальной среде AD, а затем синхронизирован с Azure AD. Сделайте следующее.
- откройте PowerShell ISE от имени администратора.
- Запустите следующий скрипт.
RSAT for Windows 10 v1809
Настройки > Приложения > Управление дополнительными функциями > Добавить функцию Пример отображения информации об установленных в системе средствах удаленного управления (необходимы права администратора):
В русской версии Windows 10 1809 для установки RSAT перейдите в Настройки -> Приложения — > Приложения и функции -> Управление дополнительными компонентами -> Добавить компонент.
Устанавливаем роль
RSAT или локальный сервер с графическим интерфейсом:
Сначала вам нужно добавить сервер в RSAT. Добавляется на главную страницу с помощью доменного имени или IP-адреса. Убедитесь, что вы вводите логин в формате локальныйАдминистратор, иначе сервер не примет пароль.
Перейдите к добавлению функций и выберите AD DS.
PowerShell:
Если вы не знаете имя системного компонента, вы можете запустить команду и получить список доступных компонентов, их зависимостей и имен. Функция Get-Windows
Скопируйте название компонента и продолжите установку. Install-WindowsFeature -Name AD-Domain-Services Центр администрирования Windows:
Перейдите в «Роли и функции» и выберите ADDS (доменные службы Active Directory).
И это буквально все. В настоящее время невозможно управлять Active Directory через Центр администрирования Windows. Его упоминание — не более чем напоминание о том, насколько он пока бесполезен.