Установка оснастки Active Directory в Windows 10

Вопросы и ответы

Что такое Active Directory в Windows 10 и для чего это нужно

Microsoft разработала новую программу, которая позволяет объединить все сетевые объекты (компьютеры, маршрутизаторы, принтеры, профили пользователей, серверы) в одну систему. Это хранилище называется Active Directory или Active Directory (сокращенно AD).

screenshot_1

Для реализации этой программы вам понадобится специальный сервер, а точнее контроллер домена. В нем будет храниться вся информация. Аутентифицирует (через протокол Kerberos) пользователей и различные устройства в сети. Контроллер домена будет отслеживать доступ к объектам в своей сети, то есть разрешать запрошенное действие или, наоборот, блокировать его.

Есть несколько преимуществ использования Active Directory. Эта программа обеспечивает безопасную работу, упрощает взаимодействие различных объектов в одной сети. С помощью AD вы можете ограничить количество функций для определенных пользователей. Данные, хранящиеся на этом сервере, защищены от внешнего доступа.

Сервисы AD обеспечивают удобный обмен файлами (на основе технологии DFS), объединяют все объекты в одну систему (поддерживается стандарт LDAP). Возможна интеграция с Windows Server по протоколу RADIUS.

скриншот_2

Active Directory можно использовать в Win10 Professional Edition. Существует специальный инструмент управления доменом (оснастка ADUC), который позволяет адаптировать AD к вашей операционной системе. Этот адаптер позволяет отслеживать сетевые объекты и управлять ими.

Перед использованием ADUC рекомендуется установить службу RSAT, которая включает командную строку, Power Shell и средства удаленного администрирования сервера.

Важно! Active Directory служит каталогом, хранилищем информации о пользователях и сетевой инфраструктуре. Этот проект реализован через контроллер домена. Этот сервер контролирует доступ (разрешает или блокирует запросы) к объектам в своей сети. AD рекомендуется для крупных компаний.

screenshot_3

Версии Windows 10

Чтобы включить Active Directory — пользователи и компьютеры на ПК с Windows 10, необходимо сначала установить RSAT — средства удаленного администрирования сервера. Если вы используете старую версию Windows 10, например 1803 или более раннюю, вам нужно будет загрузить файлы RSAT из Центра загрузки Microsoft.

С другой стороны, во всех версиях Windows 10, начиная с выпуска от 10 октября 2020 года, RSAT включен как функция по запросу. Скачивать инструменты не нужно, просто установите и включите их. Обратите внимание, что только выпуски Enterprise и Professional поддерживают RSAT и Active Directory.

Где скачать и как установить

Во-первых, вам нужно установить RSAT на свой компьютер. По умолчанию этого инструмента нет в Win 10. RSAT можно использовать для удаленного управления сетевыми объектами с помощью диспетчера сервера. Эту услугу нельзя загрузить на ноутбук с версией Home или Standard. RSAT можно загрузить на мощные ПК с выпуском Win 10 Professional или Enterprise.

Как скачать RSAT самостоятельно:

  • перейти на сайт Microsoft»;

screenshot_4

  • найдите «Средства удаленного администрирования сервера» (для конкретной редакции Win 10);
  • выберите пакет, соответствующий определенной разрядности (x64 или x86);

screenshot_5

  • нажмите Скачать;
  • добавить RSAT на свой компьютер;
  • во время установки активируйте установку соответствующих обновлений;
  • в конце перезагрузите ПК.

screenshot_6

После завершения загрузки RSAT рекомендуется активировать этот инструмент на своем ПК:

  • вызвать Панель управления;
  • найдите подпункт «Программы и возможности»;

screenshot_7

  • нажмите «Активировать или деактивировать функции Windows»;

screenshot_8

  • появится окно «Win Feature»;
  • открыть филиал;
  • найдите «Инструменты администрирования ролей»;
  • установите флажок «AD DS и AD LDS Tools» и другие строки в этой ветке (по умолчанию должны быть активными);
  • найдите «Инструменты удаленного администрирования сервера»;
  • выделите «Инструменты AD DS» и нажмите «ОК».

screenshot_9

Установку ADUC можно выполнить из «Командной строки» с помощью следующих команд:

  • «Dism / online / enable-feature / featurename: RSAT Client-Roles-AD»;
  • Dism / online / enable-feature / featurename: RSAT Client-Roles-AD-DS»;
  • Dism / online / enable-feature / featurename: RSAT Client-Roles-AD-DS-SnapIns».

screenshot_10

Важно! После загрузки инструментов вам необходимо открыть Панель управления и перейти в подпункт «Администрирование». Должна появиться новая опция под названием «Пользователи и компьютеры Active Directory». После появления этого инструмента разрешено подключение к контроллеру. Пользователь сможет выполнить это действие самостоятельно.

Основные понятия, встречающиеся в ходе работы

При работе с AD применяется ряд специальных концепций:

  1. Сервер — это компьютер, на котором хранятся все данные.
  2. Контроллер: сервер с ролью AD, который обрабатывает запросы от людей, использующих домен.
  3. Домен AD — это совокупность устройств, сгруппированных под уникальным именем, которые одновременно используют общую базу данных каталога.
  4. Хранилище данных — это часть каталога, отвечающая за хранение и получение данных с любого контроллера домена.

Устройство

Поговорим о структуре программы.

Объекты

Active Directory имеет иерархическую структуру объектов. Объекты делятся на три основные категории: ресурсы (например, принтеры), службы (например, электронная почта) и учетные записи пользователей и компьютеров. Сервис предоставляет информацию об объектах, позволяет организовывать объекты, контролировать доступ к ним и даже устанавливает правила безопасности.

Объекты могут быть репозиториями для других объектов (групп безопасности и рассылки). Объект однозначно определяется своим именем и имеет набор атрибутов — характеристик и данных, которые он может содержать; последние, в свою очередь, зависят от типа объекта. Атрибуты являются строительным блоком структуры объекта и определяются в схеме. Схема определяет, какие типы объектов могут существовать.

Сама схема состоит из двух типов объектов: объектов классов схемы и объектов атрибутов схемы. Объект класса схемы определяет тип объекта Active Directory (например, объект «Пользователь»), а объект атрибута схемы определяет атрибут, который может иметь объект.

Каждый объект атрибута может использоваться в нескольких объектах класса схемы. Эти объекты называются объектами схемы (или метаданных) и позволяют изменять и дополнять схему, когда это необходимо и возможно.

Однако каждый объект схемы является частью определений объектов, поэтому отключение или изменение этих объектов может иметь серьезные последствия, поскольку в результате этих действий изменяется структура каталогов.

Изменение объекта схемы автоматически распространяется в службу каталогов. После создания объект схемы нельзя удалить, его можно только отключить. Обычно все изменения схемы тщательно планируются.

Контейнер похож на объект в том смысле, что он также имеет атрибуты и является пространством имен, но, в отличие от объекта, контейнер не означает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Структура

Верхний уровень дерева — это лес, совокупность всех объектов, атрибутов и правил (синтаксис атрибутов) в Active Directory. Лес содержит одно или несколько деревьев, соединенных транзитивными доверительными отношениями. Дерево содержит один или несколько доменов, также связанных иерархически транзитивными доверительными отношениями. Домены идентифицируются по их структурам DNS-имен — пространствам имен.

Объекты в домене могут быть сгруппированы в контейнеры — организационные единицы. Организационные единицы позволяют создавать иерархию внутри домена, упрощать администрирование и позволяют моделировать, например, организационную или географическую структуру организации в службе каталогов.

Подразделения могут содержать другие подразделения. Microsoft рекомендует использовать в службе каталогов как можно меньше доменов и использовать организационные подразделения для структуры и политик.

Групповые политики часто применяются конкретно к организационным единицам. Групповая политика — это сама по себе объекты. Организационная единица — это самый низкий уровень, на который могут быть делегированы административные полномочия.

Другой способ разделения — это сайты, которые представляют собой физический (а не логический) способ группировки на основе сегментов сети. Сайты делятся на те, которые имеют соединения по низкоскоростным каналам (например, по глобальным сетям с использованием виртуальных частных сетей) и по высокоскоростным каналам (например, по локальной сети).

Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При разработке службы каталогов важно учитывать сетевой трафик, генерируемый синхронизацией данных между сайтами.

Ключевым решением при разработке службы каталогов является решение разделить информационную инфраструктуру на иерархические домены и подразделения верхнего уровня.

Типичными моделями, используемыми для этого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.

Физическая структура и репликация

Физически информация хранится на одном или нескольких одноранговых контроллерах домена, которые заменили основной и резервный контроллеры домена, используемые в Windows NT, хотя также поддерживается так называемый сервер «операций с одним главным устройством», который может имитировать основной домен DC для некоторых операций. Каждый контроллер домена поддерживает копию данных для чтения и записи.

Изменения, внесенные на одном контроллере, синхронизируются со всеми контроллерами домена во время репликации. Серверы, на которых не установлена ​​сама Active Directory, но являются частью домена Active Directory, называются рядовыми серверами.

Репликация каталога происходит по запросу. Служба проверки согласованности знаний (KCC) создает топологию репликации, которая использует сайты, определенные в системе, для проверки трафика. Репликация на месте выполняется часто и автоматически с использованием проверки согласованности (путем уведомления партнеров по репликации об изменениях).

Репликацию между сайтами можно настроить для каждого канала сайта (в зависимости от качества канала) — каждому каналу может быть назначен разный «рейтинг» (или «стоимость») (например, DS3, T1, ISDN), и трафик репликации будет быть ограниченным, вещание планировалось и маршрутизировалось в соответствии с оценкой назначенного канала.

Данные репликации могут проходить через несколько сайтов через мосты связей сайтов, если «оценка» низкая, хотя AD автоматически присваивает более низкую оценку для ссылок между сайтами, чем для обратных ссылок.

Репликация между сайтами выполняется серверами-плацдармами на каждом сайте, которые затем реплицируют изменения на каждый контроллер домена на своем сайте. Репликация внутри домена — это RPC, репликация между доменами также может использовать SMTP.

Если структура Active Directory содержит несколько доменов, для решения проблемы поиска объектов используется глобальный каталог: контроллер домена, содержащий все объекты в лесу, но с ограниченным набором атрибутов (неполная репликация). Каталог хранится на указанных серверах глобального каталога и обслуживает междоменные запросы.

Функция одного хоста позволяет обрабатывать запросы, когда репликация на несколько хостов недопустима. Существует пять типов таких операций: эмуляция PDC, относительный главный ID (относительный главный ID или хозяин RID), хозяин инфраструктуры (хозяин инфраструктуры), хозяин схемы (хозяин схемы) и хозяин именования доменов (мастер именования доменов). Первые три роли уникальны в пределах домена, последние две уникальны для всего леса.

Базу Active Directory можно разделить на три логических хранилища или «раздела». Схема — это модель службы, которая определяет все типы объектов, их классы и атрибуты, синтаксис атрибутов (все деревья находятся в одном лесу, потому что у них одна и та же схема).

Одна конфигурация — это структура леса и деревьев Active Directory. В домене хранится вся информация об объектах, созданных в этом домене. Первые два хранилища реплицируются на все контроллеры домена в лесу, третий раздел полностью реплицируется между репликами контроллеров в каждом домене и частично на серверы глобального каталога.

База данных (хранилище каталогов) в Windows 2000 использует расширяемую подсистему хранения Microsoft Jet Blue, которая позволяет каждому контроллеру домена иметь базу данных размером до 16 терабайт и 1 миллиард объектов (теоретический предел, практические тесты проводились только с примерно 100 миллионами объектов.).

Файл базы данных называется NTDS.DIT ​​и имеет две основные таблицы: таблицу данных и таблицу ссылок. В Windows Server 2003 была добавлена ​​еще одна таблица, чтобы гарантировать уникальность экземпляров дескриптора безопасности.

Читайте также: Как сбросить подгузники на canon mg2540s

Как включить службы Active Directory в Windows 10?

Осталось активировать необходимую функцию RSAT.

  1. Щелкните правой кнопкой мыши Пуск и выберите Панель управления
  2. Выберите программы и компоненты
  3. На левой панели щелкните Включение или отключение компонентов Windows
  4. Разверните Инструменты удаленного администрирования сервера -> Инструменты администрирования ролей -> Доменные службы Active Directory и инструменты AD LDS
  5. Выберите «Инструменты доменных служб Active Directory» и нажмите «ОК.

Однако вы можете установить функцию AD из командной строки с помощью только этих трех команд:

Как установить RSAT в Windows 10

RSAT или инструменты удаленного администрирования сервера — это набор программ и инструментов для удаленного управления сервером на основе сервера Windows и Active Directory. Порядок его установки незначительно варьируется в зависимости от номера сборки Windows 10.

Проверка технического соответствия

Чтобы установить RSAT, должны быть выполнены два условия:

  • Windows 10 имеет более высокую версию, чем Home, например Pro или Enterprise.
  • Компьютер не основан на процессоре ARM.

Если оба требования соблюдены, переходите к установке или включению компонентов RSAT.

Установка на Windows 10 1809 (17763)

Начиная с версии 10 1809 (17763), пакет RSAT встроен в образ системы. Поэтому скачивать его отдельно с сайта Microsoft нет необходимости. Просто зайдите в список компонентов Windows 10 и активируйте необходимые утилиты:

1. Откройте «Настройки Windows 10».

2. Зайдите в раздел «Приложения».

Управление интегрированными компонентами осуществляется в разделе «Приложения». Управление интегрированными компонентами осуществляется в разделе «Приложения»

3. Щелкните «Дополнительные функции».

4. Выберите вариант «Добавить компонент».

5. Отметьте инструменты, необходимые для набора RSAT.

Компоненты RSAT установлены по умолчанию, вам просто нужно активировать их. Компоненты RSAT установлены по умолчанию, вам просто нужно их активировать

Для активации компонентов вы также можете использовать консоль PowerShell, работающую с правами администратора:

  1. Щелкните правой кнопкой мыши меню «Пуск».
  2. Мы выбираем запуск консоли PowerShell с правами администратора.PowerShell постепенно заменяет командную строку PowerShell постепенно заменяет командную строку
  3. Проверьте, установлены ли компоненты: Get-WindowsCapability -Name RSAT * -Online | Select-Object -Property DisplayName, State.
  4. Если они имеют статус NotPresent, мы устанавливаем все инструменты с Get-WindowsCapability -Name RSAT * -Online | Add-WindowsCapability –Online.

Установить все доступные компоненты сразу Установить все доступные компоненты сразу

Компоненты RSAT активированы и готовы к использованию.

Установка в предыдущих сборках Windows 10

Если обновление до Windows 10 версии 1809 (17763) не установлено, вам сначала необходимо загрузить набор RSAT с веб-сайта Microsoft. При загрузке обращайте внимание на номер сборки и архитектуру: x64 или x86.

Главное — загрузить правильный набор инструментов, главное — загрузить правильный набор инструментов

После загрузки запускаем файл, принимаем установку пакета обновления, принимаем условия лицензии и ждем завершения установки. Ничего не нужно настраивать.

Установка максимально проста, мы согласны со всеми условиями Установка максимально проста, мы согласны со всеми условиями

Обычно установленные компоненты сразу появляются в «Панели управления» в разделе «Администрирование». Если этого не произошло, выполняем следующие действия:

  1. Откройте «Панель управления».
  2. Перейдите в раздел «Программы и компоненты».
  3. Щелкните ссылку «Включение и выключение компонентов Windows».Включить компоненты, установленные вручную Включить компоненты, установленные вручную
  4. Найдите папку Remote Server Administration Tools и отметьте все необходимые нам опции.

Активируйте компоненты RSAT, чтобы они отображались на «Панели управления». Активируйте компоненты RSAT, чтобы они отображались в «Панели управления»

После активации возвращаемся в раздел «Администрирование» и убеждаемся, что компоненты доступны для работы.

Как работают активные директории

Основополагающие принципы работы:

  • Авторизация, с которой становится возможным использовать ПК в сети, просто введя личный пароль. В этом случае переносится вся информация из аккаунта.
  • Сетевое администрирование из одной точки. При использовании Active Directory системному администратору не нужно перенастраивать все ПК, если необходимо изменить права доступа, например, к принтеру. Изменения вносятся удаленно и глобально.
  • Полная интеграция с DNS. С его помощью в AD не возникает путаницы, все устройства обозначаются так же, как всемирная паутина.
  • В больших масштабах. Набор серверов может управляться одной Active Directory.
  • Безопасность. Active Directory содержит возможности распознавания пользователей. Для любого сетевого объекта можно удаленно, с устройства, установить необходимые права, которые будут зависеть от конкретных категорий и пользователей.
  • Поиск ведется по различным параметрам, например, по имени компьютера, логину.

Объекты и атрибуты

Объект: набор атрибутов, объединенных под вашим именем, которые представляют сетевой ресурс.

Атрибут — характеристика объекта в каталоге. Например, это полное имя пользователя, логин. Но атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.

Процессы Atieclxx, Atiedxx, Ati2evxx — почему они используются и какой утилите они принадлежат

Пример:

Объекты AD

«Сотрудник» — объект, имеющий атрибуты «Полное имя», «Должность» и «TabN”.

Контейнер и имя LDAP

Контейнер — это тип объектов, которые могут состоять из других объектов. Например, домен может включать в себя объекты учетной записи.

Их основное предназначение — систематизировать объекты по типам указателей. Чаще всего контейнеры используются для группировки объектов с одинаковыми атрибутами.

Большинство контейнеров отображают набор объектов, а ресурсы представлены уникальным объектом Active Directory. Одним из основных типов контейнеров AD является организационная единица или OU (организационная единица). Объекты, помещенные в этот контейнер, принадлежат только тому домену, в котором они были созданы.

Облегченный протокол доступа к каталогам (LDAP) — это основной алгоритм подключения TCP / IP. Он призван уменьшить количество нюансов при доступе к службам каталогов. Кроме того, LDAP определяет действия, используемые для запроса и изменения данных каталога.

Дерево и сайт

Дерево доменов — это структура, набор доменов, которые имеют общую схему и конфигурацию, которые образуют общее пространство имен и связаны доверием.

Лес домена — это набор взаимосвязанных деревьев.

Сайт — это набор устройств в IP-подсетях, которые представляют собой физическую модель сети, планирование которой осуществляется независимо от логического представления ее построения. Active Directory может создавать n-е количество сайтов или объединять n-е количество доменов в один сайт.

Решаем проблему «Доменные службы Active Directory сейчас недоступны»

Есть несколько причин, вызывающих эту ошибку. Очень часто они связаны с тем, что услуги не могут быть активированы или не имеют доступа в силу определенных обстоятельств. Проблема решается разными способами, каждый из которых имеет свой алгоритм действий и отличается сложностью. Начнем с самого простого.

Сразу отмечу, что если имя компьютера было изменено во время работы в кооперативной сети, может возникнуть рассматриваемая проблема. В этом случае мы рекомендуем вам обратиться за помощью к системному администратору.

Способ 1: Вход под учетной записью администратора

Если вы используете домашнюю сеть и имеете доступ к учетной записи администратора, мы рекомендуем вам войти в операционную систему с этим профилем и попробовать еще раз отправить документ на печать с помощью необходимого устройства.

Способ 2: Использование принтера по умолчанию

Как упоминалось выше, аналогичная ошибка отображается для тех пользователей, которые подключены к домашней или офисной сети. Из-за того, что одновременно можно использовать несколько устройств, возникает проблема с доступом к Active Directory.

Вам необходимо установить оборудование по умолчанию и повторить процедуру печати еще раз. Для этого просто перейдите в «Устройства и принтеры» через «Панель управления», щелкните устройство правой кнопкой мыши и выберите «Использовать по умолчанию».

Установить принтер по умолчанию в Windows 7

Способ 3: Включение «Диспетчер печати»

Служба диспетчера печати отвечает за отправку документов для печати. Он должен быть активным, чтобы правильно выполнять свои функции. Поэтому вам следует зайти в меню «Сервисы» и проверить статус этого компонента. Запустите службу печати в Windows 7

Способ 4: Диагностика неполадок

Как видите, первые два метода требовали выполнения всего нескольких манипуляций и не занимали много времени.

Начиная с пятого метода, процедура немного усложняется, поэтому, прежде чем переходить к дальнейшим инструкциям, мы рекомендуем вам проверить принтер на наличие ошибок с помощью встроенного инструмента Windows. Они будут исправлены автоматически. Вам необходимо сделать следующее:

  1. Откройте меню «Пуск» и перейдите в Панель управления».Зайдите в Панель управления в Windows 7
  2. Выберите категорию «Центр управления сетями и общим доступом».Перейдите в Центр управления сетями и общим доступом в Windows 7
  3. Внизу нажмите на инструмент «Устранение неполадок».Запустите средство устранения неполадок в Windows 7
  4. В разделе «Печать» выберите категорию «Принтер».Выберите принтер для диагностики проблем Windows 7
  5. Щелкните «Дополнительно».Дополнительные параметры средства диагностики Windows 7
  6. Запустите инструмент от имени администратора.Запустите средство диагностики от имени администратора Windows 7
  7. Приступите к сканированию, нажав «Далее».Начните анализировать проблемы с принтером в Windows 7
  8. Дождитесь завершения сканирования оборудования.Ожидание завершения анализа сканирования Windows 7
  9. Из представленного списка выберите принтер, который не работает.Выберите принтер из списка для диагностики проблем Windows 7

Остается только дождаться, пока инструмент найдет ошибки и исправит их в случае обнаружения. Затем следуйте инструкциям, отображаемым в окне диагностики.

Способ 5: Проверка конфигурации WINS

Служба сопоставления WINS отвечает за разрешение IP-адресов, и неисправность может вызвать рассматриваемую ошибку при попытке печати на сетевом оборудовании. Решить эту проблему можно следующим образом:

  1. Выполните первые два шага предыдущих инструкций.
  2. Перейдите в раздел «Изменить настройки адаптера».Перейдите в настройки параметров адаптера Windows 7
  3. Щелкните правой кнопкой мыши активное соединение и выберите «Свойства».Заходим в свойства адаптера Windows 7
  4. Найдите строку «Протокол Интернета версии 4», выберите ее и перейдите в «Свойства».Выберите Свойства протокола в Windows 7
  5. На вкладке «Общие» нажмите «Дополнительно».Дополнительные свойства протокола в Windows 7
  6. Проверьте настройки WINS. Маркер должен быть рядом с «По умолчанию», однако в некоторых рабочих сетях конфигурация устанавливается системным администратором, поэтому вам следует обратиться к нему за помощью.Настройка WINS в Windows 7

Способ 6: Переустановка драйверов и добавление принтера

Наименее эффективным вариантом, но работающим в некоторых ситуациях, считается удаление или переустановка драйверов для печатающего оборудования или их добавление через встроенный инструмент Windows. Вы должны сначала удалить старое программное обеспечение.

Затем вам необходимо установить новый драйвер с любыми доступными опциями или установить принтер с помощью встроенного инструмента ОС Windows. Первые четыре метода в материале по ссылке ниже помогут вам найти подходящее программное обеспечение, а в пятом вы найдете инструкции по добавлению оборудования.

Установить принтер в Windows 7

Выше мы расширили шесть методов исправления недоступности каталогов домена AD при попытке отправить документ на печать. Как видите, все они разные по сложности и подходят для разных ситуаций. Мы рекомендуем начинать с самых простых, постепенно переходя к сложным, пока не найдете правильное решение.

Что такое делегирование AD

Само делегирование — это передача некоторых разрешений и управления от родительского объекта другой ответственной стороне.

Известно, что в каждой организации есть несколько системных администраторов. На разные плечи следует возложить разные задачи. Чтобы применить изменения, вам необходимо иметь права и разрешения, которые делятся на стандартные и специальные. Особые: они применимы к определенному объекту, а стандарт — это набор существующих разрешений, которые делают определенные функции доступными или недоступными.

 

Оцените статью
Блог про принтеры
Adblock
detector