Active directory windows admin center

Содержание
  1. Установка оснастки Active Directory в Windows 10
  2. Скачать RSAT для Windows 10
  3. Установка RSAT в Windows 10
  4. Подключение консоли ADUC к домену из рабочей группы
  5. Разворачиваем Active Directory всеми возможными методами
  6. Устанавливаем роль
  7. Повышаем сервер до контроллера домена
  8. Управляем доменом
  9. Создание нового пользователя
  10. Включить пользователя
  11. Добавляем пользователя в группу
  12. Вывод:
  13. Установка Windows Admin Center
  14. Общая информация
  15. Загрузка и установка Windows Admin Center
  16. Подключение к Windows Admin Center
  17. Advanced AD DS Management Using Active Directory Administrative Center (Level 200) Advanced AD DS Management Using Active Directory Administrative Center (Level 200)
  18. Архитектура центра администрирования Active Directory Active Directory Administrative Center Architecture
  19. Центр администрирования Active Directory исполняемых файлов, DLL Active Directory Administrative Center Executables, DLLs
  20. Активация и администрирование новой корзины Active Directory через Центр администрирования Active Directory Enabling and Managing the Active Directory Recycle Bin Using Active Directory Administrative Center
  21. Возможности Capabilities
  22. Ограничения Limitations
  23. Активация корзины Active Directory через Центр администрирования Active Directory Enabling Active Directory Recycle Bin using Active Directory Administrative Center
  24. Управление корзиной Active Directory через Центр администрирования Active Directory Managing Active Directory Recycle Bin using Active Directory Administrative Center
  25. Хранение и фильтрация Storage and Filtering
  26. Восстановление Restoration
  27. Настройка и администрирование детальной политики паролей через Центр администрирования Active Directory Configuring and Managing Fine-Grained Password Policies Using Active Directory Administrative Center
  28. Настройка детальной политики паролей Configuring Fine-Grained Password Policies
  29. Управление детальной политикой паролей Managing Fine-Grained Password Policies
  30. Использование средства просмотра журнала Windows PowerShell в Центре администрирования Active Directory Using the Active Directory Administrative Center Windows PowerShell History Viewer
  31. Устранение неполадок в управлении доменными службами Active Directory Troubleshooting AD DS Management
  32. Общие сведения об устранении неполадок Introduction to Troubleshooting
  33. Способы устранения неполадок Troubleshooting Options
  34. Параметры ведения журнала Logging Options

Установка оснастки Active Directory в Windows 10

Одной из наиболее часто используемых консолей управления объектами в домене Active Directory – MMC оснастка Active Directory Users and Computers (или ADUC). Чтобы пользоваться этой оснастку с клиентского компьютера с Windows 10, необходимо установить компонент Microsoft Remote Server Administration Tools (RSAT). RSAT представляет собой набор различных инструментов и утилит для управления серверами Windows Servers, доменом Active Directory и другими ролями и функциями Windows.

Скачать RSAT для Windows 10

По умолчанию комплект RSAT в Windows 10 не установлен. Скачать последнюю версию Remote Server Administration Tools для Windows 10 (версия 1.2 от 6.27.2016) можно по ссылке: https://www.microsoft.com/en-us/download/details.aspx?id=45520

Выберите язык своей Windows 10 и нажмите кнопку Download button. В зависимости от разрядности вашей системы, вам нужно скачать один из файлов:

Установка RSAT в Windows 10

Установите скачанный файл, дважды щелкнув по нему Или установите msu файл RSAT из командной строки в «тихом» режиме:

wusa.exe c:\Install\WindowsTH-RSAT_TP5_Update-x64.msu /quiet /norestart

После окончания установки RSAT нужно перезагрузить компьютер.

Осталось активировать необходимый функционал RSAT. Для этого:

Установка оснастки ADUC также может быть выполнена из командой строки. Последовательно выполните 3 команды:

dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

После установки оснасток управления, в разделе Administrative Tools панели управления появится ссылка на консоль Active Directory Users and Computers.

Теперь можно запустить оснастку ADUC и подключится к любому контроллеру домена. Если данный компьютер состоит в домене Active Directory, консоль подключится к контролеру домена, на основании текущего Logon сервера.

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с машины, которая не включена в домен (состоит в рабочей группе, или стоит домашняя версия Windows), воспользуйтесь таким методом:

В результате консоль ADUC подключится к контроллеру домена, получит и отобразит структуру контейнеров (OU) данного домена Active Directory.

Источник

Разворачиваем Active Directory всеми возможными методами

Одним из реально полезных нововведений в Windows Server 2019 является возможность вводить серверы, не делая Sysprep или чистую установку. Развернуть инфраструктуру на виртуальных серверах с Windows Server никогда еще не было так просто.

Устанавливаем роль

RSAT или локальный сервер с GUI:

Переходим в добавление компонентов и выбираем AD DS.

Если вы не знаете, как называется компонент системы, можно выполнить команду и получить список доступных компонентов, их зависимостей и их имена.

Копируем имя компонента и приступаем к установке.

Windows Admin Center:

Переходим в «Роли и компоненты» и выбираем ADDS (Active Directory Domain Services).

И это буквально всё. Управлять Active Directory через Windows Admin Center на текущий момент невозможно. Его упоминание не более чем напоминание о том, насколько он пока что бесполезен.

Повышаем сервер до контроллера домена

А для этого создаем новый лес.

RSAT или локальный серверс GUI:

Очень рекомендуем оставлять все по умолчанию, все компоненты из коробки прекрасно работают и их не нужно трогать без особой на то необходимости.

Сначала нужно создать лес и установить пароль от него. В Powershell для паролей есть отдельный тип переменной – SecureString, он используется для безопасного хранения пароля в оперативной памяти и безопасной его передачи по сети.

Любой командлет который использует чей угодно пароль нужно вводит таким образом. Сначала записываем пароль в SecureString, а затем указываем эту переменную в командлет.

Как и в установке через GUI, даже вывод в консоль один и тот же. В отличие от сервера с GUI, как установка роли, так и установка сервера в качестве контроллера домена не требует перезагрузки.

Установка контроллера с помощью RSAT занимает больше времени, чем через Powershell.

Управляем доменом

Теперь, чтобы понять насколько сильно различается управление Active Directory через Powershell и AD AC (Active Directory Administrative Center), рассмотрим пару рабочих примеров.

Создание нового пользователя

Отличий между AD DC и Powershell никаких.

Включить пользователя

RSAT или локальный серверс GUI:

Через GUI пользователю нужно сначала задать пароль отвечающий GPO и только после этого его можно будет включить.

Через Powershell почти то же самое, только пользователя можно сделать активным даже без пароля.

Добавляем пользователя в группу

RSAT или локальный сервер с GUI:

С помощью AD DC нужно перейти в свойства пользователя, найти графу с членством пользователя в группах, найти группу в которую мы хотим его поместить и добавить его наконец, а затем кликнуть OK.

Если мы не знаем как называется нужная нам группа, получить их список мы можем с помощью:

Получить группу со всеми свойствами можно так:

Ну и наконец добавляем пользователя в группу:

Далее, из-за того, что в Powershell все является объектами, мы как и через AD DC должны сначала получить группу пользователя, а затем добавить его в неё.

Затем добавляем этот объект в группу:

Как видим, отличий в управлении AD через AD AC и Powershell почти нет.

Вывод:

Если вы уже сталкивались с развертыванием AD и других служб, то вы, возможно подмечали сходство развертывания через RSAT и Powershell, и насколько на самом деле все похоже. GUI в ядре, как никак.

Надеемся, статья была полезна или интересна.

Ну и напоследок пару дельных советов:

Предлагаем обновлённый тариф UltraLite Windows VDS за 99 рублей с установленной Windows Server 2019 Core.

Источник

Установка Windows Admin Center

Общая информация

Одним из новых инструментов администрирования серверов на базе операционной системы Windows является Windows Admin Center. Он реализует современный подход к управлению, когда с любого устройства через веб-браузер можно подключиться к панели управления инфраструктурой и получить информацию о состоянии сервера или произвести изменение его конфигурации.

При подключении пользователя к центру администрирования используются протоколы HTTP/HTTPS. Сам же центр администрирования использует WinRM/PowerShell для подключения к контролируемым серверам, получения от них информации и внесения изменений в конфигурацию. Соответственно, внедряя Windows Admin Center, нужно принимать во внимание каким образом будут производиться подключения компонентов друг к другу, и использовать защищенные версии протоколов (HTTPS и WinRM через HTTPS) когда соединения происходят через публичные сети (интернет).

Windows Admin Center устанавливается отдельно. Он не входит в состав операционной системы, поэтому дистрибутив необходимо скачать с сайта Майкрософт. Там же можно найти дополнительную информацию об этом продукте.

Загрузка и установка Windows Admin Center

Пройдем по всем шагам, необходимым для успешной установки консоли управления:

Открыв сайт Майкрософт в браузере, находим и нажимаем на ссылку для скачивания Windows Admin Center:

На открывшейся странице жмем Continue:

Заполняем форму, чтобы получить свою копию дистрибутива и нажимаем Continue, после чего начнется загрузка:

Дождавшись окончания загрузки запускаем установочный файл, принимаем лицензионное соглашение и жмем Next:

Выбираем использовать или нет службу обновлений Майкрософт (рекомендуется использовать), нажимаем Next:

На следующей странице содержится общая информация о способах использования устанавливаемого компонента, а также ссылка на статью с возможными сценариями установки. Нажимаем Next:

На странице конфигурирования шлюза содержатся два параметра — Allow Windows Admin Center to modify this machine`s trusted hosts settings — ставим галку, если серверы, которые будут подключаться к центру администрирования, не входят в домен Active Directory; Use WinRM over HTTPS only — ставим галку в том случае, если подключения от центра администрирования к другим серверам будут проходить через публичные сети (интернет). Если мы планируем управлять только локальным сервером, на котором установлен Windows Admin Center, можно оставить настройки по умолчанию и нажать Next:

Выбираем порт, по которому будут приниматься подключения к веб-консоли (для указанного порта будет создано разрешающее правило в брандмауэре операционной системы), а также указываем сгенерировать ли самоподписанный сертификат или же использовать другой сертификат, установленный на сервере. Чтобы не получать сообщений о недоверенных соединениях, можно использовать приобретенный и установленный заранее цифровой сертификат. Не забываем ставить галку Redirect HTTP port 80 traffic to HTTPS, чтобы использовались только зашифрованные соединения:

После нажатия кнопки Install ожидаем завершения процесса установки:

Процесс завершен, нажимаем Finish:

Подключение к Windows Admin Center

Для подключения к Windows Admin Center требуется использовать поддерживаемый браузер. Internet Explorer для этих целей не подходит. Можно использовать Microsoft Edge, но по умолчанию он может быть не установлен в серверной операционной системе. Самый оптимальный вариант — использовать Google Chrome. При подключении с локального сервера вводим в адресной строке браузера адрес https://localhost (если при установке был указан нестандартный порт для подключения, добавляем номер порта через двоеточие, например https://localhost:10443). Если подключаемся с удаленного компьютера, нужно указать либо внешний IP-адрес сервера, либо доменное имя, сопоставленное с внешним IP-адресом. При использовании нашего сервиса внешний IP-адрес сервера можно увидеть в панели управления сервером.

Если при конфигурировании мы выбрали использование недоверенного сертификата и получаем соответствующее предупреждение, чтобы продолжить подключение нажимаем кнопку Дополнительные:

В новой форме кликаем по ссылке Перейти на сайт … :

Вводим учетные данные для подключения и попадаем на главную страницу административной веб-консоли. Если понадобится сменить язык отображения консоли, кликаем по шестеренке в правом верхнем углу страницы:

В настройках переходим в раздел Язык/Регион и в выпадающих списках выбираем нужные значения. После чего жмем кнопку Сохранить и перезагрузить в самом низу страницы:

Для возврата на главную страницу нужно кликнуть левой кнопкой по надписи Windows Admin Center в левом верхнем углу. С главной страницы можно подключиться к имеющемуся серверу (клик по серверу в списке), либо добавить дополнительные серверы (клик по кнопке Добавить):

При добавлении сервера потребуется указать его имя или IP-адрес. Если сервер будет доступен, система запросит реквизиты для подключения. В случае успеха сервер появится в списке подключенных:

Кликнув по серверу в списке мы попадем в раздел администрирования. На главной странице будет отображена общая информация о сервере и статистика использования ресурсов (процессорные мощности, оперативная память, пропускная способность сети) в реальном времени в виде графиков:

С левой стороны расположена навигационная панель, с помощью которой можно переключаться между разными разделами административной консоли и получать доступ к управлению:

1. Настройками и правилами брандмауэра:

Читайте также:  Windows terminal ssh key

2. Процессами операционной системы:

3. Локальными каталогами и файлами:

4. Учетными записями пользователей и группами пользователей:

5. Интерактивной консолью PowerShell:

и многим, многим другим.

Компания Serverspace предоставляет услуги Облачных серверов в аренду — ознакомьтесь с нашими тарифами на VPS.

Источник

Advanced AD DS Management Using Active Directory Administrative Center (Level 200) Advanced AD DS Management Using Active Directory Administrative Center (Level 200)

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье рассматривается обновленный Центр администрирования Active Directory и приводится более подробное описание новой корзины Active Directory, детальной политики паролей и средства просмотра журнала Windows PowerShell, включая их архитектуру, примеры задач и информацию об устранении неполадок. This topic covers the updated Active Directory Administrative Center with its new Active Directory Recycle Bin, Fine-grained Password policy, and Windows PowerShell History Viewer in more detail, including architecture, examples for common tasks, and troubleshooting information. Общие сведения см. в статье Введение в центр администрирования Active Directory улучшения (уровня 100). For an introduction, see Introduction to Active Directory Administrative Center Enhancements (Level 100).

Архитектура центра администрирования Active Directory Active Directory Administrative Center Architecture

Центр администрирования Active Directory исполняемых файлов, DLL Active Directory Administrative Center Executables, DLLs

Модуль и базовая архитектура Центра администрирования Active Directory с появлением новой корзины Active Directory, детальной политики паролей и средства просмотра журнала не изменились, The module and underlying architecture of Active Directory Administrative Center has not changed with the new recycle bin, FGPP, and history viewer capabilities.

Базовый Windows PowerShell и слой операций для новой корзины представлены ниже: The underlying Windows PowerShell and layer of operations for the new Recycle Bin functionality are illustrated below:

Активация и администрирование новой корзины Active Directory через Центр администрирования Active Directory Enabling and Managing the Active Directory Recycle Bin Using Active Directory Administrative Center

Возможности Capabilities

Ограничения Limitations

Поскольку Центр администрирования Active Directory позволяет управлять только разделами доменов, он не может восстанавливать удаленные объекты из разделов «Конфигурация», «DNS-домен» и «DNS-лес» (удалять объекты из раздела «Схема» нельзя). Because the Active Directory Administrative Center can only manage domain partitions, it cannot restore deleted objects from the Configuration, Domain DNS, or Forest DNS partitions (you cannot delete objects from the Schema partition). Для восстановления объектов из разделов, не принадлежащих к домену, используйте командлет Restore-ADObject. To restore objects from non-domain partitions, use Restore-ADObject.

Центр администрирования Active Directory не позволяет восстанавливать поддеревья объектов за одно действие. The Active Directory Administrative Center cannot restore sub-trees of objects in a single action. Например, если вы удалите организационное подразделение с вложенными подразделениями, пользователями, группами и компьютерами, то при восстановлении этого организационного подразделения дочерние объекты восстановлены не будут. For example, if you delete an OU with nested OUs, users, groups, and computers, restoring the base OU does not restore the child objects.

Для корзины Active Directory требуется режим работы леса Windows Server 2008 R2. необходимо быть членом группы «Администраторы предприятия». The Active Directory Recycle Bin requires a Windows Server 2008 R2 Forest Functional Level and you must be a member of the Enterprise Admins group. Активированную корзину Active Directory отключить нельзя. Once enabled, you cannot disable Active Directory Recycle Bin. Корзина Active Directory увеличивает размер базы данных Active Directory (NTDS.DIT) на каждом контроллере домена в лесу. Active Directory Recycle Bin increases the size of the Active Directory database (NTDS.DIT) on every domain controller in the forest. Объекты сохраняются в корзине вместе со всеми соответствующими данными атрибутов, поэтому со временем она занимает все больше места на диске. Disk space used by the recycle bin continues to increase over time as it preserves objects and all their attribute data.

Активация корзины Active Directory через Центр администрирования Active Directory Enabling Active Directory Recycle Bin using Active Directory Administrative Center

Чтобы включить корзину Active Directory, откройте Центр администрирования Active Directory и щелкните имя своего леса на панели управления To enable the Active Directory Recycle Bin, open the Active Directory Administrative Center and click the name of your forest in the navigation pane. На панели Задачи выберите команду Включить корзину. From the Tasks pane, click Enable Recycle Bin.

В Центре администрирования Active Directory откроется диалоговое окно Подтверждение включения корзины. The Active Directory Administrative Center shows the Enable Recycle Bin Confirmation dialog. Оно содержит предупреждение о том, что операция включения корзины необратима. This dialog warns you that enabling the recycle bin is irreversible. Нажмите кнопку ОК, чтобы включить корзину Active Directory. Click OK to enable the Active Directory Recycle Bin. В Центре администрирования Active Directory откроется другое диалоговое окно с сообщением о том, что корзина Active Directory не будет функционировать полностью, пока изменения в конфигурации не будут реализованы на всех контроллерах доменов. The Active Directory Administrative Center shows another dialog to remind you that the Active Directory Recycle Bin is not fully functional until all domain controllers replicate the configuration change.

Параметр включения корзины Active Directory недоступен, если: The option to enable the Active Directory Recycle Bin is unavailable if:

Эквивалент Active Directory командлета Windows PowerShell: The equivalent Active Directory Windows PowerShell cmdlet is:

Дополнительные сведения об использовании Windows PowerShell для включения корзины Active Directory см. в статье Пошаговое руководство по использованию корзины Active Directory. For more information about using Windows PowerShell to enable the Active Directory Recycle Bin, see the Active Directory Recycle Bin Step-by-Step Guide.

Управление корзиной Active Directory через Центр администрирования Active Directory Managing Active Directory Recycle Bin using Active Directory Administrative Center

В этом разделе в качестве примера используется существующий домен corp.contoso.com. This section uses the example of an existing domain named corp.contoso.com. Он объединяет пользователей в организационное подразделение UserAccounts. This domain organizes users into a parent OU named UserAccounts. Организационное подразделение UserAccounts содержит три подразделения, каждое из которых, в свою очередь, содержит свои подразделения, пользователей и группы. The UserAccounts OU contains three child OUs named by department, which each contain further OUs, users, and groups.

Хранение и фильтрация Storage and Filtering

Все объекты, удаленные в лесу, попадают в корзину Active Directory. The Active Directory Recycle Bin preserves all objects deleted in the forest. Объекты хранятся в соответствии с атрибутом msDS-deletedObjectLifetime, который по умолчанию совпадает с атрибутом tombstoneLifetime леса. It saves these objects according to the msDS-deletedObjectLifetime attribute, which by default is set to match the tombstoneLifetime attribute of the forest. В любом лесу, созданном с помощью Windows Server 2003 SP1 или более поздней версии, значение атрибута tombstoneLifetime по умолчанию устанавливается равным 180 дням. In any forest created using Windows Server 2003 SP1 or later, the value of tombstoneLifetime is set to 180 days by default. В любом лесу, обновленном с Windows 2000 или установленном с помощью Windows Server 2003 (без пакетов обновления), атрибут tombstoneLifetime по умолчанию НЕ УСТАНАВЛИВАЕТСЯ, поэтому Windows использует внутреннее значение по умолчанию, равное 60 дням. In any forest upgraded from Windows 2000 or installed with Windows Server 2003 (no service pack), the default tombstoneLifetime attribute is NOT SET and Windows therefore uses the internal default of 60 days. Все эти параметры можно настраивать. Для восстановления объектов, удаленных из разделов доменов в лесу, можно использовать Центр администрирования Active Directory. All of this is configurable.You can use the Active Directory Administrative Center to restore any objects deleted from the domain partitions of the forest. Для восстановления объектов, удаленных из других разделов, например из раздела «Конфигурация», используйте командлет Restore-ADObject. При включении корзины Active Directory под каждым разделом домена в Центре администрирования Active Directory появляется контейнер Удаленные объекты. You must continue to use the cmdlet Restore-ADObject to restore deleted objects from other partitions, such as Configuration.Enabling the Active Directory Recycle Bin makes the Deleted Objects container visible under every domain partition in the Active Directory Administrative Center.

Контейнер Удаленные объекты содержит список всех доступных для восстановления объектов в этом разделе домена. The Deleted Objects container shows you all the restorable objects in that domain partition. Удаленные объекты с превышенным значением атрибута msDS-deletedObjectLifetime называются утилизированными. Deleted objects older than msDS-deletedObjectLifetime are known as recycled objects. Центр администрирования Active Directory не показывает утилизированные объекты и не позволяет их восстановить. The Active Directory Administrative Center does not show recycled objects and you cannot restore these objects using Active Directory Administrative Center.

Более подробно архитектура и принципы работы корзины описываются в статье Корзина Active Directory: общие сведения, реализация, рекомендации и устранение неполадок. For a deeper explanation of the recycle bin’s architecture and processing rules, see The AD Recycle Bin: Understanding, Implementing, Best Practices, and Troubleshooting.

Центр администрирования Active Directory искусственно ограничивает количество отображаемых в контейнере объектов до 20 000 штук. The Active Directory Administrative Center artificially limits the default number of objects returned from a container to 20,000 objects. Чтобы увеличить этот лимит до 100 000 объектов, откройте меню Управление и выберите пункт Параметры списка управления. You can raise this limit as high as 100,000 objects by clicking the Manage menu, then Management List Options.

Восстановление Restoration

Фильтрация Filtering

Центр администрирования Active Directory предлагает эффективные критерии поиска и параметры фильтрации, которые необходимо изучить до того, как они вам потребуются в реальной жизни. Active Directory Administrative Center offers powerful criteria and filtering options that you should become familiar with before you need to use them in a real-life restoration. Домены намеренно удаляют множество объектов в течение своего времени существования. Domains intentionally delete many objects over their lifetime. С вероятностью удаленного выполнения объекта, равной 180 дням, нельзя просто восстановить все объекты в случае случайного возникновения. With a likely deleted object lifetime of 180 days, you cannot simply restore all objects when an accident occurs.

Вместо того чтобы составлять сложные фильтры LDAP и конвертировать значения UTC в даты и время, составьте список соответствующих объектов с помощью простого и расширенного меню Фильтр. Rather than writing complex LDAP filters and converting UTC values into dates and times, use the basic and advanced Filter menu to list only the relevant objects. Если вы знаете дату удаления, названия объектов или другие ключевые данные, используйте их в качестве фильтра. If you know the day of deletion, the names of objects, or any other key data, use that to your advantage when filtering. Для переключения расширенных параметров фильтрации используйте шевроны справа от поля поиска. Toggle the advanced filter options by clicking the chevron to the right of the search box.

Операция восстановления поддерживает все стандартные параметры фильтрации точно так же, как и другие поисковые службы. The restore operation supports all the standard filter criteria options, the same as any other search. Из встроенных фильтров для восстановления объектов обычно используются следующие: Of the built-in filters, the important ones for restoring objects are typically:

Можно добавить несколько критериев. You can add multiple criteria. Например, можно найти все объекты-пользователи, удаленные 24 сентября 2012 из Чикаго, Иллинойс с заголовком должности менеджер. For example, you can find all user objects deleted on September 24, 2012 from Chicago, Illinois with a job title of Manager.

Вы также можете добавить, изменить или переупорядочить заголовки столбцов, чтобы получить больше данных для выбора объектов к восстановлению. You can also add, modify, or reorder the column headers to provide more detail when evaluating which objects to recover.

Читайте также:  Shredder64 msi windows 7

Дополнительные сведения о разрешении неоднозначных имен см. в разделе Атрибуты ANR. For more information about Ambiguous Name Resolution, see ANR Attributes.

Один объект Single Object

Восстановление удаленных объектов всегда выполнялось в одно действие. Restoring deleted objects has always been a single operation. Центр администрирования Active Directory упрощает эту операцию. The Active Directory Administrative Center makes that operation easier. Чтобы восстановить удаленный объект, например отдельного пользователя, выполните указанные ниже действия. To restore a deleted object, such as a single user:

Объект вернется в свое исходное расположение. The object restores to its original location.

Несколько аналогичных объектов Multiple Peer Objects

Вы можете восстановить сразу несколько объектов одного уровня, например всех пользователей организационного подразделения. You can restore multiple peer-level objects, such as all the users in an OU. Удерживая клавишу CTRL, щелкните один или несколько удаленных объектов, которые нужно восстановить. Hold down the CTRL key and click one or more deleted objects you want to restore. Щелкните Восстановить на панели задач. Click Restore from the Tasks pane. Вы также можете выбрать все указанные объекты, нажав комбинацию клавиш CTRL+A, или определенный диапазон объектов, нажав и удерживая клавишу SHIFT, а затем первый и последний искомые объекты. You can also select all displayed objects by holding down the CTRL and A keys, or a range of objects using SHIFT and clicking.

Несколько дочерних и родительских объектов Multiple Parent and Child Objects

Центр администрирования Active Directory не позволяет восстанавливать вложенные деревья удаленных объектов за одно действие, поэтому восстанавливать объекты нужно в определенном порядке. It is critical to understand the restoration process for a multi-parent-child restoration because the Active Directory Administrative Center cannot restore a nested tree of deleted objects with a single action.

Восстановить дочерний объект можно только после того, как будет восстановлен родительский, You cannot restore a child object before restoring its parent. в противном случае система выдаст следующую ошибку: Attempting this restoration returns the following error:

Эта операция не может быть выполнена, т.к. родитель объекта либо не подтвержден, либо удален. The operation could not be performed because the object’s parent is either uninstantiated or deleted.

Родительские отношения каждого объекта обозначаются атрибутом Последний известный родительский объект. The Last Known Parent attribute shows the parent relationship of each object. При обновлении Центра администрирования Active Directory после восстановления родительского объекта атрибут Последний известный родительский объект переносится из удаленного в восстановленное расположение. The Last Known Parent attribute changes from the deleted location to the restored location when you refresh the Active Directory Administrative Center after restoring a parent. Таким образом, можно восстановить этот дочерний объект, если расположение родительского объекта больше не показывает различающееся имя контейнера удаленных объектов. Therefore, you can restore that child object when a parent object’s location no longer shows the distinguished name of the deleted objects container.

Предположим, что администратор случайно удалил организационное подразделение Sales, содержащее дочерние подразделения и пользователей. Consider the scenario where an administrator accidentally deletes the Sales OU, which contains child OUs and users.

Сначала обратите внимание на значение последнего известного родительского атрибута для всех удаленных пользователей и как он считывает *OU = Sales\0ADEL: * * *: First, observe the value of the Last Known Parent attribute for all the deleted users and how it reads *OU=Sales\0ADEL: ***:

Отфильтруйте неоднозначное имя Sales. Вы получите список удаленных подразделений, которые затем нужно будет восстановить: Filter on the ambiguous name Sales to return the deleted OU, which you then restore:

Обновите центр администрирования Active Directory, чтобы увидеть, что последний известный родительский атрибут объекта User изменился на восстановленное различающееся имя подразделения продаж: Refresh the Active Directory Administrative Center to see the deleted user object’s Last Known Parent attribute change to the restored Sales OU distinguished name:

Отфильтруйте всех пользователей подразделения Sales. Filter on all the Sales users. Нажмите комбинацию клавиш CTRL+A, чтобы выбрать всех удаленных пользователей подразделения Sales. Hold down the CTRL and A keys to select all the deleted Sales users. Щелкните Восстановить, чтобы перенести объекты из контейнера Удаленные объекты в организационное подразделение Sales с теми же атрибутами и членством в группах. Click Restore to move the objects from the Deleted Objects container to the Sales OU with their group memberships and attributes intact.

Если организационное подразделение Sales включало дочерние подразделения, восстановите сначала эти подразделения, а затем их дочерние объекты и т. д. If the Sales OU contained child OUs of its own, then you would restore the child OUs first before restoring their children, and so on.

Порядок восстановления всех вложенных удаленных объектов путем указания удаленного родительского контейнера см. в Приложении Б. Восстановление сразу нескольких удаленных объектов Active Directory (образец сценария). To restore all nested deleted objects by specifying a deleted parent container, see Appendix B: Restore Multiple, Deleted Active Directory Objects (Sample Script).

Командлет Active Directory в Windows PowerShell, предназначенный для восстановления удаленных объектов, выглядит следующим образом: The Active Directory Windows PowerShell cmdlet for restoring deleted objects is:

Командлет Restore-ADObject в Windows Server 2008 R2 и Windows Server 2012 работает одинаково. The Restore-ADObject cmdlet functionality did not change between Windows Server 2008 R2 and Windows Server 2012.

Фильтрация на стороне сервера Server-side Filtering

С течением времени число объектов в контейнере «Удаленные объекты» в средних и крупных организациях может вырасти до 20 000 (и даже 100 000), после чего возникнут сложности с отображением полного списка объектов. It is possible that over time, the Deleted Objects container will accumulate over 20,000 (or even 100,000) objects in medium and large enterprises and have difficulty showing all objects. Поскольку механизм фильтрации в Центре администрирования Active Directory использует фильтрацию на стороне клиента, он не может отображать объекты сверх установленного лимита. Since the filter mechanism in Active Directory Administrative Center relies on client-side filtering, it cannot show these additional objects. Чтобы обойти это ограничение, выполните поиск на стороне сервера согласно приведенным ниже инструкциям. To work around this limitation, use the following steps to perform a server-side search:

Настройка и администрирование детальной политики паролей через Центр администрирования Active Directory Configuring and Managing Fine-Grained Password Policies Using Active Directory Administrative Center

Настройка детальной политики паролей Configuring Fine-Grained Password Policies

Центр администрирования Active Directory позволяет создавать объекты детальной политики паролей (FGPP) и управлять такими объектами. The Active Directory Administrative Center enables you to create and manage Fine-Grained Password Policy (FGPP) objects. Функция FGPP была представлена в Windows Server 2008, но первый графический интерфейс для управления этой функцией появился только в Windows Server 2012. Windows Server 2008 introduced the FGPP feature but Windows Server 2012 has the first graphical management interface for it. Детальная политика паролей настраивается на уровне домена и позволяет перезаписывать единый пароль домена, предусмотренный в Windows Server 2003. You apply Fine-Grained Password Policies at a domain level and it enables overriding the single domain password required by Windows Server 2003. При создании различных FGPP с различными параметрами отдельные пользователи или группы получают различные политики паролей в домене. By creating different FGPP with different settings, individual users or groups get differing password policies in a domain.

На панели навигации выберите представление в виде дерева, щелкните свой домен, Система, Контейнер параметров паролей, а затем на панели «Задачи» щелкните Создать и Параметры пароля. In the Navigation pane, click Tree View, click your domain, click System, click Password Settings Container, and then in the Tasks pane, click New and Password Settings.

Управление детальной политикой паролей Managing Fine-Grained Password Policies

При создании новой или редактировании уже существующей детальной политики паролей открывается редактор Параметры пароля. Creating a new FGPP or editing an existing one brings up the Password Settings editor. Здесь можно настроить все желаемые политики паролей как Windows Server 2008 или Windows Server 2008 R2, но только в специальном редакторе. From here, you configure all desired password policies, as you would have in Windows Server 2008 or Windows Server 2008 R2, only now with a purpose-built editor.

Заполните все обязательные (отмеченные звездочкой) и желаемые дополнительные поля и щелкните Добавить, чтобы указать, к каким пользователям или группам необходимо применить эту политику. Fill out all required (red asterisk) fields and any optional fields, and then click Add to set the users or groups that receives this policy. FGPP перезаписывает параметры политики домена по умолчанию для выбранных субъектов безопасности. FGPP overrides default domain policy settings for those specified security principals. На представленном выше рисунке максимально ограничивающая политика применяется только к встроенной учетной записи администратора, чтобы предотвратить компрометацию. In the figure above, an extremely restrictive policy applies only to the built-in Administrator account, to prevent compromise. Эта политика слишком сложна для ее соблюдения стандартными пользователями, но идеально подходит для учетной записи высокого риска, которой пользуются только специалисты. The policy is far too complex for standard users to comply with, but is perfect for a high-risk account used only by IT professionals.

Также необходимо указать очередность применения и выбрать пользователей и группы для применения политики в соответствующем домене. You also set precedence and to which users and groups the policy applies within a given domain.

Командлет Active Directory в Windows PowerShell, предназначенный для настройки детальной политики паролей, выглядит следующим образом: The Active Directory Windows PowerShell cmdlets for Fine-Grained Password Policy are:

Командлет для настройки детальной политики паролей в Windows Server 2008 R2 и Windows Server 2012 работает одинаково. Fine-Grained Password Policy cmdlet functionality did not change between the Windows Server 2008 R2 and Windows Server 2012. На приведенном ниже рисунке обозначены соответствующие атрибуты для этих командлетов: As a convenience, the following diagram illustrates the associated arguments for cmdlets:

В разделе Свойства вы найдете Напрямую связанные параметры пароля — параметры детальной политики пароля, назначенные соответствующему пользователю или группе напрямую: Examining the Properties of any user or group shows the Directly Associated Password Settings, which are the explicitly assigned FGPPs:

Использование средства просмотра журнала Windows PowerShell в Центре администрирования Active Directory Using the Active Directory Administrative Center Windows PowerShell History Viewer

Будущее управления Windows связано с Windows PowerShell. The future of Windows management is Windows PowerShell. Благодаря размещению графических средств поверх платформы автоматизации задач управление сложнейшими распределенными системами стало последовательным и эффективным. By layering graphical tools on top of a task automation framework, management of the most complex distributed systems becomes consistent and efficient. Зная принципы работы Windows PowerShell, вы сможете полностью раскрыть свой потенциал и извлечь максимальную пользу из своих инвестиций в компьютерное оборудование. You need to understand how Windows PowerShell works in order to reach your full potential and maximize your computing investments.

Теперь Центр администрирования Active Directory позволяет просматривать историю выполнения всех командлетов Windows PowerShell, включая их аргументы и значения. The Active Directory Administrative Center now provides a complete history of all the Windows PowerShell cmdlets it runs and their arguments and values. При этом историю командлетов можно скопировать для дальнейшего изучения или изменения и повторного использования. You can copy the cmdlet history elsewhere for study or modification and re-use. Вы можете создавать примечания к задачам и описывать, какой результат команды Центра администрирования Active Directory дали в Windows PowerShell. You can create Task notes to assist in isolating what your Active Directory Administrative Center commands resulted in Windows PowerShell. Также можно фильтровать историю на предмет интересных моментов. You can also filter the history to find points of interest.

Читайте также:  Nhl 09 запуск на windows 10

Средство просмотра журнала Windows PowerShell в Центре администрирования Active Directory позволяет учиться на основе практического опыта. The Active Directory Administrative Center Windows PowerShell History Viewer’s purpose is for you to learn through practical experience.

Чтобы открыть средство просмотра журнала Windows PowerShell, нажмите на шеврон (стрелку). Click the chevron (arrow) to show Windows PowerShell History Viewer.

Затем создайте пользователя или измените членство в группе. Then, create a user or modify a group’s membership. Средство просмотра журнала постоянно обновляется — в нем появляется свернутое представление каждого командлета, выполненного Центром администрирования Active Directory, и указываются его аргументы. The history viewer continually updates with a collapsed view of each cmdlet that the Active Directory Administrative Center ran with the arguments specified.

Разверните любую интересующую вас строку, чтобы увидеть значения всех аргументов командлета: Expand any line item of interest to see all values provided to the cmdlet’s arguments:

Откройте меню Запустить задачу и создайте заметку, а затем воспользуйтесь Центром администрирования Active Directory для создания, изменения или удаления объекта. Click the Start Task menu to create a manual notation before you use Active Directory Administrative Center to create, modify, or delete an object. Укажите свои действия. Type in what you were doing. Закончив внесение изменений, выберите команду Закончить задачу. When done with your change, select End Task. В заметке к задаче все выполненные действия будут представлены в виде свернутого примечания, позволяющего лучше понять суть задачи. The task note groups all of those actions performed into a collapsible note you can use for better understanding.

Например, все команды Windows PowerShell, которые использовались для изменения пароля пользователя и удаления пользователя из группы, будут выглядеть следующим образом: For example, to see the Windows PowerShell commands used to change a user’s password and remove him from a group:

Если установить флажок «Показать все», в окне появятся также командлеты Windows PowerShell с глаголом Get-*, предназначенные только для извлечения данных. Selecting the Show All check box also shows the Get-* verb Windows PowerShell cmdlets that only retrieve data.

В средстве просмотра журнала отображаются тексты всех команд, выполненных Центром администрирования Active Directory, и может показаться, что некоторые команды выполняются без причины. The history viewer shows the literal commands run by the Active Directory Administrative Center and you might note that some cmdlets appear to run unnecessarily. Например, создать нового пользователя можно с помощью команды: For example, you can create a new user with:

и нет необходимости использовать команды: and do not need to use:

Структура Центра администрирования Active Directory предусматривает минимальное использование кодов и модулей. The Active Directory Administrative Center’s design required minimal code usage and modularity. Таким образом, вместо отдельных наборов функций для создания новых пользователей и изменения уже существующих он выполняет каждую задачу по минимуму, а затем соединяет их воедино с помощью командлетов. Therefore, instead of a set of functions that create new users and another set that modify existing users, it minimally does each function and then chains them together with the cmdlets. Помните об этом при изучении модуля Active Directory в Windows PowerShell. Keep this in mind when you are learning Active Directory Windows PowerShell. Эту особенность можно также использовать как способ изучения, показывающий, как просто выполнять отдельные задачи с помощью Windows PowerShell. You can also use that as a learning technique, where you see how simply you can use Windows PowerShell to complete a single task.

Устранение неполадок в управлении доменными службами Active Directory Troubleshooting AD DS Management

Общие сведения об устранении неполадок Introduction to Troubleshooting

Ввиду относительной новизны и небольшого опыта применения в реальных условиях доступные в Центре администрирования Active Directory варианты устранения неполадок довольно ограниченны. Because of its relative newness and lack of usage in existing customer environments, the Active Directory Administrative Center has limited troubleshooting options.

Способы устранения неполадок Troubleshooting Options

Параметры ведения журнала Logging Options

Центр администрирования Active Directory теперь содержит встроенное ведение журнала в составе файла конфигурации трассировки. The Active Directory Administrative Center now contains built-in logging, as part of a tracing config file. Создайте или измените следующий файл, расположенный в той же папке, что и файл dsac.exe: Create/modify the following file in the same folder as dsac.exe:

dsac.exe.config dsac.exe.config

Создайте следующее содержимое: Create the following contents:

Уровни детализации для параметра DsacLogLevel — это None(Нет), Error(Ошибки), Warning (Предупреждения), Info (Информация) и Verbose (Подробно). The verbosity levels for DsacLogLevel are None, Error, Warning, Info, and Verbose. Выходной файл записывается в папку с файлом dsac.exe, и его можно переименовать. The output file name is configurable and writes to the same folder as dsac.exe. Выходные данные позволяют узнать больше о том, как работает ADAC, с какими контроллерами доменов устанавливается связь, что делают команды Windows PowerShell, какие ответы были получены и другие данные. The output can tell you more about how ADAC is operating, which domain controllers it contacted, what Windows PowerShell commands executed, what the responses were, and further details.

Например, при использовании уровня детализации INFO (Информация) выдаются все результаты, кроме данных на уровне трассировки: For example, while using the INFO level, which returns all results except the trace-level verbosity:

Запускается файл DSAC.exe. DSAC.exe starts

Начинается ведение журнала. Logging starts

Запрашиваются исходные данные домена с контроллера домена. Domain Controller requested to return initial domain information

Домен Corp возвращает контроллер домена DC1. Domain controller DC1 returned from domain Corp

Загружается виртуальный диск PS AD. PS AD virtual drive loaded

Извлекаются данные домена Root DSE. Get domain Root DSE Information

Извлекаются данные корзины Active Directory. Get domain AD recycle bin information

Извлекается лес Active Directory. Get AD forest

Извлекаются данные схемы по поддерживаемым типам шифрования, детальная политика паролей, данные определенных пользователей. Get Schema information for supported encryption types, FGPP, certain user information

Извлекается вся информация об объекте домена, которая будет показываться администратору при выборе заголовка домена. Get all information about the domain object to display to administrator who clicked on the domain head.

Существует также отдельная версия этой службы, которая называется Active Directory Management Gatewayи работает в среде Windows Server 2008 с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 2 (SP2). There is also an out-of-band version of the service called the Active Directory Management Gateway, which runs on Windows Server 2008 SP2 and Windows Server 2003 SP2.

В отсутствие доступных экземпляров веб-служб Active Directory отображаются следующие ошибки: The errors shown when no Active Directory Web Services instances are available are:

Error Error Операция Operation
«Не удается подключиться к какому-либо домену. «Cannot connect to any domain. Обновите состояние или попробуйте еще раз, когда подключение станет доступным». Refresh or try again when connection is available» Отображается при запуске приложения «Центр администрирования Active Directory». Shown at start of the Active Directory Administrative Center application
«Не удается найти доступный сервер в домене, на котором выполняется веб-служба Active Directory (ADWS)» «Cannot find an available server in the domain that is running the Active Directory Web Service (ADWS)» Отображается при попытке выбора узла домена в приложении «Центр администрирования Active Directory» Shown when trying to select a domain node in the Active Directory Administrative Center application

Для решения этой проблемы выполните указанные ниже действия. To troubleshoot this issue, use these steps:

Убедитесь в том, что веб-служба Active Directory запущена хотя бы на одном контроллере домена (а лучше на всех контроллерах доменов в лесу). Validate the Active Directory Web Services service is started on at least one domain controller in the domain (and preferably all domain controllers in the forest). Убедитесь в том, что на всех контроллерах доменов настроен автоматический запуск веб-службы. Ensure that it is set to start automatically on all domain controllers as well.

С компьютера, на котором запущено приложение «Центр администрирования Active Directory», проверьте возможность связи с сервером, на котором выполняется веб-служба Active Directory, выполнив команды NLTest.exe: From the computer running the Active Directory Administrative Center, validate that you can locate a server running ADWS by running these NLTest.exe commands:

Если связь не устанавливается несмотря на то, что веб-служба Active Directory запущена, то проблема связана с разрешением имен или LDAP, а не с Центром администрирования Active Directory. If those tests fail even though the ADWS service is running, the issue is with name resolution or LDAP and not ADWS or Active Directory Administrative Center. Если веб-служба Active Directory не запущена ни на одном контроллере домена, выдается ошибка «1355 0x54B ERROR_NO_SUCH_DOMAIN», тем не менее прежде чем делать какие-то выводы, проверьте все еще раз. This test fails with error «1355 0x54B ERROR_NO_SUCH_DOMAIN» if ADWS is not running on any domain controllers though, so double-check before reaching any conclusions.

На контроллере домена, полученном после выполнения команды NLTest, введите дамп списка портов прослушивания с помощью следующей команды: On the domain controller returned by NLTest, dump the listening port list with command:

Изучите файл ports.txt и убедитесь в том, что веб-служба Active Directory прослушивает порт 9389. Examine the ports.txt file and validate that the ADWS service is listening on port 9389. Пример: Example:

Если порт прослушивается, проверьте правила брандмауэра Windows — они должны разрешать входящий трафик по TCP-порту 9389. If listening, validate the Windows Firewall rules and ensure that they allow 9389 TCP inbound. По умолчанию контроллеры доменов включают правило «Веб-службы Active Directory (TCP-входящий)». By default, domain controllers enable firewall rule «Active Directory Web Services (TCP-in)». Если порт не прослушивается, еще раз проверьте, запущена ли служба на этом сервере, и перезапустите ее. If not listening, validate again that the service is running on this server and restart it. Проверьте, не прослушивают ли порт 9389 какие-либо другие процессы. Validate that no other process is already listening on port 9389.

Установите NetMon или другую утилиту для записи сетевых данных на компьютер с запущенным Центром администрирования Active Directory и на контроллер домена, выданный командой NLTEST. Install NetMon or another network capture utility on the computer running Active Directory Administrative Center and on the domain controller returned by NLTEST. Запустите запись сетевых данных на обоих компьютерах с компьютера, где запущен Центр администрирования Active Directory, посмотрите ошибки и остановите запись. Gather simultaneous network captures from both computers, where you start Active Directory Administrative Center and see the error before stopping the captures. Убедитесь в том, что клиент способен отправлять и принимать данные с контроллера домена через порт TCP 9389. Validate that the client is able to send to and receive from the domain controller on port TCP 9389. Если пакеты отправляются, но не поступают, а также если пакеты поступают, а ответы контроллера домена не достигают клиента, скорее всего, между компьютерами в сети существует брандмауэр, который теряет пакеты в этом порту. If packets are sent but never arrive, or arrive and the domain controller replies but they never reach the client, it is likely there is a firewall in between the computers on the network dropping packets on that port. Брандмауэр может быть программным или аппаратным, а может входить в программу защиты (антивирус) стороннего разработчика. This firewall may be software or hardware, and may be part of third party endpoint protection (antivirus) software.

Источник

Поделиться с друзьями
Советы экспертов и специалистов
Adblock
detector