Active Directory kasutajate ja rühmade haldamine: täielik juhend

Active Directory (AD) See on üks olulisemaid tööriistu ärikeskkondade haldamiseks süsteemides Windows. See teenus võimaldab kasutajate, rühmade, arvutite ja muude võrguressursside tsentraliseeritud juhtimist.

Saate aru, kuidas AD-s kasutajaid ja rühmi hallata See on iga süsteemiadministraatori jaoks hädavajalik. Alates põhitoimingutest, nagu kasutajakontode loomine, kuni täpsema konfigureerimiseni PowerShelli või käsurea abil – see juhend hõlmab kõike, mida peate teadma turvalise ja tõhusa haldamise kohta.

Organisatsiooniline struktuur Active Directorys

Enne kasutajate või rühmadega manipuleerimise alustamist peate looma a Organisatsiooniüksuse (OU) struktuur. Need üksused toimivad loogiliste konteineritena, mis aitavad korraldada ja hallata domeeniobjekte, nagu kasutajakontod, arvutid või rühmad, hierarhiliselt.

UO-d peegeldavad tegelikku organisatsiooni ettevõtte osakonna, geograafilise asukoha või konkreetsete funktsioonide järgi. Tänu neile saab rakendada ka spetsiifilisemaid grupipoliitikaid. Lisaks on võimalik delegeerida haldus OU-st kasutajale või rühmale, nii et ainult teatud administraatorid saavad seda ressursside alamhulka hallata. GPO haldamise kohta lisateabe saamiseks võite konsulteerida Kuidas PowerShellis GPO-sid hallata.

Active Directory rühmade tüübid ja ulatused

AD-s on mitut tüüpi rühmi ja ulatuse määratlusi, mis määravad, kuidas neid saab kasutada:

• Ülemaailmsed rühmad: Tavaliselt kasutatakse neid kasutajate rühmitamiseks, kes täidavad organisatsioonis (nt osakonnas) sarnast funktsiooni.
• Domeeni kohalikud rühmad: Neid kasutatakse domeeni ressurssidele õiguste määramiseks.
• Universaalsed rühmad: Nad saavad rühmitada kasutajaid ja rühmi metsa mis tahes domeenist, mis on ideaalne mitme kontrolleri või mitme metsaga keskkondades.

Lisaks ulatusele peame eristama ka:

• Turvarühmad: Need võimaldavad teil ressurssidele õigusi määrata ja sisaldavad SID-d (turvaidentifikaator).
• Jaotusgrupid: Neil pole SID-sid ja need on mõeldud meilide levitamiseks, tavaliselt Exchange'i keskkondades.

Kasutajakontode loomine ja haldamine

Kasutajakonto haldamine on AD üks levinumaid ja kriitilisemaid ülesandeid. Neid saab teha graafiliste tööriistade abil, näiteks Active Directory kasutajad ja arvutid (ADUC) o el AD halduskeskus (ADAC), samuti käsurea või PowerShelli kaudu. Nende tööriistade paigaldamisega süvenemiseks võite järgida See juhend Active Directory kasutajate ja arvutite installimiseks opsüsteemi Windows 10.

Kasutajakonto loomiseks graafilisest liidesest tehke järgmist.

1. Avage ADUC tööriist.
2. Valige sobiv UO.
3. Paremklõpsake > Uus > Kasutaja.
4. Täitke nõutavad väljad, nagu nimi, parool ja konto seaded.

Samuti saab seada piiranguid sisselogimine, lubatud ajad, konkreetsed arvutid, kuhu sisse logida, ja isegi mobiiliprofiilide seadistamine.

Kasulik funktsioon on võimalus olemasolevat kontot kopeerida, mis kiirendab mitme sarnaste seadetega (grupiliikmed, poliitikad, ajakavad jne) konto loomist.

Muutke kasutajakontosid

Olemasoleva konto muutmine on lihtne graafilise liidese kaudu:

• Muuda nime või parooli.
• Määrake või eemaldage rühmi.
• Määrake eriload.
• Vajadusel aktiveerige või desaktiveerige kontod.

Käsurealt saate kasutada selliseid tööriistu nagu dsmod Paroolide muutmiseks sunni muudatus järgmisel sisselogimisel (dsmod user <user_dn> -mustchpwd yes) või ajutiselt deaktiveerige konto. Lisateavet ketaste ja muude objektide käsurealt haldamise kohta vt See täielik juhend kettahalduse kohta CMD-s.

Konto kustutamiseks võite kasutada dsrm <user_dn>, on oluline teada, et konto kustutamisel lähevad sellega seotud õigused kaotsi, kuna uuel kasutajal, isegi kui tal on sama nimi, on erinev SID.

Ühendage arvutid domeeniga

Et arvuti oleks osa domeenist, peab see:

1. Konfigureerige võrguadapter domeenikontrolleri DNS-i kasutama.
2. Looge ühendus domeeni DNS-serveriga.
3. Kontrollige ühenduvust, pingiga kontrolleri FQDN-i.

Kui see on tehtud, minge lihtsalt süsteemi konfiguratsiooni (Win + Pause), muutke arvuti nime atribuute ja lisage see domeeni. See küsib meilt lubadega konto, tavaliselt domeeni administraatori, mandaate.

Arvutikontode haldamine AD-s

Arvutid on ka AD-s olevad objektid ja neid saab luua käsitsi või automaatselt, kui ühendate arvuti domeeniga. Nagu kasutajakontosid, saab ka neid rühmadesse lisada.

Käsurealt saate kasutada:

• dsadd computer <computer_dn> meeskonna lisamiseks.
• dsmod computer <computer_dn> -disabled yes/no lubamiseks või keelamiseks.
• dsmod computer <computer_dn> -reset arvutikonto lähtestamiseks.

Gruppide loomine ja haldamine

Rühmad on õiguste ja eeskirjade haldamiseks hädavajalikud. Nende õige loomine suurendab turvalisust ja vähendab keerukust.

ADUC-ist või ADAC-ist on loomine lihtne: vali nimi, ulatus (globaalne, domeen lokaalne või universaalne) ja tüüp (turvalisus või levitamine). Lisateavet turbe- ja levitamisrühmade integreerimise kohta saate lugeda Põhjus, miks kohalikke rühmi Windows 10 ei sisalda.

Tööriistad nagu dsadd group, dsmod group ja PowerShell koos New-ADGroup võimaldavad suuremates keskkondades neid ülesandeid automatiseerida.

Pärast loomist saate:

• Lisage või eemaldage liikmeid: kasutajad, arvutid või isegi muud rühmad.
• Muutke selle tüüpi või ulatust, kuigi segadomeenide puhul on piirangud.
• Määrake õigused jagatud ressurssidele, GPO poliitikatele jne.

Grupi liikmesuste haldamine

Vahekaardilt Liige Näete kõiki gruppe, kuhu kasutaja kuulub. See valik on kasulik juurdepääsu kontrollimiseks või kontrollimiseks.

Samuti saate rühmast minna jaotisesse liige ja lisada mitu kasutajat, meeskonda või alagruppi kasutades parempoolset nuppu ja vastavat valikut. Näiteks võite kasutada dsmod group -addmbr liikmete hulgilisamiseks.

Hulgi, PowerShell ja käsud nagu dsmod group -addmbr võimaldab teil automaatselt lisada mitu liiget.

Hallake mitut objekti korraga

ADUCis saate seda teha valige mitu kasutajat ja rakendada neile kõigile ühiseid muudatusi (näiteks kirjelduse muutmine või gruppi lisamine). See vähendab kasutajate loomise ja hoolduse aegu ettevõtetes, kus on suur käive või hooajaline värbamine.

Kasutades käsurida ja PowerShelli

Kogenud administraatoritele või sadade objektidega keskkondades PowerShell ja käsurea tööriistad on hädavajalikud. Mõned levinumad toimingud hõlmavad järgmist:

• dsquery: Otsige objekte (kasutajad, rühmad, arvutid, OU-d jne).
• dsadd: looge objekte.
• dsmod: olemasolevate objektide muutmine.
• dsrm: objektide kustutamine AD-st.

PowerShell pakub omalt poolt selliseid cmdlet-faile nagu:

• New-ADUser, Set-ADUser, Remove-ADUser
• Get-ADGroupMember, Add-ADGroupMember

Üks PowerShelli eeliseid on see võimaldab salvestada korduvkasutatavaid skripte ja vaadake ADAC-konsooli kasutades käskude ajalugu. See võimaldab ka kaughaldus kasutades RSAT-i klientarvutist, ilma et peaksite otse domeenikontrollerile juurde pääsema.

Head tavad ja soovitused

Kasutajate ja rühmade haldamisel AD-s on soovitatav:

• Ärge looge rohkem rühmi kui vaja, et vältida autoriseerimissüsteemi ülekoormamist.
• Kasutama õiguste määramise peamise meetodina, selle asemel, et anda õigusi otse üksikutele kasutajatele.
• Loo kontod malli standardse konfiguratsiooniga uutele täiendustele.
• Kasutama kirjeldavad ja ühtsed nimed kontode, rühmade ja organisatsiooniüksuste vahel.

Korrapärane ja süstemaatiline juhtimine hoiab ära turbevead, parandab jõudlust ja vähendab halduskoormust. Selles mõttes tasub seda uurida SYS-failid Windowsis, mis võib anda rohkem teavet süsteemihalduse kohta.

Kasutajate ja rühmade haldamine Active Directorys ei ole mitte ainult põhiülesanne, vaid ka turvalise ja hästi korraldatud infrastruktuuri alus. Alates konto loomisest ja kustutamisest kuni automatiseerimiseni käskude või skriptidega – selge plaan ja parimate tavade järgimine tagab tõhusama ja töökindlama IT-keskkonna.