- Active Directory vam omogućuje centralizirano upravljanje korisnicima, grupama i računalima
- Postoje različite vrste i opsege grupa za specifične svrhe
- Računima se može upravljati iz GUI-ja, redaka naredbe o PowerShell
- Pravilna upotreba organizacijske jedinice i delegiranja poboljšava organizaciju i sigurnost
Active Directory (AD) To je jedan od bitnih alata za upravljanje poslovnim okruženjima u sustavima Windows. Ova usluga omogućuje centraliziranu kontrolu korisnika, grupa, računala i drugih mrežnih resursa.
Shvatite kako upravljati korisnicima i grupama u AD-u To je neophodno za svakog sistemskog administratora. Od osnovnih zadataka poput stvaranja korisničkih računa do napredne konfiguracije pomoću PowerShella ili naredbenog retka, ovaj vodič pokriva sve što trebate znati za sigurno i učinkovito upravljanje.
Organizacijska struktura u Active Directory
Prije nego počnete manipulirati korisnicima ili grupama, morate uspostaviti a Struktura organizacijske jedinice (OU).. Ove jedinice djeluju kao logički spremnici koji pomažu organizirati i upravljati objektima domene, kao što su korisnički računi, računala ili grupe, na hijerarhijski način.
UO odražavaju stvarnu organizaciju tvrtke, bilo po odjelu, geografskoj lokaciji ili posebnim funkcijama. Zahvaljujući njima, mogu se primijeniti i specifičnija grupna pravila. Osim toga, moguće je delegirati administraciju od OU do korisnika ili grupe, tako da samo određeni administratori mogu upravljati tim podskupom resursa. Za više informacija o upravljanju GPO-om možete se obratiti Kako upravljati GPO-ovima u PowerShell-u.
Vrste i opseg grupa u Active Directory
U AD-u postoji nekoliko vrsta grupa i definicija opsega koje određuju kako se mogu koristiti:
- Globalne grupe: Obično se koriste za grupiranje korisnika koji obavljaju sličnu funkciju unutar organizacije (kao što je odjel).
- Lokalne grupe domene: Koriste se za dodjelu dopuštenja resursima unutar domene.
- Univerzalne grupe: Mogu grupirati korisnike i grupe iz bilo koje domene unutar šume, idealno za okruženja s više kontrolera ili više šuma.
Osim opsega, moramo razlikovati i:
- Sigurnosne grupe: Omogućuju vam dodjeljivanje dopuštenja resursima i sadrže SID (sigurnosni identifikator).
- Distribucijske grupe: Oni nemaju SID-ove i usmjereni su na distribuciju e-pošte, obično u okruženjima Exchangea.
Izrada i upravljanje korisničkim računima
Upravljanje korisničkim računom jedan je od najčešćih i najvažnijih zadataka u AD-u. Mogu se izvesti pomoću grafičkih alata kao što su Active Directory korisnici i računala (ADUC) ili AD administrativni centar (ADAC), kao i putem naredbenog retka ili PowerShell-a. Da biste ušli dublje u instalaciju ovih alata, možete slijediti Ovaj vodič za instaliranje Active Directory korisnika i računala na Windows 10.
Za izradu korisničkog računa iz grafičkog sučelja:
- Otvorite alat ADUC.
- Odaberite odgovarajući UO.
- Desni klik > Novo > Korisnik.
- Ispunite obavezna polja kao što su ime, lozinka i postavke računa.
Mogu se postaviti i ograničenja prijavite se, definirajte dopuštena vremena, određena računala na koja se možete prijaviti, pa čak i postavite mobilne profile.
Korisna funkcija je mogućnost kopiranja postojećeg računa, što ubrzava stvaranje višestrukih računa sa sličnim postavkama (članovi grupe, pravila, rasporedi itd.).
Izmjena korisničkih računa
Modificiranje postojećeg računa jednostavno je putem grafičkog sučelja:
- Promijenite ime ili lozinku.
- Dodijelite ili uklonite grupe.
- Postavite posebna dopuštenja.
- Po potrebi aktivirajte ili deaktivirajte račune.
Iz naredbenog retka možete koristiti alate poput dsmod Za promjenu lozinki, prisilite promjenu pri sljedećoj prijavi (dsmod user <user_dn> -mustchpwd yes) ili privremeno deaktivirajte račun. Za više detalja o tome kako upravljati diskovima i drugim objektima iz naredbenog retka, pogledajte Ovaj potpuni vodič za upravljanje diskom u CMD-u.
Da biste izbrisali račun, možete koristiti dsrm <user_dn>, važno je znati da se prilikom brisanja računa gube pridružene dozvole jer će novi korisnik, čak i ako ima isto ime, imati drugačiji SID.
Pridružite računala domeni
Da bi računalo bilo dio domene, mora:
- Konfigurirajte mrežni adapter za korištenje DNS-a kontrolera domene.
- Uspostavite vezu s DNS poslužiteljem domene.
- Provjerite povezanost pingom FQDN-a kontrolera.
Kada to učinite, jednostavno idite na konfiguraciju sustava (Win + Pause), promijenite svojstva naziva računala i uključite ga u domenu. Tražit će nas vjerodajnice računa s dopuštenjima, obično administratora domene.
Upravljanje računalnim računima u AD-u
Računala su također objekti unutar AD-a i mogu se kreirati ručno ili automatski kada se PC pridruži domeni. Kao i korisnički računi, mogu se dodavati u grupe.
Iz naredbenog retka možete koristiti:
dsadd computer <computer_dn>za dodavanje tima.dsmod computer <computer_dn> -disabled yes/noomogućiti ili onemogućiti.dsmod computer <computer_dn> -resetza resetiranje računa računala.
Stvaranje i upravljanje grupama
Grupe su ključne za upravljanje dopuštenjima i pravilima. Njihovo ispravno stvaranje poboljšava sigurnost i smanjuje složenost.
Iz ADUC-a ili ADAC-a, stvaranje je jednostavno: odaberite naziv, opseg (globalno, domensko lokalno ili univerzalno) i vrstu (sigurnost ili distribucija). Za više detalja o tome kako integrirati sigurnosne i distribucijske grupe, možete pročitati Razlog zašto lokalne grupe nisu uključene u Windows 10.
Alati poput dsadd group, dsmod group i PowerShell sa New-ADGroup omogućuju automatizaciju ovih zadataka u većim okruženjima.
Nakon izrade možete:
- Dodajte ili uklonite članove: korisnici, računala ili čak druge grupe.
- Izmijenite njegovu vrstu ili opseg, iako uz ograničenja u mješovitim domenama.
- Dodijelite dopuštenja dijeljenim resursima, GPO pravilima itd.
Upravljanje članstvom u grupi
S kartice Član Možete vidjeti sve grupe kojima korisnik pripada. Ova je opcija korisna za reviziju ili provjeru pristupa.
Također, iz grupe možete ići u odjeljak Miembros i dodajte više korisnika, timova ili podgrupa pomoću desnog gumba i odgovarajuće opcije. Na primjer, možete koristiti dsmod group -addmbr za skupno dodavanje članova.
Skupno, PowerShell i slične naredbe dsmod group -addmbr omogućuju automatsko dodavanje više članova.
Upravljajte s više objekata istovremeno
U ADUC-u možete odaberite više korisnika i primijenite zajedničke promjene na sve njih (na primjer, promijenite opis ili ih dodate u grupu). Ovo smanjuje vrijeme kreiranja korisnika i održavanja u tvrtkama s velikim prometom ili sezonskim zapošljavanjem.
Korištenje naredbenog retka i PowerShell-a
Za napredne administratore ili u okruženjima sa stotinama objekata, PowerShell i alati naredbenog retka su neophodni. Neke uobičajene radnje uključuju:
dsquery: Traži objekte (korisnike, grupe, računala, OU, itd.).dsadd: Stvaranje objekata.dsmod: Modificirajte postojeće objekte.dsrm: Brisanje objekata iz oglasa.
PowerShell sa svoje strane nudi cmdlete kao što su:
New-ADUser,Set-ADUser,Remove-ADUserGet-ADGroupMember,Add-ADGroupMember
Jedna od prednosti PowerShell-a je ta omogućuje snimanje skripti za višekratnu upotrebu i pogledajte povijest naredbi kada koristite ADAC konzolu. Također dopušta daljinsko upravljanje koristeći RSAT s klijentskog računala bez potrebe za izravnim pristupom kontroleru domene.
Dobre prakse i preporuke
Prilikom upravljanja korisnicima i grupama u AD-u preporučuje se:
- Nemojte stvarati više grupa nego što je potrebno, kako biste izbjegli preopterećenje sustava autorizacije.
- upotreba grupe kao primarni način dodjele dopuštenja, umjesto davanja dopuštenja izravno pojedinačnim korisnicima.
- Stvorite račune Predložak za nove dodatke sa standardnim konfiguracijama.
- upotreba opisna i dosljedna imena preko računa, grupa i organizacijskih jedinica.
Uredno i sustavno upravljanje sprječava sigurnosne pogreške, poboljšava performanse i smanjuje administrativno opterećenje. U tom smislu vrijedi istražiti SYS datoteke u sustavu Windows, koji može pružiti više informacija o administraciji sustava.
Upravljanje korisnicima i grupama u Active Directoryju nije samo temeljni zadatak, već i temelj sigurne i dobro organizirane infrastrukture. Od stvaranja i brisanja računa do automatizacije s naredbama ili skriptama, postojanje jasnog plana i slijeđenje najboljih praksi osiguravaju učinkovitije i robusnije IT okruženje.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje pisanjem, a to je ono što ću učiniti na ovom blogu, pokazati vam sve najzanimljivije stvari o gadgetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se snađete u digitalnom svijetu na jednostavan i zabavan način.