Як керувати користувачами та групами в Active Directory: повний посібник

Останнє оновлення: 15/04/2025
Автор: Ісаак
  • Active Directory дозволяє централізовано керувати користувачами, групами та комп'ютерами
  • Існують різні типи та області застосування груп для конкретних цілей
  • Обліковними записами можна керувати з графічного інтерфейсу, рядка Команди o PowerShell
  • Правильне використання організаційної одиниці та делегування покращує організацію та безпеку

керувати користувачами та групами в Active Directory

Active Directory (AD) Це один із основних інструментів для керування бізнес-середовищем у системах Windows. Ця служба дозволяє централізовано контролювати користувачів, групи, комп’ютери та інші мережеві ресурси.

Зрозумійте, як керувати користувачами та групами в AD Це важливо для будь-якого системного адміністратора. Від базових завдань, таких як створення облікових записів користувачів, до розширеного налаштування за допомогою PowerShell або командного рядка, цей посібник охоплює все, що потрібно знати для безпечного та ефективного керування.

Організаційна структура в Active Directory

Перш ніж почати маніпулювати користувачами або групами, вам потрібно встановити a Структура організаційної одиниці (OU).. Ці блоки діють як логічні контейнери, які допомагають організовувати та керувати об’єктами домену, такими як облікові записи користувачів, комп’ютери або групи, в ієрархічній манері.

UO відображають реальну організацію компанії, будь то відділ, географічне розташування чи конкретні функції. Завдяки їм також можна застосовувати більш конкретні групові політики. Крім того, це можливо адміністрування делегатів від OU до користувача або групи, так що лише певні адміністратори можуть керувати цією підмножиною ресурсів. Щоб отримати додаткові відомості про керування груповою політикою, ви можете проконсультуватися Як керувати GPO в PowerShell.

Типи та області груп в Active Directory

В AD є кілька типів груп і визначень області, які визначають, як їх можна використовувати:

  • Глобальні групи: Зазвичай вони використовуються для групування користувачів, які виконують подібні функції в організації (наприклад, у відділі).
  • Локальні групи домену: Вони використовуються для призначення дозволів на ресурси в межах домену.
  • Універсальні групи: Вони можуть групувати користувачів і групи з будь-якого домену в межах лісу, що ідеально підходить для середовища з кількома контролерами або кількома лісами.

Окрім сфери застосування, ми також повинні розрізняти:

  • Групи безпеки: Вони дозволяють призначати права доступу до ресурсів і містять SID (ідентифікатор безпеки).
  • Групи розподілу: Вони не мають SID і призначені для розсилки електронною поштою, як правило, у середовищах Exchange.
  Як переглянути пряме повідомлення в Instagram, не відкриваючи його? - Режим інкогніто

Створення та керування обліковими записами користувачів

активний каталог Windows

Керування обліковими записами користувачів є одним із найпоширеніших і найважливіших завдань AD. Їх можна виконати за допомогою графічних інструментів, таких як Користувачі та комп’ютери Active Directory (ADUC) або Центр адміністрування AD (ADAC), а також через командний рядок або PowerShell. Щоб глибше ознайомитися з установкою цих інструментів, ви можете слідувати Цей посібник із встановлення Active Directory Users and Computers у Windows 10.

Щоб створити обліковий запис користувача з графічного інтерфейсу:

  1. Відкрийте інструмент ADUC.
  2. Виберіть відповідний UO.
  3. Клацніть правою кнопкою миші > Створити > Користувач.
  4. Заповніть такі необхідні поля, як ім’я, пароль і налаштування облікового запису.

Також можна встановити обмеження увійти, визначити дозволений час, конкретні комп’ютери, на яких можна ввійти, і навіть налаштувати мобільні профілі.

Корисна функція можливість скопіювати існуючий обліковий запис, що пришвидшує створення кількох облікових записів зі схожими параметрами (учасники групи, політики, розклади тощо).

Змінити облікові записи користувачів

Змінити наявний обліковий запис легко за допомогою графічного інтерфейсу:

  • Змінити ім'я або пароль.
  • Призначення або видалення груп.
  • Встановити спеціальні дозволи.
  • За потреби активуйте або деактивуйте облікові записи.

З командного рядка ви можете використовувати такі інструменти, як dsmod Щоб змінити паролі, примусово змініть їх під час наступного входу (dsmod user <user_dn> -mustchpwd yes) або тимчасово деактивувати обліковий запис. Докладніше про те, як керувати дисками та іншими об’єктами з командного рядка, див Цей повний посібник із керування дисками в CMD.

Щоб видалити обліковий запис, ви можете використовувати dsrm <user_dn>, важливо знати, що під час видалення облікового запису пов’язані дозволи втрачаються, оскільки новий користувач, навіть якщо він має те саме ім’я, матиме інший SID.

Приєднайте комп’ютери до домену

Щоб комп’ютер був частиною домену, він повинен:

  1. Налаштуйте мережевий адаптер на використання DNS контролера домену.
  2. Встановіть підключення до DNS-сервера домену.
  3. Перевірте підключення, виконавши ping FQDN контролера.
  Автоматичне встановлення орієнтації та яскравості екрана у Windows 11

Після цього просто перейдіть до конфігурації системи (Win + Pause), змініть властивості імені комп’ютера та включіть його в домен. Він запитає у нас облікові дані облікового запису з дозволами, як правило, адміністратора домену.

Керування обліковими записами комп’ютера в AD

Комп’ютери також є об’єктами в AD і можуть бути створені вручну або автоматично під час приєднання ПК до домену. Як і облікові записи користувачів, їх можна додавати до груп.

З командного рядка ви можете використовувати:

  • dsadd computer <computer_dn> щоб додати команду.
  • dsmod computer <computer_dn> -disabled yes/no щоб увімкнути або вимкнути.
  • dsmod computer <computer_dn> -reset щоб скинути обліковий запис комп’ютера.

Створення та керування групами

Групи необхідні для керування дозволами та політиками. Правильне їх створення покращує безпеку та зменшує складність.

З ADUC або ADAC створити просте: виберіть ім’я, область (глобальний, доменний локальний або універсальний) і тип (безпека чи розповсюдження). Щоб дізнатися більше про те, як інтегрувати групи безпеки та розсилки, ви можете прочитати Причина, чому локальні групи не включені в Windows 10.

Такі інструменти, як dsadd group, dsmod group і PowerShell з New-ADGroup дозволяють автоматизувати ці завдання у великих середовищах.

Після створення ви можете:

  • Додати або видалити учасників: користувачі, комп’ютери чи навіть інші групи.
  • Змініть його тип або область, хоча з обмеженнями в змішаних доменах.
  • Призначення дозволів на спільні ресурси, політики GPO тощо.

Керуйте членством у групах

З вкладки Учасник Ви можете побачити всі групи, до яких належить користувач. Цей параметр корисний для аудиту або перевірки доступу.

Також з групи можна перейти в розділ Miembros і додайте кількох користувачів, команд або підгруп за допомогою правої кнопки та відповідної опції. Наприклад, можна використовувати dsmod group -addmbr щоб масово додавати учасників.

Масово, PowerShell і подібні команди dsmod group -addmbr дозволяє автоматично додавати кількох учасників.

Керуйте декількома об'єктами одночасно

У ADUC ви можете вибрати кількох користувачів і застосувати спільні зміни до всіх (наприклад, змінити опис або додати їх до групи). Це скорочує час створення та обслуговування користувачів у компаніях із високою плинністю кадрів або сезонним наймом.

  Як додати та налаштувати підписи до фотографій у Документах Google

Використання командного рядка та PowerShell

Для досвідчених адміністраторів або в середовищах із сотнями об’єктів, PowerShell і інструменти командного рядка є важливими. Серед поширених дій:

  • dsquery: пошук об’єктів (користувачів, груп, комп’ютерів, OU тощо).
  • dsadd: Створення об’єктів.
  • dsmod: змінити існуючі об'єкти.
  • dsrm: Видалити об’єкти з AD.

PowerShell, зі свого боку, пропонує такі командлети, як:

  • New-ADUser, Set-ADUser, Remove-ADUser
  • Get-ADGroupMember, Add-ADGroupMember

Однією з переваг PowerShell є те, що дозволяє записувати багаторазові сценарії і переглядайте історію команд під час використання консолі ADAC. Це також дозволяє дистанційне управління за допомогою RSAT з клієнтського комп’ютера без безпосереднього доступу до контролера домену.

Хороші практики та рекомендації

Під час керування користувачами та групами в AD рекомендується:

  • Не створюйте більше груп, ніж необхідно, щоб уникнути перевантаження системи авторизації.
  • Використовуйте групи як основний метод призначення дозволів, а не надавати дозволи безпосередньо окремим користувачам.
  • Створити облікові записи шаблон для нових доповнень зі стандартною конфігурацією.
  • Використовуйте описові та узгоджені назви між обліковими записами, групами та організаційними підрозділами.

Впорядковане та систематичне керування запобігає помилкам безпеки, покращує продуктивність і зменшує адміністративне навантаження. У цьому сенсі варто дослідити Файли SYS у Windows, який може надати більше інформації про адміністрування системи.

Керування користувачами та групами в Active Directory є не лише основним завданням, але й основою безпечної та добре організованої інфраструктури. Від створення та видалення облікового запису до автоматизації за допомогою команд або сценаріїв, наявність чіткого плану та дотримання найкращих практик забезпечує більш ефективне та надійне ІТ-середовище.

Пов'язана стаття:
П’ять найкращих програм для керування файлами iPad для комп’ютерів Windows