Добрый день , сегодня я познакомлю Вас с установкой роли AD (Active Directory) и DC (домен контроллера) на новой серверной операционной системе от компании Microsoft – Windows Server 2012 R2. Для начала изменяем имя нашего сервера исходя из регламента именования ПК и серверов в организации, или присваиваем его исходя из своих пожеланий. Для своего сервера я присвоил имя test server. Именно с этим именем наш сервер будет отображаться в сети. Затем выполняем следующие шаги:Заходим в диспетчер серверов:
Переходим во вкладку добавить роли и компоненты
Нажимаем далее
Выбираем установка ролей и компонентов и нажимаем далее
Выбираем сервер на который хотим установить нашу роль и нажимаем далее
Выбираем следующую роль: Доменные службы
Active
Directory
и нажимаем далее
Подтверждаем добавление компонентов необходимых для установки роли Доменных служб Active Directory
Оставляем как есть или добавляем необходимые компоненты для установки, нажимаем далее
Нажимаем кнопку установить
После установки переходим в диспетчер сервера и видим в установленных ролях
Переходим в раздел управляемость
Нажимаем перейти к AD DS
Переходим во вкладку подробнее
Начинаем развертывание домена контроллера на нашем сервере. Выбираем вкладкудобавить новый лес и присваиваем имя для нашего домена, затем нажимаем далее
Выбираем режим работы леса и домена, ставим пароль для режима восстановления служб каталогов и нажимаем далее
Выбираем NetBIOS имя для нашего домена и нажимаем далее
Начинается процесс проверки предварительных требований, по окончанию которого нажимаем установить
После установки проверяем:
Если вы все проделали правильно, вы увидите, что прошла смена рабочей группы Workgroup на домен.
Active Directory представляет собой службы для системного управления. Они являются намного лучшей альтернативой локальным группам и позволяют создать компьютерные сети с эффективным управлением и надёжной защитой данных.
Если вы не сталкивались ранее с понятием Active Directory и не знаете, как работают такие службы, эта статья для вас. Давайте разберёмся, что означает данное понятие, в чём преимущества подобных баз данных и как создать и настроить их для первоначального пользования.
Active Directory - это очень удобный способ системного управления. С помощью Active Directory можно эффективно управлять данными.
Указанные службы позволяют создать единую базу данных под управлением контроллеров домена. Если вы владеете предприятием, руководите офисом, в общем, контролируете деятельность множества людей, которых нужно объединить, вам пригодится такой домен.
В него включаются все объекты - компьютеры, принтеры, факсы, учётные записи пользователей и прочее. Сумма доменов, на которых расположены данные, именуется «лесом». База Active Directory - это доменная среда, где количество объектов может составлять до 2 миллиардов. Представляете эти масштабы?
То есть, при помощи такого «леса» или базы данных можно соединить большое количество сотрудников и оборудования в офисе, причём без привязки к месту - в службах могут быть соединены и другие юзеры, например, из офиса компании в другом городе.
Кроме того, в рамках служб Active Directory создаются и объединяются несколько доменов - чем больше компания, тем больше средств необходимо для контроля её техники в рамках базы данных .
Далее, при создании такой сети определяется один контролирующий домен, и даже при последующем наличии других доменов первоначальный по-прежнему остаётся «родительским» - то есть только он имеет полный доступ к управлению информацией.
Где хранятся эти данные, и чем обеспечивается существование доменов? Чтобы создать Active Directory, используются контроллеры. Обычно их ставится два - если с одним что-то произойдёт, информация будет сохранена на втором контроллере.
Ещё один вариант использования базы - если, например, ваша компания сотрудничает с другой, и вам предстоит выполнить общий проект. В таком случае может потребоваться доступ посторонних личностей к файлам домена, и здесь можно настроить своего рода «отношения» между двумя разными «лесами», открыть доступ к требуемой информации, не рискуя безопасностью остальных данных.
В общем, Active Directory является средством для создания базы данных в рамках определённой структуры, независимо от её размеров. Пользователи и вся техника объединяются в один «лес», создаются домены, которые размещаются на контроллерах.
Ещё целесообразно уточнить - работа служб возможна исключительно на устройствах с серверными системами Windows. Помимо этого, на контроллерах создаётся 3-4 сервера DNS. Они обслуживают основную зону домена, а в случае, когда один из них выходит из строя, его заменяют прочие серверы.
После краткого обзора Active Directory для чайников, вас закономерно интересует вопрос - зачем менять локальную группу на целую базу данных? Естественно, здесь поле возможностей в разы шире, а чтобы выяснить другие отличия данных служб для системного управления, давайте детальнее рассмотрим их преимущества.
Плюсы Active Directory следующие:
И вот, при использовании служб с базой данных учётные записи хранятся в одной точке, а изменения вступают в силу сразу же на всех компьютерах.
Как это работает? Каждый сотрудник, приходя в офис, запускает систему и выполняет вход в свою учётную запись. Запрос на вход будет автоматически подаваться к серверу, и аутентификация будет происходить через него.
Что касается определённого порядка в ведении записей, вы всегда можете поделить юзеров на группы - «Отдел кадров» или «Бухгалтерия».
Ещё проще в таком случае предоставлять доступ к информации - если нужно открыть папку для работников из одного отдела, вы делаете это через базу данных. Они вместе получают доступ к требуемой папке с данными, при этом для остальных документы так и остаются закрытыми.
Если в локальной группе каждый участник независим, его трудно контролировать с другого компьютера, то в доменах можно установить определённые правила, соответствующие политике компании.
Вы как системный администратор можете задать настройки доступа и параметры безопасности, а после применить их для каждой группы пользователей. Естественно, в зависимости от иерархии, одним группам можно определить более жёсткие настройки, другим предоставить доступ к иным файлам и действиям в системе.
Кроме того, когда в компанию попадает новый человек, его компьютер сразу же получит нужный набор настроек, где включены компоненты для работы.
Кстати, о компонентах - при помощи Active Directory вы можете назначать принтеры, устанавливать необходимые программы сразу же всем сотрудникам, задавать параметры конфиденциальности. В общем, создание базы данных позволит существенно оптимизировать работу, следить за безопасностью и объединить юзеров для максимальной эффективности работы.
А если на фирме эксплуатируется отдельная утилита или специальные службы, их можно синхронизировать с доменами и упростить к ним доступ. Каким образом? Если объединить все продукты, использующиеся в компании, сотруднику не нужно будет вводить разные логины и пароли для входа в каждую программу - эти сведения будут общими.
Теперь, когда становятся понятными преимущества и смысл использования Active Directory, давайте рассмотрим процесс установки указанных служб.
Установка и настройка Active Directory - весьма нетрудное дело, а также выполняется проще, чем это кажется на первый взгляд.
Чтобы загрузить службы, для начала необходимо выполнить следующее:
Установите роли Active Directory так:
Для настройки доменной службы вам нужно сделать следующее:
Ещё вам может быть интересно, как добавить юзера в базу данных. Для этого воспользуйтесь меню «Пользователи или компьютеры Active Directory», которое вы найдёте в разделе «Администрирование» в панели управления, или эксплуатируйте меню настроек базы данных.
Чтобы добавить нового юзера, нажмите правой клавишей по названию домена, выберите «Создать», после «Подразделение». Перед вами появится окно, где нужно ввести имя нового подразделения - оно служит папкой, куда вы можете собирать пользователей по разным отделам. Таким же образом вы позже создадите ещё несколько подразделений и грамотно разместите всех сотрудников.
Далее, когда вы создали имя подразделения, нажмите на него правой клавишей мыши и выберите «Создать», после - «Пользователь». Теперь осталось только ввести необходимые данные и поставить настройки доступа для юзера.
Когда новый профиль будет создан, нажмите на него, выбрав контекстное меню, и откройте «Свойства». Во вкладке «Учётная запись» удалите отметку напротив «Заблокировать…». На этом всё.
Общий вывод таков - Active Directory это мощный и полезный инструмент для системного управления, который поможет объединить все компьютеры сотрудников в одну команду. С помощью служб можно создать защищённую базу данных и существенно оптимизировать работу и синхронизацию информации между всеми пользователями. Если деятельность вашей компании и любого другого места работы связана с электронными вычислительными машинами и сетью, вам нужно объединять учётные записи и следить за работой и конфиденциальностью, установка базы данных на основе Active Directory станет отличным решением.
В Windows Server 2016 появились новые довольно интересные новые функции, такие как временное членство в группах AD, Privileged Access Management и т.д. Постараюсь описать их более подробно в следующих статьях. В этой статье я покажу, как установить домен Active Directory в Windows Server 2016. Для установки AD, сервер по минимальным требованиям должен соответствовать следующим условиям:
Процессор :
Память
Дисковый контроллер и требования к месту:
Дисковый контроллер для установки Windows Server 2016 должен быть совместим со спецификацией PCI Express. Windows Server 2016 не позволяет использовать диски ATA/PATA/IDE/EIDE для загрузки, хранения файла подкачки или дисков с данными
Минимальный размер раздела на систему: 32 Гб
Сетевой адаптер :
В этом примере я использую виртуальную машину, запущенную на сервере VMWare ESXi, на которую и уставлена Windows Server 2016.
1) Войдите на сервер под локальным администраторов. На сервер кроме роли также будет установлена служба DNS . Изменим настройки сетевого интерфейса, указав в качестве первичного DNS сервера собственный IP адрес севера или адрес 127.0.0.1.
2) Затем откройте Server Manager, нажав на соответствующий значок или выполнив в консоли PowerShell команду .
3) В окне Server Manager нажмите
4) В окне мастера добавления ролей и компонентов нажмите Next .
5) В следующем окне нажмите Next
6) Т.к. установка выполняется на локальный сервер, в следующем окне оставьте переключатель в исходном положении и нажмите Next
7) В следующем окне в списке ролей выберите Active Directory Domain Services . В открывшемся окне появится список ассоциированных компонентов, которые должны быть установлены вместе с ролью ADDS. Нажмите кнопку Add features , а затем Next .
8) В списке компонентов уже должны быть отмечены требуемые для установки компоненты. Нажмите Next .
9) В следующем окне приведено небольшое описание роли AD DS . Нажмите Next.
10) Ознакомьтесь со списком выбранных для установки ролей и компонентов. Для начала установки нажмите кнопку Install .
11) На экране будет отображаться текущий статус процесса установки 
12) После окончания установки, нажмите на ссылку
13) Запустите мастер настройки Active Directory. В моем случае я устанавливаю новый лес AD. В том случае, если вы добавляете дополнительный контроллер домена в существующий домен, выберите соответствующую опцию. Я же выбираю опцию Add a new forest и указывают FQDN имя домена (test.net).
14) В следующем окне нужно указать функциональный уровень домена и леса AD. Я выбрал последнюю версию схемы AD – Windows Server 2016 . Кроме того, этот сервер будет выступать сервером DNS и являться Global Catalog. Также нужно указать пароль администратора для входа в DSRM режим.
15) Т.к. мой сервер будет первым DNS сервером в лесу, нет необходимости настраивать делегацию DNS. Поэтому просто нажмите Next .
16) NETBIOS имя домена оставим без изменений (TEST)
17) На следующем экране нужно указать путь к каталогам NTDS, SYSVOL и LOG . Мы оставим все пути по-умолчанию, предполагая, что все папки будут храниться в каталоге системного диска C:\Windows.
18) На следующем экране можно ознакомиться со списком выбранных настроек. Если все OK, нажмите Next, если нет – вернитесь назад и внесите изменения.
20) Запустится процесс установки контроллера домена
21) После окончания установки, сервер автоматически перезагрузится. Войдите на сервер под учетной записью администратора домена.
22) После входа, запустите привилегированную сессию powershell и выполните команду . Откроется окно центра администрирования Active Directory (Administrative Center). Можно начинать управлять ресурсами домена
23) С помощью следующих команду можно узнать текущий функциональный уровень домена и леса команд Get-ADDomain | fl Name,DomainMode и Get-ADForest | fl Name,ForestMode
Итак, начнем с теории. Active Directory (далее AD) — служба каталогов корпорации Microsoft для ОС семейства WindowsNT. AD позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать ПО на множестве компьютеров через групповые политики посредством System Center Configuration Manager, устанавливать и обновлять ОС. AD хранит данные и настройки среды в централизованной базе данных. Сети AD могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.
Приступим.
Что бы установить роль AD
нам необходимо:
1) Задать адекватное имя компьютеру
Открываем Пуск
-> Панель управления
-> Система
, слева жмем на «Изменить параметры
«. В «Свойствах системы
» на вкладке «Имя компьютера
» нажимаем кнопку «Изменить
» и в поле «Имя компьютера
» вводим имя (я ввел ADserver
) и жмем «ОК
«. Появится предупреждение о необходимости перезагрузки системы, что бы изменения вступили в силу, соглашаемся нажав «ОК
«. В «Свойствах системы
» жмем «Закрыть
» и соглашаемся на перезагрузку.
2) Задать настройки сети
Открываем Пуск
-> Панель управления
-> Центр управления сетями и общим доступом
-> Изменить параметры адаптера
. После нажатия правой кнопкой на подключении выбираем пункт «Свойства
» из контекстного меню. На вкладке «Сеть
» выделяем «Протокол интернета версии 4 (TCP/IPv4)
» и жмем «Свойства
«.
Я задал:
IP-адрес:
192.168.10.252
Маска подсети:
255.255.255.0
Основной шлюз:
192.168.10.1
Предпочтительный DNS-сервер:
127.0.0.1 (так как тут будет располагаться локальный DNS-сервер)
Альтернативный DNS-сервер:
192.168.10.1
После чего жмем «ОК
» и «Закрыть
«.
Подготовка закончилась, теперь преступим к установке роли.
Для установки роли AD на компьютер откроем Пуск -> Диспетчер сервера . Выберем «Добавить роли и компоненты «.
После чего запустится «Мастер добавления ролей и компонентов «.
3.1 На первом этапе мастер напоминает, что нужно сделать перед началом добавления роли на компьютер, просто нажимаем «Далее «.
3.2 Теперь выбираем «Установка ролей и компонентов » и жмем «Далее «.
3.3 Выберем компьютер, на котором хотим установить роль AD и опять «Далее «.
3.4 Теперь нужно выбрать какую роль мы хотим установить, выбираем «Доменные службы Active Directory » и нам предложат установить необходимые компоненты и службы ролей для роли AD соглашаемся нажав «Добавить компоненты » и опять «Далее «.
3.5 Тут предложат установить компоненты, но нам они пока не нужны, так что просто жмем «Далее «.
3.6 Теперь нам выведут описание роли «Доменных служб Active Directory «. Прочитаем внимательно и жмем «Далее «.
3.7 Мы увидим, что же именно мы будем ставить на сервер, если все хорошо, то жмем «Установить «.
3.8 После установки просто жмем «Закрыть «.
Теперь настроим доменную службу запустив «Мастер настройки доменных служб Active Directory » (жмем на иконку «Уведомления » (флажок ) в «Диспетчере сервера » и после этого выбираем «Повысить роль этого сервера до уровня контроллера домена «).
4.1 Выбираем «Добавить новый лес » и вписываем наш домен в поле «Имя корневого домена » (я решил взять стандартный домен для таких случаев test.local ) и жмем «Далее «.
4.2 В данном меню можно задать совместимость режима работы леса и корневого домена. Так как у меня все с нуля я оставлю по умолчанию (в режиме работы «Windows Server 2012 «). А еще можно отключить DNS -сервер, но я решил оставить это, так как хочу иметь свой локальный DNS -сервер. И еще необходимо задать пароль DSRM (Directory Service Restore Mode — режим восстановления службы каталога), задаем пароль и тыкаем «Далее «.
4.3 На данном этапе мастер настройки предупреждает нас, что домен test.local нам не делегирован, ну это и логично, нам ни кто его не давал, он будет существовать только в нашей сети, так, что жмем просто «Далее «.
4.4 Можно изменить NetBIOS имя, которое было автоматически присвоено, я не буду этого делать, так, что жмем «Далее «.
4.5 Тут можем изменить пути к каталогам базы данных AD DS (Active Directory Domain Services — доменная служба AD), файлам журнала, а так же каталогу SYSVOL . Не вижу смысла в изменении, так что просто жмем «Далее «.
4.6 Теперь мы видим небольшой итог, какие настройки мы выбрали.
Тут же, нажав на кнопку «Просмотреть сценарий » мы можем увидеть PowerShell сценарий для развертывания AD DS выглядит он примерно так:
4.7 Мастер проверит соблюдены ли предварительные требования, видим несколько замечаний, но они для нас не критичны, так что жмем кнопку «Установить «.
4.8 После завершения установки, компьютер перезагрузится.
5.1 Запустим Пуск -> Панель управления -> Администрирование -> Пользователи и компьютеры Active Directory . Или через панель управления сервером:
5.2 Выделяем название домена (test.local ), нажимаем правой кнопкой и выбираем «Создать » -> «Подразделение «.
После чего вводим имя подразделения, а так же можем снять защиту контейнера от случайного удаления. Нажимаем «ОК «.
Подразделения Например:
5.3 Теперь создадим пользователя в подразделении «Пользователи «. Правой кнопкой на подразделение и выбираем в нем «Создать » -> «Пользователь «. И заполняем основные данные: Имя , Фамилия , логин .
Подразделения служат для того, что бы удобно управлять группами компьютеров, пользователей и т.д. Например: можно разбить пользователей по группам с именами подразделений соответствующих именам отделов компаний, в которой они работают (Бухгалтерия, ИТ, отдел кадров, менеджеры и т.д.)
Жмем «Далее
«.
Теперь зададим пароль, для пользователя. Так же тут можно задать такие вещи как:
— Требовать смены пароля пользователя при следующем входе в систему
— при входе пользователя в наш домен, ему будет предложено сменить пароль.
— Запретить смену пароля пользователем
— отключает возможность смены пароля пользователем.
— Срок действия пароля не ограничен
— пароль можно не менять сколько угодно.
— Отключить учетную запись
— делает учетную запись пользователя не активной.
Жмем «Далее
«.
В данной статье будет приведена подробная пошаговая инструкция по установке и настройке с нуля роли Active Directory на базе Windows Server 2012. Инструкция будет основываться на базе английской редакции. Иногда будут приводиться названия параметров и команд, аналогичные русской редакции Windows Server 2012.
Прежде, чем настраивать роль Active Directory необходимо произвести настройку Windows Server 2012 — задать статический IP адрес и переименовать компьютер.
Чтобы установить статический IP адрес, необходимо щелкнуть правой кнопкой мышки по иконке Network в панели задач и выбрать Open Network ang Sharing Center -> Change adapter settings . Выбрать адаптер, который смотрит во внутреннюю сеть. Properties -> Internet Protocol Version 4 (TCP/IPv4) и задать IP адрес по подобию, как приведено на картинке.
192.168.0.11 — IP адрес текущего сервера — первого контроллера домена.
192.168.0.254 — IP адрес шлюза.
Теперь необходимо переименовать имя сервера и перезагрузить его. Start -> System -> Change Settings -> Computer Name -> Change. Ввести Computer Name. В примере сервер будет называться DC1.
Итак, после предварительной настройки сервера, переходим к установки роли службы каталогов.
Start -> Server Manager (Пуск -> Диспетчер сервера ).
Add roles and features -> Next
Выбрать Role-based or feature-based Installation (Установка ролей и компонентов) -> Next
Выбрать сервер, на который устанавливается роль AD и нажать Далее. Select a server from the server pool -> Next
Выбираем роль Active Directory Domain Services (Доменные службы Active Directory), после чего появляется окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features.
Можно также выбрать роль DNS Server. Если вы забудете установить галочку для добавления роли DNS Server, можно особо не переживать, т.к. её можно будет добавить позже на стадии настройки роли AD.
После этого жмем каждый раз кнопку Next и устанавливаем роль.
После установки роли, закрыть окно — Close. Теперь необходимо перейти к настройке роли AD.
В окне Server Manager нажать пиктограмму флага с уведомлением и нажать Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера домена) на плашке Post-deploiment Configuration.
Выбрать Add a new forest (Добавить новый лес), ввести название домена и нажать Далее.
Можете выбрать совместимость режима работы леса и корневого домена. По умолчанию устанавливается Windows Server 2012.
На этой вкладке можно будет отключить роль DNS Server. Но, в нашем случае, галочку оставляем.
На следующем шаге мастер предупреждает о том, что делегирование для этого DNS-сервера создано не было (A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server.. Otherwise, no action is required. ).
Нажимаем Next.
На следующем шаге можно изменить NetBIOS имя, которое было присвоено домену. Мы этого делать не будем. Просто нажимаем Далее.
На следующем шаге можно изменить пути к каталогам базы данных AD DS (Active Directory Domain Services – доменная служба Active Directory), файлам журнала, а так же папке SYSVOL. Мы менять ничего не будем. Нажимаем кнопку Далее.
На следующем шаге отображается сводная информация по настройке. Нажав кнопку View Script, можно посмотреть Powershell скрипт, который произведет настройку доменных служб Active Directory.
# Windows PowerShell script for AD DS Deployment
Import-Module ADDSDeployment Install-ADDSForest ` -CreateDnsDelegation:$false ` -DatabasePath "C:\Windows\NTDS" ` -DomainMode "Win2012" ` -DomainName "сайт" ` -DomainNetbiosName "ITME" ` -ForestMode "Win2012" ` -InstallDns:$true ` -LogPath "C:\Windows\NTDS" ` -NoRebootOnCompletion:$false ` -SysvolPath "C:\Windows\SYSVOL" ` -Force:$true
Убедившись, что все указано верно, нажимаем на кнопку Next.
На следующем шаге производится проверка, все ли предварительные требования соблюдены. После чего покажет нам отчёт. Одно из обязательных требований — это установленный пароль локального администратора. В самом низу можно прочитать предупреждение о том, что после того, как будет нажата кнопка Install уровень сервера будет повышен до контроллера домена и будет произведена автоматическая перезагрузка.
Должна появиться надпись All prerequisite checks are passed successfully. Click «install» to begin installation .
Нажимаем кнопку Install.
После завершения всех настроек, сервер перезагрузится, и вы совершите первый ввод компьютера в ваш домен. Для этого необходимо ввести логин и пароль администратора домена.
На этом базовая настройка служб каталога Active Directory завершена. Конечно же еще предстоит проделать огромный объем работы по созданию подразделений, созданию новых пользователей, настройке групповых политик безопасности, …
Из анонсов все уже знают, что утилита dcpromo устарела. Если запустить в командной строке dcpromo, то появится окно с предупреждением, предлагающее вам воспользоваться Диспетчером сервера.
The Active Directory Services installation Wizard is relocated in Server Manager.
Тем не менее, данной командой можно воспользоваться c указанием параметра автоматической настройки — dcpromo /unattend . При работе сервера в режиме Core, предупреждения не будет, а в командной строке появится информация по использованию утилиты dcpromo.
Все эти изменения связаны с тем, что в Windows Server 2012 сделали акцент на администрирование с помощью Powershell .
