Active directory как запустить windows 7

Установка оснастки Active Directory в Windows 7

В данной статье поговорим о том, как установить оснастки Active Directory в Windows 7. Как вы, наверное, помните, для того, чтобы в Windows XP появилась оснастка Active Directory Users and Computers (сокращенно ADUC), необходимо установить специальный набор утилит от Microsoft – Windows 2003 Admin Pack. В Windows 7 процесс установки консолей управления Active Directory несколько изменился.

Во-первых, Admin Pak теперь стал называться Remote Server Administration Tools (RSAT). Где найти и скачать RSAT для Windows 7 я уже писал. Обратите внимание, что существует несколько версий RSAT для Windows 7: версии будут отличаться в зависимости от разрядности вашей ОС (32 ил 64 –битная Window 7) и установленного Service Pack (скачать RSAT для Windows 7 SP1). Если вы не знаете, какая версия ОС используется у вас, нажмите кнопку Start, щелкните правой кнопочкой мыши по значку «Computer» и выберите «Properties». Окно с версией системы будет выглядеть примерно так:

В поле «System type:» будет указан тип вашей ОС Windows 7. В том случае, если вы используете 32 битную версию Windows 7, необходимо скачать файл, имя которого начинается с «x86…» (сейчас это «x86fre_GRMRSAT_MSU.msu», но имя может измениться). Для пользователей 64-битных систем, необходимо скачать файл, имя которого начинается с «amd64…» (сейчас это «amd64fre_GRMRSATX_MSU.msu») – это пакет подойдет даже в том случае, если вы используете процессор, отличный от AMD 64-bit.

После того, как вы скачаете RSAT для Windows 7, его нужно установить (в принципе это обычное обновление Microsoft KB).

Во-вторых, после установки RSAT в Windows 7, по умолчанию большинство дополнительных функций управления отключены, и оснастку управления Active Directory в Windows 7 нужно активировать вручную.

Перейдите в панель управления Control Panel, выберите раздел Programs.
В разделе Programs and Features, щелкните по ссылке Turn Windows features on or off.

Перейдите в раздел Remote Server Administration Tools > Role Administration Tools, и выберите AD DS and AD LDS Tools.

После этого консоль ADUC и другие оснастки управления AD в Windows 7 появится в панели управления в разделе Administrative Tools.

Активировать оснастку «Active Directory User and Computer» в Windows 7 можно и из командной строки, однако в любом случае придется скачать и установить RSAT.

В командной строке с правами администратора наберите следующие команды, добавляющие оснастки Active Directory:

dism /online /enable-feature /featurename:RemoteServerAdministrationTools-Roles-AD-DS

dism /online /enable-feature /featurename:RemoteServerAdministrationTools-Roles-AD-DS-SnapIns

Администрирование домена из-под Windows 7

В Windows 7 очень не хватает оснасток: Active Directory Users and Computers, Active Directory Site and Services, DNS, DHCP и т.д., для администрирования домена Windows. Чтобы исправить этот недостаток компания Microsoft выпустила набор утилит под названием Remote Server Administration Tools for Windows 7. Этот пакет позволяет управлять ролями и функциями на удаленных серверах под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003.

Для его установки требуется…

Скачать Remote Server Administration Tools for Windows 7 отсюда: microsoft.com (примерно 215 МБ) и для Windows 7 SP1: ТУТ. После запуска установщика система предложит установить обновление KB958830.

Соглашаемся. Далее произойдет установка пакета RSAT.

После удачного завершения установки, нужно добавить необходимые инструменты в систему. Для этого идем в «Панель управления (Control Panel)» – «Программы и компоненты (Programs and Features)» – «Включение и отключение компонентов Windows (Turn Windows features on or off)» – «Средства удаленного администрирования сервера(Remote Server Administration Tools)». Ставим галки напротив нужных инструментов.

ОК. Теперь в «Панель управления\Администрирование» появились инструменты, которые мы выбрали.

До этого был только стандартный набор инструментов:

Все. Удачи

Скачать Remote Server Administration Tools for Windows 7 можно отсюда: microsoft.com и для Windows 7 SP1: ТУТ.

Как установить и настроить Active Directory

Active Directory («Активный каталог», AD) — службы каталогов корпорации Microsoft для операционных систем Windows Server. Первоначально создавалась как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

Задача: Развернуть сервер с ролью контроллера домена на виртуальной машине.

Шаг 1 — Подготовка и требования к оборудованию

Основные минимальные требования к аппаратному и программному обеспечению:

Наличие хотя бы одного узла (аппаратного или виртуального) под управлением MS Windows Server
64-битный процессор с тактовой частотой не менее 1.4 Ггц
ОЗУ не менее 512 МБ
Системный диск не менее 40 ГБ

Тестовый стенд представляет из себя виртуальную машину под управлением MS Windows Server 2016 Standard, развернутую на сервере с ролью Hyper-V.

Шаг 2 — Установка и настройка контроллера домена

Необходимо зайти на сервер под учетной записью локального администратора. В связи с тем, что на сервер помимо роли Active Directory Domain Services будет установлена служба DNS, нам нужно изменить настройки сетевого интерфейса на ВМ, указав в поле первичного DNS сервера ip-адрес нашего шлюза по умолчанию.

Рисунок 1 - Настройка сетевого интерфейса

Далее нам необходимо открыть консоль Диспетчера серверов и нажать на пункт Добавить роли и компоненты.

Рисунок 2 - Главная страница консоли диспетчера серверов

В следующем окне нам необходимо выбрать пункт Установка ролей или компонентов и нажать на Далее.

Рисунок 3 - Мастер добавления ролей и компонентов. Выбор типа установки

В данном окне выбираем наш сервер, на котором будет поднята роль Контроллера Домена и нажимаем Далее.

Рисунок 4 - Мастер добавления ролей и компонентов. Выбор целевого сервера

На данном этапе кликаем по чекбоксу с наименованием Доменные службы Active Directory.

Рисунок 5 - Мастер добавления ролей и компонентов. Выбор ролей сервера

В появившемся окне нажимаем на кнопку Добавить компоненты и пропускаем окна выбора компонентов и описания AD DS по нажатию кнопки Далее.

Рисунок 6 - Мастер добавления ролей и компонентов. Выбор служб ролей или компонентов

Прожимаем чекбокс в котором написано Автоматический перезапуск сервера, если потребуется и нажимаем на кнопку установить.

Рисунок 7 - Мастер добавления ролей и компонентов. Подтверждение установки компонентов

На экране будет отображен ход установки выбранных нами ролей. По завершению установки нажимаем на ссылку Повысить роль этого сервера до контроллера домена.

Рисунок 8 - Мастер добавления ролей и компонентов. Ход установки

В окне Мастер настройки доменных служб Active Directory Выбираем опцию Добавить новый лес и указываем имя корневого домена.

Рисунок 9 - Мастер настройки доменных служб Active Directory. Конфигурация

В пункте Параметры контроллера домена необходимо указать функциональный уровень домена и леса AD. Выбираем схему соответствующую редакции нашего сервера. Так как на данном сервере будет поднята роль DNS сервера нужно прожать следующие чекбоксы и указать пароль администратора для входа в DSRN режим.

Рисунок 10 - Мастер настройки доменных служб Active Directory. Параметры контроллера домена

Наш сервер будет первым DNS сервером в лесу, поэтому мы не настраиваем делегацию DNS. Нажимаем Далее.

Рисунок 11 - Мастер настройки доменных служб Active Directory. Параметры DNS

В следующем окне оставляем NETBIOS имя домена без изменений и нажимаем Далее.
Указываем расположение баз данных AD DS, файлов журналов и папки SYSVOL. После выбора нажимаем Далее.

Рисунок 12 - Мастер настройки доменных служб Active Directory. Пути

На экране просмотра параметров будет отображен список всех выбранных нами настроек. Нажимаем Далее, проходим предварительную проверку и нажимаем Установить.

Рисунок 13 - Мастер настройки доменных служб Active Directory. Проверка предварительных требований

После завершения процесса установки сервер автоматически перезагрузится. Теперь мы можем войти на сервер под учетной записью домена.

Базовая установка и настройка контроллера домена завершена. Если вам нужна помощь по настройке Active Directory и любым ИТ-задачам, свяжитесь с нами любым удобным способом.

Установка оснастки AD в Windows 7

Active Directory

Admin Pak теперь стал называться Remote Server Administration Tools (RSAT).

скачать RSAT для Windows 7

после установки RSAT в Windows 7, по умолчанию большинство дополнительных функций управления отключены, и оснастку управления Active Directory в Windows 7 нужно активировать вручную.

Перейдите в панель управления Control Panel, выберите раздел Programs.
В разделе Programs and Features, щелкните по ссылке Turn Windows features on or off.

Перейдите в раздел Remote Server Administration Tools > Role Administration Tools, и выберите AD DS and AD LDS Tools.

После этого консоль ADUC и другие оснастки управления AD в Windows 7 появится в панели управления в разделе Administrative Tools.

В командной строке с правами администратора наберите следующие команды, добавляющие оснастки Active Directory:

dism /online /enable-feature /featurename:RemoteServerAdministrationTools-Roles-AD-DS
  
 dism /online /enable-feature /featurename:RemoteServerAdministrationTools-Roles-AD-DS-SnapIns

Понравилось это:

Нравится Загрузка...

Похожее

Как установить и настроить Active Directory

Active Directory представляет собой службы для системного управления. Они являются намного лучшей альтернативой локальным группам и позволяют создать компьютерные сети с эффективным управлением и надёжной защитой данных.

Если вы не сталкивались ранее с понятием Active Directory и не знаете, как работают такие службы, эта статья для вас. Давайте разберёмся, что означает данное понятие, в чём преимущества подобных баз данных и как создать и настроить их для первоначального пользования.

Active Directory — что это простыми словами

Active Directory — это очень удобный способ системного управления. С помощью Active Directory можно эффективно управлять данными.

Указанные службы позволяют создать единую базу данных под управлением контроллеров домена. Если вы владеете предприятием, руководите офисом, в общем, контролируете деятельность множества людей, которых нужно объединить, вам пригодится такой домен.

В него включаются все объекты — компьютеры, принтеры, факсы, учётные записи пользователей и прочее. Сумма доменов, на которых расположены данные, именуется «лесом». База Active Directory — это доменная среда, где количество объектов может составлять до 2 миллиардов. Представляете эти масштабы?

То есть, при помощи такого «леса» или базы данных можно соединить большое количество сотрудников и оборудования в офисе, причём без привязки к месту — в службах могут быть соединены и другие юзеры, например, из офиса компании в другом городе.

Кроме того, в рамках служб Active Directory создаются и объединяются несколько доменов — чем больше компания, тем больше средств необходимо для контроля её техники в рамках базы данных.

Далее, при создании такой сети определяется один контролирующий домен, и даже при последующем наличии других доменов первоначальный по-прежнему остаётся «родительским» — то есть только он имеет полный доступ к управлению информацией.

Где хранятся эти данные, и чем обеспечивается существование доменов? Чтобы создать Active Directory, используются контроллеры. Обычно их ставится два — если с одним что-то произойдёт, информация будет сохранена на втором контроллере.

Ещё один вариант использования базы — если, например, ваша компания сотрудничает с другой, и вам предстоит выполнить общий проект. В таком случае может потребоваться доступ посторонних личностей к файлам домена, и здесь можно настроить своего рода «отношения» между двумя разными «лесами», открыть доступ к требуемой информации, не рискуя безопасностью остальных данных.

В общем, Active Directory является средством для создания базы данных в рамках определённой структуры, независимо от её размеров. Пользователи и вся техника объединяются в один «лес», создаются домены, которые размещаются на контроллерах.

Ещё целесообразно уточнить — работа служб возможна исключительно на устройствах с серверными системами Windows. Помимо этого, на контроллерах создаётся 3-4 сервера DNS. Они обслуживают основную зону домена, а в случае, когда один из них выходит из строя, его заменяют прочие серверы.

После краткого обзора Active Directory для чайников, вас закономерно интересует вопрос — зачем менять локальную группу на целую базу данных? Естественно, здесь поле возможностей в разы шире, а чтобы выяснить другие отличия данных служб для системного управления, давайте детальнее рассмотрим их преимущества.

Преимущества Active Directory

Плюсы Active Directory следующие:

Использование одного ресурса для аутентификации. При таком раскладе вам нужно на каждом ПК добавить все учётные записи, требующие доступ к общей информации. Чем больше юзеров и техники, тем сложнее синхронизировать между ними эти данные.

Далее, чтобы изменить пароль на одной учётной записи, для этого необходимо менять его на остальных ПК и серверах. Логично, что при большем количестве пользователей требуется более продуманное решение.

И вот, при использовании служб с базой данных учётные записи хранятся в одной точке, а изменения вступают в силу сразу же на всех компьютерах.

Как это работает? Каждый сотрудник, приходя в офис, запускает систему и выполняет вход в свою учётную запись. Запрос на вход будет автоматически подаваться к серверу, и аутентификация будет происходить через него.

Что касается определённого порядка в ведении записей, вы всегда можете поделить юзеров на группы — «Отдел кадров» или «Бухгалтерия».

Ещё проще в таком случае предоставлять доступ к информации — если нужно открыть папку для работников из одного отдела, вы делаете это через базу данных. Они вместе получают доступ к требуемой папке с данными, при этом для остальных документы так и остаются закрытыми.

Контроль над каждым участником базы данных.

Если в локальной группе каждый участник независим, его трудно контролировать с другого компьютера, то в доменах можно установить определённые правила, соответствующие политике компании.

Вы как системный администратор можете задать настройки доступа и параметры безопасности, а после применить их для каждой группы пользователей. Естественно, в зависимости от иерархии, одним группам можно определить более жёсткие настройки, другим предоставить доступ к иным файлам и действиям в системе.

Кроме того, когда в компанию попадает новый человек, его компьютер сразу же получит нужный набор настроек, где включены компоненты для работы.

Универсальность в установке программного обеспечения.

Кстати, о компонентах — при помощи Active Directory вы можете назначать принтеры, устанавливать необходимые программы сразу же всем сотрудникам, задавать параметры конфиденциальности. В общем, создание базы данных позволит существенно оптимизировать работу, следить за безопасностью и объединить юзеров для максимальной эффективности работы.

А если на фирме эксплуатируется отдельная утилита или специальные службы, их можно синхронизировать с доменами и упростить к ним доступ. Каким образом? Если объединить все продукты, использующиеся в компании, сотруднику не нужно будет вводить разные логины и пароли для входа в каждую программу — эти сведения будут общими.

Теперь, когда становятся понятными преимущества и смысл использования Active Directory, давайте рассмотрим процесс установки указанных служб.

Используем базу данных на Windows Server 2012

Установка и настройка Active Directory — весьма нетрудное дело, а также выполняется проще, чем это кажется на первый взгляд.

Чтобы загрузить службы, для начала необходимо выполнить следующее:

Поменять название компьютера: нажмите на «Пуск», откройте Панель управления, пункт «Система». Выберите «Изменить параметры» и в Свойствах напротив строки «Имя компьютера» кликните «Изменить», впишите новое значение для главного ПК.
Выполните перезагрузку по требованию ПК.
Задайте настройки сети так:
- Через панель управления откройте меню с сетями и общим доступом.
- Откорректируйте настройки адаптера. Правой клавишей нажмите «Свойства» и откройте вкладку «Сеть».
- В окне из списка кликните на протокол интернета под номером 4, опять нажмите на «Свойства».
- Впишите требуемые настройки, например: IP-адрес — 192.168.10.252 , маска подсети — 255.255.255.0, основной подшлюз — 192.168.10.1.
- В строке «Предпочтительный DNS-сервер» укажите адрес локального сервера, в «Альтернативном…» — другие адреса DNS-серверов.
- Сохраните изменения и закройте окна.

Установите роли Active Directory так:

Через пуск откройте «Диспетчер сервера».
В меню выберите добавление ролей и компонентов.
Запустится мастер, но первое окно с описанием можно пропустить.
Отметьте строку «Установка ролей и компонентов», перейдите дальше.
Выберите ваш компьютер, чтобы поставить на него Active Directory.
Из списка отметьте роль, которую нужно загрузить — для вашего случая это «Доменные службы Active Directory».
Появится небольшое окно с предложением загрузки необходимых для служб компонентов — примите его.
После вам предложат установить другие компоненты — если они вам не нужны, просто пропустите этот шаг, нажав«Далее».
Мастер настройки выведет окно с описаниями устанавливаемых вами служб — прочтите и двигайтесь дальше.
Появиться перечень компонентов, которые мы собираемся установить — проверьте, всё ли верно, и если да, жмите на соответствующую клавишу.
По завершении процесса закройте окно.
Вот и всё — службы загружены на ваш компьютер.

Настройка Active Directory

Для настройки доменной службы вам нужно сделать следующее:

Запустите одноимённый мастер настройки.
Кликните на жёлтый указатель вверху окна и выберите «Повысить роль сервера до уровня контроллера домена».
Нажмите на добавление нового «леса» и создайте имя для корневого домена, затем кликните «Далее».
Укажите режимы работы «леса» и домена — чаще всего они совпадают.
Придумайте пароль, но обязательно запомните его. Перейдите далее.
После этого вы можете увидеть предупреждение о том, что домен не делегирован, и предложение проверить имя домена — можете пропустить эти шаги.
В следующем окне можно изменить путь к каталогам с базами данных — сделайте это, если они вам не подходят.
Теперь вы увидите все параметры, которые собираетесь установить — просмотрите, правильно ли выбрали их, и идите дальше.
Приложение проверит, выполняются ли предварительные требования, и если замечаний нет, или они некритичны, жмите «Установить».
После окончания инсталляции ПК самостоятельно перегрузиться.

Ещё вам может быть интересно, как добавить юзера в базу данных. Для этого воспользуйтесь меню «Пользователи или компьютеры Active Directory», которое вы найдёте в разделе «Администрирование» в панели управления, или эксплуатируйте меню настроек базы данных.

Чтобы добавить нового юзера, нажмите правой клавишей по названию домена, выберите «Создать», после «Подразделение». Перед вами появится окно, где нужно ввести имя нового подразделения — оно служит папкой, куда вы можете собирать пользователей по разным отделам. Таким же образом вы позже создадите ещё несколько подразделений и грамотно разместите всех сотрудников.

Далее, когда вы создали имя подразделения, нажмите на него правой клавишей мыши и выберите «Создать», после — «Пользователь». Теперь осталось только ввести необходимые данные и поставить настройки доступа для юзера.

Когда новый профиль будет создан, нажмите на него, выбрав контекстное меню, и откройте «Свойства». Во вкладке «Учётная запись» удалите отметку напротив «Заблокировать…». На этом всё.

Общий вывод таков — Active Directory это мощный и полезный инструмент для системного управления, который поможет объединить все компьютеры сотрудников в одну команду. С помощью служб можно создать защищённую базу данных и существенно оптимизировать работу и синхронизацию информации между всеми пользователями. Если деятельность вашей компании и любого другого места работы связана с электронными вычислительными машинами и сетью, вам нужно объединять учётные записи и следить за работой и конфиденциальностью, установка базы данных на основе Active Directory станет отличным решением.

Как включить active directory windows 7

Во -первых , Admin Pak теперь стал называться Remote Server Administration Tools (RSAT). Где найти и скачать RSAT для Windows 7 я уже писал. Обратите внимание, что существует несколько версий RSAT для Windows 7: версии будут отличаться в зависимости от разрядности вашей ОС (32 ил 64 –битная Window 7) и установленного Service Pack (скачать RSAT для Windows 7 SP1). Если вы не знаете, какая версия ОС используется у вас, нажмите кнопку Start, щелкните правой кнопочкой мыши по значку «Computer» и выберите «Properties». Окно с версией системы будет выглядеть примерно так:

После того, как вы скачаете RSAT для Windows 7, его нужно установить (в принципе это обычное обновление Microsoft KB).

Во-вторых , после установки RSAT в Windows 7, по умолчанию большинство дополнительных функций управления отключены, и оснастку управления Active Directory в Windows 7 нужно активировать вручную.

Перейдите в панель управления ControlPanel, выберите раздел Programs.
В разделе Programs and Features, щелкните по ссылке Turn Windows features on or off.

Перейдите в раздел Remote Server Administration Tools >Role Administration Tools, и выберите AD DS and AD LDS Tools.

В командной строке с правами администратора наберите следующие команды, добавляющие оснастки Active Directory:

Про АйТи и около айтишные темы

Администрирование домена из-под Windows 7

Для его установки требуется…

Соглашаемся. Далее произойдет установка пакета RSAT.

ОК. Теперь в «Панель управленияАдминистрирование» появились инструменты, которые мы выбрали.

До этого был только стандартный набор инструментов:

Скачать Remote Server Administration Tools for Windows 7 можно отсюда: microsoft.com и для Windows 7 SP1: ТУТ.

Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!

Хотите поблагодарить автора за эту заметку? Вы можете это сделать!

Каждому уважающему себя компьютерному пользователю приходилось хоть раз в жизни подключать принтер к компьютеру, возможно у вас нет своего, но просили это сделать соседи или друзья. И вы согласились, хотя никогда не сталкивались ранее с этой процедурой. На физическом уровне вы все сделали правильно, но при попытке распечатать что-нибудь система выдает ошибку «Доменные службы Active Directory сейчас недоступны». Что делать в этой ситуации вы наверняка не знаете. Эта статья призвана помочь вам в этом.

Устраняем ошибку на принтере

Причины, по которым не работает принтер

Одна из самых вероятных причин – не запущена специальная служба, которая относится только к принтеру «Active Directory», а также сопутствующий ей диспетчер очереди. Иногда, особенно на старых устройствах, эту службу приходится запускать самостоятельно, вручную. Другая причина – это драйвера принтера, они могут быть установлены неправильно из-за чего соответствующие службы не запускаются.

Важно обратить внимание и на саму операционную систему. Для подключаемых устройств она имеет некоторое ПО, которое обеспечивает работу с конкретными устройствами, в нашем случае с принтером. А также проверить сам компьютер и его USB-порты на работоспособность.

Правильно добавляем принтер

Мало кто читает инструкции, как правильно подключить или установить новое оборудование, прежде, чем это сделать. Многие пытаются справиться при помощи своей интуиции и лишней самоуверенности. А к инструкции, обычно, прибегают уже тогда, когда появляется например ошибка «Доменные службы Active Directory сейчас недоступны». Давайте узнаем от поставщика ОС Windows – компании Microsoft, как правильно добавлять принтер в устройства операционной системы.

Подключите штекер к USB-порту на компьютере и включите принтер соответствующей кнопкой.
Нажмите меню «Пуск» и выберите «Панель управления», затем откройте раздел «Устройства и принтеры».

Добавляем принтер в систему

В этом менеджере установок принтера нажмите кнопку «Установить локальный принтер».

Далее выберите страницу «Порт принтера» укажите «Использовать существующий» и рекомендуемый, после чего нажмите «Далее».

Следующая страницу установка драйвера, выберите нужную опцию и модель, затем «Далее». В том случае, если нужный драйвер вам не предоставлен, нажмите «Центр обновления Windows», после этого система проверит наличие подходящего.

Если устройство система автоматически не определила, нажмите «Добавить устройство».

Устраняем ошибку «Доменные службы недоступны» на принтере

Прежде, чем разбираться в ошибке Active Directory, убедитесь, что порты, в которые вы подключаете принтер, в рабочем состоянии, а также провод, при помощи которого устройство соединяется с компьютером. Убедиться нужно и в работоспособности самого устройства. Если у вас есть возможность – подключите к своему компьютеру другой принтер, одолжив его у соседа или друзей. В любом случае вы должны быть на 100% уверены, что устройства в ремонте не нуждаются и проблема на программном уровне.

Запустите диагностику устройства, которое поможет определить проблему на уровне операционной системы. Для этого откройте проводник и на устройстве нажмите правой кнопкой мыши, выберите «Устранение неполадок».

Пункт меню принтера «Устранения неполадок»

Следующим вариантом будет переустановить устройство. Для этого снова нажмите ПКМ в проводнике Виндовс и выберите «Удалить устройство». Затем установите его заново. Драйвера при этом также должны быть удалены из системы и переустановлены.

В «Панели управления» выберите «Безопасность» и «Брандмауэр Windows», откройте слева пункт «Устранение неполадок сети». В последней строчке должно быть ваше устройство – принтер. Нажмите на него и следуйте дальнейшим инструкциям.

Откройте службы Windows. Запустите командную строку или нажмите WIN+R. Впишите здесь команду «services.msc». В открывшемся списке найдите службу «Диспетчер печати». Если она остановлена – запустите ее или просто перезапустите, нажав сначала «Остановить», а затем «Запустить».

Службы «Диспетчер печати»

Далее откройте «Диспетчер устройств» и найдите среди списка ваш принтер. Нажмите на него и удалите все драйвера в нем. Можно просто их обновить, нажав в выпавшем меню «Свойства» и соответствующий пункт. Или нажмите первый пункт меню, при нажатии ПКМ – «Обновить драйвера».

Включаем службы Active Directory

Чтобы устранить нашу проблему «Доменные службы Active Directory сейчас недоступны» возможно нужно будет включать или перезапускать определенные службы для того, чтобы принтер заработал. Для этого:

Откройте панель управления (нажмите ПКМ по значку «Пуск» и выберите среди списка).
Далее найдите раздел «Администрирование». Выберите из списка «Службы».
Здесь найдите в списке службы «Автоматическая настройка сетевых устройств». Выберите ее и если она отключена – включите, иначе перезапустите, нажав в свойствах «Отключить», «Включить».
Эти же действия необходимо провести для следующих служб: «Диспетчер автоматических подключений удаленного доступа», «Диспетчер локальных устройств», «Диспетчер локальных сеансов».

Команда запуска для активного каталога

Изучите команду запуска для пользователей Active Directory и консоли компьютеров. В этой консоли администраторы домена могут управлять пользователями / группами домена и компьютерами, которые являются частью домена.

Выполните команду dsa.msc , чтобы открыть консоль активного каталога из окна Выполнить.

Открыть консоль Active Directory из командной строки

Команда dsa.msc также используется для открытия Active Directory из командной строки.

Active Directory - Учебное пособие по Windows 7

Windows 7 / Сеть

Как известно, Microsoft продает несколько версий Windows 7: Home Basic, Home Premium, Профессиональный, Корпоративный и Максимальный. Одно из ключевых отличий заключается в том, что компьютеры две версии Home не могут присоединиться к домену.

Однако есть и другие версии Windows: специализированные, работающие на этих компьютеры с контроллерами домена. Для создания домена хотя бы один компьютер должен быть под управлением Windows Server 2003 или Windows 2000 Server.Это намного больше дорогие операционные системы (цена зависит от количества машин, на которых они служить) и они работают только на высокооктановых ПК. Они также требуют высокооктанового опыта. установить и поддерживать.

Одним из ключевых предложений этих специализированных версий Windows является сложное приложение. называется Active Directory. Это единая централизованная база данных, в которой хранится каждый фрагмент информация об оборудовании, программном обеспечении и людях в сети. (Старший операционная система под названием Windows NT Server может создавать домены, но не включает Active Directory.)

После создания домена путем установки Active Directory на серверный компьютер сеть администраторы могут настроить заполнение справочника (базы данных) информацией о ресурсы сети. Каждый компьютер, принтер и человек представлены объект в базе данных и атрибуты (свойства), которые его описывают. Например, пользователь в атрибутах объекта указывается имя, местонахождение, номер телефона, адрес электронной почты, и другие, более технические элементы.

Active Directory позволяет администраторам сети поддерживать огромную иерархию компьютеры.Многонациональная корпорация с десятками тысяч сотрудников в офисах во всем мире могут быть частью одного домена Active Directory с распределенными серверами в сотнях мест, все они связаны глобальными сетевыми соединениями. (Группа домены известны как дерево. В огромных сетях может быть даже более одного дерева; если Итак, они называются - да, вы догадались - лесом.)

Объекты в домене Active Directory организованы в иерархию, что-то например, иерархия папок внутри папок на жестком диске.Некоторые компании основывают свои конструкции дерева каталогов по организации компании с использованием отделов и подразделения как строительные блоки. Другие используют географическое положение в качестве основы для дизайн или используйте их комбинацию.

Если вы не решили сделать успешную карьеру сетевого администратора, вы никогда не нужно устанавливать контроллер домена Active Directory, разрабатывать дерево каталогов или создавать объекты домена. Однако вы вполне можете столкнуться с Active Directory в вашей компании.Вы можете использовать его для поиска почтового адреса другого человека в сети, например, или найдите принтер, который может печатать на обеих сторонах страницу сразу. В этих случаях может помочь некоторое представление о структуре каталога.

Как заставить пользователей и компьютеры Active Directory с инструментами управления обменом работать в Windows 7 - Pyrocam.com

PreReq: остановить Active Directory на вашем компьютере.
Примечание: 64-битные пользователи: может быть решение! проверьте внизу страницы FIRST

1. Установите w7 AdminPak (RSAT)

Средства удаленного администрирования сервера для Windows 7 Release Candidate (RC)

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d#filelist

2.Установите IIS и средства администрирования удаленного сервера (пользователи и компьютеры Active Directory)

Используйте функцию «Включение или отключение компонентов Windows», чтобы добавить IIS Stuff и RSAT Stuff

4. Скопируйте несколько файлов в папку Windows system32.

Я использовал файлы из моей установки XP с этими файлами bat, вам придется получить их самостоятельно
(ПОМНИТЕ: вам нужно запустить cmd promt от имени администратора, используйте его в аксессуарах, щелкните его правой кнопкой мыши)

Текстовый файл с файлами, которые необходимо скопировать

Bat-файл для копирования из старой установки (предполагается, что D: \ windows \ system32 \)

Если у вас нет этих файлов, вы можете найти их здесь

5.Зарегистрируйте файлы

(то же самое с cmd promt как администратор)

например:

regsvr32 / s adprop.dll
regsvr32 / s ws03res.dll

(ЭТО ПРОСТО ПРИМЕР, ФАЙЛОВ НАМНОГО БОЛЬШЕ, ЧЕМ ЭТО! ИСПОЛЬЗУЙТЕ ФАЙЛ НИЖЕ)

Загрузите командный файл здесь

5. Vista ESM

Загрузите отсюда

http://www.microsoft.com/downloads/details.aspx?familyid=3403d74e-8942-421b-8738-b3664559e46f&displaylang=en

Запустите его, чтобы извлечь MSI, это поставит еще одну ESMVISTA.msi в подкаталоге по вашему выбору, выполнение приведенной ниже команды прямо в этом файле не работает.
запустите командную строку с правами администратора, Пуск-> все программы-> аксессуары-> ЩЕЛКНИТЕ ПРАВОЙ кнопкой мыши в командной строке и нажмите «Запуск от имени администратора».
перейдите в папку с извлеченным файлом MSI и запустите ее с переключателем / q, чтобы избавиться. ошибки "не для перспективы" (поэтому ESMVISTA.MSI / Q)

например: c: \ users \ you \ downloads \ esm \ vista \ esmvista.msi / q

Подождите не менее 10 минут, пока он сделает свое дело.

Это тихая установка, вы ничего не увидите, но у меня были случаи, когда она ломалась, потому что люди запускали AD слишком рано.

5Б. нет уж!

На самом деле подождите хотя бы 10 минут, он НЕ БУДЕТ РАБОТАТЬ, если вы запустите AD слишком рано, и вам придется начинать заново. Если у вас очень медленный компьютер, оставьте его подольше.

6. Запустите Active Directory

Запускайте пользователей и компьютеры Active Directory из меню «Пуск».

Если вы хотите связаться со мной, напишите письмо admin @ pyrocam.com

этот комментарий от bacanter01 на windows7forums может помочь

Я заметил, что mmc работает в режиме x64, даже если вы запускаете mmc из папки system32. Если вы запускаете mmc с переключателем / 32, вы можете добавить ADUC и увидеть вкладки обмена. Это не работало, пока я не установил SP1, но все, что вам нужно сделать, это установить RSAT> установить инструменты ESM для Vista с переключателем / q (следите, чтобы MSIEXEC остановился в диспетчере задач, прежде чем пытаться запустить его)> Установить SP1 > Запустите mmc с переключателем / 32.Я не пробовал устанавливать ESM после установки SP1, но он работает каждый раз, если вы установите его позже.

История изменений

1.0 выставлено

1.1 Грамматика и т.д., добавлено зеркало для файлов

1.3 обновлен с новыми ссылками на RSAT

1.4 снова протестировал на новой установке W7, работал

1.5 удалены длинные списки файлов, заменены на файлы bat

1.6 30/11/2010: убрана одна из команд, в которой пропущены некоторые косые черты, добавлен комментарий о том, что регистрация файлов в качестве примера является всего лишь примером, добавлен еще один шаг, чтобы напомнить людям, чтобы они еще немного оставили тихую установку.

1.7 3/9/2011: добавлен комментарий, который может помочь 64-битным пользователям

1.8 10/09/11: добавлены дополнительные шаги для извлечения материалов MSI

Введение в усовершенствования центра администрирования Active Directory (уровень 100)

07.08.2018
18 минут на чтение

В этой статье

Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Центр администрирования Active Directory в Windows Server включает в себя функции управления для следующего:

Корзина Active Directory

Случайное удаление объектов Active Directory - обычное явление для пользователей доменных служб Active Directory (AD DS) и служб Active Directory облегченного доступа к каталогам (AD LDS).В прошлых версиях Windows Server до Windows Server 2008 R2 можно было восстанавливать случайно удаленные объекты в Active Directory, но у этих решений были свои недостатки.

В Windows Server 2008 вы можете использовать функцию резервного копирования Windows Server и команду принудительного восстановления ntdsutil , чтобы пометить объекты как авторитетные, чтобы гарантировать репликацию восстановленных данных по всему домену. Недостатком решения с принудительным восстановлением было то, что его приходилось выполнять в режиме восстановления служб каталогов (DSRM).Во время DSRM восстанавливаемый контроллер домена должен был оставаться в автономном режиме. Следовательно, он не мог обслуживать запросы клиентов.

В Windows Server 2003 Active Directory и Windows Server 2008 AD DS можно было восстанавливать удаленные объекты Active Directory с помощью реанимации захоронения. Однако реанимированные атрибуты объектов со значением связи (например, членство в группах учетных записей пользователей), которые были физически удалены, а атрибуты без значений ссылок, которые были очищены, не были восстановлены. Поэтому администраторы не могли полагаться на реанимацию надгробных памятников как на окончательное решение для случайного удаления объектов.Дополнительные сведения о реанимации захоронений см. В разделе Реанимация объектов-захоронений Active Directory.

Корзина

Active Directory Recycle Bin, начиная с Windows Server 2008 R2, основывается на существующей инфраструктуре реанимации захоронений и расширяет ваши возможности по сохранению и восстановлению случайно удаленных объектов Active Directory.

Когда вы включаете корзину Active Directory, все атрибуты удаленных объектов Active Directory со значением ссылки и без нее сохраняются, а объекты полностью восстанавливаются до того же согласованного логического состояния, в котором они находились непосредственно перед удалением.Например, восстановленные учетные записи пользователей автоматически восстанавливают все членство в группах и соответствующие права доступа, которые они имели непосредственно перед удалением, внутри и между доменами. Корзина Active Directory работает как для сред AD DS, так и для AD LDS. Подробное описание корзины Active Directory см. В разделе Что нового в AD DS: корзина Active Directory.

Что нового? В Windows Server 2012 и новее функция корзины Active Directory усовершенствована новым графическим пользовательским интерфейсом, позволяющим пользователям управлять удаленными объектами и восстанавливать их.Теперь пользователи могут визуально найти список удаленных объектов и восстановить их в исходное или желаемое расположение.

Если вы планируете включить корзину Active Directory в Windows Server, примите во внимание следующее:

По умолчанию корзина Active Directory отключена. Чтобы включить его, сначала необходимо повысить функциональный уровень леса в среде AD DS или AD LDS до Windows Server 2008 R2 или выше. Это, в свою очередь, требует, чтобы все контроллеры домена в лесу или все серверы, на которых размещены экземпляры наборов конфигурации AD LDS, работали под управлением Windows Server 2008 R2 или более поздней версии.
Процесс включения корзины Active Directory необратим. После включения корзины Active Directory в своей среде ее нельзя отключить.
Для управления функцией корзины через пользовательский интерфейс необходимо установить версию Центра администрирования Active Directory в Windows Server 2012.

Примечание

Можно использовать Server Manager для установки средств удаленного администрирования сервера (RSAT), чтобы использовать правильную версию центра администрирования Active Directory для управления корзиной через пользовательский интерфейс.

Информацию об установке RSAT см. В статье Средства удаленного администрирования сервера.

Пошаговая инструкция по корзине Active Directory

На следующих шагах вы будете использовать ADAC для выполнения следующих задач корзины Active Directory в Windows Server 2012:

Примечание

Членство в группе администраторов предприятия или эквивалентные разрешения необходимы для выполнения следующих шагов.

Шаг 1. Повышение функционального уровня леса

На этом этапе вы повысите функциональный уровень леса.Перед включением корзины Active Directory необходимо сначала повысить функциональный уровень в целевом лесу до Windows Server 2008 R2 как минимум.

Для повышения функционального уровня целевого леса

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
Щелкните целевой домен в левой навигационной панели, а на панели Задачи щелкните Повысить функциональный уровень леса . Выберите функциональный уровень леса не ниже Windows Server 2008 R2 или выше, а затем нажмите OK .

Эквивалентные команды Windows PowerShell

Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура.Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов на несколько строк из-за ограничений форматирования.

  Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm: $ false

В качестве аргумента -Identity укажите полное доменное имя DNS.

Шаг 2. Включение корзины

На этом шаге вы включите корзину для восстановления удаленных объектов в AD DS.

Включение корзины Active Directory в ADAC в целевом домене

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
На панели Задачи щелкните Включить корзину ... на панели Задачи , щелкните ОК в окне предупреждающего сообщения, а затем щелкните ОК , чтобы обновить сообщение ADAC.
Нажмите F5, чтобы обновить ADAC.

Эквивалентные команды Windows PowerShell

Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов на несколько строк из-за ограничений форматирования.

  Enable-ADOptionalFeature -Identity 'CN = функция корзины, CN = дополнительные функции, CN = служба каталогов, CN = Windows NT, CN = Services, CN = Configuration, DC = contoso, DC = com' -Scope ForestOrConfigurationSet -Target 'contoso.com '

Шаг 3. Создайте тестовых пользователей, группу и организационную единицу

В следующих процедурах вы создадите двух тестовых пользователей. Затем вы создадите тестовую группу и добавите в нее тестовых пользователей. Кроме того, вы создадите OU.

Для создания тестовых пользователей

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
На панели Задачи щелкните Новый , а затем щелкните Пользователь .
Введите следующую информацию в Счет и нажмите OK:
- Полное наименование: test1
- Имя входа пользователя SamAccountName: test1
- Пароль: p @ ssword1
- Подтвердите пароль: p @ ssword1
Повторите предыдущие шаги, чтобы создать второго пользователя, test2.

Для создания тестовой группы и добавления пользователей в группу

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
На панели Задачи щелкните Новый , а затем щелкните Группа .
Введите следующую информацию в Группа и затем щелкните ОК :
Щелкните group1 , а затем на панели Tasks щелкните Properties .
Щелкните Элементы , щелкните Добавить , введите test1; test2 , а затем щелкните ОК .

Эквивалентные команды Windows PowerShell

Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов на несколько строк из-за ограничений форматирования.

  Add-ADGroupMember -Identity group1 -Member test1

Для создания организационной единицы

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ** ОК
На панели Задачи щелкните Новый , а затем щелкните Подразделение .
Введите следующую информацию в поле Organizational Unit и нажмите OK :

Эквивалентные команды Windows PowerShell

Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов на несколько строк из-за ограничений форматирования.

  1..2 | ForEach-Object {New-ADUser -SamAccountName test $ _ -Name "test $ _" -Path "DC = fabrikam, DC = com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p @ ssword1" -Force) -Enabled $ true } New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1" New-ADOrganizationalUnit -Name OU1 -Path "DC = fabrikam, DC = com"

Шаг 4: Восстановить удаленные объекты

В следующих процедурах вы восстановите удаленные объекты из контейнера Deleted Objects в их исходное расположение и в другое место.

Для восстановления удаленных объектов в их исходное местоположение

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
Выберите пользователей test1 и test2 , щелкните Удалить на панели Задачи , а затем щелкните Да , чтобы подтвердить удаление.

Эквивалентные команды Windows PowerShell

Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов на несколько строк из-за ограничений форматирования.
```
  Get-ADUser -Filter 'Name -Like "* test *"' | Remove-ADUser -Confirm: $ false  
```
Перейдите к контейнеру Deleted Objects , выберите test2 и test1 , а затем щелкните Восстановить на панели Tasks .
Чтобы убедиться, что объекты были восстановлены в их исходное расположение, перейдите в целевой домен и убедитесь, что учетные записи пользователей указаны в списке.

Примечание

Если вы перейдете к Properties учетных записей пользователей test1 и test2 , а затем щелкните Member Of , вы увидите, что их членство в группах также было восстановлено.

Следующий командлет Windows PowerShell или командлеты выполняют ту же функцию, что и предыдущая процедура.Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов на несколько строк из-за ограничений форматирования.

Эквивалентные команды Windows PowerShell

  Get-ADObject -Filter 'Name-Like "* test *"' -IncludeDeletedObjects | Restore-ADObject

Для восстановления удаленных объектов в другое место

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
Выберите пользователей test1 и test2 , щелкните Удалить на панели Задачи , а затем щелкните Да , чтобы подтвердить удаление.
Перейдите к контейнеру Deleted Objects , выберите test2 и test1 , а затем щелкните Восстановить в на панели Tasks .
Выберите OU1 , а затем нажмите OK .
Чтобы убедиться, что объекты были восстановлены в OU1 , перейдите в целевой домен, дважды щелкните OU1 и убедитесь, что учетные записи пользователей указаны в списке.

Эквивалентные команды Windows PowerShell

  Get-ADObject -Filter 'Name-Like "* test *"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU = OU1, DC = contoso, DC = com"

Подробная политика паролей

Операционная система Windows Server 2008 предоставляет организациям способ определения различных политик паролей и блокировки учетных записей для разных групп пользователей в домене.В доменах Active Directory до Windows Server 2008 только одна политика паролей и политика блокировки учетных записей могли применяться ко всем пользователям в домене. Эти политики были указаны в политике домена по умолчанию для домена. В результате организациям, которым требовались разные параметры пароля и блокировки учетных записей для разных групп пользователей, приходилось либо создавать фильтр паролей, либо развертывать несколько доменов. Оба варианта являются дорогостоящими.

Вы можете использовать детализированные политики паролей, чтобы указать несколько политик паролей в одном домене и применить различные ограничения для политик паролей и блокировки учетных записей для разных групп пользователей в домене.Например, вы можете применить более строгие настройки к привилегированным учетным записям и менее строгие настройки к учетным записям других пользователей. В других случаях может потребоваться применить специальную политику паролей для учетных записей, пароли которых синхронизируются с другими источниками данных. Подробное описание детальной политики паролей см. В разделе AD DS: детальные политики паролей

Что нового?

В Windows Server 2012 и более новых версиях детализированное управление политиками паролей стало проще и нагляднее за счет предоставления администраторам AD DS пользовательского интерфейса для управления ими в ADAC.Теперь администраторы могут просматривать результирующую политику данного пользователя, просматривать и сортировать все политики паролей в данном домене и визуально управлять отдельными политиками паролей.

Если вы планируете использовать детализированные политики паролей в Windows Server 2012, примите во внимание следующее:

Подробные политики паролей применяются только к глобальным группам безопасности и объектам пользователей (или объектам inetOrgPerson, если они используются вместо объектов пользователей). По умолчанию только члены группы администраторов домена могут устанавливать детальные политики паролей.Однако вы также можете делегировать возможность устанавливать эти политики другим пользователям. Функциональный уровень домена должен быть Windows Server 2008 или выше.
Вы должны использовать Windows Server 2012 или более новую версию Центра администрирования Active Directory для администрирования детальных политик паролей через графический интерфейс пользователя.

Примечание

Можно использовать Server Manager для установки средств удаленного администрирования сервера (RSAT), чтобы использовать правильную версию центра администрирования Active Directory для управления корзиной через пользовательский интерфейс.

Информацию об установке RSAT см. В статье Средства удаленного администрирования сервера.

Подробная инструкция по политике паролей

На следующих этапах вы будете использовать ADAC для выполнения следующих задач детальной политики паролей:

Примечание

Членство в группе администраторов домена или эквивалентные разрешения необходимы для выполнения следующих шагов.

Шаг 1. Повышение функционального уровня домена

В следующей процедуре вы повысите функциональный уровень домена целевого домена до Windows Server 2008 или выше.Для включения детализированных политик паролей требуется функциональный уровень домена Windows Server 2008 или выше.

Повысить функциональный уровень домена

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
Щелкните целевой домен на левой навигационной панели, а на панели Задачи щелкните Повысить функциональный уровень домена . Выберите функциональный уровень леса не ниже Windows Server 2008 или выше и нажмите OK .

Эквивалентные команды Windows PowerShell

  Set-ADDomainMode -Identity contoso.com -DomainMode 3

Шаг 2. Создание тестовых пользователей, группы и организационной единицы

Чтобы создать тестовых пользователей и группу, необходимые для этого шага, следуйте процедурам, описанным здесь: Шаг 3: Создайте тестовых пользователей, группу и организационную единицу (вам не нужно создавать OU для демонстрации детальной политики паролей).

Шаг 3. Создайте новую детальную политику паролей

В следующей процедуре вы создадите новую детализированную политику паролей с помощью пользовательского интерфейса в ADAC.

Для создания новой детальной политики паролей

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
На панели навигации ADAC откройте контейнер System , а затем щелкните Контейнер настроек пароля .
На панели Задачи щелкните Новый , а затем щелкните Параметры пароля .

Заполните или отредактируйте поля на странице свойств, чтобы создать новый объект Параметры пароля . Поля Имя и Приоритет являются обязательными.
В разделе Непосредственно относится к , щелкните Добавить , введите group1 , а затем щелкните ОК .

Это связывает объект политики паролей с членами глобальной группы, созданной вами для тестовой среды.
Нажмите ОК , чтобы отправить создание.

Эквивалентные команды Windows PowerShell

Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов на несколько строк из-за ограничений форматирования.

  New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled: $ true -LockoutDuration: "00:30:00" -LockoutObservationWindow: "00:30:00" -LockoutThreshold: "0" -MaxPasswordAge: "42.00: 00: 00" -MinPasswordAge: «1.00: 00: 00» -MinPasswordLength: «7» -PasswordHistoryCount: «24» -Precedence: «1» -ReversibleEncryptionEnabled: $ false -ProtectedFromAccidentalDeletion: $ true Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

Шаг 4. Просмотрите результирующий набор политик для пользователя

В следующей процедуре вы увидите результирующие параметры пароля для пользователя, который является членом группы, которой вы назначили детальную политику паролей на шаге 3: Создание новой детальной политики паролей.

Для просмотра результирующего набора политик для пользователя

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
Выберите пользователя, test1, , который принадлежит к группе, group1 , с которым вы связали детальную политику паролей на шаге 3: Создайте новую детальную политику паролей.
Щелкните Просмотреть результирующие параметры пароля на панели Задачи .
Изучите политику настройки пароля и нажмите Отмена .

Эквивалентные команды Windows PowerShell

Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов на несколько строк из-за ограничений форматирования.

  Get-ADUserResultantPasswordPolicy test1

Шаг 5. Измените детальную политику паролей

В следующей процедуре вы отредактируете детальную политику паролей, созданную на шаге 3: Создайте новую детальную политику паролей

Для редактирования детальной политики паролей

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
В области навигации ADAC разверните Система , а затем щелкните Контейнер параметров пароля .
Выберите детальную политику паролей, созданную на шаге 3: Создайте новую детальную политику паролей и щелкните Свойства на панели Задачи .
В разделе Использовать историю паролей , измените значение Количество запоминаемых паролей на 30 .
Щелкните ОК .

Эквивалентные команды Windows PowerShell

Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов на несколько строк из-за ограничений форматирования.

  Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount: «30»

Шаг 6. Удалите детальную политику паролей

Удаление детальной политики паролей

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
В области навигации ADAC разверните Система , а затем щелкните Контейнер параметров пароля .
Выберите детальную политику паролей, которую вы создали на шаге 3. Создайте новую детальную политику паролей и на панели Задачи щелкните Свойства .
Снимите флажок Защитить от случайного удаления и нажмите ОК .
Выберите детальную политику паролей и на панели Задачи щелкните Удалить .
Щелкните ОК в диалоговом окне подтверждения.

Эквивалентные команды Windows PowerShell

  Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $ False Удалить-ADFineGrainedPasswordPolicy TestPswd -Confirm

Средство просмотра истории Windows PowerShell

ADAC - это инструмент пользовательского интерфейса, созданный на основе Windows PowerShell. В Windows Server 2012 и новее ИТ-администраторы могут использовать ADAC для изучения командлетов Windows PowerShell для Active Directory с помощью средства просмотра журнала Windows PowerShell.Когда действия выполняются в пользовательском интерфейсе, эквивалентная команда Windows PowerShell отображается пользователю в средстве просмотра истории Windows PowerShell. Это позволяет администраторам создавать автоматизированные сценарии и сокращать количество повторяющихся задач, тем самым повышая производительность ИТ. Кроме того, эта функция сокращает время на изучение Windows PowerShell для Active Directory и повышает уверенность пользователей в правильности своих сценариев автоматизации.

При использовании средства просмотра истории Windows PowerShell в Windows Server 2012 или новее учитывайте следующее:

Для использования средства просмотра сценариев Windows PowerShell необходимо использовать Windows Server 2012 или более новую версию ADAC

Примечание

Можно использовать Server Manager для установки средств удаленного администрирования сервера (RSAT), чтобы использовать правильную версию центра администрирования Active Directory для управления корзиной через пользовательский интерфейс.

Информацию об установке RSAT см. В статье Средства удаленного администрирования сервера.
Иметь базовое представление о Windows PowerShell. Например, вам нужно знать, как работает конвейер в Windows PowerShell. Дополнительные сведения о конвейерах в Windows PowerShell см. В разделе Конвейеры и конвейеры в Windows PowerShell.

Windows PowerShell History Viewer, пошаговая инструкция

В следующей процедуре вы будете использовать средство просмотра журнала Windows PowerShell в ADAC для создания сценария Windows PowerShell.Перед тем, как начать эту процедуру, удалите пользователя test1 из группы, group1 .

Для создания сценария с помощью средства просмотра истории PowerShell

Щелкните правой кнопкой мыши значок Windows PowerShell, выберите Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.
Щелкните Управление , щелкните Добавить узлы навигации и выберите соответствующий целевой домен в диалоговом окне Добавить узлы навигации , а затем щелкните ОК .
Разверните панель Windows PowerShell History в нижней части экрана ADAC.
Выбрать пользователя, test1 .
Щелкните Добавить в группу ... на панели Задачи .
Перейдите к group1 и щелкните OK в диалоговом окне.
Перейдите на панель Windows PowerShell History и найдите только что сгенерированную команду.
Скопируйте команду и вставьте ее в нужный редактор, чтобы создать сценарий.

Например, вы можете изменить команду, чтобы добавить другого пользователя в group1 или добавить test1 в другую группу.

См. Также

Расширенное управление AD DS с помощью центра администрирования Active Directory (уровень 200)

Расширенное управление AD DS с использованием центра администрирования Active Directory (уровень 200)

07.08.2018
18 минут на чтение

В этой статье

Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе более подробно рассматривается обновленный Центр администрирования Active Directory с его новой корзиной Active Directory, политикой точных паролей и средством просмотра журнала Windows PowerShell, включая архитектуру, примеры для общих задач и информацию об устранении неполадок.Введение см. В разделе Введение в усовершенствования центра администрирования Active Directory (уровень 100).

Архитектура административного центра Active Directory

Исполняемые файлы административного центра Active Directory, библиотеки DLL

Модуль и основная архитектура Центра администрирования Active Directory не изменились с появлением новой корзины, FGPP и возможностей просмотра истории.

Microsoft.ActiveDirectory.Management.UI.dll
Microsoft.ActiveDirectory.Management.UI.resources.dll
Microsoft.ActiveDirectory.Management.dll
Microsoft.ActiveDirectory.Management.resources.dll
ActiveDirectoryPowerShellResources.dll

Базовая оболочка Windows PowerShell и уровень операций для новой функции корзины показаны ниже:

Включение и управление корзиной Active Directory с помощью центра администрирования Active Directory

Возможности

Центр администрирования Active Directory Windows Server 2012 или новее позволяет настраивать и управлять корзиной Active Directory для любого раздела домена в лесу.Больше не требуется использовать Windows PowerShell или Ldp.exe для включения корзины Active Directory или восстановления объектов в разделах домена.
Центр администрирования Active Directory имеет расширенные критерии фильтрации, что упрощает целевое восстановление в больших средах с множеством намеренно удаленных объектов.

Ограничения

Поскольку Центр администрирования Active Directory может управлять только разделами домена, он не может восстанавливать удаленные объекты из разделов Configuration, Domain DNS или Forest DNS (вы не можете удалять объекты из раздела Schema).Чтобы восстановить объекты из разделов, не принадлежащих домену, используйте Restore-ADObject.
Центр администрирования Active Directory не может восстанавливать поддеревья объектов за одно действие. Например, если вы удаляете OU с вложенными OU, пользователями, группами и компьютерами, восстановление базового OU не восстанавливает дочерние объекты.

Примечание

Операция пакетного восстановления центра администрирования Active Directory выполняет сортировку удаленных объектов «с максимальной эффективностью» в пределах только выделенного , поэтому родительские объекты располагаются перед дочерними объектами в списке восстановления.В простых тестовых случаях поддеревья объектов могут быть восстановлены одним действием. Но угловые случаи, такие как выборка, содержащая частичные деревья - деревья с отсутствующими некоторыми удаленными родительскими узлами - или случаи ошибок, такие как пропуск дочерних объектов при сбое родительского восстановления, могут работать не так, как ожидалось. По этой причине вы всегда должны восстанавливать поддеревья объектов как отдельное действие после восстановления родительских объектов.

Корзина Active Directory требует функционального уровня леса Windows Server 2008 R2, а вы должны быть членом группы администраторов предприятия.После включения вы не сможете отключить корзину Active Directory. Корзина Active Directory увеличивает размер базы данных Active Directory (NTDS.DIT) на каждом контроллере домена в лесу. Дисковое пространство, используемое корзиной, продолжает увеличиваться со временем, поскольку она сохраняет объекты и все их данные атрибутов.

Включение корзины Active Directory с помощью центра администрирования Active Directory

Чтобы включить корзину Active Directory, откройте центр администрирования Active Directory и щелкните имя своего леса на панели навигации.На панели задач щелкните Включить корзину .

В центре администрирования Active Directory отображается диалоговое окно Включить подтверждение корзины . Это диалоговое окно предупреждает вас, что включение корзины необратимо. Нажмите ОК , чтобы включить корзину Active Directory. Центр администрирования Active Directory показывает другое диалоговое окно, напоминающее вам, что корзина Active Directory не будет полностью функциональна, пока все контроллеры домена не реплицируют изменение конфигурации.

Важно

Параметр включения корзины Active Directory недоступен, если:

Функциональный уровень леса ниже, чем в Windows Server 2008 R2
Он уже включен

Эквивалентный командлет Windows PowerShell Active Directory:

  Enable-ADOptionalFeature

Дополнительные сведения об использовании Windows PowerShell для включения корзины Active Directory см. В пошаговом руководстве по корзине Active Directory.

Управление корзиной Active Directory с помощью центра администрирования Active Directory

В этом разделе используется пример существующего домена с именем corp.contoso.com . Этот домен объединяет пользователей в родительское подразделение с именем UserAccounts . UserAccounts OU содержит три дочерних OU, названных по отделам, каждая из которых содержит дополнительные OU, пользователей и группы.

Хранение и фильтрация

Корзина Active Directory сохраняет все объекты, удаленные в лесу.Он сохраняет эти объекты в соответствии с атрибутом msDS-deletedObjectLifetime , который по умолчанию соответствует атрибуту tombstoneLifetime леса. В любом лесу, созданном с использованием Windows Server 2003 SP1 или более поздней версии, значение tombstoneLifetime по умолчанию равно 180 дням. В любом лесу, обновленном с Windows 2000 или установленном с Windows Server 2003 (без пакета обновления), атрибут tombstoneLifetime по умолчанию НЕ УСТАНОВЛЕН, и поэтому Windows использует внутреннее значение по умолчанию 60 дней.Все это настраивается. Вы можете использовать Центр администрирования Active Directory для восстановления любых объектов, удаленных из доменных разделов леса. Вы должны продолжать использовать командлет Restore-ADObject для восстановления удаленных объектов из других разделов, таких как Configuration. Включение корзины Active Directory делает контейнер Deleted Objects видимым в каждом разделе домена в центре администрирования Active Directory.

Контейнер «Удаленные объекты » показывает все восстанавливаемые объекты в этом разделе домена.Удаленные объекты старше msDS-deletedObjectLifetime известны как переработанные объекты. Центр администрирования Active Directory не отображает переработанные объекты, и вы не можете восстановить эти объекты с помощью Центра администрирования Active Directory.

Для более подробного объяснения архитектуры корзины и правил обработки см. Корзина AD: понимание, реализация, передовые методы и устранение неполадок.

Центр администрирования Active Directory искусственно ограничивает количество объектов, возвращаемых из контейнера по умолчанию, до 20 000 объектов.Вы можете поднять этот предел до 100 000 объектов, щелкнув меню Управление , затем Параметры списка управления .

Реставрация

Фильтрация

Центр администрирования Active Directory

предлагает мощные критерии и параметры фильтрации, с которыми вам следует ознакомиться, прежде чем использовать их при восстановлении в реальной жизни. Домены намеренно удаляют множество объектов за время своего существования. С вероятным сроком жизни удаленного объекта 180 дней вы не можете просто восстановить все объекты в случае аварии.

Вместо того, чтобы писать сложные фильтры LDAP и преобразовывать значения UTC в даты и время, используйте базовое и расширенное меню Фильтр , чтобы перечислить только соответствующие объекты. Если вы знаете день удаления, названия объектов или любые другие ключевые данные, используйте это в своих интересах при фильтрации. Переключите параметры расширенного фильтра, щелкнув шеврон справа от поля поиска.

Операция восстановления поддерживает все стандартные параметры критериев фильтрации, как и любой другой поиск.Из встроенных фильтров наиболее важными для восстановления объектов обычно являются:

ANR (разрешение неоднозначного имени - не указано в меню, но используется при вводе текста в поле Filter )
Последнее изменение между указанными датами
Объект - пользователь / инеторгперсонал / компьютер / группа / организационная единица
Имя
При удалении
Последний известный родитель
Тип
Описание
Город
Страна / регион
Отдел
ID сотрудника
Имя
Должность
Фамилия
SAM учетная запись
Штат / провинция
Телефонный номер
UPN
Почтовый индекс

Вы можете добавить несколько критериев.Например, вы можете найти все объекты пользователей, удаленные 24 сентября 2012 года из Чикаго, штат Иллинойс, с должностью Менеджер.

Вы также можете добавлять, изменять или переупорядочивать заголовки столбцов, чтобы предоставить более подробную информацию при оценке объектов для восстановления.

Дополнительные сведения о разрешении неоднозначных имен см. В разделе Атрибуты ANR.

Одиночный объект

Восстановление удаленных объектов всегда выполнялось одной операцией. Центр администрирования Active Directory упрощает эту операцию.Чтобы восстановить удаленный объект, например одного пользователя:

Щелкните имя домена на панели навигации Центра администрирования Active Directory.
Дважды щелкните Удаленные объекты в списке управления.
Щелкните объект правой кнопкой мыши и выберите Восстановить или щелкните Восстановить на панели Задачи .

Объект восстанавливается в исходное положение.

Щелкните Восстановить в... , чтобы изменить место восстановления. Это полезно, если родительский контейнер удаленного объекта также был удален, но вы не хотите восстанавливать родительский контейнер.

Несколько одноранговых объектов

Вы можете восстановить несколько объектов однорангового уровня, например всех пользователей в OU. Удерживая нажатой клавишу CTRL, щелкните один или несколько удаленных объектов, которые хотите восстановить. Щелкните Восстановить на панели задач. Вы также можете выбрать все отображаемые объекты, удерживая клавиши CTRL и A, или диапазон объектов, используя SHIFT и щелкнув.

Несколько родительских и дочерних объектов

Очень важно понимать процесс восстановления для восстановления с несколькими родительскими и дочерними объектами, потому что Центр администрирования Active Directory не может восстановить вложенное дерево удаленных объектов с помощью одного действия.

Восстановить самый верхний удаленный объект в дереве.
Восстановите непосредственных потомков этого родительского объекта.
Восстановите непосредственных дочерних элементов этих родительских объектов.
Повторяйте при необходимости, пока все объекты не восстановятся.

Вы не можете восстановить дочерний объект до восстановления его родительского. Попытка этого восстановления возвращает следующую ошибку:

Операция не может быть выполнена, поскольку родительский объект объекта не создан или удален.

Атрибут Последний известный родительский показывает родительские отношения каждого объекта. Атрибут Last Known Parent изменяется с удаленного на восстановленное при обновлении центра администрирования Active Directory после восстановления родительского объекта.Следовательно, вы можете восстановить этот дочерний объект, когда в расположении родительского объекта больше не отображается различающееся имя контейнера удаленных объектов.

Рассмотрим сценарий, в котором администратор случайно удаляет подразделение продаж, которое содержит дочерние подразделения и пользователей.

Сначала обратите внимание на значение атрибута Last Known Parent для всех удаленных пользователей и то, как он читает OU = Sales \ 0ADEL: <различающееся имя контейнера удаленных объектов guid +> :

Отфильтруйте неоднозначное имя Sales, чтобы вернуть удаленное OU, которое вы затем восстанавливаете:

Обновите Центр администрирования Active Directory, чтобы увидеть изменение последнего известного родительского атрибута удаленного объекта пользователя на отличительное имя восстановленного подразделения продаж:

Фильтр для всех пользователей отдела продаж.Удерживайте клавиши CTRL и A, чтобы выбрать всех удаленных пользователей отдела продаж. Щелкните Restore , чтобы переместить объекты из контейнера Deleted Objects в подразделение продаж с сохранением их членства в группах и атрибутов.

Если Sales OU содержала собственные дочерние OU, вы должны сначала восстановить дочерние OU, прежде чем восстанавливать их дочерние подразделения, и так далее.

Чтобы восстановить все вложенные удаленные объекты, указав удаленный родительский контейнер, см. Приложение B: Восстановление нескольких удаленных объектов Active Directory (пример сценария).

Командлет Active Directory Windows PowerShell для восстановления удаленных объектов:

  Восстановить объект

Функциональность командлета Restore-ADObject не изменилась между Windows Server 2008 R2 и Windows Server 2012.

Фильтрация на стороне сервера

Возможно, что со временем в контейнере «Удаленные объекты» накопится более 20 000 (или даже 100 000) объектов на средних и крупных предприятиях, и у него возникнут трудности с отображением всех объектов.Поскольку механизм фильтрации в центре администрирования Active Directory полагается на фильтрацию на стороне клиента, он не может отображать эти дополнительные объекты. Чтобы обойти это ограничение, выполните следующие действия для поиска на стороне сервера:

Щелкните правой кнопкой мыши контейнер Deleted Objects и выберите Search под этим узлом .
Щелкните шеврон, чтобы открыть меню + Добавить критерии , выберите и добавьте Последнее изменение между заданными датами .Время последнего изменения (атрибут whenChanged ) приблизительно соответствует времени удаления; в большинстве сред они идентичны. Этот запрос выполняет поиск на стороне сервера.
Найдите удаленные объекты для восстановления с помощью дальнейшей фильтрации отображения, сортировки и т. Д. В результатах, а затем восстановите их обычным образом.

Настройка и управление детализированными политиками паролей с помощью центра администрирования Active Directory

Настройка детальных политик паролей

Центр администрирования Active Directory позволяет создавать объекты детальной политики паролей (FGPP) и управлять ими.Windows Server 2008 представила функцию FGPP, но Windows Server 2012 имеет для нее первый графический интерфейс управления. Вы применяете детальные политики паролей на уровне домена, и это позволяет переопределить пароль одного домена, требуемый Windows Server 2003. Создавая разные FGPP с разными настройками, отдельные пользователи или группы получают разные политики паролей в домене.

Для получения информации о детальной политике паролей см. Подробное руководство по детальной политике паролей и блокировки учетных записей AD DS (Windows Server 2008 R2).

На панели навигации щелкните Представление в виде дерева, щелкните свой домен, щелкните Система , щелкните Контейнер параметров пароля , а затем на панели задач щелкните Новый и Параметры пароля .

Управление детальными политиками паролей

При создании нового FGPP или редактировании существующего открывается редактор Password Settings . Отсюда вы настраиваете все желаемые политики паролей, как в Windows Server 2008 или Windows Server 2008 R2, только теперь с помощью специального редактора.

Заполните все обязательные (красная звездочка) поля и любые дополнительные поля, а затем нажмите Добавить , чтобы указать пользователей или группы, которые получают эту политику. FGPP переопределяет параметры политики домена по умолчанию для указанных участников безопасности. На рисунке выше чрезвычайно ограничительная политика применяется только к встроенной учетной записи администратора, чтобы предотвратить компрометацию. Политика слишком сложна для соблюдения стандартными пользователями, но идеально подходит для учетной записи с высоким уровнем риска, используемой только ИТ-специалистами.

Вы также устанавливаете приоритет и к каким пользователям и группам применяется политика в данном домене.

Командлеты Windows PowerShell Active Directory для детальной политики паролей:

  Add-ADFineGrainedPasswordPolicySubject Get-ADFineGrainedPasswordPolicy Get-ADFineGrainedPasswordPolicySubject New-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicySubject Set-ADFineGrainedPasswordPolicy

Функциональность командлета детальной политики паролей

не изменилась между Windows Server 2008 R2 и Windows Server 2012.Для удобства на следующей диаграмме показаны связанные аргументы для командлетов:

Центр администрирования Active Directory также позволяет вам найти результирующий набор примененных FGPP для конкретного пользователя. Щелкните правой кнопкой мыши любого пользователя и выберите Просмотреть результирующие параметры пароля ... , чтобы открыть страницу Параметры пароля , которая применяется к этому пользователю посредством неявного или явного назначения:

Изучение свойств любого пользователя или группы показывает Непосредственно связанные настройки пароля , которые являются явно назначенными FGPP:

Неявное назначение FGPP здесь не отображается; для этого вы должны использовать настройки результирующего пароля View... вариант.

Использование средства просмотра журнала Windows PowerShell в центре администрирования Active Directory

Будущее управления Windows - это Windows PowerShell. Благодаря наложению графических инструментов поверх среды автоматизации задач управление наиболее сложными распределенными системами становится согласованным и эффективным. Вам необходимо понимать, как работает Windows PowerShell, чтобы полностью раскрыть свой потенциал и получить максимальную отдачу от инвестиций в вычисления.

Центр администрирования Active Directory теперь предоставляет полную историю всех командлетов Windows PowerShell, которые он запускает, а также их аргументов и значений.Вы можете скопировать историю командлетов в другое место для изучения, изменения и повторного использования. Вы можете создавать заметки о задачах, чтобы помочь изолировать то, какие команды вашего центра администрирования Active Directory привели к Windows PowerShell. Вы также можете фильтровать историю, чтобы найти интересные места.

Центр администрирования Active Directory Windows PowerShell History Viewer позволяет вам учиться на практике.

Щелкните шеврон (стрелка), чтобы открыть средство просмотра журнала Windows PowerShell.

Затем создайте пользователя или измените членство в группе. Средство просмотра истории постоянно обновляется, показывая свернутый вид каждого командлета, запущенного центром администрирования Active Directory с указанными аргументами.

Разверните любую интересующую строку, чтобы увидеть все значения, предоставленные аргументам командлета:

Щелкните меню Start Task , чтобы создать запись вручную, прежде чем использовать Центр администрирования Active Directory для создания, изменения или удаления объекта.Напечатайте, что вы делали. Когда внесете изменения, выберите Завершить задачу . Заметка о задаче группирует все эти выполняемые действия в сворачиваемую заметку, которую вы можете использовать для лучшего понимания.

Например, чтобы увидеть команды Windows PowerShell, используемые для изменения пароля пользователя и удаления его из группы:

При установке флажка «Показать все» также отображаются командлеты Windows PowerShell Get- *, которые только извлекают данные.

Средство просмотра истории показывает буквальные команды, выполняемые центром администрирования Active Directory, и вы можете заметить, что некоторые командлеты запускаются без необходимости.Например, вы можете создать нового пользователя с:

  новый-aduser

и не нужно использовать:

  set-adaccountpassword enable-adaccount установщик

Дизайн центра администрирования Active Directory требовал минимального использования кода и модульности. Следовательно, вместо набора функций, которые создают новых пользователей, и другого набора, который изменяет существующих пользователей, он минимально выполняет каждую функцию, а затем связывает их вместе с командлетами. Помните об этом, когда изучаете Active Directory Windows PowerShell.Вы также можете использовать это как методику обучения, где вы увидите, насколько просто вы можете использовать Windows PowerShell для выполнения одной задачи.

Устранение неполадок управления AD DS

Введение в поиск и устранение неисправностей

Из-за своей относительной новизны и недостаточного использования в существующих клиентских средах Центр администрирования Active Directory имеет ограниченные возможности устранения неполадок.

Параметры поиска и устранения неисправностей

Параметры ведения журнала

Центр администрирования Active Directory теперь содержит встроенное ведение журнала как часть файла конфигурации трассировки.Создайте / измените следующий файл в той же папке, что и dsac.exe:

dsac.exe.config

Создайте следующее содержимое:

       <слушатели>

Уровни детализации для DsacLogLevel : Нет , Ошибка , Предупреждение , Информация и Подробно . Имя выходного файла настраивается и записывается в ту же папку, что и dsac.exe. Выходные данные могут рассказать вам больше о том, как работает ADAC, с какими контроллерами домена он контактировал, какие команды Windows PowerShell выполнялись, каковы были ответы и другие подробности.

Например, при использовании уровня INFO, который возвращает все результаты, кроме детализации на уровне трассировки:

DSAC.exe начинается с
Начало регистрации

Контроллер домена запросил возврат исходной информации о домене

  [12:42:49] [TID 3] [Информация] Идентификатор команды, действие, команда, время, прошедшее время мс (вывод), числовые объекты (вывод) [12:42:49] [TID 3] [Информация] 1, Invoke, Get-ADDomainController, 2012-04-16T12: 42: 49 [12:42:49] [TID 3] [Информация] Get-ADDomainController-Discover: $ null-DomainName: "CORP" -ForceDiscover: $ null-Service: ADWS-Writable: $ null

Контроллер домена DC1 возвращен из домена Corp

Виртуальный диск PS AD загружен

  [12:42:49] [TID 3] [Информация] 1, Выход, Get-ADDomainController, 2012-04-16T12: 42: 49, 1 [12:42:49] [TID 3] [Информация] Обнаружен контроллер домена «DC1» в домене «CORP».[12:42:49] [TID 3] [Информация] 2, Invoke, New-PSDrive, 2012-04-16T12: 42: 49 [12:42:49] [TID 3] [Информация] New-PSDrive-Name: "ADDrive0" -PSProvider: "ActiveDirectory" -Root: "" - Сервер: "dc1.corp.contoso.com" [12:42:49] [TID 3] [Информация] 2, Вывод, New-PSDrive, 2012-04-16T12: 42: 49, 1 [12:42:49] [TID 3] [Информация] 3, Invoke, Get-ADRootDSE, 2012-04-16T12: 42: 49

Получить информацию DSE корневого домена

  [12:42:49] [TID 3] [Информация] Get-ADRootDSE -Server: "dc1.corp.contoso.com" [12:42:49] [TID 3] [Информация] 3, Вывод, Get-ADRootDSE, 2012-04-16T12: 42: 49, 1 [12:42:49] [TID 3] [Информация] 4, Invoke, Get-ADOptionalFeature, 2012-04-16T12: 42: 49

Получить информацию корзины AD домена

  [12:42:49] [TID 3] [Информация] Get-ADOptionalFeature -LDAPFilter: "(msDS-OptionalFeatureFlags = 1)" -Server: "dc1.corp.contoso.com " [12:42:49] [TID 3] [Информация] 4, вывод, Get-ADOptionalFeature, 2012-04-16T12: 42: 49, 1 [12:42:49] [TID 3] [Информация] 5, Invoke, Get-ADRootDSE, 2012-04-16T12: 42: 49 [12:42:49] [TID 3] [Информация] Get-ADRootDSE -Server: "dc1.corp.contoso.com" [12:42:49] [TID 3] [Информация] 5, Вывод, Get-ADRootDSE, 2012-04-16T12: 42: 49, 1 [12:42:49] [TID 3] [Информация] 6, Invoke, Get-ADRootDSE, 2012-04-16T12: 42: 49 [12:42:49] [TID 3] [Информация] Get-ADRootDSE -Server: "dc1.corp.contoso.com" [12:42:49] [TID 3] [Информация] 6, вывод, Get-ADRootDSE, 2012-04-16T12: 42: 49, 1 [12:42:49] [TID 3] [Информация] 7, Invoke, Get-ADOptionalFeature, 2012-04-16T12: 42: 49 [12:42:49] [TID 3] [Информация] Get-ADOptionalFeature -LDAPFilter: "(msDS-OptionalFeatureFlags = 1)" -Server: "dc1.corp.contoso.com " [12:42:50] [TID 3] [Информация] 7, Вывод, Get-ADOptionalFeature, 2012-04-16T12: 42: 50, 1 [12:42:50] [TID 3] [Информация] 8, Invoke, Get-ADForest, 2012-04-16T12: 42: 50

Получить лес AD

  [12:42:50] [TID 3] [Информация] Get-ADForest -Identity: "corp.contoso.com" -Server: "dc1.corp.contoso.com" [12:42:50] [TID 3] [Информация] 8, Вывод, Get-ADForest, 2012-04-16T12: 42: 50, 1 [12:42:50] [TID 3] [Info] 9, Invoke, Get-ADObject, 2012-04-16T12: 42: 50

Получить информацию о схеме для поддерживаемых типов шифрования, FGPP, определенную информацию о пользователе

  [12:42:50] [TID 3] [Информация] Get-ADObject -LDAPFilter: «(| (ldapdisplayname = msDS-PhoneticDisplayName) (ldapdisplayname = msDS-PhoneticCompanyName) (ldapdisplayname = msDS-PhoneticDepartment) (ldapdisplayname = msDS-PhoneticDepartment) (ldapdisplayname = msDS-Phonetic-PhoneticDepartment) (ldapdisplayname = msDS-PhoneticFirstNameplay) (ldapdispes) (ldapdispes) (ldapdispes = msDS-PasswordSettingsPrecedence)) " -Свойства: lDAPDisplayName -ResultPageSize: «100» -ResultSetSize: $ null -SearchBase: "CN = Схема, CN = Конфигурация, DC = corp, DC = contoso, DC = com" -SearchScope: «OneLevel» -Сервер: «dc1.corp.contoso.com " [12:42:50] [TID 3] [Информация] 9, Вывод, Get-ADObject, 2012-04-16T12: 42: 50, 7 [12:42:50] [TID 3] [Info] 10, Invoke, Get-ADObject, 2012-04-16T12: 42: 50

Получить всю информацию об объекте домена для отображения администратору, который щелкнул заголовок домена.

  [12:42:50] [TID 3] [Информация] Get-ADObject -IncludeDeletedObjects: $ false -LDAPFilter: "(objectClass = *)" -Properties: allowedChildClassesEffective, allowedChildClasses, lastKnownParent, sAMAccountType, systemFlags, userAccountControl, displayName, description, whenChanged, location, managedBy, memberOf, primaryGroupID, objectSid, msDS-User-Account-Control-Computed, sAMApcount, lastNamepogo , msDS-PhoneticCompanyName, msDS-PhoneticDepartment, msDS-PhoneticDisplayName, msDS-PhoneticFirstName, msDS-PhoneticLastName, pwdLastSet, operatingSystem, operatingSystemServicePack, operatingSystemVersion, phoneNumber, PhysicalDeliveryOfficeName, имя_физическогоДеливери подразделения, имя_подразделения , sn, title, st, postalCode, managedBy, userPrincipalName, isDeleted, msDS-PasswordSettingsPrecedence -ResultPageSize: «100» -ResultSetSize: «20201» -SearchBase: "DC = corp, DC = contoso, DC = com" -SearchScope: «База» -Сервер: «dc1.corp.contoso.com "

При установке уровня Verbose также отображаются стеки .NET для каждой функции, но они не содержат достаточно данных, чтобы быть особенно полезными, за исключением случаев устранения неполадок Dsac.exe, страдающих нарушением доступа или сбоями. Две вероятные причины этой проблемы:

Служба ADWS не запущена ни на каких доступных контроллерах домена.
Сетевые соединения для службы ADWS с компьютера, на котором запущен Центр администрирования Active Directory, заблокированы.

Важно

Существует также внеполосная версия службы, называемая шлюзом управления Active Directory, которая работает на Windows Server 2008 SP2 и Windows Server 2003 SP2.

При отсутствии доступных экземпляров веб-служб Active Directory отображаются следующие ошибки:

Ошибка	Операция
«Невозможно подключиться ни к какому домену. Обновите или попробуйте еще раз, когда подключение станет доступно»	Отображается при запуске приложения Центра администрирования Active Directory
«Не удается найти доступный сервер в домене , на котором запущена веб-служба Active Directory (ADWS)»	Отображается при попытке выбрать узел домена в приложении центра администрирования Active Directory

Чтобы устранить эту проблему, выполните следующие действия:

Убедитесь, что служба веб-служб Active Directory запущена по крайней мере на одном контроллере домена в домене (и предпочтительно на всех контроллерах домена в лесу).Убедитесь, что он также настроен на автоматический запуск на всех контроллерах домена.
На компьютере, на котором запущен Центр администрирования Active Directory, убедитесь, что вы можете найти сервер, на котором запущен ADWS, выполнив следующие команды NLTest.exe:
```
  nltest / dsgetdc: <имя NetBIOS домена> / ws / force nltest / dsgetdc: <полное DNS-имя домена> / ws / force  
```
Если эти тесты завершились неудачно, даже если служба ADWS запущена, проблема связана с разрешением имен или LDAP, а не ADWS или центром администрирования Active Directory.Этот тест не проходит с ошибкой «1355 0x54B ERROR_NO_SUCH_DOMAIN», если ADWS не запущен ни на одном контроллере домена, поэтому дважды проверьте, прежде чем делать какие-либо выводы.
На контроллере домена, возвращенном NLTest, создайте дамп списка прослушивающих портов с помощью команды:
```
  Netstat -anob> ports.txt  
```
Изучите файл ports.txt и убедитесь, что служба ADWS прослушивает порт 9389. Пример:
```
  TCP 0.0.0.0:9389 0.0.0.0: 0 ПРОСЛУШИВАНИЕ 1828 [Microsoft.ActiveDirectory.WebServices.exe] TCP [::]: 9389 [::]: 0 ПРОСЛУШИВАНИЕ 1828 [Microsoft.ActiveDirectory.WebServices.exe]  
```
При прослушивании проверьте правила брандмауэра Windows и убедитесь, что они разрешают входящий трафик 9389 TCP. По умолчанию контроллеры домена включают правило брандмауэра «Веб-службы Active Directory (входящий TCP)». Если вы не слушаете, еще раз проверьте, что служба запущена на этом сервере, и перезапустите его. Убедитесь, что ни один другой процесс не прослушивает порт 9389.
Установите NetMon или другую утилиту сетевого захвата на компьютер, на котором запущен Центр администрирования Active Directory, и на контроллер домена, возвращенный NLTEST. Соберите одновременные сетевые записи с обоих компьютеров, запустите Центр администрирования Active Directory и увидите ошибку, прежде чем останавливать записи. Убедитесь, что клиент может отправлять и получать от контроллера домена через порт TCP 9389. Если пакеты отправляются, но никогда не приходят, или не приходят, и контроллер домена отвечает, но они не достигают клиента, вероятно, в системе установлен брандмауэр. между компьютерами в сети, отбрасывающими пакеты на этот порт.Этот брандмауэр может быть программным или аппаратным и может быть частью стороннего программного обеспечения для защиты конечных точек (антивирусного).

См. Также

Корзина AD, детализированная политика паролей и история PowerShell

Windows server 2019 Пошаговое руководство: настройка среды Active Directory с помощью PowerShell - статьи TechNet - США (английский)

Эта статья помогает установить / настроить среду активного каталога с помощью Windows Server 2019 с помощью файла конфигурации PowerShell / PowerShell.

Установите Windows Server 2019 Standard / Центр обработки данных на оборудование.
Топология Active Directory
Убедитесь, что порты Active Directory открыты.
Установите для сервера последние обновления Windows и исправления.
Назначьте статический IP-адрес контроллеру домена
Установите роль служб домена Active Directory (ADDS) на сервере.
Настройте ADDS в соответствии с требованиями.
Оцените журналы событий Windows, чтобы проверить работоспособность установки и настройки ADDS
Настройка мониторинга обслуживания и производительности
Конфигурация резервного копирования / аварийного восстановления ADDS

В моем примере среды example.com будет корневым доменом леса.Первый установленный в лесу контроллер домена будет содержать все пять ролей FSMO. После установки дополнительных контроллеров домена вы можете разместить их в любом другом месте.

↑ Вернуться к началу

Связь

Active Directory состоит из количества портов, в таблице ниже приведены порты с подробностями.

Порты Active Directory по умолчанию

Порт	Тип	Описание
135	TCP / UDP	Устройство сопоставления конечных точек RPC
137	TCP / UDP	Служба имен NetBIOS
138	UDP	Служба дейтаграмм NetBIOS
139	TCP	Служба сеансов NetBIOS
445	TCP / UDP	SMB через IP (Microsoft-DS)
389	TCP / UDP	LDAP
636	TCP	LDAP через SSL
3268	TCP	Глобальный каталог LDAP
3269	TCP	Глобальный каталог LDAP через SSL
88	TCP / UDP	Kerberos
53	TCP / UDP	DNS
1512	TCP / UDP	Разрешение WINS
42	TCP / UDP	Репликация WINS
Динамически назначаемые порты без ограничений	TCP	RPC

Репликация Active Directory

Порт	Тип	Описание
135	TCP	Устройство сопоставления конечных точек RPC
389	TCP / UDP	LDAP
636	TCP	LDAP через SSL
3268	TCP	Глобальный каталог LDAP
3269	TCP	Глобальный каталог LDAP через SSL
53	TCP / UDP	DNS
88	TCP / UDP	Kerberos
445	TCP	SMB через IP (Microsoft-DS)
RPC	TCP	Динамически назначаемые порты (если не ограничены)

Аутентификация Active Directory

Порт	Тип	Описание
445	TCP / UDP	SMB через IP (Microsoft-DS)
88	TCP / UDP	Kerberos
389	UDP	LDAP
53	TCP / UDP	DNS
RPC	TCP	Динамически назначаемые порты (если не ограничены)

↑ Вернуться к началу

Шаг 1. Войдите в систему как локальный администратор

Чтобы начать настройку, войдите на сервер Windows Server 2019 как локальный администратор.

Шаг 2: IP-конфигурация

Мы уже изменили имя сервера на значимое. Затем необходимо проверить конфигурацию IP. в моей начальной конфигурации он показывает DHCP IP.

Нам нужно сначала изменить его на статический, с помощью PowerShell

Шаг 3: Статический IP

Чтобы установить статический IP-адрес, мы можем использовать приведенную ниже команду PowerShell.

New-NetIPAddress` -InterfaceIndex 4 -IPAddress 192.168 . 61.100 -PrefixLength 24 DefaultGateway 192.168 . 61,2 `

Примечание. Здесь мы назначили IP в соответствии с требованиями моей сети. Следовательно, используйте IP-адрес в соответствии с вашей инфраструктурой.

Шаг 4: Найдите InterfaceIndex

Выше InterfaceIndex можно найти с помощью команды Get-NetIPAddress.

Шаг 5: DNS

Следующим шагом является установка IP-адресов DNS.Основной DC также будет действовать как DC, поэтому нам нужно установить его как предпочтительный DNS. Мы можем сделать это с помощью команды ниже.

Set-DnsClientServerAddress -InterfaceIndex 4 -ServerAddresses ( "192.168.61.100" , "8.8.8.8" )

После настройки мы можем проверить это с помощью ipconfig / all.

Шаг 6. Установка роли AD-DS

Перед процессом настройки AD нам необходимо установить роль AD-DS на данном сервере.Для этого мы можем использовать следующую команду.

Install-WindowsFeature –Name AD-Domain-Services –IncludeManagementTools`

Примечание. Для завершения установки службы ролей перезагрузка не требуется.

Теперь у нас установлена роль AD-DS, следующий шаг - продолжить настройку.

Шаг 7. Конфигурация AD-DS

Ниже приведен файл / сценарий конфигурации Power-Shell для настройки ADDS.

Установка-ADDSForest ` -DomainName "пример.com " ` -CreateDnsDelegation: $ false ` -DatabasePath "C: \ Windows \ NTDS" ` -DomainMode "7" ` -DomainNetbiosName "пример" ` -ForestMode "7" ` -InstallDns: $ true ` -LogPath "C: \ Windows \ NTDS" ` -NoRebootOnCompletion: $ True ` -SysvolPath "C: \ Windows \ SYSVOL" ` -Force: $ true

Далее объясняются аргументы Power-Shell и то, что он будет делать.Установка-WindowsFeature

Этот командлет позволит установить роль Windows, службы ролей или функцию Windows на обычном сервере или удаленном сервере. Это похоже на использование диспетчера серверов Windows для их установки.

IncludeManagementTools

Этот командлет позволит установить роль Windows, службы ролей или функцию Windows на локальном или удаленном сервере. Это похоже на использование диспетчера серверов Windows для их установки.

При этом будут установлены инструменты управления для выбранной службы роли.

Установить-ADDSForest

Этот командлет позволяет настроить новый лес активных каталогов.

DomainName: этот параметр определяет полное доменное имя для домена активного каталога.
CreateDnsDelegation С помощью этого параметра можно определить, следует ли создавать делегирование DNS, ссылающееся на интегрированный DNS Active Directory.
DatabasePath; этот параметр будет использоваться для определения пути к папке для хранения файла базы данных активного каталога (Ntds.dit).
DomainMode: этот параметр определяет функциональный уровень домена активного каталога.Выше я использовал режим 7, который является Windows Server 2016. Windows Server 2019 не имеет отдельного функционального уровня домена.
DomainNetbiosName Это имя NetBIOS для корневого домена леса.
ForestMode; Этот параметр указывает функциональный уровень леса активных каталогов. Выше я использовал режим 7, который является Windows Server 2016. Windows Server 2016 не имеет отдельного функционального уровня леса.
InstallDns: с помощью этого можно указать, нужно ли устанавливать роль DNS с контроллером домена Active Directory.Для нового леса по умолчанию требуется установить значение $ true.
LogPath: Путь к журналу можно использовать для указания места для сохранения файлов журнала домена.
SysvolPath
SysvolPath | Это необходимо для определения пути к папке SYSVOL. Местоположение по умолчанию для него будет C: \ Windows
NoRebootOnCompletion: по умолчанию система перезагружает сервер после настройки контроллера домена. использование этой команды может предотвратить автоматический перезапуск системы.
Force: этот параметр заставляет команду выполняться, игнорируя предупреждение.Система обычно передает предупреждение о лучших практиках и рекомендациях.

Шаг 8. Запрашивать пароль администратора безопасного режима

После выполнения команды он запросит пароль администратора безопасного режима. Это необходимо для использования в режиме восстановления служб каталогов (DSRM).

Обязательно используйте сложный пароль (в соответствии с рекомендациями по сложности пароля Windows). В противном случае конфигурация будет остановлена.

Шаг 9: перезагрузка и вход

По завершении настройки перезагрузите контроллер домена и снова войдите в систему как администратор домена.

Шаг 10: Подтвердите установку

Для подтверждения успешной установки сервисов.

Get-Service adws, kdc, netlogon, dns

Приведенная выше команда перечислит состояние служб, связанных с активным каталогом, работающих на контроллере домена.

Шаг 11. Запустите Get-ADDomainController

В нем будут перечислены все детали конфигурации контроллера домена.

Шаг 12: Запустите пример Get-ADDomain.com

Он перечислит подробную информацию о домене активного каталога.

Шаг 13: Список деталей леса AD

Таким же образом Get-ADForest example.com выведет список деталей леса активных каталогов.

Шаг 14: Проверьте, предоставляет ли DC общий доступ к папке SYSVOL

Get-smbshare SYSVOL покажет, использует ли контроллер домена общую папку SYSVOL.

↑ Наверх

Как мы видим, компоненты AD DS успешно установлены и настроены. Это знаменует конец этой публикации.Пожалуйста, оцените эту статью.
↑ Наверх

Арт.	Описание
SYSVOL	ОБЪЕМ СИСТЕМЫ
DC	Контроллер домена
AD DS	Доменные службы Active Directory
DNS	Система доменных имен
FQDN	Полное доменное имя
DSRM	Режим восстановления служб каталогов
KDC	Центр распределения ключей
LDAP	Облегченный протокол доступа к каталогам
NTDS	Службы каталогов NT
IP	Интернет-протокол
ФСМО	Гибкая работа с одним ведущим устройством

↑ Вернуться к началу