Active Directory в Windows Server 2012

Служба каталогов Active Directory, представляет собой базу данных, которая содержит все объекты домена (пользователи, группы, оргтехника, общие ресурсы и т.д.), обеспечивает эффективное функционирование корпоративных сетей, прозрачность управления системными политиками и взаимодействие работающих в домене приложений.

За счет внедрения службы каталогов Active Directory, позволяет централизованно управлять инфраструктурой предприятия (в том числе территориально распределенной), стандартизировать ресурсы, обеспечить единую точку аутентификации, повышая безопасность и эффективность всей ИТ-инфраструктуры.

Active Directory обеспечивает выполнение следующих задач:

· Предоставление единой точки входа

· Централизованное управление политиками

· Интеграция с корпоративными приложениями и оборудованием

· Интеграция с LDAP через FFIM

· Единое хранилище конфигурации приложений

· Обеспечение масштабируемости и отказоустойчивости службы каталогов Active Directory.

· Обеспечение возможности восстановления удалённых объектов Active Directory

Упрощенное управление ИТ-инфраструктурой.

 

Создание и управление учетными записями

Создание учетных записей:

1.Откройте "Управление компьютером".

2.В дереве консоли выберите пункт Пользователи. Местонахождение

- Управление компьютером\Служебные\Локальные пользователи и группы\Пользователи

3.В меню Действие щелкните Новый пользователь.

4.Введите соответствующие сведения в диалоговое окно.

5.Установите или снимите флажки:

- Требовать смены пароля при следующем входе в систему

- Запретить смену пароля пользователем

- Срок действия пароля не ограничен

- Отключить учетную запись

6.Щелкните Создать, а затем выберите Закрыть.

Список учетных записей пользователей, в котором отображаются:

- Имя пользователя.

- Имя входа для учетной записи пользователя.

- Имеет ли учетная запись пользователя разрешение на повсеместный доступ. Разрешение повсеместного доступа для учетной записи пользователя имеет значение разрешено или не разрешено.

- Управляет ли историей файлов для данной учетной записи пользователя сервер, на котором выполняется Windows Server Essentials. История файлов для учетной записи пользователя имеет состояние управляемый или неуправляемый.

- Уровень доступа, назначаемый учетной записи пользователя. Для учетной записи пользователя можно назначить доступ с правами обычного пользователя или администратора.

Состояние учетной записи пользователя. Учетная запись пользователя может иметь состояние активное, неактивное или неполный.

Область сведений с дополнительной информацией о выбранной учетной записи пользователя.

Область задач, которая включает в себя:

Набор задач администрирования учетной записи пользователя, например просмотр и удаление учетных записей пользователей, изменение паролей. Задачи, которые позволяют глобально задавать или изменять параметры для всех учетных записей пользователей в сети.

 

Групповая политика

Group Police - это мощный инструмент который позволяет управлять пользователями, системой, различными настройками централизованно.

Управление и настройки Group Police происходит через Active Directory а именно настройками для пользователей и ПК которые входят в домен.Настройки, которые создаются в групповой политики расположены в объектах групповых политик.

Существуют два типа ГП а именно: локальный и не локальный.

Не локальные объекты ГП находятся на контроллере домена и иметь к ним доступ возможно только в среде AD, они могут быть использованы только к пользователям и компьютерам в web-сайте, доменах или подразделениях.

Локальные объекты ГП хранятся на локальном ПК и причем на компьютере будет существовать только 1 локальный объект ГП и он будет содержать набор различных параметров доступных вне локальном объекте. В системе присутствует два объекта Group Police по умолчанию, это политика домена по дефолту и контроллера домена. Default Domain Controller Police – эта политика создана в Server 2012 по умолчанию если выполнено условие развертывания сервер-доменных служб AD, и она содержит настройки которые применены только к контроллеру домена.

Default Domain Police (политика домена по дефолту) – создается так же при развертывании роли сервера-доменных служб AD и содержит настройки которые применены ко всем рабочим станциям и пользователям домена.

Можно создавать свои объекты но при создании нужно всегда осознавать целесообразность этих действий, каждый объект состоит из параметров в которых можно выделить две папки:

Computer Configuration – данная папка будет содержать настройки, которые будут применяться к ПК и неважно кто из пользователей заходят в систему.

User Configuration – папка содержит настройки, которые будут использованы для применения к пользователям Microsoft и не важно какую рабочую станцию они,будут использовать.

Данные параметры будут иметь существенные полномочия, которые в последствии будут решать судьбу пользователей в целом.
В папках Computer Configuration и User Configuration наблюдаем две подпапки это папка Policies (параметр политики) – в которой расположена конфигурация политики однозначно применяющиеся к GP, а папка Preferences (параметры предпочтений) – содержит различные преимущества которые возможно использовать для редактирования почти каждых параметров реестра, файла, папки или любого элемента, с помощью данной папки можно настроить программы которые не зависят от ГП.

В процессе изменения настроек Group Police вы столкнетесь с различными вариантами, но в общем случае вам потребуется выбрать из трех вариантов, которые приводят к результатам показанных ниже:

Enabled - запись в реестр включения

Disabled – это противоположный алгоритм Enabled, который будет записан со значением выключения

Not Configured - это политика не будет записывать в реестр, соответственно она не оказывает какого-либо влияния