Definer brugere, grupper og computere

  • 10 minutter

I AD DS skal du give alle brugere, der kræver adgang til netværksressourcer, en brugerkonto. Med denne brugerkonto kan brugerne godkende ad DS-domænet og få adgang til netværksressourcer.

I Windows Server er en brugerkonto et objekt, der indeholder alle de oplysninger, der definerer en bruger. En brugerkonto indeholder:

  • Brugernavnet.
  • En brugeradgangskode.
  • Gruppemedlemskaber.

En brugerkonto indeholder også indstillinger, som du kan konfigurere på baggrund af dine organisationskrav.

Et skærmbillede af Jane Dow-brugerkontoen i Active Directory Administration.

Brugernavnet og adgangskoden for en brugerkonto fungerer som brugerens logonoplysninger. Et brugerobjekt indeholder også flere andre attributter, der beskriver og administrerer brugeren. Du kan bruge følgende værktøjer til at oprette og administrere brugerobjekter i AD DS:

  • Active Directory Administration.
  • Active Directory-brugere og -computere.
  • Windows Administration.
  • Windows PowerShell.
  • Kommandolinjeværktøjet dsadd.

Hvad er administrerede tjenestekonti?

Mange apps indeholder tjenester, som du installerer på den server, der er vært for programmet. Disse tjenester kører typisk ved serverstart eller udløses af andre hændelser. Tjenester kører ofte i baggrunden og kræver ikke brugerinteraktion. Hvis en tjeneste skal startes og godkendes, skal du bruge en tjenestekonto. En tjenestekonto kan være en konto, der er lokal for computeren, f.eks. de indbyggede konti lokal tjeneste, netværkstjeneste eller lokalt system. Du kan også konfigurere en tjenestekonto til at bruge en domænebaseret konto, der er placeret i AD DS.

For at hjælpe med at centralisere administrationen og opfylde programkravene vælger mange organisationer at bruge en domænebaseret konto til at køre programtjenester. Selvom dette giver en vis fordel i forhold til at bruge en lokal konto, er der en række tilknyttede udfordringer, f.eks. følgende:

  • Det kan være nødvendigt med en ekstra administration for at administrere adgangskoden til tjenestekontoen på en sikker måde.
  • Det kan være svært at afgøre, hvor en domænebaseret konto bruges som en tjenestekonto.
  • Det kan være nødvendigt med en ekstra administration for at administrere tjenestens hovednavn (SPN).

Windows Server understøtter et AD DS-objekt med navnet en administreret tjenestekonto, som du bruger til at lette administration af tjenestekonti. En administreret tjenestekonto er en AD DS-objektklasse, der aktiverer:

  • Administration af forenklet adgangskode.
  • Forenklet ADMINISTRATION af SPN.

Hvad er gruppeadministrerede tjenestekonti?

Gruppeadministrerede tjenestekonti giver dig mulighed for at udvide egenskaberne for standardadministrerede tjenestekonti til mere end én server i dit domæne. I serverfarmscenarier med NLB-klynger (Network Load Balancing) eller IIS-servere er der ofte behov for at køre system- eller programtjenester under den samme tjenestekonto. Standardadministrerede tjenestekonti kan ikke levere administreret tjenestekontofunktionalitet til tjenester, der kører på mere end én server. Ved hjælp af gruppeadministrerede tjenestekonti kan du konfigurere flere servere til at bruge den samme administrerede tjenestekonto og stadig bevare de fordele, som administrerede tjenestekonti giver, f.eks. automatisk vedligeholdelse af adgangskoder og forenklet SPN-administration.

Hvis du vil understøtte gruppeadministrerede tjenestekontofunktioner, skal dit miljø opfylde følgende krav:

  • Du skal oprette en KDS-rodnøgle på en domænecontroller i domænet.

Hvis du vil oprette KDS-rodnøglen, skal du køre følgende kommando fra Active Directory-modulet til Windows PowerShell på en Windows Server-domænecontroller

Add-KdsRootKey –EffectiveImmediately

Du opretter gruppeadministrerede tjenestekonti ved hjælp af New-ADServiceAccount Windows PowerShell-cmdlet med parameteren –PrinicipalsAllowedToRetrieveManagedPassword.

For eksempel:

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

Hvad er gruppeobjekter?

Selvom det kan være praktisk at tildele tilladelser og rettigheder til individuelle brugerkonti i små netværk, bliver dette upraktisk og ineffektivt i store virksomhedsnetværk.

Hvis flere brugere f.eks. har brug for det samme adgangsniveau til en mappe, er det mere effektivt at oprette en gruppe, der indeholder de påkrævede brugerkonti, og derefter tildele de påkrævede tilladelser til gruppen.

Drikkepenge

Som en ekstra fordel kan du ændre brugernes filtilladelser ved at tilføje eller fjerne dem fra grupper i stedet for at redigere filtilladelserne direkte.

Før du implementerer grupper i din organisation, skal du forstå omfanget af forskellige AD DS-gruppetyper. Derudover skal du forstå, hvordan du bruger gruppetyper til at administrere adgang til ressourcer eller til at tildele administrationsrettigheder og ansvarsområder.

Et skærmbillede af dialogboksen Opret gruppe: Salgschefer i Windows Administration.

Gruppetyper

I et Windows Server-virksomhedsnetværk er der to typer grupper, der er beskrevet i følgende tabel.

gruppetype beskrivelse
Sikkerhed Sikkerhedsgrupper er sikkerhedsaktiverede, og du bruger dem til at tildele tilladelser til forskellige ressourcer. Du kan bruge sikkerhedsgrupper i tilladelsesposter på adgangskontrollister (ACL'er) til at styre sikkerheden for ressourceadgang. Hvis du vil bruge en gruppe til at administrere sikkerhed, skal det være en sikkerhedsgruppe.
Distribution Mailprogrammer bruger typisk distributionsgrupper, som ikke er sikkerhedsaktiverede. Du kan også bruge sikkerhedsgrupper som en måde at distribuere mailprogrammer på.

Gruppeområder

Windows Server understøtter gruppeafgrænsning. Omfanget af en gruppe bestemmer både intervallet for en gruppes evner eller tilladelser og gruppemedlemskabet. Der er fire gruppeområder.

  • Lokale. Du bruger denne type gruppe til separate servere eller arbejdsstationer, på domænemedlemsservere, der ikke er domænecontrollere, eller på arbejdsstationer, der er medlem af domænet. Lokale grupper er kun tilgængelige på den computer, hvor de findes. De vigtigste egenskaber for en lokal gruppe er:

    • Du kan kun tildele evner og tilladelser til lokale ressourcer, hvilket betyder på den lokale computer.
    • Medlemmer kan være overalt i AD DS-skoven.

  • Domæne-lokal. Du bruger primært denne type gruppe til at administrere adgang til ressourcer eller til at tildele administrationsrettigheder og -ansvarsområder. Der findes lokale domænegrupper på domænecontrollere i et AD DS-domæne, og derfor er gruppens område lokalt for det domæne, hvor den er placeret. De vigtige egenskaber for domæne-lokale grupper er:

    • Du kan kun tildele egenskaber og tilladelser til domæne-lokale ressourcer, hvilket betyder på alle computere i det lokale domæne.
    • Medlemmer kan være overalt i AD DS-skoven.

  • Global. Du bruger primært denne type gruppe til at konsolidere brugere, der har lignende egenskaber. Du kan f.eks. bruge globale grupper til at tilmelde dig brugere, der er en del af en afdeling eller en geografisk placering. De vigtige egenskaber for globale grupper er:

    • Du kan tildele evner og tilladelser overalt i området.
    • Medlemmer kan kun være fra det lokale domæne og kan omfatte brugere, computere og globale grupper fra det lokale domæne.

  • Universal. Du bruger oftest denne type gruppe i flerdomænenetværk, fordi den kombinerer egenskaberne for både domæne-lokale grupper og globale grupper. Specifikt er de vigtige egenskaber ved universelle grupper:

    • Du kan tildele evner og tilladelser overalt i området på samme måde, som du tildeler dem til globale grupper.
    • Medlemmer kan være overalt i AD DS-skoven.

Hvad er computerobjekter?

Computere, ligesom brugere, er sikkerhedsprincipaler i den forbindelse:

  • De har en konto med et logonnavn og en adgangskode, som Windows ændrer automatisk med jævne mellemrum.
  • De godkender med domænet.
  • De kan tilhøre grupper og have adgang til ressourcer, og du kan konfigurere dem ved hjælp af gruppepolitik.

En computerkonto starter sin livscyklus, når du opretter computerobjektet og slutter den til dit domæne. Når du har sluttet computerkontoen til dit domæne, omfatter de daglige administrative opgaver:

  • Konfiguration af computeregenskaber.
  • Flytter computeren mellem OUs.
  • Administration af selve computeren.
  • Omdøbning, nulstilling, deaktivering, aktivering og til sidst sletning af computerobjektet.

Et skærmbillede af dialogboksen Opret computer: SEA-CL5 i Active Directory Administration.

Computerobjektbeholder

Før du opretter et computerobjekt i AD DS, skal du have et sted at placere det. Objektbeholderen Computers er en indbygget objektbeholder i et AD DS-domæne. Denne objektbeholder er standardplaceringen for computerkontiene, når en computer tilmelder sig domænet.

Denne objektbeholder er ikke en OU. Det er i stedet et objekt af klassen Container. Dets almindelige navn er CN=Computers. Der er subtile, men vigtige forskelle mellem en objektbeholder og en OU. Du kan ikke oprette en OU i en objektbeholder, så du kan ikke underinddele objektbeholderen Computere. Du kan heller ikke sammenkæde et gruppepolitikobjekt med en objektbeholder. Vi anbefaler derfor, at du opretter brugerdefinerede OU'er til at hoste computerobjekter i stedet for at bruge objektbeholderen Computere.