Definiowanie użytkowników, grup i komputerów

  • 10 minut

W usługach AD DS należy podać wszystkich użytkowników, którzy wymagają dostępu do zasobów sieciowych przy użyciu konta użytkownika. Za pomocą tego konta użytkownika użytkownicy mogą uwierzytelniać się w domenie usług AD DS i uzyskiwać dostęp do zasobów sieciowych.

W systemie Windows Server konto użytkownika jest obiektem zawierającym wszystkie informacje definiujące użytkownika. Konto użytkownika obejmuje:

  • Nazwa użytkownika.
  • Hasło użytkownika.
  • Członkostwa grup.

Konto użytkownika zawiera również ustawienia, które można skonfigurować na podstawie wymagań organizacji.

Zrzut ekranu przedstawiający konto użytkownika Jane Dow w Centrum administracyjnym usługi Active Directory.

Nazwa użytkownika i hasło konta użytkownika służą jako poświadczenia logowania użytkownika. Obiekt użytkownika zawiera również kilka innych atrybutów, które opisują użytkownika i zarządzają nim. Za pomocą następujących narzędzi można tworzyć obiekty użytkowników i zarządzać nimi w usługach AD DS:

  • Centrum administracyjne usługi Active Directory.
  • Użytkownicy i komputery usługi Active Directory.
  • Windows Admin Center.
  • Windows PowerShell.
  • Narzędzie wiersza polecenia dsadd.

Co to są zarządzane konta usług?

Wiele aplikacji zawiera usługi instalowane na serwerze, który hostuje program. Te usługi są zwykle uruchamiane podczas uruchamiania serwera lub są wyzwalane przez inne zdarzenia. Usługi często działają w tle i nie wymagają żadnej interakcji z użytkownikiem. Aby usługa uruchamiała się i uwierzytelniała, należy użyć konta usługi. Konto usługi może być kontem lokalnym komputera, takim jak wbudowane konta usługi lokalnej, usługi sieciowej lub konta systemu lokalnego. Możesz również skonfigurować konto usługi do korzystania z konta opartego na domenie znajdującego się w usługach AD DS.

Aby ułatwić scentralizowanie administracji i spełnienie wymagań programu, wiele organizacji decyduje się na używanie konta opartego na domenie do uruchamiania usług programu. Chociaż zapewnia to pewne korzyści wynikające z korzystania z konta lokalnego, istnieje wiele powiązanych wyzwań, takich jak następujące:

  • Aby bezpiecznie zarządzać hasłem konta usługi, może być konieczne dodatkowe nakłady administracyjne.
  • Ustalenie, gdzie konto oparte na domenie jest używane jako konto usługi, może być trudne.
  • Aby zarządzać nazwą główną usługi (SPN), może być konieczne dodatkowe nakłady administracyjne.

System Windows Server obsługuje obiekt usług AD DS o nazwie zarządzane konto usługi, które służy do ułatwienia zarządzania kontem usługi. Zarządzane konto usługi to klasa obiektów usług AD DS, która umożliwia:

  • Uproszczone zarządzanie hasłami.
  • Uproszczone zarządzanie SPN.

Co to są konta usług zarządzane przez grupę?

Konta usług zarządzane przez grupę umożliwiają rozszerzenie możliwości standardowych zarządzanych kont usług na więcej niż jeden serwer w domenie. W scenariuszach farmy serwerów z klastrami równoważenia obciążenia sieciowego (NLB) lub serwerami usług IIS często trzeba uruchamiać usługi systemowe lub programowe na tym samym koncie usługi. Konta usług zarządzanych w warstwie Standardowa nie mogą zapewniać funkcji zarządzanego konta usługi dla usług uruchomionych na więcej niż jednym serwerze. Korzystając z kont usług zarządzanych przez grupę, można skonfigurować wiele serwerów do korzystania z tego samego zarządzanego konta usługi i zachować korzyści zapewniane przez zarządzane konta usług, takie jak automatyczna konserwacja haseł i uproszczone zarządzanie główną nazwą usługi.

Aby obsługiwać funkcje konta usługi zarządzanego przez grupę, środowisko musi spełniać następujące wymagania:

  • Należy utworzyć klucz główny KDS na kontrolerze domeny w domenie.

Aby utworzyć klucz główny KDS, uruchom następujące polecenie z modułu usługi Active Directory dla programu Windows PowerShell na kontrolerze domeny systemu Windows Server

Add-KdsRootKey –EffectiveImmediately

Konta usług zarządzanych przez grupę są tworzone przy użyciu New-ADServiceAccount polecenia cmdlet programu Windows PowerShell z parametrem –PrinicipalsAllowedToRetrieveManagedPassword .

Na przykład:

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

Co to są obiekty grupy?

Chociaż może być praktyczne przypisywanie uprawnień i praw do poszczególnych kont użytkowników w małych sieciach, staje się to niepraktyczne i nieefektywne w dużych sieciach przedsiębiorstw.

Jeśli na przykład kilku użytkowników potrzebuje tego samego poziomu dostępu do folderu, wydajniejsze jest utworzenie grupy zawierającej wymagane konta użytkowników, a następnie przypisanie wymaganych uprawnień do grupy.

Napiwek

Dodatkową korzyścią jest możliwość zmiany uprawnień plików użytkowników przez dodanie lub usunięcie ich z grup, a nie bezpośrednie edytowanie uprawnień do pliku.

Przed wdrożeniem grup w organizacji należy zrozumieć zakres różnych typów grup usług AD DS. Ponadto musisz zrozumieć, jak używać typów grup do zarządzania dostępem do zasobów lub przypisywać prawa i obowiązki zarządzania.

Zrzut ekranu przedstawiający okno dialogowe Tworzenie grupy: Menedżerowie sprzedaży w Centrum administracyjnym systemu Windows.

Typy grup

W sieci systemu Windows Server enterprise istnieją dwa typy grup, które opisano w poniższej tabeli.

Typ grupy Opis
Zabezpieczenia Grupy zabezpieczeń mają funkcje zabezpieczeń i służą do przypisywania uprawnień do różnych zasobów. Grupy zabezpieczeń można używać w wpisach uprawnień na listach kontroli dostępu (ACL), aby ułatwić kontrolę zabezpieczeń dostępu do zasobów. Jeśli chcesz użyć grupy do zarządzania zabezpieczeniami, musi to być grupa zabezpieczeń.
Dystrybucja Aplikacje poczty e-mail zwykle używają grup dystrybucyjnych, które nie są włączone zabezpieczeń. Można również używać grup zabezpieczeń jako środka dystrybucji dla aplikacji poczty e-mail.

Zakresy grup

System Windows Server obsługuje zakresowanie grup. Zakres grupy określa zarówno zakres uprawnień grupy, jak i członkostwa w grupie. Istnieją cztery zakresy grup.

  • Lokalny. Ten typ grupy jest używany dla autonomicznych serwerów lub stacji roboczych na serwerach należących do domeny, które nie są kontrolerami domeny lub na stacjach roboczych należących do domeny. Grupy lokalne są dostępne tylko na komputerze, na którym istnieją. Ważne cechy grupy lokalnej to:

    • Można przypisywać tylko możliwości i uprawnienia do zasobów lokalnych, co oznacza, że na komputerze lokalnym.
    • Elementy członkowskie mogą znajdować się z dowolnego miejsca w lesie usług AD DS.

  • Domena lokalna. Ten typ grupy służy przede wszystkim do zarządzania dostępem do zasobów lub przypisywania praw i obowiązków związanych z zarządzaniem. Grupy lokalne domeny istnieją na kontrolerach domeny w domenie usług AD DS, a więc zakres grupy jest lokalny dla domeny, w której się znajduje. Ważne cechy grup domen-lokalnych to:

    • Można przypisywać tylko możliwości i uprawnienia do zasobów lokalnych domeny, co oznacza na wszystkich komputerach w domenie lokalnej.
    • Elementy członkowskie mogą znajdować się z dowolnego miejsca w lesie usług AD DS.

  • Globalny. Ten typ grupy jest używany głównie do konsolidacji użytkowników, którzy mają podobne cechy. Możesz na przykład użyć grup globalnych, aby dołączyć użytkowników będących częścią działu lub lokalizacji geograficznej. Ważne cechy grup globalnych to:

    • Możliwości i uprawnienia można przypisywać w dowolnym miejscu w lesie.
    • Członkowie mogą pochodzić tylko z domeny lokalnej i mogą obejmować użytkowników, komputery oraz grupy globalne z domeny lokalnej.

  • Uniwersalny. Tego typu grupy używa się najczęściej w sieciach wielodomenowych, ponieważ łączy ona cechy zarówno grup lokalnych domeny, jak i grup globalnych. W szczególności ważne cechy grup uniwersalnych to:

    • Możesz przypisać umiejętności i uprawnienia w dowolnym miejscu w lesie, podobnie jak przypisujesz je dla grup globalnych.
    • Elementy członkowskie mogą znajdować się z dowolnego miejsca w lesie usług AD DS.

Co to są obiekty komputerów?

Komputery, podobnie jak użytkownicy, stanowią podmioty bezpieczeństwa, ponieważ:

  • Mają konto z nazwą logowania i hasłem, które system Windows zmienia automatycznie co pewien czas.
  • Uwierzytelniają się w domenie.
  • Mogą należeć do grup i mieć dostęp do zasobów. Można je skonfigurować przy użyciu zasad grupy.

Konto komputera rozpoczyna cykl życia podczas tworzenia obiektu komputera i dołączania go do domeny. Po dołączeniu konta komputera do domeny codzienne zadania administracyjne obejmują:

  • Konfigurowanie właściwości komputera.
  • Przenoszenie komputera między jednostkami organizacyjnymi.
  • Zarządzanie samym komputerem.
  • Zmiana nazwy, resetowanie, wyłączanie, włączanie i ostatecznie usuwanie obiektu komputera.

Zrzut ekranu z okna dialogowego Tworzenie komputera: SEA-CL5 w Centrum administracyjnym Active Directory.

Kontener komputerów

Zanim utworzysz obiekt komputera w AD DS, musisz mieć wyznaczone miejsce do jego przechowywania. Kontener Komputery jest wbudowanym kontenerem w domenie usług AD DS. Ten kontener jest domyślną lokalizacją kont komputerów, gdy komputer przyłącza się do domeny.

Ten kontener nie jest jednostką organizacyjną. Zamiast tego jest to obiekt klasy Container. Nazwa zwyczajowa to CN=Computers. Istnieją subtelne, ale ważne różnice między kontenerem a OU. Nie można utworzyć jednostki organizacyjnej w kontenerze, więc nie można rozdzielić kontenera Komputery. Nie można również połączyć obiektu zasad grupy z kontenerem. W związku z tym zalecamy utworzenie niestandardowych jednostek organizacyjnych do hostowania obiektów komputerowych zamiast używania kontenera Komputery.