Определение пользователей, групп и компьютеров

Завершено

В доменных службах Active Directory всем пользователям, которым требуется доступ к сетевым ресурсам, необходимо предоставить учетную запись пользователя. С помощью такой учетной записи пользователи могут проходить проверку подлинности в домене доменных служб Active Directory и получать доступ к сетевым ресурсам.

В Windows Server учетная запись пользователя — это объект, который содержит все сведения, определяющие пользователя. Учетная запись пользователя включает в себя следующее:

  • Имя пользователя.
  • Пароль пользователя.
  • Членства в группах.

Учетная запись пользователя также содержит параметры, которые можно настроить в соответствии с требованиями организации.

Снимок экрана: учетная запись пользователя Jane Dow в центре администрирования Active Directory.

Имя пользователя и пароль учетной записи пользователя служат учетными данными для входа в систему. Объект-пользователь также содержит несколько других атрибутов, служащих для описания пользователя и управления им. Для создания пользовательских объектов в AD DS и управления ими можно использовать следующие средства:

  • Центр администрирования Active Directory.
  • Active Directory — пользователи и компьютеры.
  • Центр администрирования Windows.
  • Windows PowerShell.
  • Утилита командной строки dsadd.

Что такое управляемые учетные записи службы?

Многие приложения содержат службы, которые вы устанавливаете на сервере, где размещается программа. Обычно эти службы запускаются при запуске сервера или активируются другими событиями. Службы часто выполняются в фоновом режиме и не нуждаются во вмешательстве пользователя. Для запуска и проверки подлинности службы используется учетная запись службы. Учетной записью службы может быть локальная учетная запись компьютера, например встроенные учетные записи локальной службы, сетевой службы или Local System. Вы также можете настроить учетную запись службы для использования учетной записи, основанной на домене, расположенной в доменных службах Active Directory.

Чтобы упростить администрирование и удовлетворить требования к программе, многие организации предпочитают использовать учетную запись на основе домена для запуска служб программ. Хотя это и дает некоторые преимущества по сравнению с локальной учетной записью, существует ряд связанных с этим проблем, например:

  • Для безопасного управления паролем учетной записи службы могут потребоваться дополнительные меры по администрированию.
  • Бывает сложно определить, где используется учетная запись на основе домена.
  • Для управления именем субъекта-службы (SPN) могут потребоваться дополнительные меры по администрированию.

Windows Server поддерживает объект доменных служб Active Directory, называемый управляемой учетной записью службы, который используется для упрощения управления учетными записями служб. Управляемая учетная запись службы — это класс объектов доменных служб Active Directory, который выполняет следующие функции:

  • Упрощенное управление паролями.
  • Упрощенное управление именами субъектов-служб.

Что такое групповые управляемые учетные записи службы?

Групповые управляемые учетные записи службы позволяют распространить возможности стандартных управляемых учетных записей службы на несколько серверов в домене. В сценариях фермы серверов с кластерами балансировки нагрузки сети (NLB) или серверами IIS часто требуется запускать системные или программные службы в той же учетной записи службы. Стандартные управляемые учетные записи службы не могут предоставлять функции управляемой учетной записи службы для служб, выполняющихся на нескольких серверах. Используя групповые управляемые учетные записи службы, можно настроить несколько серверов для использования одной и той же управляемой учетной записи службы, сохранив предоставляемые управляемыми учетными записями службы преимущества, такие как автоматическое обслуживание паролей и упрощенное управление именами субъектов-служб.

Для поддержки функциональности управляемых учетных записей группы ваша среда должна соответствовать следующим требованиям:

  • Необходимо создать корневой ключ KDS на контроллере домена в домене.

Чтобы создать корневой ключ KDS, выполните следующую команду из модуля Active Directory для Windows PowerShell на контроллере домена Windows Server.

Add-KdsRootKey –EffectiveImmediately

Для создания групповых управляемых учетных записей служб используйте командлет New-ADServiceAccount Windows PowerShell с параметром –PrinicipalsAllowedToRetrieveManagedPassword.

Например:

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

Что такое объекты групп?

Хотя в небольших сетях может быть целесообразно назначать разрешения и права отдельным учетным записям пользователей, это становится непрактичным и неэффективным в больших корпоративных сетях.

Например, если нескольким пользователям нужен одинаковый уровень доступа к папке, эффективнее создать группу, содержащую необходимые учетные записи пользователей, а затем назначить ей необходимые разрешения.

Совет

В качестве дополнительного преимущества вы можете изменять разрешения для файлов у пользователей, добавляя или удаляя их в группах вместо того, чтобы изменять разрешения для файлов напрямую.

Перед внедрением групп в организации необходимо понимать область действия различных типов групп доменных служб Active Directory. Кроме того, необходимо понимать, как использовать типы групп для управления доступом к ресурсам или назначения прав и обязанностей управления.

Снимок экрана: диалоговое окно

Типы группы

В корпоративной сети Windows Server существует два типа групп, описанных в следующей таблице.

Тип группы Description
Безопасность Группы безопасности защищены и используются для назначения разрешений различным ресурсам. Группы безопасности можно использовать в записях разрешений в списках управления доступом (ACL), чтобы помочь управлять безопасностью доступа к ресурсам. Если вы хотите использовать группу для управления безопасностью, это должна быть группа безопасности.
Распределение Приложения электронной почты обычно используют группы рассылки, которые не защищены. Группы безопасности также можно использовать в качестве средства распространения для почтовых приложений.

Сфера деятельности группы

Windows Server поддерживает групповое масштабирование. Область группы определяет спектр возможностей или разрешений группы, а также членство в группе. Существует четыре области действия группы.

  • Местный. Этот тип группы используется для изолированных серверов или рабочих станций, на серверах, которые являются членами домена, но не являются контроллерами домена, или на рабочих станциях, являющихся членами домена. Локальные группы доступны только на том компьютере, где они существуют. Ниже перечислены важные характеристики локальной группы:

    • Вы можете назначать возможности и разрешения только для локальных ресурсов, то есть на локальном компьютере.
    • Члены могут находиться в любом месте леса доменных служб Active Directory.
  • Локальная домена. Этот тип группы используется в основном для управления доступом к ресурсам или для назначения прав и обязанностей управления. Локальные группы домена существуют на контроллерах домена в домене AD DS, поэтому область группы является локальной в рамках домена, в котором она находится. Ниже перечислены важные характеристики локальных групп домена:

    • Вы можете назначать возможности и разрешения только для локальных по отношению к домену ресурсов, то есть на всех компьютерах в локальном домене.
    • Члены могут находиться в любом месте леса доменных служб Active Directory.
  • Глобал. Этот тип группы используется в основном для консолидации пользователей, имеющих аналогичные характеристики. Например, глобальные группы можно использовать для объединения пользователей, относящихся к отделу или географическому расположению. Ниже перечислены важные характеристики глобальных групп:

    • Вы можете назначать возможности и разрешения в любом месте леса.
    • Участники могут находиться только в локальном домене и могут включать пользователей, компьютеры и глобальные группы из локального домена.
  • Универсальный. Этот тип группы чаще всего используется в многодоменных сетях, так как сочетает в себе характеристики как локальных групп домена, так и глобальных групп. В частности, важны следующие характеристики универсальных групп:

    • Вы можете назначать возможности и разрешения в любом месте леса по аналогии с глобальными группами.
    • Члены могут находиться в любом месте леса доменных служб Active Directory.

Что такое объекты-компьютеры?

Компьютеры, как и пользователи, являются субъектами безопасности:

  • У них есть учетная запись с именем для входа и паролем, которые операционная система Windows периодически меняет в автоматическом режиме.
  • Они аутентифицируются в домене.
  • Они могут принадлежать к группам и иметь доступ к ресурсам, и их можно настроить с помощью групповой политики.

Учетная запись компьютера начинает свой жизненный цикл при создании объекта-компьютера и присоединении его к домену. После присоединения учетной записи компьютера к домену повседневные задачи администрирования включают в себя следующее:

  • Настройка свойств компьютера.
  • Перемещение компьютера между подразделениями.
  • Управление самим компьютером.
  • Переименование, сброс, отключение, включение и окончательное удаление компьютерного объекта.

Снимок экрана: диалоговое окно

Контейнер компьютеров

Перед созданием объекта-компьютера в доменных службах Active Directory необходимо иметь место для его размещения. Контейнер Computers — это встроенный контейнер в домене служб AD DS. Этот контейнер является расположением по умолчанию для учетных записей компьютеров при присоединении компьютера к домену.

Этот контейнер не является подразделением. Вместо этого он является объектом класса контейнера. Его общее имя — CN=Computers. Между контейнером и организационной единицей есть небольшие, но важные различия. Невозможно создать подразделение в контейнере, поэтому невозможно разделить контейнер "Компьютеры". Также невозможно связать объект групповой политики с контейнером. Поэтому мы рекомендуем создавать пользовательские подразделения для размещения объектов-компьютеров, а не использовать контейнер Computers.