Визначення користувачів, груп і комп'ютерів

  • 10 хв.

В AD DS необхідно надати всім користувачам, яким потрібен доступ до мережевих ресурсів, з обліковим записом користувача. За допомогою цього облікового запису користувачі можуть автентифікуватися в домені AD DS і отримувати доступ до мережевих ресурсів.

У Windows Server обліковий запис користувача – це об'єкт, який містить усі відомості, які визначає користувач. Обліковий запис користувача включає:

  • Ім'я користувача.
  • Пароль користувача.
  • Членство в групі.

Обліковий запис користувача також містить параметри, які можна настроїти відповідно до вимог організації.

Знімок екрана: обліковий запис користувача Jane Dow в Центрі адміністрування Active Directory.

Ім'я користувача та пароль облікового запису користувача слугують обліковими даними користувача для входу. Об'єкт користувача також містить кілька інших атрибутів, які описують користувача та керують ним. За допомогою наведених нижче засобів можна створювати об'єкти користувачів і керувати ними в AD DS:

  • Центр адміністрування Active Directory.
  • Користувачі та комп'ютери Active Directory.
  • Центр адміністрування Windows.
  • Windows PowerShell.
  • Засіб командного рядка dsadd.

Що таке керовані облікові записи служб?

Багато програм містять служби, інстальовані на сервері, на якому розміщено програму. Ці служби зазвичай виконуються під час запуску сервера або ініціюються іншими подіями. Служби часто працюють у фоновому режимі та не вимагають взаємодії з користувачем. Для запуску та автентифікації служби використовується обліковий запис служби. Обліковий запис служби може бути обліковим записом, локальним на комп'ютері, наприклад вбудованими локальними службами, мережевою службою або локальними системними обліковими записами. Ви також можете налаштувати обліковий запис служби на використання облікового запису на основі домену, розташованого в AD DS.

Щоб централізувати адміністрування та відповідати вимогам програми, багато організацій вибирають використання облікового запису на основі домену для запуску програмних служб. Хоча це надає певну користь для використання локального облікового запису, існує кілька пов'язаних проблем, наприклад:

  • Для безпечного керування паролем облікового запису служби можуть знадобитися додаткові зусилля з адміністрування.
  • Визначити, де обліковий запис на основі домену використовується як обліковий запис служби, може бути складно.
  • Для керування іменем учасника служби (SPN) можуть знадобитися додаткові зусилля з адміністрування.

Windows Server підтримує об'єкт AD DS, який називається керованим обліковим записом служби, який використовується для полегшення керування обліковим записом служби. Керований обліковий запис служби – це клас об'єктів AD DS, який дає змогу:

  • Спрощене керування паролями.
  • Спрощене керування SPN.

Що таке облікові записи керованих служб групи?

Облікові записи керованих служб групи дають змогу розширити можливості стандартних керованих облікових записів служби на кілька серверів у вашому домені. У сценаріях серверної ферми з кластерами балансування навантаження мережі (NLB) або серверами IIS часто потрібно запустити системні або програмні служби в одному обліковому записі служби. Стандартні керовані облікові записи служб не можуть надавати керовані функції облікового запису служби службам, які працюють на кількох серверах. Використовуючи облікові записи керованих служб груп, можна настроїти кілька серверів на використання одного керованого облікового запису служби та зберегти переваги, які надають керовані облікові записи служб, наприклад автоматичне обслуговування паролів і спрощене керування SPN.

Щоб підтримувати функції керованого облікового запису служби групи, ваше середовище має відповідати таким вимогам:

  • Потрібно створити кореневий ключ KDS на контролері домену в домені.

Щоб створити кореневий ключ KDS, виконайте наведену нижче команду з модуля Active Directory для Windows PowerShell на контролері домену Windows Server

Add-KdsRootKey –EffectiveImmediately

Створення групи керованих облікових записів служби за допомогою командлета New-ADServiceAccount Windows PowerShell з параметром –PrinicipalsAllowedToRetrieveManagedPassword.

Наприклад:

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

Що таке групові об'єкти?

Хоча дозвіл і права окремим обліковим записам користувачів у невеликих мережах може бути практичним, це стає непрактичним і неефективним у великих корпоративних мережах.

Наприклад, якщо кільком користувачам потрібен однаковий рівень доступу до папки, ефективніше створити групу з необхідними обліковими записами користувачів, а потім призначити групі необхідні дозволи.

Кінчик

У якості додаткової переваги ви можете змінити дозволи на доступ до файлів користувачів, додавши або видаливши їх із груп, а не безпосередньо редагуйте дозволи на доступ до файлу.

Перш ніж впроваджувати групи в організації, потрібно розуміти обсяг різних типів груп AD DS. Крім того, ви повинні розуміти, як використовувати типи груп для керування доступом до ресурсів або для призначення прав і обов'язків керування.

Знімок екрана: діалогове вікно

Типи груп

У корпоративній мережі Windows Server є групи двох типів, описані в таблиці нижче.

тип групи опис
Безпека Групи безпеки підтримують безпеку, і ви використовуєте їх для призначення дозволів різним ресурсам. Групи безпеки можна використовувати в записах дозволів у списках керування доступом (ACL), щоб контролювати безпеку доступу до ресурсів. Щоб керувати безпекою за допомогою групи, вона має бути групою безпеки.
Розподіл У програмах електронної пошти зазвичай використовуються групи розсилки, які не підтримують безпеку. Ви також можете використовувати групи безпеки як засіб розповсюдження для програм електронної пошти.

Області групи

Windows Server підтримує визначення області груп. Область групи визначає діапазон можливостей або дозволів групи, а також членство в групі. Є чотири області групи.

  • Локальний. Цей тип групи використовується для автономних серверів або робочих станцій, на серверах, що входять до домену, які не є контролерами домену або на робочих станціях, що входять до домену. Локальні групи доступні лише на комп'ютері, де вони існують. Важливими характеристиками локальної групи є:

    • Ви можете призначати лише локальні ресурси та дозволи, тобто на локальному комп'ютері.
    • Учасники можуть бути звідусіль у лісі AD DS.

  • доменне локальне. Цей тип групи використовується, перш за все, для керування доступом до ресурсів або призначення прав і обов'язків керування. Локальні групи доменів існують на контролерах домену в домені AD DS, і тому область групи локальна для домену, у якому вона міститься. Важливими характеристиками локальних груп домену є:

    • Ви можете призначати здібності та дозволи лише для локальних ресурсів домену, тобто на всіх комп'ютерах у локальному домені.
    • Учасники можуть бути звідусіль у лісі AD DS.

  • Глобальний. Цей тип групи використовується, перш за все, для консолідації користувачів, які мають схожі характеристики. Наприклад, глобальні групи можна використовувати, щоб приєднуватися до користувачів, які входять до відділу або географічного розташування. Важливими характеристиками глобальних груп є:

    • Ви можете призначати здібності та дозволи будь-де в лісі.
    • Учасники можуть належати лише до локального домену та включати користувачів, комп'ютери та глобальні групи з локального домену.

  • універсальний. Цей тип групи використовується найчастіше в багатодоменних мережах, оскільки вона поєднує в собі характеристики як локальних доменних груп, так і глобальних груп. Зокрема, важливими характеристиками універсальних груп є:

    • Ви можете призначати здібності та дозволи будь-де в лісі так само, як їх призначено для глобальних груп.
    • Учасники можуть бути звідусіль у лісі AD DS.

Що таке комп'ютерні об'єкти?

Такі комп'ютери, як і користувачі, є принципалами безпеки:

  • У них є обліковий запис з ім'ям для входу та паролем, які Windows автоматично змінює на періодичній основі.
  • Вони автентифікують домен.
  • Вони можуть належати до груп і мати доступ до ресурсів, а також настроювати їх за допомогою групової політики.

Обліковий запис комп'ютера починає свій життєвий цикл, коли ви створюєте об'єкт комп'ютера та приєднуєте його до свого домену. Після приєднання облікового запису комп'ютера до домену, щоденні адміністративні завдання включають:

  • Настроювання властивостей комп'ютера.
  • Переміщення комп'ютера між OUs.
  • Керування самим комп'ютером.
  • Перейменування, скидання, вимкнення, ввімкнення та видалення об'єкта комп'ютера.

Знімок екрана: діалогове вікно

Контейнер комп'ютерів

Перш ніж створювати об'єкт комп'ютера в AD DS, потрібно мати місце для його розміщення. Контейнер "Комп'ютери" – це вбудований контейнер у домені AD DS. Цей контейнер – це стандартне розташування для облікових записів комп'ютера, коли комп'ютер приєднується до домену.

Цей контейнер не є OU. Натомість це об'єкт класу контейнера. Його загальна назва – CN=Computers. Існують тонкі, але важливі відмінності між контейнером і OU. Не можна створити підрозділ у контейнері, тому не можна підпорядкувати контейнер комп'ютерів. Також не можна зв'язати об'єкт групової політики з контейнером. Тому радимо створювати настроювані OUs для розміщення об'єктів комп'ютера, а не використовувати контейнер "Комп'ютери".