Как создать доменную группу в windows server
Обновлено: 04.07.2024
Группа Active Directory – это совокупность объектов в Active Directory. В группу могут входить пользователи, компьютеры, другие группы и другие объекты AD. Администратор управляет группой как одним объектом. В Active Directory существует 7 типов групп: две группы с тремя областями действий в каждой и локальная группа безопасности. В этой статье мы расскажем о различных типах групп Active Directory, отличиях между областями действия групп и покажем, как создавать в AD новые группы с помощью графической консоли «Active Directory пользователи и компьютеры» и с помощью командной строки PowerShell.
Типы групп Active Directory
В AD существует два типа групп:
- Группа безопасности – этот тип группы используется для предоставления доступа к ресурсам. Например, вы хотите предоставить определенной группе доступ к файлам в сетевой папке. Для этого нужно создать группу безопасности.
- Группа распространения – данный тип групп используется для создания групп почтовых рассылок (как правило используется при установке Microsoft Exchange Server). Письмо, отправленное на такую группу, дойдет всем пользователям группы. Это тип группы нельзя использовать для предоставления доступа к ресурсам домена.
Для каждого типа группы существует три области действия:
Отдельно выделяют локальные группы. Эти группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличии от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.
Создаем группу с помощью оснастки ADUC
Укажите имя группы и выберите необходимый тип и область действия. И нажмите Ок.
Чтобы добавить пользователя в группу, найдите ее в консоли ADUC и дважды щелкните. В окне свойств групп перейдите на вкладку «Члены групп» и с помощью кнопки «Добавить» добавьте в группу пользователей, компьютеры или другие группы.
Также можно добавить пользователя в группу правым кликом по нему и выбрать пункт добавить в группу. Это довольно удобно при массовом добавлении.
Как создать группу Active Directory с помощью PowerShell
Для создания групп Active Directory используется командлет PowerShell New-ADGroup (из модуля Active Directory for Windows PowerShell).
Тип группы, группа безопасности (Security) или распространения (Distribution), указывается с помощью аргумента –GroupCategory. Область действия группы указывается с помощью параметра GroupScope (допустимые значения DomainLocal, Global, Universal).
Чтобы создать новую группу глобальную групп распространения в указанном OU, вы можете использовать команду
New-ADGroup -Path "OU=Groups,OU=Kaluga,DC=vmblog,DC=ru" -Name "KalugaUsers" -GroupScope Global -GroupCategory Distribution
Теперь создадим новую группу безопасности:
Теперь можно добавить пользователей в эту группу с помощью командлета Add-ADGroupMember:
Add-ADGroupMember RemoteKalugaUsers -Members aaivanov,aaivanov2,vppetrov
Вывести состав список пользователей в группе и сохранить его в csv файл можно так.
В этом разделе описывается создание пользовательских групп серверов, определяемых пользователем, в диспетчер сервера в Windows Server.
Группы серверов
Серверы, добавленные в пул серверов, отображаются на странице все серверы в Диспетчер сервера. Вы можете создавать настраиваемые группы из уже добавленных серверов. Группы серверов позволяют просматривать и управлять меньшим подмножеством пула серверов в качестве логического устройства. Например, можно создать группу « серверы учета » для всех серверов в бухгалтерии организации или группу под названием « Чикаго » для всех серверов, географически расположенных в Чикаго. После создания группы серверов на домашней странице группы в диспетчер сервера отображаются сведения о событиях, службах, счетчиках производительности, анализатор соответствия рекомендациям результатах, а также об установленных ролях и функциях группы в целом.
Серверы могут входить в несколько групп.
Создание новой группы серверов
В меню Управление выберите команду создать группу серверов.
В текстовом поле Имя группы серверов укажите понятное имя для вашей группы серверов, например Серверы учета.
Добавьте серверы в выбранный список из пула серверов или добавьте другие серверы в группу с помощью вкладок Active Directory, DNS или Импорт . Дополнительные сведения об использовании этих вкладок см. в разделе Добавление серверов в Диспетчер сервера в этом руководство.
После добавления серверов в группу нажмите кнопку ОК. Новая группа отобразится в области навигации диспетчер сервера в группе все серверы .
Изменение существующей группы серверов
Выполните одно из следующих действий.
В области навигации диспетчер сервера щелкните правой кнопкой мыши группу серверов и выберите команду изменить группу серверов.
На домашней странице группы серверов откройте меню задачи на плитке серверы и выберите команду изменить группу серверов.
Измените имя группы или добавьте или удалите серверы из группы.
Удаление серверов из группы серверов не приводит к удалению серверов из диспетчер сервера. Удаленные из группы серверы сохраняются в группе Все серверы в пуле серверов.
После изменения группы нажмите кнопку ОК.
Удаление существующей группы серверов
Выполните одно из следующих действий.
В области навигации диспетчер сервера щелкните правой кнопкой мыши группу серверов и выберите команду Удалить группу серверов.
На домашней странице группы серверов откройте меню задачи на плитке серверы , а затем щелкните Удалить группу серверов.
Чтобы подтвердить удаление группы серверов, нажмите кнопку Да.
Удаление группы серверов не приводит к удалению серверов из диспетчер сервера. Удаленные из группы серверы сохраняются в группе Все серверы в пуле серверов.
Для создания и удаления пользователя, группы и подразделения воспользуемся средством централизованного управления сервером - Диспетчер серверов. Далее выбираем "Пользователи и компьютеры Active Directory".
Создание пользователя в домене.
1. Нажимаем "Пуск", далее выбираем "Диспетчер серверов".
2. В новом окне нажимаем "Средства", в открывшемся списке выбираем "Пользователи и компьютеры Active Directory".
3. Далее нажимаем правой клавишей на "User", далее "Создать" - "Пользователь".
4. Заполняем необходимые поля для создания пользователя (Имя, Фамилия, Имя входа пользователя). "Полное имя" заполнится автоматически. Затем нажимаем "Далее".
5. В следующем окне дважды набираем пароль для пользователя. Затем устанавливаем чекбокс на "Требовать смены пароля при следующем входе в систему". Тогда при входе в систему пользователю будет предложено заменить текущий пароль. Нажимаем "Далее".
6. В новом окне смотрим сводную информацию по вновь созданному пользователю и нажимаем "Готово". Будет создан новый пользователь.
Создание группы в домене
1. Для создания группы в домене, нажимаем правой клавишей мыши на "Users", далее "Создать" - "Группа".
2. Задаем "Имя группы", "Область действия группы" и "Тип группы", далее нажимаем "ОК". Будет создана группа.
3. Для добавления пользователей в группу, открываем пользователя, выбираем вкладку "Член групп", нажимаем кнопку "Добавить".
4. В новом окне вводим имя группы, в которую будет добавлен пользователь. Проверяем нажав кнопку "Проверить имена", далее "ОК".
5. Также возможно добавить пользователя в группу, открыв нужную группу. Далее выбираем вкладку "Члены группы". Нажимаем "Добавить".
6. В новом окне вводим имена пользователей, которые будут добавлены в группу. Проверяем нажав клавишу "Проверить имена", далее "ОК".
Добавление подразделения в домене
1. Для добавления подразделения в домене нажимаем правой клавишей мыши на домен, в появившемся меню "Создать" - "Подразделение".
2. Задаём имя подразделения, далее "ОК".
3. Если необходимо, в созданном подразделении создаём вложенные подразделения. Далее в созданные подразделения можно перенести или создать различные объекты (пользователи, компьютеры, группы).
Удаление пользователя
1. Обычно сначала пользователя отключают и по истечении определенного промежутка времени удаляют. Для этого выбираем пользователя, правой клавишей мыши - "Отключить учетную запись".
2. Для удаления выбирают необходимого пользователя, далее правой клавишей мыши - "Удалить".
3. Появится предупреждение о том, что "Вы действительно хотите удалить Пользователь с именем. ". Нажимаем "Да" и выбранный пользователь будет удален из домена.
Удаление группы
1. Для удаления группы в домене выбираем нужную группу, нажимаем правой клавишей - "Удалить".
2. Появится предупреждение о том, что "Вы действительно хотите удалить Группу безопасности. ". Нажимаем "Да". Выбранная группа будет удалена из домена.
Удаление подразделения
1. Перед тем, как удалять подразделение, необходимо снять защиту, которая не дает удалить объект от случайного удаления. Если попробовать просто удалить подразделение, то появится предупреждение - "Недостаточные привилегии для удаления Departmnet1, или объект защищен от случайного удаления".
2. Для снятия защиты в меню "Вид" выбираем "Дополнительные компоненты".
3. Далее выбираем подразделение (объект), которое хотим удалить. Правой клавишей мыши - "Свойства".
4. Выбираем вкладку "Объект". Убираем чекбокс "Защитить объект от случайного удаления", далее "ОК".
5. Далее нажимаем правой клавишей мыши на выбранное подразделение - "Удалить".
6. Появится предупреждение о том, что "Вы действительно хотите удалить Подразделение с именем. ". Нажимаем "Да". Если в выбранном объекте не будет других вложенных объектов, то подразделение будет удалено.
7. Если объект содержит другие объекты, то появится предупреждение "Объект Department1 содержит другие объекты. Вы действительно хотите удалить объект Department1 и все содержащиеся в нем объекты?". Нажимаем "Да" и выбранный объект будет удален с вложенными объектами.
8. Далее в окне "Active Directory - пользователи и компьютеры" в меню "Вид" возвращаем галочку напротив "Дополнительные компоненты".
Посмотреть видео о том, как создать или удалить пользователя, группу, объект в домене можно здесь:
В этой статье мы рассмотрим возможности PowerShell по управлению группами домена Active Directory. Мы рассмотрим, как создать новую группу в AD, добавить в нее пользователей (или удалить), вывести список пользователей группы и несколько других полезных действия с доменными группами, которые чрезвычайно полезны при повседневном администрировании. Для управления группами AD в модуле PowerShell для Active Directory имеются следующие основные командлеты:
Как вы видите, модуль ActiveDirectory загружен. Если нет – импортируйте его командой:
Полный список команд модуля можно получить так:
Get-Command -Module ActiveDirectory
В модуле всего доступно 147 командлетов, из которых с группами могут работать 11.
Get-Command -Module ActiveDirectory -Name "*Group*"
New-ADGroup – создаем новую группу AD
Создадим новую группу в указанном контейнере (OU) Active Directory с помощью команды New-ADGroup:
New-ADGroup "TestADGroup" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global -PassThru –Verbose
С помощью атрибута Description можно задать описание группы, а с помощью DisplayName изменить отображаемое имя.
Параметром GroupScope можно задать один из следующих типов групп:
- 0 = DomainLocal
- 1 = Global
- 2 = Universal
Создать группу распространения можно так:
New-ADGroup "TestADGroup-Distr" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupCategory Distribution -GroupScope Global -PassThru –Verbose
Add-AdGroupMember – добавить пользователей в группу AD
Добавить пользователей в группу Active Directory можно с помощью командлета Add-AdGroupMember. Добавим в новую группу двух пользователей:
Add-AdGroupMember -Identity TestADGroup -Members user1, user2
Если список пользователей, которых нужно добавить в группу довольно большой, можно сохранить список учетных записей в CSV файл, затем импортировать данный файл и добавить каждого пользователя в группу.
Формат CSV файла такой (список пользователей по одному в строке, имя столбца – users)
Import-CSV .\users.csv -Header users | ForEach-Object
Чтобы получить всех членов одной группы (groupA) и добавить их в другую группу (groupB), воспользуйтесь такой командой:
Get-ADGroupMember “GroupA” | Get-ADUser | ForEach-Object
В том случае, если нужно скопировать в новую группу и членов всех вложенных групп (рекурсивно), нужно воспользоваться такой командой:
Get-ADGroupMember -Identity “GroupA” -Recursive | Get-ADUser | ForEach-Object
Remove-ADGroupMember – удалить пользователей из группы
Для удаления пользователей из группы AD нужно использовать командует Remove-ADGroupMember. Удалим из группы двух пользователей:
Remove-ADGroupMember -Identity TestADGroup -Members user1, user2
Подтвердите удаление пользователей из группы:
Если нужно удалить из группы пользователей по списку из CSV файла, воспользуйтесь такой командой:
Import-CSV .\users.csv -Header users | ForEach-Object
Get-ADGroup – получить информацию о группе AD
Получить информацию о группе поможет командлет Get-ADGroup:
Даная команда выводит информацию об основных атрибутах группы (DN, тип группы, имя, SID). Чтобы вывести значение всех атрибутов группы домена AD, выполните такую команду:
Get-ADGroup 'TestADGroup' -properties *
Как вы видите, теперь стали отображаться такие атрибуты, как время создания и модификации группы, описание и т.д.
С помощью командлета Get-ADGroup можно найти все интересующие вас группы по определенному шаблону. Например, нужно найти все группы AD, в имени которых содержится фраза admins :
Get-ADGroup -LDAPFilter “(name=*admins*)” | Format-Table
Get-ADGroupMember – вывести список пользователей группы AD
Вывести на экран список пользователей группы:
Чтобы оставить в результатах только имена пользователей, выполните:
Get-ADGroupMember 'TestADGroup'| ft name
Если в данную группу включены другие группы домена, чтобы вывести полный список членов, в том числе всех вложенных групп, воспользуйтесь параметром Recursive.
Get-ADGroupMember ‘server-admins' -recursive| ft name
Чтобы выгрузить список учетных записей, состоящих в определённой группе в CSV файл (для дальнейшего использования в Excel), выполните такую команду:
Get-ADGroupMember ‘server-admins' -recursive| ft samaccountname| Out-File c:\ps\admins.csv
Чтобы добавить в текстовый файл данные учетных записей пользователей в AD, воспользуемся командлетом Get-ADUser. Например, помимо учетной записи нужно вывести должность и телефон пользователя группы:
Get-ADGroupMember -Identity ’server-admins’ -recursive| foreach
Посчитать количество пользователей в группе можно так:
(Get-ADGroupMember -Identity 'domain admins').Count
Оказалось, что в группе «domain admins» у нас состоит 7 учетных записей администраторов.
Чтобы найти список пустых групп в определенном OU, воспользуйтесь такой командой:
Get-ADGroup -Filter * -Properties Members -searchbase “OU=Moscow,DC=corp,dc=winitpro,DC=ru” | where | select Name
Доменом в Windows Server называют отдельную область безопасности компьютерной сети.
В домене может быть один или несколько серверов выполняющих различные роли. Разрешения, применяемые администратором, распространяются на все компьютеры в домене.
Пользователь, имеющий учетную запись в домене, может войти в систему на любом компьютере, иметь учетную запись на локальном компьютере не требуется.
В домене могут работать несколько тысяч пользователей, при этом компьютеры могут принадлежать к разным локальным сетям.
Несколько доменов имеющих одну и ту же конфигурацию и глобальный каталог называют деревом доменов. Несколько деревьев могут быть объединены в лес.
В домене есть такое понятие как групповая политика. Под групповой политикой понимают настройки системы, которые применяются к группе пользователей. Изменения групповой политики затрагивают всех пользователей входящих в эту политику.
Параметры групповой политики хранятся в виде объектов групповой политики (Group Policy Object, GPO). Эти объекты хранятся в каталоге подобно другим объектам. Различают два вида объектов групповой политики – объекты групповой политики, создаваемые в контексте службы каталога, и локальные объекты групповой политики.
Не будем подробно вдаваться в теорию и перейдем к практике.
Создание домена в Windows Server
На первой странице мастер напоминает, что необходимо сделать перед началом добавления роли на сервер. Нажмите «Далее».
На втором шаге нужно выбрать «Установка ролей и компонентов» и нажать «Далее».
Выбираем сервер, на который нужно установить Active Directory (он у нас один), «Далее».
Теперь нужно выбрать роль, которую нужно добавить. Выбираем «Доменные службы Active Directory». После чего откроется окно, в котором будет предложено установить службы ролей или компоненты, необходимые для установки роли Active Directory, нажмите кнопку «Добавить компоненты», после чего кликните «Далее».
PЗатем нажимайте «Далее», «Далее» и «Установить».
После того, как роль была добавлена на сервер, необходимо настроить доменную службу, то есть установить и настроить контроллер домена.
Настройка контроллера домена Windows Server
Затем нажимайте «Далее» несколько раз до процесса установки.
Когда контроллер домена установиться компьютер будет перезагружен.
Добавление и настройка групп и пользователей в домене Windows Server
Теперь нужно добавить пользователей домена, что бы присоединить к сети рабочие места сотрудников.
Отроем «Пользователи и компьютеры Active Directory». Для этого перейдите в Пуск –> Панель управления –> Система и безопасность –> Администрирование –> Пользователи и компьютеры Active Directory.
Подразделения служат для управления группами компьютеров пользователей. Как правило их именуют в соответствии с подразделениями организации.
Создайте учетную запись пользователя в новом подразделении. Для этого в контекстном меню нового подразделения выберите пункт Создать –> Пользователь. Пусть первым пользователем будет Бухгалтер.
Теперь нужно ввести компьютер в домен и зайти под новым пользователем. Для этого на клиентском компьютере нужно указать DNS-адрес. Для этого откройте «Свойства сетевого подключения» (Пуск –> Панель управления –> Сеть и Интернет – >Центр управления сетями и общим доступом – Изменение параметров адаптера), вызовите контекстное меню подключения и выберите «Свойства».
Выделите «Протокол Интернета версии 4 (TCP/IPv4)», нажмите кнопку «Свойства», выберите «Использовать следующие адреса DNS-серверов» и в поле «Предпочитаемый DNS-сервер» укажите адрес вашего DNS-сервера. Проверьте, что задан IP-адрес и маска той же подсети, в которой находится сервер.
Присоединение компьютера к домену
После перезагрузки войдите в систему под доменной учётной записью пользователя, которая была создана ранее
После ввода пароля операционная система попросит вас сменить пароль.
Вернемся на сервер. Нажмите «Пуск» -> Администрирование и перейдите в окно Управления групповой политикой. Выбираем наш лес, домен, Объекты групповой политики, щелкаем правой кнопкой мыши -> создать. Называем его buh (это объект групповой политики для группы Бухгалтерия).
Теперь необходимо привязать данный объект групповой политики к созданной группе. Для этого нажмите правой кнопкой на созданное подразделение (Бухгалтерия) и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».
Далее выбираем созданный объект.
Выбранный объект должен появиться в списке связанных объектов групповой политики. Для редактирования параметров, определяемых данным объектом, нажмите на него правой кнопкой и выберите «Изменить».
Установка параметров безопасности
Ограничения парольной защиты
Ограничение на параметры парольной системы защиты задаются в контексте «Конфигурация компьютера». Выберите Конфигурация Windows –> Параметры безопасности –> Политики учетных записей –> Политика паролей.
В данном разделе объекта групповой политики определяются следующие параметры:
- «Минимальный срок действия пароля» задает периодичность смены пароля.
- «Минимальная длина пароля» определяет минимальное количество знаков пароля.
- «Максимальный срок действия пароля» определяет интервал времени, через который разрешается менять пароль.
- «Пароль должен отвечать требованиям сложности» определяет требования к составу групп знаков, которые должен включать пароль.
- «Хранить пароли, используя обратимое шифрование» задает способ хранения пароля в базе данных учетных записей.
- «Вести журнал паролей» определяет количество хранимых устаревших паролей пользователя.
Тут нужно указать необходимые параметры (определите самостоятельно).
Политика ограниченного использования программ
Объекты групповой политики позволяют запретить запуск определенных программ на всех компьютерах, на которые распространяется действие политики. Для этого необходимо в объекте групповой политики создать политику ограниченного использования программ и создать необходимые правила. Как это сделать.
После обновления объекта групповой политики на рабочей станции, политика ограниченного использования программ вступит в действие и запуск программ, соответствующих правилам, будет невозможен.
Давайте запретим использовать командную строку на клиентском компьютере.
Запрет запуска командной строки (cmd.exe).
На этом все. Если у вас остались вопросы, обязательно задайте их в комментариях.
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.
Читайте также: