¶ Учетные записи и Active Directory
В инструкции подробно описан процесс создания контроллера домена Active Directory Domain Services: от подготовки Windows Server и конфигурации сети, до создания учетных записей.
Что такое Active Directory?
Доменная служба Active Directory — это реализация службы каталогов Microsoft, которая предоставляет централизованные службы проверки подлинности и авторизации. AD DS в Windows Server предоставляет мощную службу каталогов для централизованного хранения и управления безопасностью, например пользователями, группами и компьютерами, а также обеспечивает централизованный и безопасный доступ к сетевым ресурсам. Active Directory Domain Services используется для организации локальных вычислительных сетей.
Подготовка Windows Server и конфигурация сети
Создание и конфигурация сети
Для начала в панели управления необходимо создать необходимые для сети серверы и один из них будет контроллером домена.
Важно: для работы с Active Directory необходимо при заказе сервера в панели управления отметить галочкой поле “выполнить системную подготовку Windows”.
После создания необходимо объединить все машины в единую частную сеть через панель управления в разделе “Частные сети”, в результате чего они получат локальные IP-адреса.
Настройка сетевого адаптера контроллера домена
Для начала подключитесь к виртуальному серверу по протоколу RDP.
О том как настроить сетевой адаптер написано в нашей инструкции.
Укажите локальный IP-адрес, маску подсети и шлюз по умолчанию из раздела Сети панели управления. В качестве предпочитаемого DNS-сервера укажите IP-адрес шлюза по умолчанию. Сохраните настройки.
Установка Active Directory Domain Service
Откройте Диспетчер серверов и выберете пункт «Add roles and features».
В качестве типа установки укажите Role-based or feature-based installation.
Выберете ваш сервер из пула.
В следующем окне отметьте Active Directory Domain Services (Доменные службы Active Directory).
Добавьте компоненты.
Установите все отмеченные компоненты на VPS с помощью кнопки Установить.
Настройка Active Directory
Для настройки Active Directory Domain Service выполните следующие действия:
- В поиске введите dcpromo и откройте одноименную утилиту.
- В открывшемся окне нажмите Ok.
- Откройте Диспетчер серверов, в вертикальном меню у вас появится вкладка AD DS
- В горизонтальном меню нажмите на восклицательный знак и выберете Promote this server to a domain controller (Повысить роль этогоервера до уровня контроллера).
- В появившемся окне настроек выберите Добавить новый лес (т.к. действия выполняются впервые) и введите ваше доменное имя.
Примечания:
• Имя корневого домена леса не может быть однокомпонентным (например, он должен быть «company.local» вместо «company»);
• Домен должен быть уникальным;
• Рекомендуем использовать уникальное имя домена из списка локальных (напр. company.local) во избежание конфликтов разрешения имен DNS в случае идентичных имен. - учетная запись, с которой делают настройки, должна входить в группу администраторов.
- На следующем шаге введите и подтвердите пароль для режима восстановления служб каталогов.
- На этом шаге просто нажмите Next.
- Укажите удобное имя домена NetBIOS.
- Укажите пути до базы данных AD DS, файлов журналов и папки SYSVOL.
Рекомендуем оставить значения по умолчанию.
- Проверьте настроенные параметры.
- Дождитесь проверки предварительных требований после чего нажмите Установить.
После установки сервер будет перезагружен.
Создание учетных записей
Для создания новых учетных записей и администраторов откройте оснастку Active Directory Users and Computers, для этого откройте Диспетчер серверов и перейдите в раздел AD DS. В контекстном меню сервера выберете соответствующую оснастку.
В новом окне разверните дерево вашего домена и найдите каталог с пользователями Users. Правой кнопкой мыши нажмите на каталог и выберете Создать -> Пользователь.
Для нового пользователя задайте личные данные и имя входа.
Далее введите пароль, который должен быть достаточно сложным и содержать буквы разного регистра и цифры. Дополнительные опции выберите на свое усмотрение.
Создайте нового пользователя.
Чтобы пользователь мог управлять службами Active Directory, его необходимо добавить в группу Domain Admins. Для этого с помощью правой кнопки мыши откройте свойства пользователя и перейдите во вкладку Member Of. Нажмите кнопку Add для добавления в группу.
Выполните поиск группы Domain Admins с помощью кнопки Check Names. Нажмите OK.
Сохраните изменения кнопкой Apply.
Теперь созданный пользователь сможет подключиться к контроллеру домена.
Рекомендуем сразу убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной/частной сетей - отключен.
