Bonne pratique pour mettre en place un petit réseau local basé sur Active Directory. Qu'est-ce qu'Active Directory et comment installer et configurer la base de données

La technologie Active Directory (AD) est un service d'annuaire créé par Microsoft. Un service d'annuaire contient des données dans un format organisé et y fournit un accès organisé. Active Directory n'est pas une invention de Microsoft, mais une implémentation d'un modèle industriel existant (à savoir X.500), d'un protocole de communication (LDAP - Lightweight Directory Access Protocol) et d'une technologie de récupération de données (services DNS).

L'apprentissage d'Active Directory doit commencer par comprendre l'objectif de cette technologie. En termes généraux, un répertoire est un conteneur permettant de stocker des données.

L'annuaire téléphonique est un exemple clair services d'annuaire car ils contiennent un ensemble de données et offrent la possibilité d'obtenir les informations nécessaires à partir de l'annuaire. Le répertoire contient diverses entrées, dont chacune a valeur propre, par exemple, les noms/prénoms des abonnés, leur adresse personnelle et, en fait, leur numéro de téléphone. Dans un répertoire étendu, les entrées sont regroupées par emplacement géographique, par type ou les deux. De cette manière, une hiérarchie de types d'enregistrements peut être formée pour chaque emplacement géographique. De plus, l'opérateur téléphonique répond également à la définition d'un service d'annuaire car il a accès aux données. Par conséquent, si vous faites une demande pour obtenir des données d'annuaire, l'opérateur émettra la réponse requise à la demande reçue.

Le service d'annuaire Active Directory est conçu pour stocker des informations sur toutes les ressources réseau. Les clients ont la possibilité d'interroger Active Directory pour obtenir des informations sur n'importe quel objet réseau. Les fonctionnalités d'Active Directory sont les suivantes :

Stockage sécurisé des données. Chaque objet dans Active Directory possède sa propre liste de contrôle d'accès (ACL), qui contient une liste des ressources auxquelles l'accès à l'objet a été accordé, ainsi qu'un niveau d'accès prédéfini à cet objet.
Un moteur de requête riche en fonctionnalités basé sur le catalogue global (GC) créé par Active Directory. Tous les clients prenant en charge Active Directory peuvent accéder à ce répertoire.
La réplication des données d'annuaire sur tous les contrôleurs de domaine simplifie l'accès aux informations, améliore la disponibilité et améliore la fiabilité de l'ensemble du service.
Un concept d'extension modulaire qui vous permet d'ajouter de nouveaux types d'objets ou d'étendre des objets existants. Par exemple, vous pouvez ajouter l'attribut « salaire » à l'objet « utilisateur ».
Communication réseau utilisant plusieurs protocoles. Active Directory est basé sur le modèle X.500, qui prend en charge divers protocoles réseau tels que LDAP 2, LDAP 3 et HTTP.
Pour implémenter les services de dénomination et de recherche de contrôleur de domaine adresses réseau Le service DNS est utilisé à la place de NetBIOS.

Les informations de l'annuaire sont distribuées sur l'ensemble du domaine, évitant ainsi une duplication excessive des données.

Bien qu'Active Directory distribue les informations d'annuaire entre différents magasins, les utilisateurs ont la possibilité d'interroger Active Directory pour obtenir des informations sur d'autres domaines. Catalogue global contient des informations sur tous les objets d'une forêt d'entreprise, vous aidant ainsi à rechercher des données dans l'ensemble de la forêt.

Lorsque vous démarrez l'utilitaire DCPROMO (programme d'amélioration serveur régulierà un contrôleur de domaine) sur un ordinateur Windows pour créer un nouveau domaine, l'utilitaire crée le domaine sur le serveur DNS. Le client contacte ensuite le serveur DNS pour obtenir des informations sur son domaine. Le serveur DNS fournit des informations non seulement sur le domaine, mais également sur le contrôleur de domaine le plus proche. Le système client, à son tour, se connecte à la base de données du domaine Active Directory sur le contrôleur de domaine le plus proche afin de rechercher les objets nécessaires (imprimantes, serveurs de fichiers, utilisateurs, groupes, unités organisationnelles) qui font partie du domaine. Étant donné que chaque contrôleur de domaine stocke des références à d’autres domaines dans l’arborescence, le client peut effectuer une recherche dans l’intégralité de l’arborescence des domaines.

Une version d'Active Directory qui répertorie tous les objets d'une forêt de domaine est disponible lorsque vous devez rechercher des données en dehors de l'arborescence de domaine d'un client. Cette version est appelée catalogue global. Le catalogue global peut être stocké sur n'importe quel contrôleur de domaine de la forêt AD.

Le catalogue global fournit un accès rapide à chaque objet situé dans la forêt de domaines, mais il ne contient que certains paramètres d'objet. Pour obtenir tous les attributs, vous devez contacter le service Active Directory du domaine cible (le contrôleur du domaine d'intérêt). Le catalogue global peut être configuré pour fournir les propriétés d'objet requises.

Pour simplifier le processus de création d'objets Active Directory, le contrôleur de domaine gère une hiérarchie de copies et de classes pour l'ensemble de la forêt. Active Directory contient des structures de classes dans un schéma extensible auquel de nouvelles classes peuvent être ajoutées.

Schéma fait partie de l'espace de noms de configuration Windows pris en charge par tous les contrôleurs de domaine de la forêt. L'espace de noms de configuration Windows se compose de plusieurs éléments structurels, tels que emplacement physique, Sites et sous-réseaux Windows.

Site est contenu dans une forêt et peut combiner des ordinateurs de n'importe quel domaine, et tous les ordinateurs du site doivent disposer de connexions réseau rapides et fiables pour sauvegarder les données du contrôleur de domaine.

Sous-réseau est un groupe d'adresses IP attribuées à un site. Les sous-réseaux vous permettent d'accélérer la réplication des données Active Directory entre les contrôleurs de domaine.

Annotation: Cette conférence décrit les concepts de base des services d'annuaire Active Directory. Des exemples pratiques de gestion d'un système de sécurité réseau sont donnés. Le mécanisme des politiques de groupe est décrit. Fournit un aperçu des tâches de l'administrateur réseau lors de la gestion de l'infrastructure du service d'annuaire

Les réseaux modernes sont souvent constitués de nombreux plateformes logicielles, une grande variété de matériels et de logiciels. Les utilisateurs sont souvent obligés de mémoriser un grand nombre de mots de passe pour accéder à divers ressources réseau. Les droits d'accès peuvent être différents pour un même collaborateur selon les ressources avec lesquelles il travaille. Toute cette multitude de relations nécessite un temps énorme de la part de l'administrateur et de l'utilisateur pour l'analyse, la mémorisation et l'apprentissage.

Une solution au problème de la gestion d'un réseau aussi hétérogène a été trouvée avec le développement d'un service d'annuaire. Les services d'annuaire offrent la possibilité de gérer n'importe quelle ressource et service depuis n'importe où, quels que soient la taille du réseau, les systèmes d'exploitation utilisés ou la complexité du matériel. Les informations utilisateur sont saisies une seule fois dans le service d'annuaire, puis deviennent disponibles sur l'ensemble du réseau. Adresses e-mail, appartenances à des groupes, droits d'accès et comptes nécessaires pour travailler avec différents systèmes d'exploitation - tout cela est créé et mis à jour automatiquement. Toute modification apportée au service d'annuaire par un administrateur est immédiatement mise à jour sur l'ensemble du réseau. Les administrateurs n'ont plus à se soucier des employés en chômage technique : en supprimant simplement un compte utilisateur du service d'annuaire, ils peuvent garantir suppression automatique tous les droits d'accès aux ressources du réseau précédemment accordés à cet employé.

Actuellement, la plupart des services d'annuaire de diverses sociétés sont basés sur la norme X.500. Le protocole généralement utilisé pour accéder aux informations stockées dans les services d'annuaire est (LDAP). Avec le développement rapide des réseaux TCP/IP, LDAP devient la norme pour les services d'annuaire et les applications qui utilisent les services d'annuaire.

Service d'annuaire Active Directory est la base de la structure logique des réseaux d'entreprise basés sur le système Windows. Le terme " Catalogue"au sens le plus large signifie" Annuaire", UN service d'annuaire Le réseau d'entreprise est un annuaire d'entreprise centralisé. Un annuaire d'entreprise peut contenir des informations sur des objets de différents types. Service d'annuaire Active Directory contient principalement les objets sur lesquels repose le système de sécurité réseau Windows : comptes d'utilisateurs, de groupes et d'ordinateurs. Les comptes sont organisés en structures logiques : domaine, arborescence, forêt, unités organisationnelles.

Du point de vue de l'étude de la matière du cours « Networking » administration« L'option suivante pour réussir le matériel de formation est tout à fait possible : étudiez d'abord la première partie de cette section (des concepts de base à l'installation des contrôleurs de domaine), puis allez dans « Service de fichiers et d'impression », et après avoir étudié « Service de fichiers et d'impression » revenez à « Active Directory Service Directory » pour en savoir plus sur les concepts avancés des services d'annuaire.

6.1 Termes et concepts de base (forêt, arbre, domaine, unité organisationnelle). Planification de l’espace de noms AD. Installation de contrôleurs de domaine

Modèles de gestion de la sécurité : modèle de groupe de travail et modèle de domaine centralisé

Comme mentionné ci-dessus, l'objectif principal des services d'annuaire est de gérer la sécurité du réseau. La base de la sécurité du réseau est une base de données de comptes d'utilisateurs, de groupes d'utilisateurs et d'ordinateurs, à l'aide de laquelle l'accès aux ressources du réseau est contrôlé. Avant de parler du service d'annuaire Active Directory, comparons deux modèles de création d'une base de données de services d'annuaire et de gestion de l'accès aux ressources.

Modèle de groupe de travail

Ce modèle de gestion de la sécurité des réseaux d'entreprise est le plus primitif. Il est destiné à être utilisé dans de petites réseaux peer-to-peer(3 à 10 ordinateurs) et est basé sur le fait que chaque ordinateur du réseau avec les systèmes d'exploitation Windows NT/2000/XP/2003 possède sa propre base de données de comptes locale et, à l'aide de cette base de données locale, accède aux ressources de cette base de données. l'ordinateur est contrôlé. La base de données locale des comptes est appelée une base de données SAM (Gestionnaire de comptes de sécurité) et est stocké dans le registre du système d'exploitation. Base de données ordinateurs individuels complètement isolés les uns des autres et n’ayant aucun lien entre eux.

Un exemple de contrôle d'accès lors de l'utilisation de ce modèle est illustré à la Fig. 6.1.

Riz. 6.1.

DANS dans cet exemple deux serveurs (SRV-1 et SRV-2) et deux postes de travail (WS-1 et WS-2) sont affichés. Leurs bases de données SAM sont respectivement désignées SAM-1, SAM-2, SAM-3 et SAM-4 (les bases de données SAM sont représentées par un ovale sur la figure). Chaque base de données possède des comptes utilisateur User1 et User2. Le nom complet de l'utilisateur 1 sur le serveur SRV-1 sera « SRV-1\User1 » et le nom complet de l'utilisateur 1 sur le poste de travail WS-1 sera « WS-1\User1 ». Imaginons qu'un dossier Folder ait été créé sur le serveur SRV-1, auquel User1 a accès via le réseau - lecture (R), User2 - lecture et écriture (RW). Le point principal de ce modèle est que l'ordinateur SRV-1 « ne sait » rien des comptes des ordinateurs SRV-2, WS-1, WS-2, ainsi que de tous les autres ordinateurs du réseau. Si un utilisateur portant le nom User1 se connecte localement au système sur un ordinateur, par exemple WS-2 (ou, comme on dit aussi, « se connecte avec le nom local User1 sur l'ordinateur WS-2 »), alors quand en essayant d'accéder depuis cet ordinateur via le réseau au dossier Dossier sur le serveur SRV-1, le serveur demandera à l'utilisateur de saisir un nom et un mot de passe (l'exception est si les utilisateurs portant les mêmes noms ont les mêmes mots de passe).

Le modèle de groupe de travail est plus facile à apprendre et il n'est pas nécessaire d'apprendre les concepts complexes d'Active Directory. Mais lorsqu'il est utilisé sur un réseau avec un grand nombre d'ordinateurs et de ressources réseau, il devient très difficile de gérer les noms d'utilisateur et leurs mots de passe - il faut créer manuellement les mêmes comptes avec les mêmes mots de passe sur chaque ordinateur (qui partage ses ressources sur le réseau). ), ce qui demande beaucoup de travail, ou la création d'un compte pour tous les utilisateurs avec un mot de passe pour tous (ou aucun mot de passe du tout), ce qui réduit considérablement le niveau de sécurité des informations. Par conséquent, le modèle Workgroup est recommandé uniquement pour les réseaux avec un nombre d'ordinateurs de 3 à 10 (ou mieux encore, pas plus de 5), à condition que parmi tous les ordinateurs, il n'y en ait pas un seul exécutant Windows Server.

Modèle de domaine

Dans le modèle de domaine, il existe une base de données de services d'annuaire unique accessible à tous les ordinateurs du réseau. A cet effet, des serveurs spécialisés sont installés sur le réseau, appelés contrôleurs de domaine, qui stockent cette base de données sur leurs disques durs. En figue. 6.2. montre un diagramme du modèle de domaine. Les serveurs DC-1 et DC-2 sont des contrôleurs de domaine ; ils stockent la base de données des comptes de domaine (chaque contrôleur stocke sa propre copie de la base de données, mais toutes les modifications apportées à la base de données sur l'un des serveurs sont répliquées sur les autres contrôleurs).

Riz. 6.2.

Dans un tel modèle, si, par exemple, sur le serveur SRV-1, qui est membre du domaine, accès général au dossier Dossier, puis les droits d'accès à cette ressource peut être attribué non seulement aux comptes de la base de données SAM locale d'un serveur donné, mais, surtout, aux comptes stockés dans la base de données du domaine. Dans la figure, les droits d'accès au dossier Dossier sont accordés à un compte local sur l'ordinateur SRV-1 et à plusieurs comptes de domaine (utilisateurs et groupes d'utilisateurs). Dans le modèle de gestion de la sécurité du domaine, un utilisateur s'enregistre sur un ordinateur (« se connecte ») avec son compte de domaine et, quel que soit l'ordinateur sur lequel l'enregistrement a été effectué, a accès aux ressources réseau nécessaires. Et il n'est pas nécessaire de créer un grand nombre de comptes locaux sur chaque ordinateur, tous les enregistrements ont été créés une fois dans la base de données du domaine. Et à l'aide d'une base de données de domaines, cela est réalisé contrôle d'accès centralisé aux ressources du réseau quel que soit le nombre d'ordinateurs sur le réseau.

Objectif du service d'annuaire Active Directory

L'annuaire (répertoire) peut stocker diverses informations relatives aux utilisateurs, groupes, ordinateurs, imprimantes réseau, partages de fichiers, etc. - nous appellerons tous ces objets. Le répertoire stocke également des informations sur l'objet lui-même ou sur ses propriétés, appelées attributs. Par exemple, les attributs stockés dans l'annuaire concernant un utilisateur peuvent être le nom de son responsable, son numéro de téléphone, son adresse, son nom de connexion, son mot de passe, les groupes auxquels il appartient et bien plus encore. Pour qu'un magasin d'annuaire soit utile aux utilisateurs, il doit exister des services qui interagissent avec l'annuaire. Par exemple, vous pouvez utiliser un répertoire comme référentiel d'informations pouvant être utilisé pour authentifier un utilisateur, ou comme emplacement où vous pouvez envoyer une requête pour rechercher des informations sur un objet.

Active Directory est responsable non seulement de la création et de l'organisation de ces petits objets, mais également des grands objets tels que les domaines, les OU (unités organisationnelles) et les sites.

Découvrez ci-dessous les termes de base utilisés dans le contexte du service d'annuaire Active Directory.

Service d'annuaire Active Directory (en abrégé AD) garantit le fonctionnement efficace des environnements d'entreprise complexes en offrant les fonctionnalités suivantes :

Authentification unique sur le réseau; Les utilisateurs peuvent se connecter au réseau avec un seul nom d'utilisateur et un seul mot de passe et accéder à toutes les ressources et services du réseau (services d'infrastructure réseau, services de fichiers et d'impression, serveurs d'applications et de bases de données, etc.) ;
Sécurité des informations. Les contrôles d'authentification et d'accès aux ressources intégrés à Active Directory assurent une sécurité réseau centralisée ;
Gestion centralisée. Les administrateurs peuvent gérer de manière centralisée toutes les ressources de l'entreprise ;
Administration à l'aide de stratégies de groupe. Lorsqu'un ordinateur démarre ou qu'un utilisateur se connecte au système, les exigences de la stratégie de groupe sont remplies ; leurs paramètres sont stockés dans objets de stratégie de groupe( GPO ) et s'appliquent à tous les comptes d'utilisateurs et d'ordinateurs situés dans des sites, domaines ou unités organisationnelles ;
Intégration DNS. Les services d'annuaire dépendent entièrement du service DNS pour fonctionner. Les serveurs DNS, à leur tour, peuvent stocker les informations de zone dans la base de données Active Directory ;
Extensibilité de l'annuaire. Les administrateurs peuvent ajouter de nouvelles classes d'objets au schéma du catalogue ou ajouter de nouveaux attributs aux classes existantes ;
Évolutivité. Le service Active Directory peut s'étendre sur un seul domaine ou sur plusieurs domaines combinés dans une arborescence de domaines, et une forêt peut être créée à partir de plusieurs arborescences de domaines ;
Réplication des informations. Active Directory utilise la réplication des informations de service dans un schéma multi-maître ( multi-maître), qui vous permet de modifier la base de données Active Directory sur n'importe quel contrôleur de domaine. La présence de plusieurs contrôleurs dans un domaine offre une tolérance aux pannes et la possibilité de répartir la charge du réseau ;
Flexibilité des requêtes de catalogue. La base de données Active Directory peut être utilisée pour rechercher rapidement n'importe quel objet AD à l'aide de ses propriétés (par exemple, le nom ou l'adresse e-mail d'un utilisateur, le type ou l'emplacement de l'imprimante, etc.) ;
Interfaces de programmation standards. Pour les développeurs de logiciels, le service d'annuaire donne accès à toutes les fonctionnalités d'annuaire et prend en charge les normes et interfaces de programmation (API) standard de l'industrie.

Active Directory peut créer un large éventail de objets divers. Un objet est une entité unique au sein d'un annuaire et possède généralement de nombreux attributs qui permettent de le décrire et de le reconnaître. Un compte utilisateur est un exemple d'objet. Ce type d'objet peut avoir de nombreux attributs tels que le prénom, le nom, le mot de passe, le numéro de téléphone, l'adresse et bien d'autres. De la même manière, une imprimante partagée peut également être un objet dans Active Directory et ses attributs sont son nom, son emplacement, etc. Les attributs d'objet vous aident non seulement à définir un objet, mais vous permettent également de rechercher des objets dans le Répertoire.

Terminologie

Service d'annuaire Les systèmes Windows Server reposent sur des normes technologiques généralement acceptées. La norme originale pour les services d'annuaire était X.500, qui était destiné à créer des répertoires évolutifs hiérarchiques de type arborescence avec la possibilité d'étendre à la fois les classes d'objets et les ensembles d'attributs (propriétés) de chaque classe individuelle. Cependant, la mise en œuvre pratique de cette norme s’est révélée inefficace en termes de performances. Ensuite, sur la base de la norme X.500, une version simplifiée (allégée) de la norme de création d'annuaires a été développée, appelée LDAP (Protocole d'accès à l'annuaire léger). Le protocole LDAP conserve toutes les propriétés de base de X.500 ( système hiérarchique construire un répertoire, évolutivité, extensibilité), mais permet en même temps une mise en œuvre assez efficace de cette norme dans la pratique. Le terme " poids léger " (" poids léger") dans le nom LDAP reflète l'objectif principal du développement du protocole : créer une boîte à outils pour créer un service d'annuaire doté d'une puissance fonctionnelle suffisante pour résoudre les problèmes de base, mais qui ne soit pas surchargé de technologies complexes qui rendent la mise en œuvre des services d'annuaire inefficace. Actuellement, LDAP est méthode standard accès aux informations de l'annuaire réseau et joue un rôle fondamental dans de nombreux produits tels que systèmes d'authentification, programmes et applications de messagerie commerce électronique. Il existe aujourd'hui plus de 60 serveurs LDAP commerciaux sur le marché, dont environ 90 % sont des serveurs d'annuaire LDAP autonomes, le reste étant proposé en tant que composants d'autres applications.

Le protocole LDAP définit clairement la gamme d'opérations d'annuaire qu'une application client peut effectuer. Ces opérations se répartissent en cinq groupes :

établir une connexion avec le catalogue ;
y rechercher des informations ;
modification de son contenu ;
ajouter un objet ;
supprimer un objet.

Sauf protocole LDAP service d'annuaire Active Directory utilise également un protocole d'authentification Kerberos et un service DNS pour rechercher sur le réseau les composants des services d'annuaire (contrôleurs de domaine, serveurs de catalogue global, service Kerberos, etc.).

Domaine

L'unité de base de la sécurité Active Directory est domaine. Le domaine constitue le domaine de responsabilité administrative. La base de données de domaine contient des comptes utilisateurs, groupes Et des ordinateurs. La plupart des fonctions de gestion des services d'annuaire fonctionnent au niveau du domaine (authentification des utilisateurs, contrôle d'accès aux ressources, gestion des services, gestion de la réplication, politiques de sécurité).

Les noms de domaine Active Directory sont formés de la même manière que les noms dans l'espace de noms DNS. Et ce n'est pas un hasard. Le service DNS est un moyen de rechercher des composants de domaine, principalement des contrôleurs de domaine.

Contrôleurs de domaine- des serveurs spéciaux qui stockent la partie de la base de données Active Directory correspondant à un domaine donné. Les principales fonctions des contrôleurs de domaine :

Stockage de base de données Active Directory(organisation de l'accès aux informations contenues dans le catalogue, y compris la gestion de ces informations et leur modification) ;
synchronisation des modifications dans AD(les modifications apportées à la base de données AD peuvent être apportées sur n'importe lequel des contrôleurs de domaine, toute modification apportée sur l'un des contrôleurs sera synchronisée avec les copies stockées sur d'autres contrôleurs) ;
Authentification d'utilisateur(n'importe lequel des contrôleurs de domaine vérifie l'autorité des utilisateurs qui s'enregistrent sur les systèmes clients).

Il est fortement recommandé d'installer au moins deux contrôleurs de domaine dans chaque domaine - d'une part, pour se protéger contre la perte de la base de données Active Directory en cas de panne d'un contrôleur, et d'autre part, pour répartir la charge entre les contrôleurs.it.company.ru il existe un sous-domaine dev.it.company.ru, créé pour le département de développement logiciel du service informatique.

décentraliser l'administration des services d'annuaire (par exemple, dans le cas où une entreprise a des succursales géographiquement éloignées les unes des autres et où la gestion centralisée est difficile pour des raisons techniques) ;
augmenter la productivité (pour les entreprises disposant d'un grand nombre d'utilisateurs et de serveurs, la question de l'augmentation des performances des contrôleurs de domaine est pertinente) ;
pour une gestion plus efficace de la réplication (si les contrôleurs de domaine sont éloignés les uns des autres, la réplication dans l'un d'eux peut prendre plus de temps et créer des problèmes en utilisant des données non synchronisées) ;

domaine racine de la forêt

Unités organisationnelles (UO).

Divisions organisationnelles (Unités organisationnelles, UO) - conteneurs à l'intérieur d'AD créés pour combiner des objets à des fins délégation de droits administratifs Et appliquer des stratégies de groupe dans le domaine. OP existe uniquement dans les domaines et peut combiner uniquement les objets de votre domaine. Les OP peuvent être imbriqués les uns dans les autres, ce qui vous permet de créer une hiérarchie arborescente complexe de conteneurs au sein d'un domaine et de mettre en œuvre un contrôle administratif plus flexible. De plus, des PO peuvent être créés pour refléter la hiérarchie administrative et la structure organisationnelle de l'entreprise.

Catalogue global

Catalogue global est une liste tous les objets, qui existent dans la forêt Active Directory. Par défaut, les contrôleurs de domaine contiennent uniquement des informations sur les objets de leur domaine. Serveur de catalogue global est un contrôleur de domaine qui contient des informations sur chaque objet (mais pas sur tous les attributs de ces objets) trouvé dans une forêt donnée.

Active Directory

Active Directory(« annuaires actifs », ANNONCE) - LDAP-Mise en œuvre compatible du service d'annuaire de la société Microsoft pour les systèmes d'exploitation familiaux Windows NT. Active Directory permet aux administrateurs d'utiliser des stratégies de groupe pour garantir une configuration uniforme de l'environnement de travail de l'utilisateur, de déployer des logiciels sur plusieurs ordinateurs via des stratégies de groupe ou via Gestionnaire de configuration de System Center(précédemment Serveur de gestion des systèmes Microsoft), installer les mises à jour du système d'exploitation, des applications et des logiciels serveur sur tous les ordinateurs du réseau à l'aide du service de mise à jour. Serveur Windows . Active Directory stocke les données et les paramètres d’environnement dans une base de données centralisée. Réseaux Active Directory peut être de différentes tailles : de plusieurs dizaines à plusieurs millions d'objets.

Performance Active Directory a eu lieu en 1999, le produit a été lancé pour la première fois avec Serveur Windows 2000, et a ensuite été modifié et amélioré lors de sa sortie Windows Serveur 2003. Ensuite Active Directory a été amélioré dans Windows Serveur 2003 R2, Windows Serveur 2008 Et Windows Serveur 2008 R2 et renommé en Services de domaine Active Directory. Le service d'annuaire s'appelait auparavant Service d'annuaire NT (NTDS), ce nom se retrouve encore dans certains fichiers exécutables.

Contrairement aux versions les fenêtres avant Windows 2000, qui utilisait principalement le protocole NetBIOS pour communication réseau, service Active Directory intégré avec DNS Et TCP/IP. Le protocole d'authentification par défaut est Kerberos. Si le client ou l'application ne prend pas en charge l'authentification Kerberos, le protocole est utilisé NTLM .

Appareil

Objets

Active Directory Il a structure hiérarchique, composé d'objets. Les objets se répartissent en trois catégories principales : les ressources (telles que les imprimantes), les services (tels que la messagerie électronique) et les comptes d'utilisateurs et d'ordinateurs. Active Directory fournit des informations sur les objets, vous permet d'organiser les objets, d'en contrôler l'accès et établit également des règles de sécurité.

Les objets peuvent être des conteneurs pour d'autres objets (groupes de sécurité et de distribution). Un objet est identifié de manière unique par son nom et possède un ensemble d'attributs (caractéristiques et données) qu'il peut contenir ; ces derniers dépendent à leur tour du type d’objet. Les attributs constituent la base de la structure d'un objet et sont définis dans le schéma. Le schéma définit quels types d'objets peuvent exister.

Le schéma lui-même se compose de deux types d'objets : les objets de classe de schéma et les objets d'attribut de schéma. Un objet de classe de schéma définit un type d'objet Active Directory(tel qu'un objet User), et un objet d'attribut de schéma définit l'attribut que l'objet peut avoir.

Chaque objet d'attribut peut être utilisé dans plusieurs objets de classe de schéma différents. Ces objets sont appelés objets de schéma (ou métadonnées) et vous permettent de modifier et d'étendre le schéma selon vos besoins. Cependant, chaque objet de schéma fait partie des définitions d'objet Active Directory, donc désactiver ou modifier ces objets peut avoir de graves conséquences, car à la suite de ces actions, la structure sera modifiée Active Directory. Les modifications apportées à un objet de schéma sont automatiquement propagées vers Active Directory. Une fois créé, un objet de schéma ne peut pas être supprimé, il peut uniquement être désactivé. En règle générale, toutes les modifications de schéma sont soigneusement planifiées.

Récipient similaire objet dans le sens où il possède également des attributs et appartient à un espace de noms, mais contrairement à un objet, un conteneur ne représente rien de spécifique : il peut contenir un groupe d'objets ou d'autres conteneurs.

Structure

Le niveau supérieur de la structure est la forêt - la collection de tous les objets, attributs et règles (syntaxe des attributs) dans Active Directory. Une forêt contient un ou plusieurs arbres reliés par des liens transitifs relations de confiance . L'arborescence contient un ou plusieurs domaines, également liés dans une hiérarchie par des relations de confiance transitives. Les domaines sont identifiés par leurs structures de noms DNS – espaces de noms.

Les objets d'un domaine peuvent être regroupés en conteneurs - divisions. Les divisions permettent de créer une hiérarchie au sein d'un domaine, de simplifier son administration et de modéliser la structure organisationnelle et/ou géographique d'une entreprise en Active Directory. Les divisions peuvent contenir d'autres divisions. société Microsoft recommande d'utiliser le moins de domaines possible dans Active Directory, et utiliser les divisions pour la structuration et les politiques. Les politiques de groupe sont souvent appliquées spécifiquement aux départements. Les stratégies de groupe sont elles-mêmes des objets. Une division est le niveau le plus bas auquel l'autorité administrative peut être déléguée.

Une autre façon de diviser Active Directory sont des sites , qui sont une méthode de regroupement physique (plutôt que logique) basée sur des segments de réseau. Les sites sont divisés en ceux qui ont des connexions via des canaux à bas débit (par exemple, via des canaux de réseau mondial, utilisant des réseaux privés virtuels) et via des canaux à haut débit (par exemple, via un réseau local). Un site Web peut contenir un ou plusieurs domaines, et un domaine peut contenir un ou plusieurs sites Web. Lors de la conception Active Directory Il est important de prendre en compte le trafic réseau créé lors de la synchronisation des données entre les sites.

Décision de conception clé Active Directory est la décision de diviser l'infrastructure de l'information en domaines et divisions hiérarchiques haut niveau. Les modèles typiques utilisés pour une telle séparation sont des modèles de séparation par divisions fonctionnelles de l'entreprise, par situation géographique et par rôles dans l'infrastructure d'information de l'entreprise. Des combinaisons de ces modèles sont souvent utilisées.

Structure physique et réplication

Physiquement, les informations sont stockées sur un ou plusieurs contrôleurs de domaine équivalents, remplaçant ceux utilisés dans Windows NT contrôleurs de domaine principal et de secours, bien qu'un serveur dit « d'opérations à maître unique » soit conservé pour certaines opérations, qui peut émuler un contrôleur de domaine principal. Chaque contrôleur de domaine conserve une copie en lecture-écriture des données. Les modifications apportées sur un contrôleur sont synchronisées sur tous les contrôleurs de domaine via la réplication. Serveurs sur lesquels le service lui-même Active Directory non installés, mais qui font partie du domaine Active Directory, sont appelés serveurs membres.

Réplication Active Directory effectué sur demande. Service Vérificateur de cohérence des connaissances crée une topologie de réplication qui utilise les sites définis dans le système pour contrôler le trafic. La réplication intrasite se produit fréquemment et automatiquement à l'aide d'un vérificateur de cohérence (informant les partenaires de réplication des modifications). La réplication entre sites peut être configurée pour chaque canal de site (en fonction de la qualité du canal) - un « score » (ou « coût ») différent peut être attribué à chaque canal (par ex. DS3, , RNIS etc.), et le trafic de réplication sera limité, planifié et acheminé en fonction de l'estimation du lien attribué. Les données de réplication peuvent circuler de manière transitive entre plusieurs sites via des ponts de liens de sites si le « score » est faible, bien qu'AD attribue automatiquement un score inférieur aux liens de site à site qu'aux liens transitifs. La réplication de site à site est effectuée par des serveurs têtes de pont sur chaque site, qui répliquent ensuite les modifications apportées à chaque contrôleur de domaine de son site. La réplication intra-domaine suit le protocole RPC selon le protocole PI, interdomaine - peut également utiliser le protocole SMTP.

Si la structure Active Directory contient plusieurs domaines, il est utilisé pour résoudre le problème de recherche d'objets catalogue global: Un contrôleur de domaine qui contient tous les objets de la forêt, mais avec un ensemble limité d'attributs (une réplique partielle). Le catalogue est stocké sur les serveurs de catalogue global spécifiés et répond aux requêtes inter-domaines.

La fonctionnalité d'hôte unique permet de traiter les requêtes lorsque la réplication multi-hôtes n'est pas possible. Il existe cinq types de telles opérations : émulation de contrôleur de domaine maître (émulateur PDC), maître d'identifiant relatif (maître d'identifiant relatif ou maître RID), maître d'infrastructure (maître d'infrastructure), maître de schéma (maître de schéma) et maître de dénomination de domaine (domaine). assistant de dénomination). Les trois premiers rôles sont uniques au sein du domaine, les deux derniers sont uniques au sein de la forêt entière.

Base Active Directory peut être divisé en trois magasins logiques ou « partitions ». Le diagramme est un modèle pour Active Directory et définit tous les types d'objets, leurs classes et attributs, la syntaxe des attributs (tous les arbres sont dans la même forêt car ils ont le même schéma). La configuration est la structure de la forêt et des arbres Active Directory. Un domaine stocke toutes les informations sur les objets créés dans ce domaine. Les deux premiers magasins sont répliqués sur tous les contrôleurs de domaine de la forêt, la troisième partition est entièrement répliquée entre les contrôleurs de réplique au sein de chaque domaine et partiellement répliquée sur les serveurs de catalogue global.

Appellation

Active Directory les soutiens formats suivants dénomination d'objet : noms de types universels UNC, URL Et URL LDAP. Version LDAP Format de dénomination X.500 utilisé en interne Active Directory.

Chaque objet a nom distingué (Anglais) nom distingué, DN) . Par exemple, un objet imprimante nommé HPLaser3 dans l'UO Marketing et dans le domaine foo.org aura le nom distinctif suivant : CN=HPLaser3,OU=Marketing,DC=foo,DC=org , où CN est le nom commun, OU est la section, DC est le domaine classe d'objet. Les noms distinctifs peuvent comporter beaucoup plus de parties que les quatre parties de cet exemple. Les objets ont également des noms canoniques. Il s'agit de noms distinctifs écrits dans l'ordre inverse, sans identifiants et utilisant des barres obliques comme délimiteurs : foo.org/Marketing/HPLaser3. Pour définir un objet à l'intérieur de son conteneur, utilisez nom distinctif relatif : CN=HPLaser3 . Chaque objet possède également un identifiant unique (GUID) est une chaîne de 128 bits unique et immuable utilisée dans Active Directory pour la recherche et la réplication. Certains objets ont également un UPN ( UPN, conformément à RFC822) au format objet@domaine.

Intégration UNIX

Différents niveaux d'interaction avec Active Directory peut être mis en œuvre dans la plupart UNIX-comme les systèmes d'exploitation grâce à la conformité aux normes LDAP clients, mais ces systèmes, en règle générale, ne perçoivent pas la plupart des attributs associés aux composants les fenêtres, comme les politiques de groupe et la prise en charge des procurations unidirectionnelles.

Les fournisseurs tiers proposent des intégrations Active Directory sur les plateformes UNIX, y compris UNIX, Linux, Mac OS X et un certain nombre d'applications basées sur Java, avec un pack de produits :

Ajouts de schéma inclus avec Windows Serveur 2003 R2 inclure des attributs suffisamment étroitement liés à la RFC 2307 pour être utilisés en général. Implémentations de base de RFC 2307, nss_ldap et pam_ldap, proposées PADL.com, prennent directement en charge ces attributs. Le schéma standard d'appartenance à un groupe suit la RFC 2307bis (proposée). Windows Serveur 2003 R2 inclut Microsoft Management Console pour créer et modifier des attributs.

Une autre option consiste à utiliser un autre service d'annuaire, tel que 389 Serveur d'annuaire(précédemment Serveur d'annuaire Fedora, FDS), eB2Bcom ViewDS v7.1 Répertoire compatible XML ou Serveur d'annuaire Sun Java System depuis Microsystèmes Sun, qui effectue une synchronisation bidirectionnelle avec Active Directory, réalisant ainsi une intégration « réfléchie » lorsque les clients UNIX Et Linux sont authentifiés FDS, et les clients les fenêtres sont authentifiés Active Directory. Une autre option consiste à utiliser OuvertLDAP avec capacité de superposition translucide étendant les éléments du serveur distant LDAP attributs supplémentaires stockés dans la base de données locale.

Active Directory sont automatisés à l'aide PowerShell .

Littérature

Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Serveur d'échange 2003 . Guide complet = Microsoft Exchange Server 2003 libéré. - M. : « Williams », 2006. - P. 1024. - ISBN 0-672-32581-0

voir également

Liens

Remarques

Composants Microsoft Windows
Basique
Prestations de service gestion
Applications	Contacts pour les créateurs de DVD Télécopies et numérisation Internet Explorer Revue Loupe Centre des médias Lecteur Windows Media Programme de collaboration Centre de périphériques Windows Mobile Centre de mobilité Peinture du narrateur Éditeur de symboles personnel Assistance à distance Reconnaissance de la parole Bloc-notes Carnet de notes Panneau latéral Enregistrement sonore Calendrier Calculatrice Ciseaux Mail table des symboles Historique: Cinéaste Cyberconférence Outlook Express Gestionnaire de programme Gestionnaire de fichiers album photo
Jeux
Noyau du système d'exploitation
Prestations de service
Déposer systèmes
Serveur	Active Directory Services de déploiement Service de réplication de fichiers Domaines DNS Redirection de dossiers Services multimédias Hyper-V IIS MSMQ Protection d'accès au réseau (NAP) Services d'impression pour UNIX Compression différentielle à distance Services d'installation à distance Service de gestion des droits Profils d'utilisateurs itinérants SharePoint Gestionnaire de ressources système Bureau à distance WSUS Stratégie de groupe Coordinateur de transactions distribuées
Architecture
Sécurité
Compatibilité

Microsoft
PAR
Logiciel serveur
Les technologies
l'Internet
Jeux
Matériel sécurité
Éducation
Licence
Divisions

Il a longtemps été inclus dans la catégorie des principes conservateurs pour la construction logique d’une infrastructure de réseau. Mais de nombreux administrateurs continuent d'utiliser les groupes de travail et les domaines Windows NT dans leur travail. La mise en œuvre d'un service d'annuaire sera intéressante et utile aussi bien aux administrateurs novices qu'expérimentés pour centraliser la gestion du réseau et assurer le bon niveau de sécurité.

Active Directory, une technologie apparue dans la gamme de systèmes Win2K il y a six ans, pourrait être qualifiée de révolutionnaire. En termes de flexibilité et d'évolutivité, c'est un ordre de grandeur supérieur aux domaines NT 4, sans parler des réseaux constitués de groupes de travail.

Ils sont répartis par périmètre :

Les groupes universels peuvent inclure des utilisateurs au sein d'une forêt, ainsi que d'autres groupes universels ou groupes globaux de n'importe quel domaine de la forêt ;
Les groupes de domaines globaux peuvent inclure des utilisateurs de domaine et d'autres groupes globaux du même domaine ;
les groupes de domaines locaux sont utilisés pour différencier les droits d'accès ; ils peuvent inclure des utilisateurs de domaine, ainsi que des groupes universels et des groupes globaux de n'importe quel domaine de la forêt ;
groupes d'ordinateurs locaux – groupes contenus par SAM (gestionnaire de compte de sécurité) machine locale. Leur portée est limitée uniquement à une machine donnée, mais ils peuvent inclure des groupes locaux du domaine dans lequel se trouve l'ordinateur, ainsi que des groupes universels et globaux de leur propre domaine ou d'un autre en qui ils ont confiance. Par exemple, vous pouvez inclure un utilisateur du groupe Utilisateurs locaux du domaine dans le groupe Administrateurs de la machine locale, lui donnant ainsi des droits d'administrateur, mais uniquement pour cet ordinateur.

Sites Internet

Il s'agit d'un moyen de séparer physiquement un service d'annuaire. Par définition, un site est un groupe d'ordinateurs connectés par des canaux de transfert de données rapides.

Par exemple, si vous possédez plusieurs succursales dans différentes régions du pays, reliées par des lignes de communication à bas débit, vous pouvez créer votre propre site Web pour chaque succursale. Ceci est fait pour augmenter la fiabilité de la réplication d'annuaire.

Cette division d'AD n'affecte pas les principes de construction logique, donc, tout comme un site peut contenir plusieurs domaines, et vice versa, un domaine peut contenir plusieurs sites. Mais il y a un piège dans cette topologie de service d’annuaire. En règle générale, Internet est utilisé pour communiquer avec les succursales - un environnement très peu sécurisé. De nombreuses entreprises utilisent des mesures de sécurité telles que des pare-feu. Le service d'annuaire utilise environ une douzaine de ports et de services dans son travail, dont l'ouverture pour que le trafic AD passe à travers le pare-feu l'exposera en fait « à l'extérieur ». La solution au problème consiste à utiliser la technologie de tunneling, ainsi que la présence d'un contrôleur de domaine sur chaque site pour accélérer le traitement des requêtes des clients AD.

Entité du service d'annuaire

Pour fournir un certain niveau de sécurité, tout système d'exploitation doit disposer de fichiers contenant une base de données utilisateur. DANS versions précédentes Windows NT a utilisé pour cela le fichier SAM (Security Accounts Manager). Il contenait les informations d’identification de l’utilisateur et était crypté. Aujourd'hui, SAM est également utilisé dans les systèmes d'exploitation de la famille NT 5 (Windows 2000 et versions ultérieures).

Lorsque vous promouvez un serveur membre en contrôleur de domaine à l'aide de la commande DCPROMO (qui exécute en fait l'Assistant Installation des services d'annuaire), le sous-système Sécurité Windows Le serveur 2000/2003 démarre en utilisant une base de données AD centralisée. Cela peut être facilement vérifié - après avoir créé un domaine, essayez d'ouvrir le composant logiciel enfichable Gestion de l'ordinateur sur le contrôleur et recherchez-y « Utilisateurs et groupes locaux ». De plus, essayez de vous connecter à ce serveur en utilisant un compte local. Il est peu probable que vous réussissiez.

La plupart des données utilisateur sont stockées dans le fichier NTDS.DIT (Directory Information Tree). NTDS.DIT est une base de données modifiée. Il est créé en utilisant la même technologie que la base Données Microsoft Accéder. Les algorithmes de fonctionnement des contrôleurs de domaine contiennent une variante du moteur de base de données JET Données d'accès, qui s'appelait ESE (Extensible Storage Engine - moteur de stockage extensible). NTDS.DIT et les services qui interagissent avec ce fichier sont en réalité un service d'annuaire.

La structure de l'interaction entre les clients AD et le magasin de données principal, similaire à l'espace de noms du service d'annuaire, est présentée dans l'article. Pour compléter la description, il convient de mentionner l'utilisation d'identifiants globaux. Un identifiant unique global (GUID) est un nombre de 128 bits associé à chaque objet lors de sa création pour garantir son unicité. Le nom de l'objet AD peut être modifié, mais le GUID restera inchangé.

Catalogue global

Vous avez probablement déjà remarqué que la structure AD peut être très complexe et contenir un grand nombre d'objets. Pensez simplement au fait qu'un domaine AD peut inclure jusqu'à 1,5 million d'objets. Mais cela peut entraîner des problèmes de performances lors de l’exécution des opérations. Ce problème est résolu à l'aide du catalogue global (,). Il contient une version abrégée de l'intégralité de la forêt AD, ce qui permet d'accélérer les recherches d'objets. Le propriétaire du catalogue global peut être des contrôleurs de domaine spécialement désignés à cet effet.

Les rôles

Dans AD, il existe une certaine liste d'opérations dont l'exécution peut être attribuée à un seul contrôleur. On les appelle des rôles FSMO (Opérations flexibles à maître unique). Il y a un total de 5 rôles FSMO dans AD. Examinons-les plus en détail.

Au sein de la forêt, il doit y avoir une garantie que les noms de domaine sont uniques lors de l'ajout d'un nouveau domaine à la forêt de domaines. Cette garantie est réalisée par l'exécuteur du rôle de propriétaire de l'opération de nommage de domaine ( Maître de dénomination de domaine) Jouer le rôle de propriétaire de schéma ( Maître de schéma) apporte toutes les modifications au schéma d'annuaire. Les rôles Propriétaire du nom de domaine et Propriétaire du schéma doivent être uniques au sein de la forêt de domaines.

Comme je l'ai déjà dit, lorsqu'un objet est créé, il est associé à un identifiant global, qui garantit son unicité. C'est pourquoi le contrôleur chargé de générer les GUID et agissant en tant que propriétaire des identifiants relatifs ( Maître d'identification relative), il doit y en avoir un et un seul au sein du domaine.

Contrairement aux domaines NT, AD n'a pas le concept de PDC et BDC (contrôleurs de domaine principaux et de secours). L'un des rôles de la FSMO est Émulateur PDC(Émulateur de contrôleur de domaine principal). Un serveur exécutant Windows NT Server peut servir de contrôleur de domaine de secours dans AD. Mais on sait que les domaines NT ne peuvent utiliser qu'un seul contrôleur principal. C'est pourquoi Microsoft a fait en sorte qu'au sein d'un domaine AD, nous puissions désigner un seul serveur pour assumer le rôle d'émulateur PDC. Ainsi, en s'écartant de la terminologie, on peut parler de la présence d'un contrôleur de domaine principal et d'un contrôleur de domaine de secours, c'est-à-dire du titulaire du rôle FSMO.

Lorsque des objets sont supprimés ou déplacés, l'un des contrôleurs doit conserver une référence à cet objet jusqu'à ce que la réplication soit terminée. Ce rôle est joué par le propriétaire de l'infrastructure d'annuaire ( Maître des infrastructures).

Les trois derniers rôles exigent que l'interprète soit unique au sein du domaine. Tous les rôles sont attribués au premier contrôleur créé dans la forêt. Lors de la création d'une infrastructure AD étendue, vous pouvez déléguer ces rôles à d'autres contrôleurs. Des situations peuvent également survenir lorsque le propriétaire de l'un des rôles n'est pas disponible (le serveur est en panne). Dans ce cas, vous devez effectuer l'opération de capture de rôle FSMO à l'aide de l'utilitaire NTDSUTIL(nous parlerons de son utilisation dans les articles suivants). Mais soyez prudent, car lorsqu'un rôle est saisi, le service d'annuaire suppose qu'il n'y a pas de propriétaire précédent et ne le contacte pas du tout. Le retour de l'ancien titulaire du rôle dans le réseau peut entraîner une perturbation de son fonctionnement. Ceci est particulièrement critique pour le propriétaire du schéma, le propriétaire du nom de domaine et le propriétaire de l'identité.

Quant aux performances : le rôle de l'émulateur du contrôleur de domaine principal est le plus gourmand en ressources de l'ordinateur, il peut donc être attribué à un autre contrôleur. Les rôles restants ne sont pas si exigeants, donc lors de leur distribution, vous pouvez vous laisser guider par les nuances de la conception logique de votre AD.
La dernière étape du théoricien

La lecture de l’article ne devrait en aucun cas vous faire passer du statut de théoricien à celui de praticien. Car tant que vous n'avez pas pris en compte tous les facteurs depuis l'emplacement physique des nœuds du réseau jusqu'à la construction logique de l'ensemble du répertoire, vous ne devriez pas vous mettre au travail et créer un domaine avec des réponses simples aux questions de l'assistant d'installation d'AD. Pensez au nom de votre domaine et, si vous souhaitez en créer des enfants, comment ils seront nommés. S'il existe plusieurs segments sur le réseau connectés par des canaux de communication peu fiables, envisagez d'utiliser des sites.

Comme guide pour l'installation d'AD, je peux vous recommander d'utiliser des articles et, ainsi que la base de connaissances Microsoft.

Enfin, quelques conseils :

Essayez, si possible, de ne pas combiner les rôles d'émulateur PDC et de serveur proxy sur la même machine. Premièrement, avec un grand nombre de machines sur le réseau et d'utilisateurs Internet, la charge sur le serveur augmente, et deuxièmement, avec une attaque réussie contre votre proxy, non seulement Internet tombera, mais aussi le contrôleur de domaine principal, et cela peut conduire à un mauvais fonctionnement de l’ensemble du réseau.
Si vous administrez constamment un réseau local et que vous n'avez pas l'intention d'implémenter Active Directory pour vos clients, ajoutez des machines au domaine progressivement, disons quatre à cinq par jour. Parce que si vous avez un grand nombre de machines sur votre réseau (50 ou plus) et que vous le gérez seul, il est peu probable que vous le gériez même pendant le week-end, et même si vous le gérez, on ne sait pas à quel point tout sera correct. . De plus, pour échanger de la documentation au sein du réseau, vous pouvez utiliser un serveur de fichiers ou de messagerie interne (je l'ai décrit dans le n°11, 2006). La seule chose dans ce cas est de bien comprendre comment configurer les droits des utilisateurs pour accéder au serveur de fichiers. Car si, par exemple, il n'est pas inclus dans le domaine, l'authentification de l'utilisateur sera effectuée sur la base des enregistrements de la base de données SAM locale. Il n'y a aucune donnée sur les utilisateurs du domaine. Cependant, si votre serveur de fichiers est l'une des premières machines incluses dans AD et n'est pas un contrôleur de domaine, il sera alors possible de s'authentifier via la base de données SAM locale et la base de données du compte AD. Mais pour la dernière option, vous devrez paramètres locaux sécurité pour permettre (si cela n'a pas déjà été fait) l'accès au serveur de fichiers sur le réseau pour les membres du domaine et les comptes locaux.

Découvrez la configuration plus approfondie du service d'annuaire (création et gestion de comptes, attribution de stratégies de groupe, etc.) dans l'article suivant.

Application

Quoi de neuf dans Active Directory dans Windows Server 2003

Avec la sortie de Windows Server 2003, les modifications suivantes sont apparues dans Active Directory :

Il est devenu possible de renommer un domaine après sa création.
L'interface utilisateur de contrôle a été améliorée. Par exemple, vous pouvez modifier les attributs de plusieurs objets à la fois.
Un bon outil de gestion des stratégies de groupe est apparu - la console de gestion des stratégies de groupe (gpmc.msc, vous devez le télécharger depuis le site Web de Microsoft).
Les niveaux fonctionnels du domaine et de la forêt ont changé.

À PROPOS dernier changement doit être dit plus en détail. Un domaine AD dans Windows Server 2003 peut se situer à l'un des niveaux suivants, répertoriés par ordre croissant de fonctionnalités :

Windows 2000 Mixte (Windows 2000 mixte). Il est permis d'avoir des contrôleurs de différentes versions - Windows NT et Windows 2000/2003. De plus, si les serveurs Windows 2000/2003 sont égaux, alors le serveur NT, comme déjà mentionné, ne peut agir que comme contrôleur de domaine de secours.
Windows 2000 natif (Windows 2000 naturel). Il est permis d'avoir des contrôleurs exécutant Windows Server 2000/2003. Ce niveau est plus fonctionnel, mais a ses limites. Par exemple, vous ne pourrez pas renommer les contrôleurs de domaine.
Windows Server 2003 Interim (Windows Server 2003 intermédiaire). Il est permis d'avoir des contrôleurs exécutant Windows NT, ainsi que Windows Server 2003. Utilisé, par exemple, lorsque le contrôleur de domaine principal exécute Serveur Windows NT est en cours de mise à jour vers W2K3. Le niveau a légèrement plus de fonctionnalités que le niveau natif de Windows 2000.
Windows Server 2003 : Seuls les contrôleurs exécutant Windows Server 2003 sont autorisés dans le domaine. A ce niveau, vous pouvez profiter de toutes les fonctionnalités du service d'annuaire Windows Server 2003.

Les niveaux fonctionnels d'une forêt de domaines sont essentiellement les mêmes que pour les domaines. La seule exception est qu'il n'existe qu'un seul niveau de Windows 2000, auquel il est possible d'utiliser des contrôleurs exécutant Windows NT, ainsi que Windows Server 2000/2003, dans la forêt.

Il est à noter que changer le niveau fonctionnel d’un domaine et d’une forêt est une opération irréversible. Autrement dit, il n’y a pas de compatibilité ascendante.

1. Korobko I. Active Directory - théorie de la construction. //"Administrateur système", n°1, 2004 - pp. 90-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=01.2004;a=11).

2. Markov R. Domains Windows 2000/2003 - abandon du groupe de travail. //"Administrateur système", n° 9, 2005 – pp. 8-11. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2005; a=01).

3. Markov R.Installation et L'installation de Windows Serveur 2K. //"Administrateur système", n° 10, 2004 - pp. 88-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=10.2004;a=12).

Alexandre Emelianov

Un composant fondamental des services de domaine dans chaque organisation sont les principes de sécurité, qui fournissent aux utilisateurs, groupes ou ordinateurs ayant besoin d'accéder à des ressources spécifiques sur le réseau. Ce sont ces objets, appelés entités de sécurité, qui peuvent se voir accorder des autorisations pour accéder aux ressources sur le réseau, et chaque entité se voit attribuer un identifiant de sécurité unique (SID), composé de deux parties, lors de la création de l'objet. SID de l’identifiant de sécurité est une représentation numérique qui identifie de manière unique une entité de sécurité. La première partie d'un tel identifiant est identifiant de domaine. Étant donné que les entités de sécurité sont situées dans le même domaine, tous ces objets se voient attribuer le même identifiant de domaine. La deuxième partie du SID est identifiant relatif (RID), qui est utilisé pour identifier de manière unique l'entité principale de sécurité par rapport à l'agence qui délivre le SID.

Bien que la plupart des organisations planifient et déploient une infrastructure de services de domaine une seule fois et que la plupart des objets subissent des modifications très peu fréquentes, les entités de sécurité constituent une exception importante à cette règle, qui doivent être périodiquement ajoutées, modifiées et supprimées. Les comptes d’utilisateurs sont l’un des éléments fondamentaux de l’identification. Essentiellement, les comptes d'utilisateurs sont des objets physiques, principalement des personnes qui sont des employés de votre organisation, mais il existe des exceptions où les comptes d'utilisateurs sont créés pour certaines applications en tant que services. Les comptes d'utilisateurs jouent un rôle essentiel dans l'administration de l'entreprise. Ces rôles incluent :

ID de l'utilisateur, puisque le compte créé vous permet de vous connecter aux ordinateurs et aux domaines avec exactement les données dont l'authenticité est vérifiée par le domaine ;
Autorisations d'accès aux ressources du domaine, qui sont attribués à un utilisateur pour accorder l'accès aux ressources du domaine en fonction d'autorisations explicites.

Les objets de compte utilisateur font partie des objets les plus courants dans Active Directory. C'est aux comptes d'utilisateurs que les administrateurs doivent accorder une attention particulière, car il est courant que les utilisateurs viennent travailler dans une organisation, se déplacent entre les départements et les bureaux, se marient, divorcent et même quittent l'entreprise. De tels objets sont une collection d'attributs, et un seul compte utilisateur peut contenir plus de 250 attributs différents, soit plusieurs fois le nombre d'attributs sur les postes de travail et les ordinateurs exécutant le système d'exploitation Linux. Lorsque vous créez un compte utilisateur, un ensemble limité d'attributs est créé, puis vous pouvez ajouter des informations d'identification utilisateur telles que des informations sur l'organisation, des adresses utilisateur, des numéros de téléphone, etc. Il est donc important de noter que certains attributs sont obligatoire, et le reste - facultatif. Dans cet article, je parlerai des méthodes clés de création de comptes d'utilisateurs, de certains attributs facultatifs, et je décrirai également les outils qui vous permettent d'automatiser les actions de routine associées à la création de comptes d'utilisateurs.

Création d'utilisateurs à l'aide d'utilisateurs et d'ordinateurs Active Directory

Dans la grande majorité des cas administrateurs système Pour créer les fondamentaux de sécurité, ils préfèrent utiliser le composant logiciel enfichable, qui est ajouté au dossier "Administration" immédiatement après l'installation du rôle "Services de domaine Active Directory" et promouvoir le serveur en contrôleur de domaine. Cette méthode est la plus pratique car elle utilise une interface utilisateur graphique pour créer des principes de sécurité et l'assistant de création de compte utilisateur est très simple à utiliser. Au désavantage cette méthode Cela peut être attribué au fait que lors de la création d'un compte utilisateur, vous ne pouvez pas définir immédiatement la plupart des attributs et vous devrez ajouter les attributs nécessaires en modifiant le compte. Pour créer un compte utilisateur, suivez ces étapes :

Sur le terrain "Nom" Entrez votre nom d'utilisateur;
Sur le terrain "Initiales" saisir ses initiales (le plus souvent les initiales ne sont pas utilisées) ;
Sur le terrain "Nom de famille" saisir le nom de famille de l'utilisateur à créer ;
Champ "Nom et prénom" utilisé pour créer de tels attributs objet créé, comme nom commun CN et afficher les propriétés du nom. Ce champ doit être unique sur l'ensemble du domaine, il est renseigné automatiquement et ne doit être modifié que si nécessaire ;
Champ "Nom de connexion utilisateur" est obligatoire et est destiné au nom de connexion au domaine de l'utilisateur. Ici, vous devez entrer votre nom d'utilisateur et sélectionner le suffixe UPN dans la liste déroulante, qui sera située après le symbole @ ;
Champ "Nom de connexion utilisateur (pré-Windows 2000)" est destiné au nom de connexion des systèmes antérieurs au système d'exploitation Windows 2000. Ces dernières années, les propriétaires de tels systèmes sont devenus de plus en plus rares dans les organisations, mais le champ est obligatoire, car certains logiciel utilise cet attribut pour identifier les utilisateurs ;

Après avoir rempli tous les champs obligatoires, cliquez sur le bouton "Plus loin":

Riz. 2. Boîte de dialogue de création de compte utilisateur

Sur la page suivante de l'assistant de création de compte utilisateur, vous devrez saisir le mot de passe utilisateur initial dans le champ "Mot de passe" et confirmez-le sur le terrain "Confirmation". De plus, vous pouvez sélectionner un attribut qui indique que la première fois qu'un utilisateur se connecte, il doit modifier lui-même le mot de passe de son compte. Il est préférable d'utiliser cette option en conjonction avec les politiques de sécurité locales "Politique de mot de passe", qui vous permettra de créer des mots de passe forts pour vos utilisateurs. Aussi, en cochant l'option « Interdire à l'utilisateur de modifier le mot de passe » vous fournissez à l’utilisateur votre mot de passe et l’empêchez de le modifier. Lors de la sélection de l'option "Le mot de passe n'expire pas" Le mot de passe du compte utilisateur n'expirera jamais et n'aura pas besoin d'être modifié périodiquement. Si vous cochez la case "Déconnecter le compte", alors ce compte ne sera pas destiné à des travaux ultérieurs et l'utilisateur disposant d'un tel compte ne pourra pas se connecter tant qu'il ne sera pas activé. Cette option, comme la plupart des attributs, sera abordé dans la section suivante de cet article. Après avoir sélectionné tous les attributs, cliquez sur le bouton "Plus loin". Cette page de l'assistant est présentée dans l'illustration suivante :

Riz. 3. Créez un mot de passe pour le compte que vous créez

Sur dernière page Assistant, vous verrez un résumé des paramètres que vous avez entrés. Si les informations sont correctement saisies, cliquez sur le bouton "Prêt" pour créer un compte utilisateur et terminer l'assistant.

Création d'utilisateurs basés sur des modèles

En règle générale, les organisations comptent de nombreuses divisions ou départements auxquels appartiennent vos utilisateurs. Dans ces services, les utilisateurs disposent de propriétés similaires (par exemple, nom du service, poste, numéro de bureau, etc.). Pour gérer le plus efficacement possible les comptes d'utilisateurs d'un service, par exemple à l'aide de politiques de groupe, il est conseillé de les créer au sein du domaine dans des services spéciaux (en d'autres termes, des conteneurs) basés sur des modèles. Modèle de compte appelé un compte qui est apparu pour la première fois à l'époque de l'exploitation Systèmes Windows NT, dans lequel les attributs communs à tous les utilisateurs créés sont pré-remplis. Pour créer un modèle de compte utilisateur, procédez comme suit :

Sont communs. Cet onglet est destiné à renseigner les attributs des utilisateurs individuels. Ces attributs incluent le prénom et le nom de l'utilisateur, une brève description du compte, le numéro de téléphone de l'utilisateur, le numéro de chambre, e-mail, ainsi qu'un site Internet. Etant donné que ces informations sont individuelles pour chaque utilisateur, les données renseignées dans cet onglet ne sont pas copiées ;
Adresse. Dans l'onglet actuel, vous pouvez renseigner la boîte aux lettres, la ville, la région, le code postal et le pays où vivent les utilisateurs, qui seront créés sur la base de ce modèle. Étant donné que les noms de rue de chaque utilisateur ne correspondent généralement pas, les données de ce champ ne peuvent pas être copiées ;
Compte. Dans cet onglet, vous pouvez spécifier exactement quand l'utilisateur se connecte, les ordinateurs auxquels les utilisateurs peuvent se connecter, les paramètres du compte tels que le stockage du mot de passe, les types de cryptage, etc., ainsi que la date d'expiration du compte ;
Profil. L'onglet courant permet de préciser le chemin d'accès au profil, le script de connexion, le chemin local du dossier de départ, ainsi que les lecteurs réseau sur lesquels le dossier personnel compte;
Organisation. Sur cet onglet, vous pouvez indiquer le poste des employés, le service dans lequel ils travaillent, le nom de l'organisation et le nom du chef de service ;
Les membres du groupe. C'est ici que sont spécifiés le groupe principal et les appartenances aux groupes.

Ce sont les principaux onglets que vous remplissez lors de la création de modèles de compte. En plus de ces six onglets, vous pouvez également renseigner des informations dans 13 onglets. La plupart de ces onglets seront abordés dans les articles ultérieurs de cette série.

L'étape suivante crée un compte utilisateur basé sur le modèle actuel. Pour ce faire, faites un clic droit sur le modèle de compte et sélectionnez la commande dans le menu contextuel "Copie";

Dans la boîte de dialogue "Copier l'objet - Utilisateur" Saisissez le prénom, le nom et le nom de connexion de l'utilisateur. Sur la page suivante, entrez votre mot de passe et votre confirmation, puis décochez l'option "Déconnecter le compte". Terminez le travail du sorcier ;

Riz. 5. Boîte de dialogue Copier le compte utilisateur

Une fois votre compte créé, accédez aux propriétés du compte que vous avez créé et vérifiez les propriétés que vous ajoutez au modèle. Les attributs configurés seront copiés sur le nouveau compte.

Création d'utilisateurs à l'aide de la ligne de commande

Comme pour la plupart des choses, le système d'exploitation Windows dispose d'utilitaires de ligne de commande avec une fonctionnalité d'interface utilisateur graphique similaire. "Active Directory - Utilisateurs et ordinateurs". Ces commandes sont appelées commandes DS car elles commencent par les lettres DS. Pour créer des entités de sécurité, utilisez la commande Dsadd. Après la commande elle-même, des modificateurs sont spécifiés qui déterminent le type et le nom distinctif de l'objet. Dans le cas de la création de comptes utilisateurs, vous devez préciser le modificateur utilisateur, qui est le type de l'objet. Après le type d'objet, vous devez saisir le nom distinctif de l'objet lui-même. Le DN (Distinguished Name) d'un objet est un jeu de résultats qui contient le nom unique. Après le DN se trouve généralement le nom d'utilisateur UPN ou le nom de connexion de l'utilisateur précédent. Versions Windows. S'il y a des espaces dans le nom distinctif, le nom doit être placé entre guillemets. La syntaxe de la commande est la suivante :

Dsadd user DN_name –samid account_name –UPN_name –pwd password – Options supplémentaires

Il y a 41 paramètres pouvant être utilisés avec cette commande. Regardons les plus courants d'entre eux :

-samid– nom du compte utilisateur ;

-upn– nom de connexion utilisateur antérieur à Windows 2000 ;

-fn– le nom d'utilisateur, qui est interface graphique champ rempli "Nom";

-mi– initiale de l'utilisateur ;

-ln– le nom de famille de l’utilisateur, précisé dans le champ « Nom » de l’assistant de création de compte utilisateur ;

-afficher– spécifie le nom d'utilisateur complet, qui est automatiquement généré dans l'interface utilisateur ;

-empide– le code d'employé créé pour l'utilisateur ;

-pwd– paramètre définissant le mot de passe utilisateur. Si vous spécifiez le symbole astérisque (*), vous serez invité à saisir le mot de passe utilisateur en mode de visualisation protégé ;

-desc – brève description pour un compte utilisateur ;

-membre de– un paramètre qui détermine l’appartenance de l’utilisateur à un ou plusieurs groupes ;

-bureau– localisation du bureau où travaille l'utilisateur. Dans les propriétés du compte, ce paramètre se trouve dans l'onglet "Organisation";

-tél– numéro de téléphone de contact de l’utilisateur actuel ;

-e-mail– l’adresse email de l’utilisateur, que l’on retrouve dans l’onglet "Sont communs";

-hometel– paramètre indiquant le numéro téléphone fixe utilisateur;

-mobile– le numéro de téléphone de l'utilisateur mobile ;

-fax– le numéro du télécopieur utilisé par l'utilisateur actuel ;

-titre– la position de l’utilisateur dans l’organisation ;

-département– ce paramètre permet de préciser le nom du service dans lequel travaille cet utilisateur ;

-entreprise– le nom de l’entreprise où travaille l’utilisateur créé ;

-hmdir– le répertoire principal de l’utilisateur, dans lequel se trouveront ses documents ;

-hmdrv- le moyen de lecteur réseau, où se trouvera le dossier personnel du compte

-profil– chemin du profil utilisateur;

-mustchpwd– ce paramètre indique que l'utilisateur doit changer son mot de passe lors de ses connexions ultérieures ;

-canchpwd– un paramètre qui détermine si l'utilisateur doit changer son mot de passe. Si la valeur du paramètre est "Oui", alors l'utilisateur aura la possibilité de changer le mot de passe ;

-réversiblepwd– le paramètre actuel détermine le stockage du mot de passe utilisateur par cryptage inverse ;

-pwdneverexpire– une option indiquant que le mot de passe n’expirera jamais. Dans ces quatre paramètres, les valeurs ne peuvent être que "Oui" ou "Non";

-accexpire– un paramètre qui détermine après combien de jours le compte expirera. Une valeur positive représente le nombre de jours au bout desquels le compte expirera, tandis qu'une valeur négative signifie qu'il a déjà expiré ;

-désactivé– indique que le compte est déjà désactivé. Les valeurs de ce paramètre sont également "Oui" ou "Non";

-q– spécification du mode silencieux pour le traitement des commandes.

Exemple d'utilisation :

Dsadd utilisateur "cn=Alexey Smirnov,OU=Marketing,OU=Users,DC=testdomain,DC=com" -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -display "Alexey Smirnov" - tél "743-49-62" -email [email protégé]-dept Marketing -company TestDomain -title Marketer -hmdir \\dc\profiles\Alexey.Smirnov -hmdrv X -mustchpwd oui -disabled non

Riz. 6. Création d'un compte utilisateur à l'aide de l'utilitaire Dsadd

Création d'utilisateurs à l'aide de la commande CSVDE

Un autre utilitaire de ligne de commande, CSVDE, vous permet d'importer ou d'exporter des objets Active Direcoty, présentés sous forme de fichier cvd - un fichier texte séparé par des virgules qui peut être créé à l'aide du tableur Microsoft Excel ou du simple éditeur de texte Bloc-notes. Dans ce fichier, chaque objet est représenté sur une ligne et doit contenir les attributs répertoriés sur la première ligne. Il convient de prêter attention au fait qu'en utilisant cette commande, vous ne pouvez pas importer les mots de passe des utilisateurs, c'est-à-dire qu'immédiatement après la fin de l'opération d'importation, les comptes d'utilisateurs seront désactivés. Un exemple d'un tel fichier est le suivant :

Riz. 7. Soumission de fichiers CSV

La syntaxe de la commande est la suivante :

Csvde –i –f nom de fichier.csv –k

-je. Un paramètre qui contrôle le mode d'importation. Si vous ne spécifiez pas ce paramètre, cette commande utilisera le mode d'exportation par défaut ;
-F
-k
-v
-j
-u. Une option qui vous permet d'utiliser le mode Unicode.

Exemple d'utilisation de la commande :

Csvde -i -f d:\testdomainusers.csv -k

Riz. 8. Importez des comptes d'utilisateurs à partir d'un fichier CSV

Importation d'utilisateurs à l'aide de LDIFDE

L'utilitaire de ligne de commande Ldifde vous permet également d'importer ou d'exporter des objets Active Directory à l'aide du format de fichier LDIF (Lightweight Directory Access Protocol Data Interchange File). Ce format de fichier est constitué d'un bloc de lignes qui forment une opération spécifique. Contrairement aux fichiers CSV, dans ce format de fichier, chaque ligne individuelle représente un ensemble d'attributs, suivi de deux points et de la valeur de l'attribut actuel lui-même. Tout comme dans un fichier CSV, la première ligne doit être l'attribut DN. Ceci est suivi de la ligne changeType, qui spécifie le type d'opération (ajouter, modifier ou supprimer). Pour apprendre à comprendre ce format de fichier, vous devez connaître au moins les attributs clés des principes de sécurité. Un exemple est fourni ci-dessous :

Riz. 9. Exemple de fichier LDF

La syntaxe de la commande est la suivante :

Ldifde -i -f nomfichier.csv -k

-je. Un paramètre qui contrôle le mode d'importation. Si vous ne spécifiez pas cette option, cette commande utilisera le mode d'exportation par défaut ;
-F. Un paramètre qui identifie le nom du fichier à importer ou à exporter ;
-k. Un paramètre conçu pour continuer l'importation, en ignorant toutes les erreurs possibles ;
-v. Un paramètre à l'aide duquel vous pouvez afficher des informations détaillées ;
-j. Paramètre responsable de l'emplacement du fichier journal ;
-d. Paramètre spécifiant la racine de recherche LDAP ;
-F. Paramètre destiné au filtre de recherche LDAP ;
-p. Représente la portée ou la profondeur de la recherche ;
-l. Destiné à spécifier une liste d'attributs séparés par des virgules qui seront inclus dans l'exportation des objets résultants ;

Création d'utilisateurs à l'aide de VBScript

VBScript est l'un des outils les plus puissants conçus pour automatiser les tâches administratives. Cet outil vous permet de créer des scripts conçus pour automatiser la plupart des actions pouvant être effectuées via l'interface utilisateur. Les VBScripts sont des fichiers texte qui peuvent généralement être modifiés par les utilisateurs à l'aide d'outils standard. éditeurs de texte(par exemple le Bloc-notes). Et pour exécuter des scripts, il vous suffit de double-cliquer sur l'icône du script elle-même, qui s'ouvrira à l'aide de la commande Wscript. Pour créer un compte utilisateur dans VBScript, il n'existe pas de commande spécifique. Vous devez donc d'abord vous connecter au conteneur, puis utiliser la bibliothèque d'adaptateurs Active Directory Services Interface (ADSI) à l'aide de l'instruction Get-Object, dans laquelle vous exécutez une chaîne de requête LDAP qui fournit un surnom de protocole LDAP:// avec le nom distinctif de l'objet. Par exemple, Set objOU=GetObject("LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com"). La deuxième ligne de code active la méthode Create de la division pour créer un objet d'une classe spécifique avec un nom unique spécifique, par exemple Set objUser=objOU.Create("user","CN= Yuriy Soloviev"). La troisième ligne contient la méthode Put, où vous devez spécifier le nom de l'attribut et sa valeur. La dernière ligne de ce script confirme les modifications apportées, c'est-à-dire objUser.SetInfo().

Exemple d'utilisation :

Définir objOU=GetObject("LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com" Définir objUser=objOU.Create("user","CN= Yuri Solovyov") objUser.Put "sAMAccountName" ,"Yuriy.Soloviev" objUser.Put "UserPrincipalName" [email protégé]" objUser.Put "givenName", "Yuri" objUser.Put "sn" Soloviev" objUser.SetInfo()

Création d'utilisateurs à l'aide de PowerShell

Le système d'exploitation Windows Server 2008 R2 a introduit la possibilité de gérer des objets Active Directory à l'aide de Windows PowerShell. L'environnement PowerShell est considéré comme un puissant shell de ligne de commande, développé sur la base du .Net Framework et conçu pour gérer et automatiser l'administration des systèmes d'exploitation Windows et des applications qui s'exécutent sous ces systèmes d'exploitation. PowerShell comprend plus de 150 outils de ligne de commande, appelés applets de commande, qui permettent de gérer les ordinateurs d'entreprise à partir de la ligne de commande. Ce shell est un composant du système d'exploitation.

Pour créer un nouvel utilisateur dans un domaine Active Directory, utilisez l'applet de commande New-ADUser, dont la plupart des valeurs de propriété peuvent être ajoutées à l'aide des paramètres de cette applet de commande. Le paramètre –Path est utilisé pour afficher le nom LDAP. Ce paramètre spécifie le conteneur ou l'unité d'organisation (OU) du nouvel utilisateur. Si le paramètre Path n'est pas spécifié, la cmdlet crée un objet utilisateur dans le conteneur par défaut pour les objets utilisateur du domaine, qui est le conteneur Utilisateurs. Pour spécifier un mot de passe, utilisez le paramètre –AccountPassword avec la valeur (Read-Host -AsSecureString "Mot de passe pour votre compte"). Il convient également de prêter attention au fait que la valeur du paramètre –Country est exactement le code du pays ou de la région de la langue sélectionnée par l'utilisateur. La syntaxe de l'applet de commande est la suivante :

Nouvel utilisateur ADU [-Name] [-CompteExpirationDate ] [-CompteNotDelegated ] [-Mot de passe du compte ] [-AllowReversiblePasswordEncryption ] [-AuthType (Négocier | Basique)] [-CannotChangePassword ] [-Certificats ] [-ChangePasswordAtLogon ] [-Ville ] [-Entreprise ] [-Pays ] [-Identifiant ] [-Département ] [-Description ] [-Afficher un nom ] [-Division ] [-Adresse e-mail ] [-IDemployé ] [-Numéro d'employé ] [-Activé ] [-Fax ] [-Prénom ] [-Répertoire Accueil ] [-HomeDrive ] [-Page d'accueil ] [-Téléphone fixe ] [-Initiales ] [-Exemple ] [-LogonWorkstations ] [-Directeur ] [-Téléphone mobile ] [-Bureau ] [-Téléphone de bureau ] [-Organisation ] [-AutresAttributs ] [-Autre nom ] [-Passer à travers ] [-Le mot de passe n'expire jamais ] [-Mot de passeNotRequired ] [-Chemin ] [-Boîte postale ] [-Code Postal ] [-Chemin du profil ] [-SamAccountName ] [-ScriptChemin ] [-Serveur ] [-ServicePrincipalNames ] [-SmartcardLogonRequired ] [-État ] [-Adresse de la rue ] [-Nom de famille ] [-Titre ] [-TrustedForDelegation ] [-Taper ] [-NomPrincipalUtilisateur ] [-Confirmer] [-WhatIf] [ ]

Comme vous pouvez le voir sur cette syntaxe, cela n'a aucun sens de décrire tous les paramètres, car ils sont identiques aux attributs de l'entité de sécurité et ne nécessitent pas d'explication. Regardons un exemple d'utilisation :

New-ADUser -SamAccountName "Evgeniy.Romanov" -Name "Evgeniy Romanov" -GivenName "Evgeniy" -Surname "Romanov" -DisplayName "Evgeniy Romanov" -Chemin "OU=Marketing,OU=Users,DC=testdomain,DC=com " -CannotChangePassword $false -ChangePasswordAtLogon $true -Ville "Kherson" -État "Kherson" -Pays UA -Département "Marketing" -Titre "Marketer" -UserPrincipalName "!} [email protégé]" -Adresse e-mail " [email protégé]" -Enabled $true -AccountPassword (Read-Host -AsSecureString "AccountPassword")

Riz. 10. Créez un compte utilisateur à l'aide de Windows PowerShell

Conclusion

Dans cet article, vous avez découvert le concept d'entité de sécurité et le rôle que représentent les comptes d'utilisateurs dans un environnement de domaine. Les principaux scénarios de création de comptes d'utilisateurs dans un domaine Active Directory ont été discutés en détail. Vous avez appris à créer des comptes d'utilisateurs à l'aide du composant logiciel enfichable "Active Directory - Utilisateurs et ordinateurs", à l'aide de modèles, d'utilitaires de ligne de commande Dsadd, CSVDE et LDIFDE. Vous avez également appris à créer des comptes d'utilisateurs à l'aide du langage de script VBScript et du shell de ligne de commande Windows PowerShell.

Site sur l'informatique

6.1 Termes et concepts de base (forêt, arbre, domaine, unité organisationnelle). Planification de l’espace de noms AD. Installation de contrôleurs de domaine

Modèles de gestion de la sécurité : modèle de groupe de travail et modèle de domaine centralisé

Modèle de groupe de travail

Modèle de domaine

Objectif du service d'annuaire Active Directory

Terminologie

Domaine

Catalogue global

Appareil

Objets

Structure

Structure physique et réplication

Appellation

Intégration UNIX

Littérature

voir également

Liens

Remarques

Sites Internet

Entité du service d'annuaire

Catalogue global

Les rôles

Application

Création d'utilisateurs à l'aide d'utilisateurs et d'ordinateurs Active Directory

Création d'utilisateurs basés sur des modèles

Création d'utilisateurs à l'aide de la ligne de commande

Création d'utilisateurs à l'aide de la commande CSVDE

Importation d'utilisateurs à l'aide de LDIFDE

Création d'utilisateurs à l'aide de VBScript

Création d'utilisateurs à l'aide de PowerShell

Conclusion

ARTICLES LIÉS