Active Directory Domain Services

From EIK wiki

Sissejuhatus

Active Directory Domain Services roll ja sellega seotud teenused on Microsofti poolt Windows Server 2008 või Windows Server 2008 R2 loodud tehnoloogia, mis pakub laias valikus võrguteenuseid:

  • LDAP-i sarnast kataloogiteenust
  • Kerberose põhist autentimist
  • DNS-i põhist nimelahendust ja muud võrguinformatsiooni
  • Keskne koht võrgu administreerimiseks ja õiguste jagamiseks
  • Informatsiooni turvalisus ja kasutaja tuvastamine võrgupõhistele ressursidele
  • Skaleeritavus
  • Keskne hoidla rakenduste andmetest
  • Mitmete serverite vahelise kataloogide uuendamise sünkroniseerimine

Kasutades sama andmebaasi, mida kasutatakse primaarselt Windows keskkondades, Active Directory Domain Services lubab administraatoritel jagada poliitikaid, installeerida tarkvara ja rakendada kriitilisi uuendusi võrgus. Active Directory Domain Services talletab informatsiooni ja seadistusi keskses andmebaasis. Active Directory Domain Services võrk võib sisaldada endas mõne arvuti ja printeri, kuid samas võib olla ka tegemist 10000 arvutiga erinevates maailma osades hõlmates mitmeid domeene ja serverifarme.

Ajalugu

Active Directory Domain Services, varasema nimega Active Directory, sai alguse 1999 aastal koos Windows 2000 Serveri väljatulekuga. Windows server 2003 oli Active Directory funktsionaalsusesse lisandunud oluliselt uusi võimalusi. Alates Windows 2008-st nimetati Active Directory ümber Active Directory Domain Serviceks. Active Directory-t kutsutakse ka varasemates Microsofti dokumentatsioonides NTDS-iks (NT Directory Service).

Active Directory Domain Services rolli paigaldamine

Active Directory Domain Services rolli paigaldamiseks on 3 võimalust:

Graafiliselt Server Manager/Initial Configuration Tasks tööriista abil

Rolle saab ja peabki lisama Server Manager kasutades (aga neis saab ka ellu kutsuda Initial Configuration Tasks võluri abil, mis automaatselt avaneb esmasel sisselogimisel serverisse).

1. Avada Server Manager.

2. Valida Roles -> Add Roles.

3. Before You Begin aknas vajutada Next.

4. Select Server Roles aknas märgistada Active Directory Domain Services roll ja vajutada Next.

5. Active Directory Domain Services aknas lugege informatsiooni kui on soovi ja seejärel vajutage Next.

6. Confirm Installation Selections aknas lugege informatsiooni kui on soovi ja vajutage Next.

7. Oodake kuni protsess lõppeb.

8. Kui protsess on lõppenud, siis vajutage Close.

9. Minnes tagasi Server Manager tööriista aknasse ja vajutades Active Directory Domain Services lingil näete et puudub igasugune info. Seda sellepärast, et DCPROMO käsku pole veel antud.

10. Nüüd saab vajutada Run the Active Directory Domain Services Installation Wizard dcpromo.exe otseteel.

Konsoolipõhiselt Servermanagercmd.exe tööriista abil

Servermanagercmd.exe on konsoolipõhine ekvivalent Add Roles and Add Features võlurile Server Manager-is. Kasutades erinevaid konsooli käsklusi saab lihtsalt ja mugavalt Add Roles and Add Features võluri abil konsooli kaudu AD-DS rolli Windows 2008 serverile paigaldada või sealt eemaldada.

Selleks, et paigaldada AD-DS Servermanagercmd.exe abil peab lihtsalt Command Prompt aknasse sisestama järgmise käsu:

Servermanagercmd.exe –I ADDS-Domain-Controller

DCPROMO tööriista abil AD-DS paigaldamine

Või siis asuda otse asja kallale ja lasta DCPROMO-l kõik eelneva enda eest ära teha sisestades käsu Run -> dcpromo:

DCPROMO kontrollib, kas AD-DS roll on paigaltatud ja selle puudumisel käivitab Add Roles võluri. Rolli paigaldust lõpetades käivitada vajadusel dcpromo uuesti.

DCPROMO kasutamine

Peale AD-DS rolli paigaldamist peame käivitama DCPROMO tööriista, et paigaldada Active Directory andmebaas ja funktsioonid.

NB! See juhend on mõeldud esmase domeenkontrolleri loomiseks uues metsas.

1. Sisestada Run -> dcpromo

või vajutada Server Manager -> Roles -> Active Directory Domain Services -> Run the Active Directory Domain Services Installation Wizard dcpromo.exe

2. Sõltudes sellest, kas AD-DS roll on eelnevalt paigaldatud, Active Directory Domain Services Installation võlur ilmub koheselt või mõne hetke möödumisel. Vajutada Next.

3. Operating System Compatibility aknas saab lugeda informatsiooni. Vajutada Next.

4. Choose Deployment Configuration aknas valida Create a new domain in a new forest ja vajutada Next.

5. Valida õige domeeni nimi. Soovitatavalt mitte kasutada interneti domeene, kuna sealt võivad tekkida erinevad probleemid nimede lahendamisega. Mitta valida ka 1 sõnalist domeeninime. Näiteks valikus võiks olla ettevõttenimi.internal või ettevõttenimi.local. Vajutada Next.

Võlur kontrollib, et valitud domeeninimi ei oleks juba kasutusel.

6. Rippmenüüst valida sobiv metsa funktsionaalsuse tase. Vaikesättena pakutakse Windows 2000, kuid kui võrgus pole plaanis kasutada vanemaid Windowsi servereid kui 2008, siis oleks mõistlik valida Windows Server 2008 ja vajutada Next.

7. Rippmenüüst valida sobiv domeeni funktsionaalsuse tase. Vaikesättena pakutakse Windows 2000 Native, kuid kui metsa tasemeks on valitud juba eelnevalt 2008, siis eelnevaid valikuid ei ilmu. Vajutada Next.

8. Seejärel ilmub võlur, mis kontrollib DNS serveri olemasolu ja seadistust. Kui DNS server puudub, siis pakutakse välja võimalust DNS serveri automaatseks paigaldamiseks.

NB! Esimene doneemkontroller peab olema ühtlasi ka Globaakataloog. Samuti ei saa esimene domeenkontroller olla Read Only Domain controller.

9. Tõenäoliselt ilmub teade, et serveri on 1 või rohkem dünaamilist IP aadressit.

IPCONFIG /ALL-iga saab näha, kas aadress on antud. Kui seda juba tehtud ei ole, siis tuleks IPv4 aadress staatiliselt seadistada.

10. Tõenäoliselt ilmub DNS-i veateada, mille puhul vastame YES, kuna DNS pole veel seadistatud.

11. Nüüd saab valida andmebaasile, logidele ja SYSVOL-ile asukohta. Kui ei ole just tingivat vajadust seda muuta, siis võib jätta vaikeseaded. Vajutada Next.

12. Küsitakse AD-DS jaoks parandamise parooli. See tuleks kindlasti sisestada ja seda peaks hoidma turvaliselt, kuna see ei muutu erinevalt tavakasutajate paroolidest. Parool peaks pidama turvalise parooli tegemise tavadest kinni, sisaldades suur- ja väikethti, sümboleid ja erimärgendeid. Soovitatavalt mitte kasutada tavalise administratiivse kontoo parooli. Vajutada Next.

13. Summary aknas saab näha valitud seadistusi ja on võimalik ka eksportida seadistused faili. Kui kõik sobib, siis vajutada Next.

14. Võlus alustab Active Directory Domain Services paigaldust ja lõppedes vajutada Finish ning alglaadida server vajutades Restart Now.

Nüüd on serverile paigaldatud töötav Active Directory Domain Services roll.

Kasutajate ja arvutite lisamine Active Directory domeeni

Uue kasutaja loomiseks järgige neid samme:

1.Vajuta nupule Start, liigu Administrative Tools peale, seal vajuta Active Directory Users and Coputers, et jõuda järgmisele lehele.

2. Vajuta domeeni peale, mille sa oled loonud, et selle valikuid laiendada.

3. Parem klikk Users peal ja valida New ning sealt edasi User.

4. Sisesta eesnimi, perekonnanimi ja kasutajatunnus uuele kasutajale ning vajuta nupule Next.

5. Sisesta uus parool, siis lisa linnukene ühele järgmisest valikutest:

  • Kasutaja peab vahetama parooli järgmisel sisselogimisel (soovitatud).
  • Kasutaja ei saa vahetada parooli.
  • Parool ei aegu iial.
  • Konto on välja lülitatud.

Vajutage nupule Next.

6. Vaadake üle sisestatud andmete õigsus, ja kui kõik on korras, vajutage nupule Finish.

Uue kasutaja lisamine gruppi

1. Active Directory Users and Computers lehe peal vajutage paremat hiireklikki selle uue kasutaja peal, mis sai just loodud, ja siis valige Properties.

2. Vajutage Member Of lehe peal ja sealt valige Add.

3. Selected Groups dialoogiaknas valige grupp ning vajutage nupule OK et lisada valitud grupid valikusse.

4. Korrake seda valikut iga grupi kohta, kus kasutaja peab liige olema.

5. Vajutage OK lõpetamiseks.

Arvuti või serveri lisamine domeeni

1. Logige sisse sellesse arvutisse, mida soovitakse domeeni lisada.

2. Parem klikk My Computer peal ning valige sealt Properties.

3. Valige Computer Name leht ning sealt vajutage nupule Change.

4. Computer Name Change dialoogiaknas vajutage nupule Domain, mis asub Member of kategoorias, ning sinna kirjutage domeeni nimi, ja vajutage nupule OK.

5. Kui on vaja, sisestage eelnevalt loodud kasutaja kasutajanimi ja parool, ning vajutage OK.

Tuleb kiri, mis tervitab teid domeeni.

6. Vajutage OK et naasta Computer name lehele, ning seal vajutage OK et lõpetada.

7. Taaskäivitada arvuti kui see on vajalik.

Gruppide lisamine

1. Parem klikk hoidla peal, kus grupp peaks olema.

2. Valige New ja sealt edasi Group.

3. Järgmistel lehtedel tuleb kirja panna grupi nimi ja grupi tüüp.

4. Enamus gruppide jaoks, mida luuakse, luuakse Global security grupp.

Paljukasutatud toimingutest

Uue hoidla objekti loomine

Parem klikk domeeni või hoidla pealt, kuhu soovite luua uut hoidlat. Valige New - Organizational Unit. Järgmisel lehel sisestage unikaalne hoidla nimi ja vajutage OK selle rajamiseks.

Parooli muutmine

Parem klikk kasutaja peal, valige Reset Password. Kui järgmine lehekülg ilmub siis sisestage uus parool vastavatesse lahtritesse. Kui soovite, et kasutaja vahetaks koheselt enda parooli sisse logides, valige Users must change password. Lõpetamiseks vajutake OK.

Konto lukust lahti võtmine

Parem klikk kasutaja peal. Valige Properties. Sealt valige Account aken. Seal võtke linnuke ära Account is locked out kastist.

Konto keelamine

Parem klikk kasutaja peal. Valige Disable account. Uuesti tööle panemiseks parem klikk kasutaja peal ja Enable account.

Kasutaja liigutamine

Lohista kasutaja vajaminevasse hoidlasse.

Piira sisselogimisaegasid

Parem klikk kasutaja peal. Valige Properties. Klikake Account lehel. Klikake Logon Hours. Kui leht ilmub, siis valige Logon Denied ja valige ajapiirid, millal kasutaja ei saa sisse logida.

Kustuta grupp

Parem klikk grupi peal ja valige Delete.

Volitused

Parem klikk hoidla peal, kus tahetakse volitusi jagada. Valige Delegate control. Järgmisel lehel saate valida kasutajaid ja gruppe, kellele volitusi anda.

VPN lubamine kasutajatele

Parem klikk kasutaja peal. Valige Properties. Valige Dial-in leht. Valige Allow access.

Kindla atribuudi muutmine

Parem klikk objekti peal. Valige Properties. Valige Attribute editor leht. Valige see atribuut, mida soovite muuta. Vajutage Edit nupule. Tehke oma muutused ning vajutage OK.

Kasutatud kirjandus

http://en.wikipedia.org/wiki/Active_Directory

http://www.petri.co.il/installing-active-directory-windows-server-2008.htm

http://support.microsoft.com/kb/324753

http://blogs.techrepublic.com.com/datacenter/?m=200811

Autor

Kalev Jõgi 12

Sten Djomin A21