Как на windows 10 включить оснастку active directory, установка и управление

Установка и импорт модуля Active Directory для PowerShell

Сегодня я покажу, как установить и использовать модуль администрирования Active Directory для Windows PowerShell. Командлеты этого модуля можно использовать для получения информации и управлением различными объектами и параметрами AD. Данный модуль в серверных ОС устанавливается в виде отдельного компонента. На десктопные ОС (Windows 10, 8.

1, 7) придется установить пакет Remote Server Administration Tools (RSAT) в состав которого входит модуль для взаимодействия с AD из PowerShell. Кроме этого модуля в состав RSAT входят все необходимые графические оснастки управления, утилиты командной строки и модули Windows PowerShell для администрирования Windows и AD.

Данный пакет для вашей версии ОС нужно самостоятельно скачать с сайта Microsoft.

Установка модуля Active Directory для Windows PowerShell

Модуль Active Directory для Windows PowerShell впервые появился в Windows Server 2008 R2. Он автоматически устанавливается на контроллерах домена при их установке на них роли ADDS. Для использования комадлетов PowerShell из модуля AD в домене должен быть хотя бы один контроллер с Windows Server 2008 R2 или выше. Если в вашей сети имеются DC только с Windows Server 2003 и 2008, необходимо скачать и установить Active Directory Management Gateway Service. Командлеты PowerShell из модуля Active Directory взаимодействуют с веб-сервисом, который является частью контролера домена с ролью ADDS.

Вы можете установить модуль Active Directory для Windows PowerShell не только на контроллер домена, но и на любой рядовой сервер домена или рабочую станцию. В Windows Server 2016 установить модуль Active Directory для Windows PowerShell можно из графической консоли Server Manager с помощью мастера добавления ролей и компонентов.

Достаточно запустить мастер и на этапе выбора компонентов нужно выбрать пункт Средства удаленного администрирования сервера -> Средства администрирования ролей -> Средства AD DS и AD LDS ->Модуль Active Directory для Windows PowerShell (Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools ->Active Directory module for Windows PowerShell).

Import-Module ServerManager Add-WindowsFeature -Name «RSAT-AD-PowerShell» –IncludeAllSubFeature

В Windows 10, Windows 8.1 и Windows 10 для установки модуля RSAT-AD-PowerShell нужно сначала установить соответствующую версию RSAT, после этого модуль нужно включить в Панели управления (Панель управления -> Программы ->Программы и компоненты и нажмите «Включить компоненты Windows» -> Remote Server Administration Tools -> Role Administration Tools -> AD DS and AD LDS Tools -> включите компонент Active Directory Module for Windows POwerShell.

Либо можно установить модуль с помощью PowerShell:

Enable-WindowsOptionalFeature -Online -FeatureName RSATClient-Roles-AD-Powershell

Импорт и использование модуля PowerShell для Active Directory

В Windows 7 и Windows Server 2008 R2, на которых установлен PowerShell 2.0, чтобы начать пользоваться модулем AD необходимо импортировать его в сессию PowerShell командой:

Import-Module activedirectory

Кроме того, вы можете экспортировать модуль с удаленной машины, где он уже установлен и импортировать его в свою сессию PowerShell:

$MySession = New-PSSession -ComputerName MyDomainControllerExport-PSsession -Session $MySession -Module ActiveDirectory -OutputModule RemoteADPoshRemove-PSSession -Session $MySession

Import-Module RemoteADPosh

В Windows Server 2012 R2/ 2016 и Windows 8.1 / Windows 10 модуль (если он установлен) импортируется в сессию автоматически.

Если компьютер включен в домен, по умолчанию создается диск по имени AD:..Вы можете перейти на этот диск командой CD и использовать привычные команды работы с файловой системой для навигации по этому диску. Пути представлены в формате X500.

PS C:\> cd AD:PS AD:\> dir…

PS AD:\> cd «DC=vmblog,DC=ru»

Вывести список доступных командлетов модуля для работы с Active Directory можно так:

Get-Command -Module ActiveDirectory

В различных версия Windows доступно разное количество командлетов:

• Windows Server 2008 R2 — 76 командлетов.
• Windows Server 2012 — 135 командлетов
• Windows Server 2012 R2 / 2016 — 147 командлетов.

Итак, теперь вы можете использовать командлеты PowerShell для администрирования AD. На нашем сайты вы можете познакомиться с использованием следующих командлетов из модуля AD для PowerShell: Get-ADGroupMember , Add-ADGroupMember , Move-ADDirectoryServerOperationMasterRole, New-ADGroup.

Ввод в домен Windows 10, за минуту

Доброго времени суток! Уважаемые подписчики и гости, крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами разобрали в десятке, новую версию утилиты Robocopy, которая помогает переносить данные в раз быстрее, чем через обычный проводник. В сегодняшней статье, я вам хочу показать, как ввести в домен Active Directory Windows 10. Так как многие с новым интерфейсом и его видоизменением от версии к версии, не могут это сделать. Ну что поехали.

Постановка задачи

Устанавливая тестовую виртуальную машину с Windows 10 1803 (Если вы не знаете, где взять дистрибутив, то вот вам легальный метод, как скачать ISO образ Windows 10), я захотел ее ввести в домен, но не классическим методом, а новым, модным, через интерфейс аля метро 2.0. Какого же было мое удивление, что я минут 10 не мог его найти, я даже ради эксперимента спросил своих коллег со второй линии из технической поддержки, знают ли они, но они мне кроме классического метода не смогли ничего показать.

Гугление так же оставляло больше вопросов, чем ответов, так как той кнопки, про которую все говорили уже не было в моем случае, но я все же ее нашел и решил написать небольшую заметку, мало ли кому-то пригодится.

понедельник, 17 февраля 2020 г.

Установка Remote Server Administration Tools в Windows 10

В Windows 10, начиная с версии 1809, Microsoft убрали возможность установить пакет Remote Server Administration Tools (RSAT) как отдельное обновление. Теперь для администрирования сервисов удалённо нужно либо поставить RSAT для Windows Server 2016, который поставит весь набор без возможности выбора компонентов, либо использовать Powershell для установки только необходимых. В актуальных редакциях Windows 10 RSAT можно установить как дополнительный компонент Параметры Windows > Приложения > Дополнительные возможности > Добавить компонент. Но если компьютер использует в качестве сервера обновлений локальный сервер WSUS/SCCM SUP, то в этом меню будет написано “Компоненты для установки отсутствуют”. Вот тут нам на помощь и придёт PowerShell. Для начала укажем службе Центра обновления не использовать локальные серверы и перезапустим её для обновления параметров. После перезапуска службы центра обновления можно посмотреть доступные для установки компоненты RSAT результатом выполнения будет вывод всех доступных компонентов Необходимые компоненты можно установить с помощью команды указав ей соответствующее имя компонента После завершения установки всех необходимых компонентов можно вернуть прежнее значение параметра реестра UseWUServer и перезапустить службу Центра обновления. Чтобы не изменять параметры использования сервера обновлений, или если это запрещено GPO, можно изменить параметр GPO Конфигурация компьютера > Политики > Административные шаблоны > Система > Укажите параметры для установки необязательных компонентов и восстановления компонентов (в английской версии Specify settings for optional component installation and component repair). Тут можно выбрать либо загрузку необходимых компонентов непосредственно из Центра обновления Windows, либо указать путь к общему ресурсу, куда были предварительно загружены и распакованы специальные образы из Центра корпоративного лицензирования Microsoft, содержащие в себе набор дополнительных компонентов.

Кстати, используя этот же общий ресурс можно установить RSAT на компьютеры, у которых отсутствует доступ к Интернет, указав общий ресурс в качестве источника файлов установки

Более подробно и с картинками всё описано тут.

Что такое Active Directory в Windows 10 и для чего это нужно

разработала новую программу, позволяющую объединить все объекты сети (компьютеры, роутеры, принтеры, профили пользователей, серверы) в единую систему. Называется это хранилище — Active Directory или Активный каталог (сокращенно AD).

Для реализации этой программы нужен специальный сервер, вернее, контроллер домена. В нем будет храниться вся информация. Через него выполняется аутентификация (через протокол Kerberos) пользователей и различных устройств в сети. Контроллер домена будет мониторить доступ к объектам своей сети, то есть разрешать запрашиваемое действие или, наоборот, блокировать его.

Использование Active Directory имеет ряд преимуществ. Эта программа обеспечивает безопасную работу, упрощает взаимодействие различных объектов одной сети. С помощью AD можно ограничить ряд функций для определенных пользователей. Данные, хранящиеся на таком сервере, защищены от внешнего доступа. Службы AD обеспечивают удобный обмен файлами (на основе технологии DFS), объединяют все объекты в одну систему (поддерживается стандарт LDAP). Возможна интеграция с Windows Server через протокол RADIUS.

Программу Active Directory можно использовать на базе профессиональной редакции Win10. Существует специальный инструмент управления доменами (оснастка ADUC), позволяющий адаптировать AD к своей ОС. Этот адаптер позволяет контролировать и управлять объектами сети. Прежде чем использовать ADUC, рекомендуется установить сервис RSAT, включающий Командную строчку, Power Shell, а также средства удаленного администрирования сервера.

Важно! Active Directory выступает в роли каталога, хранилища информации о пользователях и инфраструктуре сети. Реализация этого проекта осуществляется через контроллер домена

Это сервер контролирует доступ (разрешает или блокирует запросы) к объектам своей сети. AD рекомендуется использовать для больших компаний.

Как включить службы Active Directory в Windows 10?

Остается активировать необходимую функцию RSAT.

1. Правой кнопкой на Start и выберите Control Panel
2. Выберите Programs and Features
3. На левой панели  нажмите Turn Windows features on or off
4. Разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
5. Выберите AD DS Tools и нажмите OK.

Однако вы можете установить функцию AD из командной строки только с помощью этих трех команд:

dism /online /enable-feature /featurename:RSATClient-Roles-AD

dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS

dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

Please follow and like us:

Previous Entry | Next Entry

Средства удаленного администрирования сервера для Windows 10

Эти средства используются для управления определенными технологиями на компьютерах Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, а в ограниченных случаях — Windows Server 2012 или Windows Server 2008 R2.

Средства удаленного администрирования сервера для Windows 10 включают в себя поддержку удаленного управления компьютерами с установкой Windows Server 2016 и Windows Server 2012 R2 в конфигурации основных серверных компонентов или минимального интерфейса сервера, а в ограниченных случаях — с установкой Windows Server 2012 в конфигурации основных серверных компонентов. Но средства удаленного администрирования сервера для Windows 10 невозможно установить ни в одной версии операционной системы Windows Server.

Служебные программы, доступные в данной версии

Список инструментов, доступных в средствах удаленного администрирования сервера для Windows 10, см. в таблице в статье Remote Server Administration Tools (RSAT) for Windows operating systems (Средства удаленного администрирования сервера (RSAT) для Windows).

Требования к системе

Средства удаленного администрирования сервера для Windows 10 можно установить только на компьютеры, работающие под управлением Windows 10. Эти средства нельзя установить на компьютерах, работающих под управлением Windows RT 8.1, или на других устройствах с однокристальной системой.

Средства удаленного администрирования сервера для Windows 10 работают в Windows 10 с архитектурами x86 и x64.

Важно!

Эти средства не следует устанавливать на компьютерах, использующих пакеты средств администрирования для Windows 8.1, Windows 8, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 или Windows 2000 Server. Перед установкой средств удаленного администрирования сервера для Windows 10 удалите с компьютера все старые версии пакета средств администрирования или средств удаленного администрирования сервера, в том числе предварительные версии, а также версии служебных программ для разных языков и локалей.

Чтобы использовать эту версию диспетчера сервера для доступа к удаленным серверам, работающим под управлением Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2, и управления ими, необходимо установить несколько обновлений для получения возможности управления более старыми версиями операционных систем Windows Server с помощью диспетчера сервера. Дополнительные сведения о подготовке Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 R2 для управления с помощью диспетчера сервера в средствах удаленного администрирования сервера для Windows 10 см. в статье Manage Multiple, Remote Servers with Server Manager (Управление несколькими удаленными серверами с помощью диспетчера сервера).

На удаленных серверах должно быть включено удаленное управление Windows PowerShell и диспетчером сервера, чтобы ими можно было управлять с помощью средств удаленного администрирования сервера для Windows 10. Удаленное управление включено по умолчанию на серверах, работающих под управлением Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012. Дополнительные сведения о том, как включить удаленное управление, если оно отключено, см. в разделе Управление несколькими удаленными серверами с помощью диспетчера серверов.

How to Install Active Directory Users and Computers (dsa.msc) on Windows 10?

By default, RSAT is not installed in Windows 10 (and other Windows desktop operating systems). Remote Server Administration Tools (RSAT) allows IT administrators to remotely manage roles and components on Windows Server 2019, 2016, 2012 R2, 2012, 2008 R2 from user’s workstations running Windows 10, 8.1, 8, and Windows 7. The RSAT resembles Windows Server 2003 Administration Tools Pack (adminpak.msi) that was installed on clients running Windows 2003 or Windows XP and was used for remote server management. RSAT can’t be installed on computers with the Home editions of Windows, you must have Professional or Enterprise.

Depending on Windows 10 build, the ADUC console installation differs.

Installing ADUC in Windows 10 1809 and Newer

In Windows 10 1809 and newer builds, the RSAT pack is added to the Features on Demand (FoD). In order to install ADUC, you can add an optional feature from FoD.

1. Press the Start menu > Settings > Apps;
2. Select Manage Optional Features > Add features;
3. In the list of optional features already installed on your Windows 10 desktop, select RSAT: Active Directory Domain Services and Lightweight Directory Tools, and press Install.

After the RSAT installation completes, you need to restart your computer.

Install ADUC Using Command Prompt

Also, you can install the Active Directory console using the DISM tool. To verify that the RSAT ActiveDirectory component is installed, open a command prompt as an administrator, and run the command:

DISM.exe /Online /Get-CapabilityInfo /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

The screenshot above shows the RSAT Active Directory feature is not installed. To install, you need to run the command:

DISM /Online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Now check the status of AD RSAT. It should be changed to State: Installed.

RSAT components are downloaded over the Internet from Windows Update servers. If you want to install RSAT in a disconnected environment (without Internet access), you need to download the Feature on Demand (FoD) ISO image for your Windows 10 release. FoD DVD media is available for download from your Volume License Servicing Center (VLSC) or on my.visualstudio.com.

To install ADUC offline, you need to mount the FoD iso image to a virtual drive (for example, to drive F:\) and run the installation from local media:

Dism.exe /online /add-capability /source:F: /Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

How to Enable Active Directory Tools in Windows 10?

It remains to activate the necessary RSAT function. To do this:

1. Right-click on the Start button and select Control Panel;
2. Select Programs and Features;
3. In the left pane press on Turn Windows features on or off;
4. Expand node Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools;
5. Check item AD DS Tools and press OK.

However, you can install the AD feature from the command prompt with administrator privileges using the following commands:

dism /online /enable-feature /featurename:RSATClient-Roles-AD

dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS

dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

Настройка и администрирование детальной политики паролей через Центр администрирования Active Directory

Настройка детальной политики паролей

Центр администрирования Active Directory позволяет создавать объекты детальной политики паролей (FGPP) и управлять такими объектами. Функция FGPP была представлена в Windows Server 2008, но первый графический интерфейс для управления этой функцией появился только в Windows Server 2012. Детальная политика паролей настраивается на уровне домена и позволяет перезаписывать единый пароль домена, предусмотренный в Windows Server 2003. При создании различных FGPP с различными параметрами отдельные пользователи или группы получают различные политики паролей в домене.

Информацию о детальной политике паролей см. в пошаговом руководстве по детальной настройке политик блокировки учетных записей и паролей доменных служб Active Directory (Windows Server 2008 R2).

На панели навигации выберите представление в виде дерева, щелкните свой домен, Система, Контейнер параметров паролей, а затем на панели «Задачи» щелкните Создать и Параметры пароля.

Управление детальной политикой паролей

При создании новой или редактировании уже существующей детальной политики паролей открывается редактор Параметры пароля. Здесь можно настроить все желаемые политики паролей как Windows Server 2008 или Windows Server 2008 R2, но только в специальном редакторе.

Заполните все обязательные (отмеченные звездочкой) и желаемые дополнительные поля и щелкните Добавить, чтобы указать, к каким пользователям или группам необходимо применить эту политику. FGPP перезаписывает параметры политики домена по умолчанию для выбранных субъектов безопасности. На представленном выше рисунке максимально ограничивающая политика применяется только к встроенной учетной записи администратора, чтобы предотвратить компрометацию. Эта политика слишком сложна для ее соблюдения стандартными пользователями, но идеально подходит для учетной записи высокого риска, которой пользуются только специалисты.

Также необходимо указать очередность применения и выбрать пользователей и группы для применения политики в соответствующем домене.

Командлет Active Directory в Windows PowerShell, предназначенный для настройки детальной политики паролей, выглядит следующим образом:

Командлет для настройки детальной политики паролей в Windows Server 2008 R2 и Windows Server 2012 работает одинаково. На приведенном ниже рисунке обозначены соответствующие атрибуты для этих командлетов:

Центр администрирования Active Directory позволяет также найти результирующую детальную политику паролей, примененную к конкретному пользователю. щелкните правой кнопкой мыши любого пользователя и выберите пункт просмотреть результирующие параметры пароля… , чтобы открыть страницу Параметры пароля , которая применяется к пользователю с помощью явного или неявного назначения:

В разделе Свойства вы найдете Напрямую связанные параметры пароля — параметры детальной политики пароля, назначенные соответствующему пользователю или группе напрямую:

Неявное назначение ФГПП здесь не отображается; для этого необходимо использовать параметр просмотреть результирующие параметры пароля… .

Что такое Active Directory в Windows 10 и для чего это нужно

Компания «Майкрософт» разработала новую программу, позволяющую объединить все объекты сети (компьютеры, роутеры, принтеры, профили пользователей, серверы) в единую систему. Называется это хранилище — Active Directory или Активный каталог (сокращенно AD).

Для реализации этой программы нужен специальный сервер, вернее, контроллер домена. В нем будет храниться вся информация. Через него выполняется аутентификация (через протокол Kerberos) пользователей и различных устройств в сети. Контроллер домена будет мониторить доступ к объектам своей сети, то есть разрешать запрашиваемое действие или, наоборот, блокировать его.

Использование Active Directory имеет ряд преимуществ. Эта программа обеспечивает безопасную работу, упрощает взаимодействие различных объектов одной сети. С помощью AD можно ограничить ряд функций для определенных пользователей. Данные, хранящиеся на таком сервере, защищены от внешнего доступа. Службы AD обеспечивают удобный обмен файлами (на основе технологии DFS), объединяют все объекты в одну систему (поддерживается стандарт LDAP). Возможна интеграция с Windows Server через протокол RADIUS.

Программу Active Directory можно использовать на базе профессиональной редакции Win10. Существует специальный инструмент управления доменами (оснастка ADUC), позволяющий адаптировать AD к своей ОС. Этот адаптер позволяет контролировать и управлять объектами сети. Прежде чем использовать ADUC, рекомендуется установить сервис RSAT, включающий Командную строчку, Power Shell, а также средства удаленного администрирования сервера.

Важно! Active Directory выступает в роли каталога, хранилища информации о пользователях и инфраструктуре сети. Реализация этого проекта осуществляется через контроллер домена

Это сервер контролирует доступ (разрешает или блокирует запросы) к объектам своей сети. AD рекомендуется использовать для больших компаний.

Настройка

• Оба ПК (локальные и удаленные) должны работать Windows 10 версии 1607 или более поздней версии. Удаленные подключения к компьютеру с поддержкой Azure AD, который работает с более ранними версиями Windows 10, не поддерживаются.
• Локальный компьютер (на котором вы подключались) должен быть подключен к Azure AD или hybrid Azure AD, если используется Windows 10, версия 1607 и выше, или Azure AD, зарегистрированный при использовании Windows 10, версии 2004 и выше. Удаленные подключения к компьютеру, подключенным к Azure AD, с несоединяемого устройства или Windows 10 не поддерживаются.
• Локальный компьютер и удаленный компьютер должны быть в том же клиенте Azure AD. Гости Azure AD B2B не поддерживаются для удаленного рабочего стола.

Убедитесь, что на клиентских КОМПЬЮТЕРАх, которые вы используете для подключения к удаленному компьютеру, отключается функция remote Credential GuardWindows 10 версии 1607.

• На компьютере, к который необходимо подключиться:

  1. откройте свойства системы для удаленного компьютера.

  2. Включите функцию Разрешить удаленные подключения к этому компьютеру и выберите вариант Разрешать подключения только от компьютеров с удаленным рабочим столом с сетевой проверкой подлинности.

  3. Если кроме пользователя, который присоединил компьютер к Azure AD, никто больше не собирается использовать удаленное подключение, дополнительные настройки не требуются. Чтобы разрешить дополнительным пользователям или группам подключаться к компьютеру, необходимо разрешить удаленные подключения для указанных пользователей или групп. Пользователи могут добавляться вручную или с помощью политик MDM:

     • Добавление пользователей вручную

       Вы можете указать отдельные учетные записи Azure AD для удаленных подключений, запуская следующий комдлет PowerShell:

       где атрибут upN-attribute-of-your-user — это имя профиля пользователя в C:\Users, который создается на основе атрибута DisplayName в Azure AD.

       Эта команда работает только для пользователей устройств AADJ, уже добавленных в любую из локальных групп (администраторов).
       В противном случае эта команда бросает приведенную ниже ошибку. Пример:

       • только для пользователя облака: «Нет такого глобального пользователя или группы: имя»
       • для синхронизированного пользователя: «Нет такого глобального пользователя или группы: имя»

       Примечание

       Для устройств, Windows 10 версии 1703 или более ранних версий, пользователь должен сначала войти на удаленное устройство перед попыткой удаленного подключения.

       Начиная с Windows 10 версии 1709, можно добавить других пользователей Azure **** AD в группу Администраторы на устройстве в Параметры и ограничить удаленные учетные данные администраторам. **** При возникновении проблем с удаленным подключение убедитесь, что оба устройства присоединены к Azure AD и что доверенный платформенный модуль работает правильно на обоих устройствах.

     • Добавление пользователей с помощью политики

       Начиная с Windows 10 версии 2004 года вы можете добавлять пользователей или группы Azure AD в удаленные пользователи настольных компьютеров с помощью политик MDM, как описано в описании управления группой локальных администраторов на устройствах

       Совет

       При подключении к удаленному компьютеру введите имя учетной записи в этом формате: AzureAD\yourloginid@domain.com.

       Примечание

       Если вы не можете подключиться с помощью удаленного подключения к рабочему столу 6.0, необходимо отключить новые функции RDP 6.0 и вернуться к RDP 5.0, внося несколько изменений в файл RDP. Подробные сведения см. в этой статье поддержки.