====== Добавление роли "Доменные службы Active Directory" ====== С этой статьи начинается достаточно большой цикл статей по настройке и использовании Windows Server 2012 R2 Standard. FIXME ====== Немного теории ====== Active Directory - это по сути средство для именования, хранения и выборки информации в некоторой распределенной среде, доступное для пользователей, приложений и различных компонентов этой среды. Служба сетевых каталогов хранит информацию об общедоступных приложениях, файлах, принтерах, а также сведения о пользователях. Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности: * //Единая регистрация в сети.// Пользователи могут регистрироваться в сети с //одним// именем и паролем и получать при этом доступ ко //всем// сетевым ресурсам (серверам, принтерам, приложениям, файлам и т.д.) независимо от их расположения в сети. * //Безопасность информации.// Средства аутентификации и управления доступа к ресурсам обеспечивают централизованную защиту сети. Права доступа можно определять не только для каждого //объекта// каталога, но и для каждого //свойства// объекта. * //Централизованное управление.// Администраторы могут централизованно управлять всеми корпоративными ресурсами. Рутинные задачи администрирования не нудно повторять для многочисленных объектов сети. * //Администрирование и использования групповых политик.// FIXME При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и "привязываются" к сайтам, доменам или организационным единицам (OU). Групповые политики определяют, например, права доступа к различным объектам каталога или ресурсам, а также множество других "правил" работы в системе. * //Гибкость изменений.// Служба каталогов гибко следует за изменениями структуры компании или организации. При этом организация каталога не усложняется, а может и упроститься. * //Интеграция с DNS.// Служба Active Directory тесно связана с DNS. Этим достигается единство в именовании ресурсов локальной сети. * //Расширяемость каталога.// Администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты (свойства) к существующим классам. * //Масштабируемость.// Служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена - то есть она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес. * //Репликация информации.// В службе Active Directory используется репликация служебной информации в схеме со //многими ведущими// (multi-master), что позволяет модифицировать каталог на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки. * //Гибкость запросов к каталогу.// Пользователи и администраторы сети могут быстро находить объекты в сети, используя //свойства// объекта (например, имя пользователя или адрес его электронной почты, тип принтера или его местонахождение и т.п.). Оптимальность процедуры поиска достигается благодаря использованию глобального каталога. * //Стандартные интерфейсы.// Для разработчиков приложений служба каталогов предоставляет доступ ко всем возможностям (средствам) каталога и поддерживает принятые стандарты и интерфейсы программирования (API) ===== Практика ===== Для начала устанавливаем роль «Доменные службы Active Directory». {{:sw:win:s12r2:active_directory:ad_0.png?500|}} Ничего не изменяя несколько раз нажимаем «Далее», затем ставим галочку и жмем «Установить». {{:sw:win:s12r2:active_directory:ad_1.png?500|}} После завершения установки нажимаем «Повысить роль этого сервера до уровня контроллера домена». {{:sw:win:s12r2:active_directory:ad_2.png?500|}} Во вновь открывшемся окне выбираем «Добавить новый лес», указываем «Имя корневого домена» - «cultura.lan» и жмем «Далее» {{:sw:win:s12r2:active_directory:ad_3.png?500|}} Ничего не меняя вводим пароль для режима восстановления служб каталогов (DSRM) {{:sw:win:s12r2:active_directory:ad_4.png?500|}} Два раза нажимаем «Далее» и переходим на параметры NetBIOS-имени. Оставляем по умолчанию и жмем «Далее». {{:sw:win:s12r2:active_directory:ad_5.png?200|}} После нескольких нажатий кнопки «Далее», наконец, жмем «Установить». {{:sw:win:s12r2:active_directory:ad_6.png?500|}} На этом установка роли завершена! ===== Примечание ===== :!: Есть очень полезная настройка! Стандартно при поиске пользователя выводятся сначала имя, а потом фамилия. Искать среди десятков Николаев порой бывает очень сложно, но это можно победить. Идем в ADSIEdit: , в строке пишем ADSIEdit.msc. Там «Действие» -> «Подключиться к...», в «Точка подключения» выбираем «Известный контекст именования» -> «Конфигурация». Разворачиваем узел конфигурация. Разворачиваем узел cn=DisplaySpecifiers и дважды щелкаем пункт CN=419. Ищем параметр CN=user-Display и щелкаем правым кликом, выбираем свойства. Находим там свойство createDialog и меняем его на следующий атрибут: % % {{:sw:win:s12r2:active_directory:ad_8.png?500|}} ВНИМАНИЕ! Действует только на вновь создаваемые объекты!