dsmod computer DN_компьютера -disabled yes/no
Удаление компьютера производится через команду:
dsrm DN_объекта
Переименование компьютера в домене через командную строку
netdom renamecomputer Имя_машины /NewName:Новое_имя [/UserO:Локальное_имя_пользователя][/PasswordO:{Локальный_пароль|*}][/UserD:Доменное_имя_пользователя][/PasswordD:{Доменный_пароль|*}][/SecurePasswordPrompt][/REBoot[:Время_в_секундах]]
Способы сброса учетной записи компьютера
1) Оснастка Active Directory – Пользователи и компьютеры. Щелкните объект компьютера правой кнопкой мыши и примените команду “Переустановить учетную запись”. После этого компьютер следует заново присоединить к домену и перезагрузить.
2) dsmod computer "DN_компьютера" -reset. После этого компьютер следует заново присоединить к домену и перезагрузить.
3) netdom reset Имя_машины /domain Имя_домена /UserO Имя_пользователя /PasswordO {Пароль|*}. Имя пользователя и пароль используются из группы локальных администраторов. Далее не требуется повторное присоединение к домену или перезагрузка.
4) На компьютере, где утрачены доверительные отношения, введите команду nltest /server:Имя_сервера /sc_reset:ДоменКонтроллер_домена. Далее не требуется повторное присоединение к домену или перезагрузка.
5) Для новых версий систем: Test-ComputerSecureChannel –Credential YourDomain\AdminUser -Repair
ms-DS-MachineAccountQuota
ms-DS-MachineAccountQuota – параметр, определяющий прошедшему подлинность пользователю присоединить компьютер к домену. По умолчанию, разрешается такому пользователю добавить 10 компьютеров. После присвоения атрибуту ms-DS-MachineAccountQuota значение 0 право присоединять компьютеры к домену будут иметь только те пользователи, которые явным образом делегированы разрешения.
Перенаправление контейнера компьютеров и пользователей по умолчанию
redircmp "DN_подразделения для новых объектов компьютеров"
redirusr "DN_подразделения для новых объектов пользователей"
Присоединение компьютера к домену через командную строку
netdom join Имя_машины /Domain:Имя_домена [/OU: «DN_подразделения»] [/User0:Имя_локального_пользователя][/Password0:{Локальный_пароль|*}][/UserD:Имя_пользователя_домена][/PasswordD:{Доменный_пароль|*}][/SecurePasswordPrompt][/REBoot[:Время_в_секундах]]
Группы по умолчанию в Active Directory
После установки роли AD на Windows Server появляются несколько стандартных групп безопасности, которые в основном связаны с управлением Active Directory. Какие же группы создаются?
1) Администраторы предприятия (Enterprise Admins) – находится в контейнере Users корневого домена леса. Эта группа – член группы Администраторы (Administrators) в каждом домене леса; она представляет полный доступ к конфигурации всех контроллеров домена. Данная группа также является владельцем раздела Конфигурация (Configuration) каталога и имеет полный доступ к содержимому именования домена во всех доменах леса.
2) Администраторы схемы (Schema Admins) – находится в контейнере Users корневого домена леса. Эта группа имеет полный доступ к схеме Active Directory.
3) Администраторы (Administrators) – находится в контейнере Builtin каждого домена. Эта группа имеет полный доступ ко всем контроллерам домена и данным в контексте именования домена. Она может изменять членство во всех административных группах домена, а группа Администраторы (Administrators) в корневом домене леса может изменять членство в группах Администраторы предприятия (Enterprise Admins), Администраторы Схемы (Schema Admins) и Администраторы домена (Domain Admins). Группа Администраторы в корневом домене леса имеет наибольшие полномочия среди групп администрирования в лесу.
4) Администраторы домена (Domain Admins) – находится в контейнере Users каждого домена. Эта группа входит в группу Администраторы своего домена. Поэтому она наследует все полномочия группы Администраторы. Кроме того, она по умолчанию входит в локальную группу Администраторы каждого рядового компьютера домена, в результате чего администраторы домена получают в свое распоряжение все компьютеры домена.
5) Операторы сервера (Server Operators) – находится в контейнере Builtin каждого домена. Эта группа может решать задачи технической поддержки на контроллерах домена. Операторы сервера могут локально входить в систему, запускать и останавливать службы, выполнять резервное копирование и восстановление, форматировать диски, создавать и удалять общие ресурсы, а также завершать работу контроллеров доменов. По умолчанию данная группа не содержит членов.
6) Операторы учета (Account Operators) – находится в контейнере Builtin каждого домена. Эта группа может создавать, модифицировать и удалять учетные записи пользователей, групп и компьютеров в любом подразделении домена (кроме подразделения Domain Controllers), а также в контейнерах Users и Computers. Операторы учета не могут модифицировать учетные записи, включенные в группы Администраторы и Администраторы домена, а также не могут модифицировать эти группы. Операторы учета также могут локально входить на контроллеры домена. По умолчанию эта группа не содержит членов.
7) Операторы архива (Backup Operators) – находится в контейнере Builtin каждого домена. Эта группа может выполнять операции резервного копирования и восстановления на контроллерах домена, а также локально входить на контроллеры домена и завершать их работу. По умолчанию эта группа не содержит членов.
8 ) Операторы печати (Print Operators) – находится в контейнере Builtin каждого домена. Эта группа может обеспечивать поддержку очередей заданий печати на контроллерах домена. Она также может локально входить на контроллеры домена и завершать их работу.
Автоматизация создания групп в Active Directory и контроля за ними
Создание групп с помощью команды Dsadd
dsadd group "DN_группы"
Могут использоваться следующие ключи:
-secgrp {yes|no} – тип группы
-scope {l|g|u} – область действия группы
-samid – указывает атрибут sAMAccountName. Если он не указан, то используется имя группы из DN.
-desc – описание группы
-members DN_члена – добавляет члены в группу
-memberof DN_группы – назначает создаваемую группы членом одной или нескольких существующих групп
Извлечение данных о членстве в группе с помощью команды Dsget
Извлечь полный список членов группы, включая вложенные члены можно так:
dsget group "DN_группы" -members [-expand]
где опция expand извлекает члены вложенных групп
Для извлечения полного списка групп, к которым принадлежит пользователь или компьютер (указав опцию expand) можно так:
dsget user "DN_пользователя" -memberof [-expand]
dsget computer "DN_компьютера" -memberof [-expand]
Изменение членства в группе с помощью команды Dsmod
dsmod group "DN_группы" [options]
В опции входят, например, атрибуты samid и desc, с помощью которых можно модифицировать атрибуты sAMAccountName и description группы. Однако, есть ещё две дополнительные опции:
-addmbr “DN_члена” – добавляет члены в группу;
-rmmbr “DN_члена” – удаляет член из группы
Перемещение и переименование групп с помощью команды Dsmove
dsmove DN_объекта [-newname Новое_имя] [-newparent DN_конечного_подразделения]
Удаление групп с помощью команды Dsrm
dsrm DN_группы [-subtree[-exclude]][-noprompt][-c]
Если не указать параметр noprompt, команда предложит подтверждать удаление каждого объекта. Переключатель -сзапускает команду Dsrm в режиме, когда выводятся сообщения об ошибках, однако при этом команда продолжает обработку дополнительных объектов. Без этого переключателя обработка остановится при первой же ошибке.
Управление членством в группе с помощью Windows PowerShell И VBScript
$MemberADSPath = "LDAP://CN=Иван Иванов,OU=Кадры,DC=contoso,DC=com" //определение атрибута aDSPath члена
$objGroup = [ADSI]"LDAP://CN=Анализ,OU=Группы,DC=contoso,DC=com" //подключение к группе
$objGroup.Add ($MemberADSPath) //использование метода Add или Remove
MemberADSPath = "LDAP://CN=Иван Иванов,OU=Кадры,DC=contoso,DC=com"
Set objGroup = GetObject("LDAP://CN=Анализ,OU=Группы,DC=contoso,DC=com")
objGroup.Add MemberADSPath
Изменение типа и области действия группы через командную строку
Для изменение типа и области действия группы через командную строку используется утилита dsmod
dsmod group DN_группы -secgrp { yes | no } -scope { l | g | u }
В качестве DN_группы нужно указать отличительное имя модифицируемой группы.
-
- Параметр -secgrp { yes | no } указывает на тип группы: безопасность (yes) или распространение (no)
Параметр -scope { l | g | u } определяет область действия группы: локальная в домене (l), глобальная (g) или универсальная (u).
Область действия и члены группы
|
Область действия группы |
Члены группы из того же домена |
Члены группы из другого домена в том же лесу |
Члены группы из доверенного внешнего домена |
|
Локальная |
Пользователи, компьютеры, глобальные группы, универсальные группы, локальные группы в домене, локальные пользователи (определенные на том же компьютере, где определена локальная группа) | Пользователи, компьютеры, глобальные группы и универсальные группы | Пользователи, компьютеры, глобальные группы |
|
Локальная в домене |
Пользователи, компьютеры, глобальные группы, универсальные группы, локальные группы в домене | Пользователи, компьютеры, глобальные группы и универсальные группы, | Пользователи, компьютеры, глобальные группы |
|
Универсальная |
Пользователи, компьютеры, глобальные группы и универсальные группы | Пользователи, компьютеры, глобальные группы и универсальные группы | Нет доступа |
|
Глобальная |
Пользователи, компьютеры, глобальные группы | Нет доступа | Нет доступа |