Zarządzanie obiektami Active Directory

Damian Stelmach | 28-09-2017

Od momentu implementacji usługi Active Directory oraz domeny, zarządzanie użytkownikami i grupami odbywa się poprzez przystawkę Użytkownicy i komputery usługi Active Directory (Active Directory Users and Computers). To właśnie tutaj skupione są obiekty naszej domeny i tutaj będziemy nimi zarządzać.

W systemie Windows Server 2008 R2 dostaniemy się do tej przystawki wybierając: START -> Narzędzia Administracyjne (Administrative Tools) -> Użytkownicy i komputery usługi Active Directory

W systemie Windows Server 2012 R2 dostaniemy się natomiast wybierając: MENADŻER SERWERA -> Narzędzia (Tools) -> Użytkownicy i komputery usługi Active Directory

Znajdują się tam obiekty domyślne, tworzone podczas instalacji samej usługi:

Active Directory users and computers

Wbudowane grupy zabezpieczeń (to te pełniące określone funkcje w systemie) przechowane są w kontenerze Wbudowane (Builtin). Komputery, które pracują w domenie, domyślnie przechowywane są w kontenerze Komputery (Computers). Natomiast użytkownicy oraz pozostałe typy grup w systemie znajdują się w kontenerze Użytkownicy (Users).

Na obu wersjach systemu implementacja jednostek organizacyjnych, użytkowników i grup jest dokładnie taka sama.

W naszej domenie podział będzie następujący: użytkownicy, którzy w systemie pełnią rolę administratorów, przechowywani będą w kontenerze Użytkownicy. Z kolei dla użytkowników domenowych, czyli wszystkich pozostałych użytkowników w domenie utworzymy sobie specjalne kontenery zwane jednostkami organizacyjnymi. Ilość jednostek organizacyjnych zależy od struktury organizacyjnej w danej firmie, przedsiębiorstwie czy szkole. Jednostki implementuje się w taki sposób, aby odzwierciedlały rzeczywistą sytuację.

Utworzenie jednostek organizacyjnych

PPM klikamy w nazwę domeny -> Nowy (New) -> Jednostka Organizacyjna (Organization unit) -> nazwa jednostki -> OK

Domyślnie, ustawiona jest opcja zabezpieczająca przed przypadkowym usunięciem jednostki. Jeśli podczas tworzenia jednostki opcje zostawiliście aktywną, a z jakichś powodów chcielibyście usunąć daną jednostkę, można to zrobić tak:

Widok (View) -> Funkcje zaawansowane (Advanced Features)

Advanced features

Klikamy PPM w jednostkę, którą chcemy usunąć -> Właściwości (Properties)

Properties

Zakładka Zabezpieczenia (Security) -> Zaawansowane (Advanced)

Security advanced

Zaznaczamy Wszyscy (Everyone) -> Usuń (Remove)

Everyone remove

Teraz można już usunąć daną jednostkę klikając PPM -> Usuń . Czynność tą wykonujemy dla wszystkich jednostek, które chcemy usunąć. W nowo utworzonej jednostce organizacyjnej możliwe jest tworzenie grup użytkowników, samych użytkowników, a także obiektów komputerów.

Tworzenie grup

PPM w nazwę jednostki organizacyjnej (lub też w samej jednostce) -> Nowy (New) -> Grupa (Group) -> nazwa grupy -> określamy zakres (scope) oraz typ (type) grupy -> OK

W systemach Windows Server mamy dostępne 3 zakresy grup:

  • Lokalne w domenie (ang. Domain local) – grupy, do których można dodać użytkowników z każdej domeny w lesie. Stosowane są do nadawania uprawnień do katalogów.
  • Globalne (ang. Global) – grupy, do których można dodać użytkowników z tylko jednej domeny w lesie. Stosowane są do nadawania uprawnień do katalogów, a także do definiowania ról w systemie.
  • Uniwersalne (ang. Universal) – grupy, do których można dodać użytkowników z każdej domeny w lesie. Stosowane są do nadawania uprawnień do katalogów, a także do definiowania ról w systemie.

A także dwa typy grup:

  • Zabezpieczeń (ang. Security) – grupy pozwalające na nadawanie uprawnień do zasobów.
  • Dystrybucyjne (ang. Distribution) – grupy stosowane do tworzenia list dystrybucyjnych poczty elektronicznej.

Tworzenie użytkowników

PPM w nazwę jednostki organizacyjnej (lub też w samej jednostce) -> Nowy (new) -> Użytkownik (User) -> Wprowadzamy imię, nazwisko, login -> Wprowadzamy hasło (dwukrotnie) -> OK

Domyślnie hasło, które nadawane jest dla użytkownika musi zawierać co najmniej 7 znaków i spełniać wymagania co do złożoności (mała, wielka litera, cyfra, znak specjalny). Pozostawienie tej opcji bez zmian jest bezpiecznym rozwiązaniem ponieważ niweluje ryzyko stosowania łatwych do odgadnięcia haseł przez użytkowników. Jeśli natomiast ktoś chciałby to zmienić może to zrobić postępując, tak jak w tym fragmencie wideo.

Dodawanie użytkowników do grupy

PPM w nazwę użytkownika -> Dodaj do grupy (Add to group) -> wprowadzamy nazwę grupy -> OK