В этой статье я бы хотел предложить вам пошаговый туториал по развёртыванию контроллера домена Active Directory на Windows Server 2016 (с графической оболочкой), а также по вводу рабочей станции в получившийся домен. Чем этот туториал может выделиться на фоне других:
- Вместо простого «Далее, Далее, кликаем сюда, вбиваем это» я постарался дать внятное объяснение каждому шагу, каждой настройке, которую предстоит выполнить. Помимо основных понятий Active Directory, DNS и DHCP вы также сможете найти много интересной информации по всем галочкам, которые вы часто видели, но не задумывались об их назначении.
- В конце статьи я предложу способ автоматизировать развёртывание получившегося стенда полностью с нуля, имея на компьютере только iso-образы ОС Windows 7 и Windows Server 2016. И никакого PowerShell. Всего одной командой.
Статья предполагает наличие у читателя лишь самых начальных знаний об устройстве сетей (на уровне «Что такое IP-адрес и DNS-адрес»).
Заинтересовало что-то из вышеперечисленного? Тогда погнали.
Туториал будет происходить не в вакууме, а на конкретном виртуальном стенде, состоящим из двух виртуальных машин:
Начальное состояние стенда:
-
На машине windows_server уже установлена ОС Windows Server 2016 Standard Evaluation (с GUI). Машина находится в состоянии «сразу после установки ОС». В процессе туториала на ней будут развернуты службы Active Directory (с доменом mydomain.com), DNS и DHCP.
-
Машина workstation выполняет роль рабочей станции. На ней установлена ОС Windows 7. Машина находится в состоянии «сразу после установки ОС». В процессе туториала она будет подключена к домену mydomain.com.
Туториал построен следующим образом (если вам интересен только конкретный пункт — смело кликайте прямо туда):
- Объясню, почему я выбрал именно такой стенд для туториала;
- Супер-краткое описание технологии Active Directory;
- Выполняется небольшая предварительная настройка windows_server;
- На windows_server производится включение необходимых компонентов;
- На windows_server происходит настройка контроллера домена AD (совместно с DNS);
- На windows_server происходит настройка сервера DHCP;
- На windows_server регистрируется новая учетная запись в AD;
- На workstation происходит подключение к домену.
В конце туториала вас ждет приятный бонус — я покажу вам как можно развернуть у себя на компьютере весь этот работающий стенд одной единственной командой. Вам понадобится только наличие двух установочных iso-образов (windows 7 и windows server 2016), да небольшой скрипт, ссылку на который я вам дам в конце статьи.
Почему такой стенд?
Такой стенд, с моей точки зрения, отлично подходит для первого самостоятельного «прощупывания» технологии Active Directory. Он минималистичен (всего 2 виртуальные машины), занимает минимум ресурсов, но при этом изолирован и самодостаточен. Его можно развернуть даже на довольно средненьком компьютере и ноутбуке. При этом на стенде уже присутствуют основные сетевые службы (AD + DNS). DHCP хоть и необязателен для функционирования AD, всё равно был добавлен в стенд в ознакомительных целях.
Disclaimer
Данный туториал предлагает исключительно пробное знакомство с Active Directory. Ни при каких обстоятельствах не рекомендуется разворачивать подобную конфигурацию при решении реальных задач администрирования сетей. В самом туториале я постараюсь обратить внимание на основные моменты, которые не рекомендуется применять в реальных сетях.
Туториал предполагает подробный разбор всех шагов по настройке, с пояснениями «что, зачем и почему». Туториал ориентирован на людей, не слишком знакомых с технологиями Active Directory, DNS и DHCP, которые хотели бы немного узнать о внутренней кухне администрирования сетей с Active Directory.
Если же базовая настройка AD вызывает у вас лишь зевоту, переходите прямо сюда и посмотрите, как можно автоматизировать весь процесс по развёртыванию собственного стенда с AD и рабочей станцией.
Что такое Active Directory
Active Directory — это службы каталогов от компании Microsoft, как подсказывает нам Википедия. За этим сухим и невзрачным определением скрывается одна из важнейших технологий в администрировании сетей. Благодаря Active Directory администратор сети получает очень удобное централизованное средство управления учетными записями пользователей, групповыми политиками (в т.ч. политиками безопасности) и объектами в сети (причём Active Directory без особых проблем справляется даже с гигантскими сетями). А благодаря встроенному механизму репликации, «положить» правильно настроенные сервисы AD не так-то просто. Ну и напоследок, благодаря Windows настроить Active Directory можно буквально мышкой, так что даже совсем начинающие IT-шники смогут с этим справиться.
Несмотря на то, что технологией заведует Microsoft, она вовсе не ограничивается управлением Windows-машин — все известные Linux-дистрибутивы уже давным давно научились работать с этой технологией. Повстречаться с Active Directory не просто, а очень просто — практически каждый офис предполагает наличие этой технологии, поэтому даже самым заядлым линуксоидам было бы неплохо разбираться в азах работы Active Directory.
Начинаем
Вы установили Windows Server 2016 и (надеюсь) видите следующий экран:
Эта панель — основное (графическое) средство администрирования Windows Server 2016. Здесь вы можете управлять компонентами и сервисами на вашем сервере (проще говоря, настраивать то, что умеет делать сервер). Эту же панель можно использовать и для базовых сетевых настроек Windows Server, для чего есть вкладка «Локальный сервер».
Базовые настройки Windows Server
Первое, что нужно сделать — это поменять сетевое имя сервера.
Сетевое имя (hostname) — это удобный способ идентификации узла в сети. Сетевое имя используется как альтернатива IP-адресу и позволяет не запоминать IP-адрес компьютера (при том, что этот адрес может меняться время от времени), а связываться с этим компьютером по его логическому названию.
Проблема в том, что по-умолчанию для Windows Server генерируется совершенно нечитаемое и неинформативное сетевое имя (я выделил его красным цветом на скриншоте).
Рабочие станции ещё могут позволить себе иметь нечитаемый Hostname, но никак не сервер. Поэтому я предлагаю поменять эту абракадабру его на что-то более разумное (например, на ADController), благо делается это быстро.
Смена сетевого имени
Нужно кликнуть на текущее имя сервера (отмечено красным цветом), затем во вкладке «Имя компьютера» нажать на кнопку «Изменить…», после чего ввести что-то более благоразумное:
После смены имени машину нужно будет перезагрузить.
Теперь зададим статический IP-адрес для сервера. В принципе это делать не обязательно, раз мы всё равно собрались поднимать DHCP службу, но на самом деле это хорошая практика, когда все ключевые элементы корпоративной сети имеют фиксированные адреса. Открыть меню по настройке сетевого адаптера можно из вкладки «Локальный сервер», кликнув на текущие настройки Ethernet-адаптера (тоже выделены красным цветом).
Настройки IP для интерфейса windows_server
Включаем нужные компоненты
Для нашего стенда нам понадобится включить следующие сервисы (или, как они тут называются, роли) на Windows Server:
- Доменные службы Active Directory;
- DNS-сервер;
- DHCP-сервер.
Пройдемся вкратце по каждому из них.
Доменные службы Active Directory
Эта роль фактически «включает» технологию Active Directory на сервере и делает его контроллером домена (под доменом в технологии AD понимается группа логически связанных объектов в сети). Благодаря этой роли администратор получает возможность управлять объектами в сети, а также хранить информацию о них в специальной распределенной базе данных.
Эта база данных содержит всю информацию об объектах в сети (например, именно в неё заносится информация об учётных записях пользователей). Когда человек подходит к рабочей станции и пытается выполнить вход в свою доменную учётную запись, эта рабочая станция связывается с контроллером домена с запросом на аутентификацию, и в случае успеха загружает пользовательский рабочий стол.
Однако, что же делать, если контроллер домена выйдет из строя (или просто будет недоступен для рабочих станций)? Если вы настроили только один контроллер домена, то дела ваши довольно плохи — без связи с рабочим контроллером домена пользователи не смогут выполнить вход на свои рабочие места. Поэтому в реальных сетях всегда рекомендуется устанавливать как минимум два контроллера на каждый домен. Каждый контроллер домена участвует в так называемом механизме репликации, благодаря чему все контроллеры домена имеют полную копию базы данных со всеми объектами в домене. Если по какой-то причине один из контроллеров выйдет из строя, его место всегда может занять резервный контроллер — и пользователи даже ничего не заметят.
Однако этот туториал рассчитан на простое ознакомление с технологией AD «на виртуалках», поэтому здесь не будет рассматриваться вопрос создания нескольких контроллеров AD в одном домене.
С этим пунктом все более менее понятно, а зачем же нам включать дополнительно ещё DNS-сервер?
DNS-сервер
Обычно протокол DNS (Domain Name System) используется для обращения к узлам в сети не по их IP-адресу, а по доменному имени (строковый идентификатор), что, конечно, гораздо удобнее. Другими словами, DNS чаще всего используется для разрешения доменных имен.
Но область применения протокола DNS не ограничивается только сопоставлением хостового имени и IP-адреса, что как раз подтверждает технология Active Directory. Дело в том, что Microsoft решила построить технологию Active Directory не с нуля, а на основе протокола DNS. В частности, протокол DNS используется при определении местонахождения всех ключевых сервисов Active Directory в сети. Другими словами, рабочая станция при подключении к контроллеру домена понимает, «куда» ей надо обращаться, именно с помощью протокола DNS.
Все DNS-записи (в том числе с информацией о сервисах Active Directory) хранятся на DNS-сервере, а это значит, что нам нужно заиметь свой собственный DNS-сервер! Вот только вопрос, откуда его взять? Есть два варианта:
- Использовать отдельную машину в роли DNS-сервера;
- Использовать саму машину windows_server в роли DNS-сервера.
Первый вариант, безусловно, самый правильный — именно так и надо поступать при реальном администрировании сетей (чем больше вы разносите логику по разным узлам в сети — тем лучше). Но в учебных целях я решил выбрать второй вариант (хотя бы потому, что не придётся создавать ещё одну виртуальную машину).
Именно поэтому эту роль (DNS-сервера) тоже нужно добавить к ролям машины windows_server.
Кстати, если не добавить роль «DNS-сервер» сейчас, то в будущем у вас ещё будет такая возможность при конфигурировании контроллера домена AD.
DHCP-сервер
Протокол DHCP (Dynamic Host Configuration Protocol) нужен для автоматической выдачи сетевых настроек узлам в сети. Под сетевыми настройками понимается IP-адрес, адрес шлюза по-умолчанию, адрес DNS-сервера, и ещё ряд других настроек. Этот протокол чрезвычайно удобен при администрировании сетей, особенно больших.
В этом туториале я использую протокол DHCP чтобы рабочая станция workstation могла получить сетевые настройки (в частности, адрес DNS-сервера) без каких-либо действий с моей стороны.
Протокол DHCP не имеет никакого отношения к технологии Active Directory, и можно было бы обойтись вовсе без него (достаточно прописать все сетевые настройки на рабочей станции самостоятельно), но я решил включить этот протокол в данный туториал просто для общего ознакомления. К тому же, такая связка «Контроллер AD — DNS-сервер — DHCP-сервер» довольно часто встречается в реальной жизни, потому что это очень удобный набор сервисов.
При этом вопрос о том, стоит ли выделять отдельную машину под DHCP-сервер, остаётся открытым. Для небольших сетей однозначно не стоит разносить DNS и DHCP-серверы по разным машинам, но для больших сетей, возможно, имеет все-таки смысл задуматься об этом. В нашей же крошечной сети мы абсолютно ничего не потеряем, если включим DHCP-сервер на той же машине, что и DNS-сервер.
Что ж, довольно теории, давайте лучше перейдём к включению этих самых ролей.
Мастер добавления ролей и компонентов
Возвращаемся на панель мониторинга (самый первый скриншот) и щелкаем на пункт «Добавить роли и компоненты». Вас поприветствует мастер добавления ролей и компонентов. Первый экран («Перед началом работы») пропускаем, он совсем неинтересный, а вот дальше идёт экран «Выбор типа установки»
Выбор типа установки
Нас устраивает значение по-умолчанию (Установка ролей или компонентов»), но интересен и второй пункт — он позволяет задействовать ещё одну возможность Windows Server — инфраструктуру виртуальных рабочих мест (Virtual Desktop Environment — VDI). Эта интереснейшая технология позволяет, буквально, виртуализировать рабочее место. То есть для пользователя создаётся виртуальное рабочее место, к которому он может подключаться через тонкий клиент. Пользователь лишь видит картинку, тогда как само рабочее место может совершенно прозрачно работать где угодно.
Впрочем, технология VDI это отдельная большая тема, а в этом туториале надо сосредоточиться на контроллере AD, так что кликаем «Далее» и видим экран выбора целевого сервера.
Выбор целевого сервера
Мастер добавления ролей позволяет устанавливать роль не только на текущую машину, но вообще на любой добавленный сервер, и даже на виртуальный жёсткий диск. Да, если ваша Windows Server развернута на виртуальной машине (а это довольно частое явление), то вы можете администрировать эту виртуальную машину даже не запуская её! Понаблюдать за этим процессом можно, например, здесь
Нам же такая экзотика ни к чему, так что просто выбираем единственный возможный сервер (обратите внимание, что он теперь называется ADController место непонятной абракадабры), жмём «Далее» и, наконец, попадаем на экран выбора ролей, которые нужно добавить.
Выбор добавляемых ролей
Выбираем три роли, о которых уже говорили ранее, и продолжаем.
Выбор компонентов
Теперь необходимо выбрать дополнительные компоненты. В чём разница между ролью и компонентом, можете спросить вы? О, это не такой уж и лёгкий вопрос, честно говоря!
Согласно идеологии Microsoft, роль — это набор программ, которые позволяют компьютеру предоставлять некоторые функции для пользователей в сети. Например, DNS, DHCP, контроллер домена AD — это всё роли. А вот компоненты — это набор программ, которые улучшают либо возможности ролей сервера, либо самого сервера.
При этом глядя на список «Компонентов» так сходу и не скажешь, что какие-то вещи в списке лишь «вспомогательные». Вот например, DHCP-сервер расценивается как роль, а WINS-сервер — уже как компонент. А чем SMTP-сервер хуже DNS?
В общем-то, чёткой границы между ролью и компонентом не существует. Я лично предпочитаю относиться к ролям как к большим функциональным возможностям сервера, а к компонентам — как к небольшим дополнительным аддонам.
В любом случае, дополнительные компоненты нам не нужны, так что кликаем «Далее».
После этого идёт несколько пояснительных экранов с информацией по каждой добавленной роли, но эту информацию я уже разбирал, поэтому останавливаться лишний раз не буду.
Подтверждение устанавливаемых ролей и компонентов
На экране подтверждения ещё раз видим все устанавливаемые роли и компоненты, после чего жмём «Установить».
Остаётся лишь дождаться, когда заполнится progress-bar, и перейти к следующему пункту туториала — настройке контроллера домена AD.
Настраиваем контроллер домена Active Directory
Все роли и компоненты успешно добавлены, о чём свидетельствует следующий экран:
Вот только AD на сервере всё еще не работает — для этого его необходимо донастроить. Для этого нам настойчиво предлагают «Повысить роль этого сервера до уровня контроллера домена».
Погодите-ка, ЧТО?!
А чем же я занимался последние 15 минут? Я же добавлял роли, и судя по сообщению, они успешно добавились! И тут меня снова хотят заставить добавлять какие-то новые роли? В чем-то тут подвох.
Подвох тут действительно имеется, но вообще в не самом очевидном месте. Вот так выглядит предыдущий скриншот в английской версии Windows Server (картинка из интернета).
Английская версия скриншота
Видите разницу? В английской версии ни слова ни про какие роли! Про повышение есть, про роли — нет. Один из тех случаев, когда перевод вносит сумятицу на пустом месте. Согласно английской версии, никакими ролями мы дальше не занимаемся, что и логично, ведь мы их как раз только что добавили.
Что ж, тыкаем на предложение «Повысить роль этого сервера до уровня контроллера домена», и теперь нас привествует мастер настройки доменных служб Active Directory с предложением выбрать конфигурацию развёртывания.
Конфигурация развёртывания
Всего тут есть 3 варианта развития событий. Для того, чтобы выбрать правильный пункт, давайте сначала разберёмся, что эти пункты означают. В этом нам поможет вот такая картинка (картинка, если что, отсюда):
Технология Active Directory (как и DNS) подразумевает иерархическое построение имён на основе доменов. Домены могут выстраиваться в доменные деревья по принципу «родительско-дочерних» отношений. В основе дерева лежит так называемый корневой домен (на картинке выше это sources.com, xyz.com и abc.com). При этом домен может иметь сколько угодно потомков. Домен-потомок располагается в пространстве имён родителя и является его «поддоменом» (subdomain). У доменного имени домена-потомка есть дополнительный префикс относительно доменного имени родителя (rus.abc.com, eng.abc.com). Один корневой домен основывает только одно доменное дерево со своим независимым пространством имён.
Теперь представьте, что таких независимых деревьев может быть много — в этом случае эти деревья образуют структуру, которая называется «лес». При этом в Active Directory доменные деревья не могут быть «сами по себе» — они обязательно должны находиться в лесу (даже если лес будет состоять всего из одного-единственного домена). Первый домен, который добавляется в лес, называется корневым доменом леса (на рисунке выше это sources.com). Корневой домен леса используется для идентификации всего леса (то есть если корневой домен называется sources.com, то и весь лес называется sources.com).
Теперь возвращаемся к мастеру настройки доменных имен. На этом этапе мастер предлагает следующие варианты:
- Добавить контроллер домена в существующий домен (помните про резервирование контроллеров в домене, так ведь?). Этот вариант не для нас, ведь домена ещё никакого нет;
- Добавить новый домен в лес. Этого мы тоже сделать не можем, т.к. и леса у нас тоже никакого нет;
- Добавить новый лес. Это вариант как раз для нас. При этом нам тут же предлагают выбрать корневой домен для этого леса (первый домен, который будет создан в лесу).
Назовём корневой домен mydomain.com и кликнем «Далее»
Параметры контроллера домена
Рассмотрим возможные параметры:
- Режим работы леса и домена. Домены в одном лесу могут работать в разных режимах в зависимости от версии Windows Server на борту. Лес должен иметь режим не выше, чем самый «старый» домен в его составе. Т.к. мы планируем использовать только Windows Server 2016, то оставим этот режим и для леса и для домена;
- DNS-сервер. Если ранее Вы не активировали роль DNS-сервера в мастере добавления ролей, то можете сделать это сейчас (вам даже предложат такой вариант по-умолчанию);
- Должен ли контроллер домена выступать в роли Global Catalog-сервера;
- Включить ли режим базы данных Active Directory «только на чтение». Основная задача, которую преследует технология RODC — возможность безопасной установки собственного контролера домена в удаленных филиалах и офисах, в которых сложно обеспечить физическую защиту сервера с ролью DC. Контроллер домена RODC содержит копию базы Active Directory, доступную только на чтение. Это означает, что никто, даже при получении физического доступа к такому контроллеру домена, не сможет изменить данные в AD (в том числе сбросить пароль администратора домена) (информация взята отсюда)
А вот пункт 3 рассмотрим поподробнее, он довольно интересный.
Как я уже упоминал выше, каждый контроллер домена имеет полную и исчерпывающую информацию обо всех объектах в своём домене. Если же в домене несколько контроллеров, то они ещё и участвуют в механизме репликации, поддерживая несколько актуальных копий базы данных с объектами домена. Получается, что рабочая станция в домене может узнать информацию о любом объекте из этого домена от своего ближайшего контроллера домена.
Но что же делать, если рабочей станции нужно получить информацию об объекте из другого домена? И вот тут в дело вступает ещё один важнейший механизм технологии Active Directory, который называется глобальный каталог.
Что такое вообще «Глобальный каталог»? Согласно Miscrosoft — это распределенное хранилище данных, которое хранит частичное представление обо всех AD-объектах в лесу. Это хранилище располагается на котроллерах домена, которые имеют дополнительную роль «Global Catalog Server» (Сервер глобального каталога). От обычного контроллера домена GC-сервер отличается в первую очередь тем, что помимо полной копии всех объектов в своем домене, хранит также частичную информацию обо всех объектах в других доменах леса.
Чего это позволяет достичь? Давайте представим, что рабочая станция запросила информацию об объекте из другого домена. Она обращается на ближайший GC-сервер с просьбой предоставить ей информацию об этом объекте. GC-сервер, в свою очередь, может:
- Либо отдать рабочей станции нужную информацию сразу (если эта информация у GC-сервера имеется);
- Либо перенаправить запрос к нужному контроллеру домена, где эта информация точно будет находиться. Чтобы понять, какому контроллеру домена нужно перенаправить запрос, как раз и происходит поиск по GC.
Информация о том, какие атрибуты попадают в глобальный каталог, определена в Partial Attribute Set (PAS), который может настраивать администратор AD. Например, если администратор понимает, что рабочие станции часто будут обращаться к атрибуту, который не содержится в глобальном каталоге, он может добавить туда этот атрибут. Тогда запросы рабочих станций при чтении этого атрибута будут выполняться значительно быстрее, т.к. уже ближайший GC-сервер сможет предоставить им всю нужную информацию.
Однако, если в лесе всего один домен (как у нас), то Глобальный каталог содержит полную копию объектов в домене и всё.
Что ж, возвращаемся к галочке GC, которую за нас уже проставил мастер настройки доменных служб. Если вы попробуете её отключить, то убедитесь, что отключить её нельзя. Это связано с тем, что каждый домен в AD должен иметь хотя бы один GC-сервер, и при добавлении первого контроллера в домен этот контроллер сразу помечается как GC-сервер.
Что ж, давайте согласимся с этим «выбором» мастера и перейдём к последнему параметру на этом скриншоте — к паролю для режима восстановления служб каталогов. Это особый режим безопасной загрузки Windows Server, который позволяет администратору работать с базой данных AD. Этот режим применяется, например, в следующих случаях:
- база Active Directory повреждена и нуждается в исправлении;
- требуется выполнить обслуживание базы данных AD (сжатие, анализ на наличие ошибок);
- требуется восстановить резервную копию базы данных AD;
- требуется сменить пароль администратора.
Да да, вы не ослышались. Чтобы просто восстановить резервную копию базы данных, нужно перезагрузить машину и загрузиться в особом «безопасном» режиме. Это вам не Linux какой-нибудь.
Фух, вроде разобрались. Давайте перейдем дальше на шаг, где нам предложат настроить делегирование DNS.
Делегирование DNS
Что такое делегирование DNS? По большей части, это передача ответственности за некоторую DNS-зону отдельному DNS-серверу. Это распространенная практика в больших сетях, в которых требуется разграничить зоны ответственности за доменные зоны между различными серверами. При делегировании DNS в «главный» DNS-сервер вносится запись о том, что «вот за эту DNS-зону несёт ответственность вон тот DNS-сервер, обращайся туда».
Т.к. у нас всего одна зона DNS и DNS-сервер тоже один, то этот шаг нам необходимо пропустить и перейти к выбору NetBIOS-имени.
NetBIOS-имя
Мы видим, что мастер предложил нам на выбор сразу же имя для нашего домена — MYDOMAIN. Но вы можете (и должны) задать себе вопрос: а что такое вообще NetBIOS-имя и зачем оно нужно? И разве мы уже не настраивали сетевое имя узла (Hostname) в самом начале? Чего же от вас хотят?
NetBIOS (Network Basic Input/Output) — это ещё один способ разрешения имён узлов в сети (более древний и более примитивный, чем DNS). NetBIOS-имена не предполагают никакой иерархии, их длина ограничивается всего лишь 16 символами, и они применяются только для разрешения имён компьютеров в локальной сети. Когда мы в самом начале туториала выбрали сетевое имя ADController — мы, на самом деле, задали именно NetBIOS-имя для сервера. Но теперь от нас снова требуют выбрать NetBIOS-имя (да ещё и другое, отличное от ADContoller). Не много ли NetBIOS-имён для одного компьютера?
Дело в том, что Microsoft пошла ещё дальше — и ограничила длину NetBIOS-имен не 16 символами, а 15 символами. 16-ый символ при этом считается зарезервированным суффиксом, который может принимать фиксированные значения. В зависимости от значения 16-го байта получаются разные классы NetBIOS-имён. Например, если суффикс равен 00, то NetBIOS-имя относится к рабочей станции. Если суффикс равен 1С, то это имя относится к имени домена.
То есть, как вы понимаете, на первом шаге мы задавали NetBIOS-имя для компьютера Windows Server (с суффиком 00). А теперь задаём NetBIOS-имя домена mydomain.com (с суффиксом 1С).
Кстати, можете, ради интереса, отмотать туториал в самое начало и посчитать количество символов в «нечитаемом» автоматически сгенерированном сетевом имени windows_server. Будет как раз 15 символов (максимальная длина NetBIOS-имени).
И напоследок скажу, что вы не можете пропустить этот шаг. NetBIOS хоть и устаревшая технология, но до сих пор используется ради совместимости с некоторыми старыми службами. Настроить контроллер домена Active Directory без NetBIOS-имени нельзя.
Что ж, и с этим тоже разобрались. Оставляем NetBIOS-имя по-умолчанию и двигаемся дальше, к выбору места расположения базы данных AD. Можно оставить значение по-умолчанию, комментировать особо нечего.
Расположение базы данных
Все ваши настройки должны пройти предварительную проверку:
Проверка предварительных требований
Как только всё готово, жмите «Установить» и можете спокойно идти пить чай, потому что после установки автоматически начнётся очень-очень долгая перезагрузка. Зато настройка контроллера домена AD на этом закончена, поздравляю!
Настройка DHCP-сервера
Пришло время заняться настройкой DHCP-сервера. Настройка глобально состоит из двух частей:
- Авторизация DHCP-сервера в домене AD. Не каждый DHCP-сервер может раздавать сетевые настройки в домене AD — только авторизованные. Это сделано с целях безопасности, чтобы другие DHCP-серверы не могли «подсунуть» неправильные настройки компьютерам в домене;
- Настройка новой DHCP-области. Это уже непосредственно настройка самого DHCP-сервера, в ходе которой определяются какие сетевые настройки будут выдаваться компьютерам в сегменте сети.
Для того, чтобы авторизировать DHCP-сервер, нужно вернуться на панель мониторинга (она и так должна быть перед вами после перезагрузки), перейти на вкладку DHCP (слева) и кликнуть на предложение донастроить DHCP-сервер:
Запуск авторизации DHCP-сервера
В открывшемся мастере настройки DHCP после установки пропускаем первый приветственный экран и переходим к экрану авторизации
Авторизация DHCP-сервера в домене
На выбор предлагаются три варианта:
- Использовать учётные данные администратора (по-умолчанию)
- Использовать учётные данные другого пользователя;
- Пропустить авторизацию AD.
По-умолчанию авторизовать DHCP-сервер в домене могут только члены группы EnterpriseAdmins, куда как раз и входит пользователь MYDOMAIN\Администратор. При желании можно потратить немного времени и делегировать эту возможность админам «помельче» (региональным администраторам), почерпнуть больше информации по этой теме можно отсюда.
Итак, выбираем вариант по-умолчанию и завершаем первый этап настроки DHCP-сервера.
Завершение авторизации DHCP-сервера
Теперь переходим непосредственно к настройкам DHCP. Для этого на панели мониторинга кликаем вкладку «Средства» и выбираем пункт «DHCP»
В открывшемся окне с настройками DHCP нужно кликнуть правой кнопкой мышки на IPv4 и затем на пункт меню «Создать область». После этого откроется мастер создания новой области.
Открытие мастера создания новой области
Что такое DHCP-область? Под этим понимается некий диапазон IP-адресов, которые может выдавать DHCP-сервер другим компьютерам в сети. Каждая область помимо диапазона IP-адресов также содержит другие сетевые настройки, с которыми мы сейчас и познакомимся.
Назовём DHCP-область SCOPE1 и перейдём дальше.
На следующем экране вам предложат выбрать диапазон адресов, которые будут выдаваться компьютерам в сети. Ранее я настраивал сетевой интерфейс на Windows Server, выдав ему адрес 192.168.1.1/24. Это статический адрес и он зарезервирован, его выдавать другим компьютерам нельзя.
Зато никто не мешает выдавать все остальные адреса в сети 192.168.1.0/24 — так что задаём диапазон от 192.168.1.2 до 192.168.1.254 (192.168.1.255 — это зарезервированный широковещательный адрес, его выдавать тоже нельзя).
Настройка диапазона адресов
В целом, никто не мешает вам как администратору выдавать меньше IP-адресов, чем доступно в адресации сети. Например, можно было бы выделить в сети всего 100 адресов для автоматической выдачи: 192.168.1.101-192.168.1.200.
Переходим далее и видим предложение о выборе исключений из указанонного диапазона адресов, а также о настройке задержки при передаче сообщения DHCPOFFER
Исключения в диапазоне и задержка DHCPOFFER
С исключениями всё более-менее понятно: если вы не хотите выдавать некоторые адреса в указанном ранее диапазоне, то вы можете указать эти адреса здесь в виде исключений. А что за задержка в DHCPOFFER такая?
Эта настройка уже относится к довольно продвинутому администрированию сетей: если в вашей сети есть несколько DHCP-серверов, то с помощью этой задержки вы можете регулировать нагрузку между ними (подробнее можно прочитать, например, тут).
В любом случае, исключений в диапазоне у нас нет, да и задержка по-умолчанию нас устраивает, так что кликаем дальше и видим настройку сроков аренды адресов.
Настройка времени аренды адресов
Протокол DHCP предполагает выделение адресов только на определённое время, после чего компьютеры должны продлять аренду. Здесь можно настроить это время (по-умолчанию — 8 дней).
8 дней меня лично вполне устраивает, так что кликаем «Далее» и видим предложение настроить другие настройки, которые будут получать клиенты в сети (помимо IP-адреса). Соглашаемся.
Настроить дополнительные параметры
Первая сетевая настройка для клиентов — это шлюз по-умолчанию. В стенде из двух виртуальных машин эта настройка в принципе не нужна. Но можно представить, что windows_server будет играть роль шлюза во внешнюю сеть, и добавить адрес 192.168.1.1 как шлюз по-умолчанию.
Шлюз по-умолчанию
Далее идет настройка DNS. Здесь можно задать имя родительского домена и адреса DNS-серверов. С адресами DNS-серверов всё более-менее понятно — это IP-адреса серверов, куда следует обращаться клиентам за помощью в разрешении DNS-имён. Сейчас в этом списке фигурирует тот же адрес, что мы добавили как шлюз по-умолчанию.
А вот для понимания имени родительского домена, рассмотрим следующую ситуацию.
Допустим, есть домен mydomain.com и есть два компьютера в этом домене с именами comp1.mydomain.com и comp2.mydomain.com. Если comp1 хочет связаться с comp2, то он должен, по-хорошему, использовать следующую команду (обращение по Fully Qualified Domain Name — FQDN):
ping comp2.mydomain.comНо задумывались ли вы когда-нибудь, что именно произойдет, если попытаться пропинговать другой узел следующим образом?
ping comp2На самом деле, в этом случае начинается целая магия — очень хитрый процесс разрешения имён (картинка из интернетов).
Процесс разрешения сетевых имён
- Поиск информации в hosts.txt или в кеше;
- Попытка найти имя через DNS;
- Попытка найти NetBIOS-имя в кеше;
- Попытка найти NetBIOS-имя через WINS-сервер;
- Попытка найти NetBIOS-имя путём отправки широковещательных пакетов в локальную сеть;
- Попытка найти NetBIOS-имя в LMHOSTS-файле.
Согласно алгоритму разрешения сетевых имен, сначала comp1 попробует найти информацию о comp2 в hosts.txt — файле. Если этой информации там не окажется, то начинается процесс поиска узла через DNS. Вот только вопрос — DNS-имена же находятся в каком-то домене, верно? Какое доменное имя нужно «пристыковать» к comp2 при выполнении пинга?
Вот тут в дело и вступает настройка DHCP, которая называется «имя родительсокго домена». Это как раз тот суффикс, который будет автоматически «пристыкован» к имени comp2 при выполнении DNS-разрешения имени. Так что если имя родительского домена равно «mydomain.com», то команда ping comp2 неявно преобразуется в ping comp2.mydomain.com.
Если же DNS-разрешение окажется неудачным, дальше начнутся попытки найти comp2 уже по NetBIOS-имени. Что такое WINS, и чем он отличается от Broadcast — информация будет чуть дальше по тексту.
Что ж, в нашем случае имя родительсокго домена должно быть mydomain.com (значение по-умолчанию), а нужный DNS-сервер уже находится в списке, так что в итоге просто кликаем «Далее».
Настройки DNS
Теперь нас попросят указать настройки WINS-сервера. WINS (Windows Internet Name Service) сервер участвует в разрешении NetBIOS-имён в сети (прямо как DNS-сервер для DNS-имён). Вот только, в отличие от DNS, WINS-сервер не обязательно должен присутствовать в сети, чтобы разрешение NetBIOS-имён работало. Так зачем же он нужен тогда?
Дело в том, что по-умолчанию разрешение NetBIOS-имен происходит через широковещательные запросы. С одной стороны, это очень простой механизм (проще не придумаешь), но, с другой стороны, обладает парой недостатков:
- При наличии большого количества NetBIOS-имён в сети широковещательный тафик может начать «зашумлять» канал;
- Широковещательные запросы не могут «выйти» за пределы текущей сети, поэтому узнать NetBIOS-имя из другой сети таким способом не выйдет.
Так вот, WINS-сервер позволяет решить обе этих проблемы. Этот сервер централизованно хранит NetBIOS-имена компьютеров, и обычные узлы в сети могут обращаться к нему для поиска IP-адреса интересующего их имени (как и для DNS). Такой подход, во-первых, резко уменьшает количество широковещательного трафика в сети, а, во-вторых, позволяет посылать NetBIOS-запросы в другие сети, а не только в текущую.
В нашей небольшой сети WINS-сервер нам ни к чему, поэтому просто пропускаем эту настройку и едем дальше.
WINS-серверы
В последнем шаге настройки вам предлагают сразу активировать настроенную область. Соглашаемся, и на этом заканчиваем настройку DHCP.
Активация области
Создаём нового пользователя в домене AD
Собственно настройка контроллера домена и различных сервисов уже фактически закончена, все параметры выставлены как надо. Теперь нужно просто зарегистрировать нового пользователя, от имени которого рабочая станция workstation будет выполнять вход в домен.
Для этого возвращаемся на панель мониторинга, кликаем на «Средства» и затем на «Пользователи и Компьютеры Active Directory»
В открывшемся меню можно заметить созданный домен mydomain.com и его состав. Видно, что помимо пользователей в домене созданы папочки для Computers, Domain Controllers и других сущностей. Но нас сейчас интересуют пользователи, поэтому кликаем правой кнопкой мышки на папке Users и выбираем «Создать» -> «Пользователь»
После этого появляется диалоговое окно с преложением ввести данные нового пользователя. По старой доброй традиции назовём пользователя Foo Bar. Обратите внимание, что пользователь отображается лишь как «Объект» в Active Directory наравне с другими объектами.
Новый объект — Пользователь
Теперь необходимо задать пароль и дополнительные параметры для пользователя. Пароль должен соответсовать политике паролей по-умолчанию, которая, в том числе, предписыват паролям в домене быть довольно сложными (должен использовать числа, буквы верхнего и нижнего регистра, а также спец символы).
Обычно администратор создаёт простой пароль для пользователя, а затем требует от пользователя сменить его при первом входе в систему (первая галочка в списке доступных опций). Это очень хорошая практика с точки зрения безопасности, ведь таким образом даже администратор AD не сможет узнать пароль пользователя. Также хорошей практикой считается ограничивать срок действия пароля. В этом туториале для простоты мы уберём требование о смене пароля пользователем при врходе в систему.
Параметры нового пользователя
После этого останется лишь подтвердить создание нового пользователя.
Подтверждение создания нового пользователя
Ну что ж, вот, кажется, и всё! Осталось лишь проверить ввод рабочей станции в домен.
Ввод рабочей станции в домен
Переключаемся на вторую машину workstation под управлением Windows 7 и заходим в свойства системы. Сейчас видно, что рабочая станция находится в рабочей группе (не в домене). Кстати говоря, WORKGROUP — это тоже NetBIOS-имя. Только в отличии от имени домена оно имеет суффикс 1E.
Щелкаем на кнопку «Изменить параметры», затем в появившемся окне ещё раз «Изменить…».
В окне изменения имени компьютера пишем, что он должен принадлежать домену mydomain.com.
Подключение к домену
Видим предупреждение о нестандартном имени компьютера (testo-ПК содержит кириллицу). Это связано с тем, что NetBIOS-имена не могут содеражать кириллицу. Но мы с вами настроили DNS-сервер (DNS настройки прилетели на рабочую станцию по DHCP), а DNS-механизм разрешения имён, как мы знаем, имеет приоритет перед NetBOIS. Так что в данном случае на работоспособность AD кириллица не влияет. Но на практике так делать не надо!
Нестандартное имя компьютера
Вводим логин-пароль от новой учетной записи FooBar и, наконец, видим заветное сообщение «Добро пожаловать в домен»
После ввода компьютера в домене необходимо перезагрузить компьютер, ну а дальше — вводим учётные данные пользователя в AD.
Логин в AD
И после успешного входа на рабочий стол перепроверяем свойства системы.
Новые свойства системы
Полное имя компьютера поменялось на testo-ПК.mydomain.com, а это значит, что мы успешно ввели рабочую станцию в домен mydomain.com.
Автоматизируем
Как вы могли заметить, весь туториал можно выполнить, пользуясь исключительно мышкой и клавиатурой. Больше того, нам даже не пригодились знания PowerShell, который позволяет выполнять бОльшую часть настройки контроллера домена AD с помощью скриптов.
Так почему бы не автоматизировать все действия с клавиатурой и мышкой, которые мы предпринимали? И нет, я говорю не об AutoIT, я говорю о платформе Testo, создателем которой я являюсь. Эта платформа позволяет фиксировать все действия, проводимые с виртуальными машинами, в виде скриптов на специальном языке Testo-lang. Ну а Testo затем превратит эти скрипты обратно в действия.
Я приведу лишь один скриншот с кусочком скрипта, чтобы у вас сложилось представление о том, о чём я говорю (да, именно скриншот, ведь хабр не умеет подсвечивать скриповый язык Testo-lang). Я даже не буду комментировать этот скрипт, т.к. верю, что код говорит сам за себя.
Секция скрипта на языке Testo-lang
Я не буду сейчас рассказывать о платформе Testo и о её возможностях. Для этого есть отдельная статья на хабре. Вместо этого предлагаю просто увидеть своими глазами, как это работает:
Всё, что Вам потребуется для создания собственного стенда с настроенной Active Directory — это:
- Установочный iso-образ Windows Server 2016 русской версии;
- Установочный iso-образ Windows 7 (придётся поискать самим);
- Скрипты на языке Testo-lang;
- Установленная платформа Testo (бесплатно);
- Выполнить команду.
sudo testo run ./tests.testo --param ISO_DIR /path/to/your/iso/dirИ всё. Как и я обещал — всего одна команда. Через пол часа — час (зависит от шустрости вашего компьютера) вы сможете наслаждаться своим готовым стендом.
Итоги
Надеюсь, вам понравился туториал, и вы нашли его полезным. Возможно, вас заинтересовала платформа Testo, в этом случае вот несколько полезных ссылок:
- сайт платформы Тесто.
- youtube-канал, где можно найти много примеров.
- основная статья на хабре
- статья, где я автоматизировал несколько системных тестов для Dr. Web
- скрипты на языке Testo-lang для этого туториала
Установка и настройка DNS-сервера и Active Directory в Windows Server 2016 практически не отличается от предыдущих выпусков серверов компании Microsoft, таких как Windows Server 2012, 2008. Пройдя несколько шагов устанавливается роль DNS и Доменные службы Active Directory, также для сервера имён потребуется небольшая настройка.
Установка и настройка роли DNS-сервера и Доменные службы Active Directory
До установки ролей сервера, требуется задать имя будущему серверу, а также статический IP-адрес. Также, если имеются, указываем IP-арес шлюза.
1. Нажимаем правой клавишей мыши на «Этот компьютер» и выбираем «Свойства». В открывшемся окне — «Изменить параметры» — «Изменить». Задаём имя компьютера и нажимаем «ОК». Для того, чтобы изменения вступили в силу, перезагружаем компьютер.
2. Для того, чтобы открыть сетевые соединения, в поле «Поиск» набираем команду ncpa.cpl. Выбираем нужный сетевой интерфейс, правой клавишей мыши — «Свойства». IP версии 6(TCP/IPv6) выключаем, если не используем. Затем выбираем IP версии(TCP/IPv4). Заполняем поля:
IP-адрес: адрес сервера (например, 192.168.100.5)
Маска подсети: маска сети (например, 255.255.255.0)
Основной шлюз: шлюз, если имеется (например, 192.168.100.1)
Предпочитаемый DNS-сервер: (например, 192.168.100.5)
3. Теперь можно начать установку ролей сервера. Для этого выбираем «Диспетчер серверов».
4. В следующем окне — «Добавить роли и компоненты».
5. Читаем «Перед началом работы» и нажимаем «Далее». Затем оставляем по умолчанию чекбокс «Установка ролей или компонентов» и снова «Далее». В следующем окне выбираем сервер, на который будем устанавливать роли и «Далее».
6. Выбора ролей сервера — ставим галочки напротив «DNS-сервера» и «Доменные службы Active Directory». При появлении запроса о добавлении компонентов — «Добавить компоненты». Затем «Далее».
7. В следующих окнах нажимаем «Далее», а в окне «Подтверждение установки компонентов» выбираем «Установить». Этот мастер можно закрывать, по окончании установки появится предупреждение в диспетчере серверов.
8. После окончания установки выбранных ролей сервера, нажимаем на значок предупреждения в «Диспетчере серверов» и выбираем «Повысить роль этого сервера до уровня контроллера домена».
9. В следующем окне — «Добавить новый лес». Имя корневого домена — уникальное имя вашего домена.
10. В «Параметрах контроллера домена» оставляем по умолчанию режим работы леса и домена — «Windows Server 2016». Вводим пароль для режима восстановления служб каталогов (DSRM).Этот пароль может пригодиться, его обязательно надо запомнить или записать в надежное место.
11. В окне «Параметры DNS» — нажимаем «Далее».
12. В «Дополнительные параметры» — «Далее».
13. Расположение базы данных AD DS, файлов журналов и попок SYSVOL оставляем по умолчанию, нажимаем «Далее».
14. Проверяем параметры, затем «Далее».
15. После того, как сервер проверит соответствие предварительных требований, можно нажимать «Установить».
16. После настройки контроллера домена, можно перейти к настройке обратной зоны DNS-сервера. Для этого в «Диспетчер серверов» выбираем «Средства», далее «DNS».
17. В открывшемся окне выбираем наш сервер, затем «Зона обратного просмотра». Правой клавишей мыши — «Создать новую зону…».
18. В мастере создания новой зоны оставляем тип зоны — «Основная зона», затем «Далее».
19. Оставляем по умолчанию чекбокс на «Для всех DNS-серверов, работающих на контроллерах домена в этом домене, снова «Далее».
20. В следующем окне — «Зона обратного просмотра IPv4», затем «Далее».
21. Для настройки зоны обратного просмотра задаем «Идентификатор сети» (например 192.168.100). После этого появится автоматически зона обратного просмотра. Нажимаем «Далее».
22. В следующем окне оставляем по умолчанию «Разрешить только безопасные динамические обновления, затем «Далее».
23. Для завершения настройки создания новой зоны проверяем настройки и нажимаем «Готово».
24. Появится зона обратного просмотра для домена.
25. В «Диспетчере серверов» выбираем «Пользователи и компьютеры Active Directory». Проверяем работу Active Directory.
На этом установка и настройка выбранных ролей сервера заканчивается.
Посмотреть, что и как делать, можно здесь:
Читайте также:
- Установка и настройка DHCP — Windows Server 2016
- Второй контроллер домена — Windows Server 2016
- Создание и удаление пользователя, восстановление из корзины — Windows Server 2016
- Ввод компьютера в домен — Windows Server 2016
- Переименование учётной записи администратора домена — Windows Server 2016
- Windows server 2019 — установка и настройка Active Directory, DNS, DHCP
Все способы:
- Что такое Active Directory
- Способ 1: Консоль «Windows PowerShell»
- Способ 2: Штатные «Параметры»
- Способ 3: Ручная установка
- Подключение консоли к домену рабочей группы
- Решение возможных проблем
- Вопросы и ответы: 0
Что такое Active Directory
Active Directory – это хранилище, объединяющее все объекты сети, в том числе роутеры, компьютеры, профили пользователей, серверы или принтеры. По умолчанию программный компонент отсутствует в операционной системе Windows 10, поэтому его требуется сначала установить на компьютер, после чего можно работать с ним при помощи сервера или контроллера домена, где будет храниться вся информация об устройствах.
Использование Active Directory обеспечивает безопасность работы и взаимодействия объектов в одной сети – за счет контроллера домена есть возможность мониторить доступ к этим объектам, разрешать или блокировать различные действия. Также с помощью компонента удастся ограничить некоторые функции для конкретных юзеров, а все данные, хранящиеся на сервере, надежно защищены от доступа извне.
Прежде чем устанавливать Active Directory, ознакомьтесь с несколькими нюансами. Во-первых, программа используется на базе профессиональной редакции Windows 10, поэтому предварительно убедитесь, что на компьютере установлена именно она.
Подробнее: Просмотр версии ОС в Windows 10
Кроме того, каждый способ из нашей статьи предназначен для разных версий «десятки». Например, в версии Windows 10 Pro 1809 и выше можно воспользоваться самым простым методом – встроенной консолью «Windows PowerShell», выполнив несколько команд. В других случаях, например в версиях 1803 и ниже потребуется ручное скачивание и установка компонента, а также активация консоли через «Панель управления».
Способ 1: Консоль «Windows PowerShell»
Как уже упоминалось, установить Active Directory через консоль «Windows PowerShell» есть возможность в Windows 10 Pro версии 1809 и выше. Для начала стоит проверить, доступна ли установка компонента с помощью специальной команды. Если да, останется выполнить инсталляцию программы, в результате чего консоль будет не только добавлена, но и активирована:
- Запустите консоль «Windows PowerShell» от имени администратора. Для этого можно воспользоваться строкой поиска, введя соответствующий запрос и выбрав нужный тип запуска.
- Введите команду
Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property DisplayName, Name, Stateи нажмите на клавишу «Enter», чтобы просмотреть список доступных компонентов. Нас интересует строка “Rsat.ActiveDirectory.DS-LDS.Tools ~~~~ 0.0.1.0” – если она присутствует, переходите к следующему шагу. - Выполните
Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0, скопировав команду, вставив ее в окно и нажав на клавишу «Enter».
Как видите, необходимое программное обеспечение устанавливается парой простых команд, после чего следует перезагрузить компьютер и можно сразу пробовать подключить консоль к домену рабочей группы.
Способ 2: Штатные «Параметры»
Если предыдущий вариант не подходит, тогда проверьте, доступен ли для установки компонент в штатных «Параметрах». Этот способ актуален для Windows 10 Pro 1809 и более поздней версии:
- Нажмите на кнопку «Пуск» и выберите запуск системных «Параметров».
- Выберите раздел «Система» в открывшемся окне.
- Через панель слева переключитесь на «Дополнительные компоненты», а в центральной части окна кликните по строке «Добавить компонент».
- Для более быстрого поиска в строку поиска вставьте запрос ниже. Когда отобразится результат, отметьте его галочкой, затем нажмите на кнопку «Установить»:
средства удаленного администрирования сервера: средства доменных служб Active Directory и служб облегченного доступа к каталогам
После инсталляции следует перезагрузить компьютер, и компонент станет доступен для использования – его активация произойдет в автоматическом режиме.
Способ 3: Ручная установка
В ранних версиях Windows 10 Pro (1803 и ниже) установка компонентов с помощью «Параметров» и консоли не предусматривается, поэтому инсталлировать Active Directory придется вручную, скачав файл с официального сайта Microsoft и активировав пакет в системе:
Скачать Active Directory с официального сайта
- Перейдите по ссылке выше, и попадете на страницу сайта Microsoft. Предпочитаемый язык оставьте «English» и нажмите на кнопку «Download».
- В следующем окне понадобится выбрать версию программного пакета, которая соответствует разрядности вашей операционной системы, отметив ее галочкой. Нажмите на кнопку «Download» для запуска скачивания.
О том, как узнать разрядность операционки, мы писали ранее в отдельном материале.
Подробнее: Определяем разрядность используемой ОС Windows 10
- Начнется процесс загрузки. Дождитесь, когда инсталляционный файл будет скачан, и запустите его двойным нажатием левой кнопкой мыши. Будет предложено установить обновление KB2693643 с помощью автономного установщика Windows (потребуется интернет-подключение). Согласитесь с этим шагом.
- Ознакомьтесь с лицензионным соглашением и примите его.
- После того как инсталляция будет завершена, закройте окно установщика.
По окончании установки Active Directory потребуется перезагрузить систему и вручную включить средства консоли. Сделать это можно двумя способами: через раздел с программами «Панели управления» или посредством нескольких команд в «Командной строке». В первом случае нужно действовать следующим образом:
- Запустите классическую «Панель управления», отыскав средство в главном меню.
- В меню «Просмотр» для удобства выставьте отображение разделов как крупные или мелкие значки, затем выберите пункт «Программы и компоненты».
- На панели слева кликните по строке «Включение или отключение компонентов Windows».
- Отобразится окно «Компоненты Windows», где надо отыскать папку «Remote Server Administration Tools». Отметьте ее галочкой, а также все подразделы, которые находятся внутри, и нажмите на кнопку «ОК» для подтверждения.
Другой метод предполагает выполнение нескольких команд, которые активируют в системе все компоненты оснастки Active Directory:
- Откройте «Командную строку» с расширенными правами. Для этого введите нужный запрос в строке системного поиска и из списка результатов на боковой панели выберите «Запуск от имени администратора».
- Поочередно введите следующие команды, выполняя их нажатием на клавишу «Enter»:
dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns
В обоих случаях компьютер обязательно надо перезагрузить, чтобы новые настройки вступили в силу.
Кстати, проверить, активирован ли Active Directory, можно через «Панель управления». В разделе с инструментами администрирования должен появиться соответствующий пункт. Сам раздел находится по пути «Система и безопасность» — «Инструменты Windows».
Подключение консоли к домену рабочей группы
Установленную оснастку ADUC для полноценного использования также можно самостоятельно подключить к домену. Для этого используется специальная консоль MMC, предназначенная для управления различными оснастками операционки:
- Одновременно нажмите на клавиши «Win + R» для вызова окна «Выполнить», где введите запрос
mmcи нажмите на кнопку «ОК» или клавишу «Enter». - В открывшемся окне щелкните по вкладке «Файл» вверху и выберите пункт «Добавить или удалить оснастку» (также для этого действия предусматривается сочетание клавиш «Ctrl + M»).
- На панели слева выделите кликом левой кнопкой мыши пункт «Active Directory — пользователи и компьютеры», нажмите на кнопку «Добавить».
- В поле «Выбранные оснастки» появится новый пункт. Нажмите на «ОК», чтобы сохранить настройки.
- Далее в окне консоли вы увидите добавленный инструмент, но изначально он еще не подключен к домену рабочей группы. Чтобы это сделать самостоятельно, щелкните по нему правой кнопкой мыши и из контекстного меню выберите пункт «Сменить домен».
- В поле «Домен» нужно прописать домен рабочей группы и сохранить настройки.
Для запуска Active Directory в последующем можно пользоваться командой dsa.msc, вводя ее в окно «Выполнить» («Win + R») или меню «Пуск». Но также есть возможность в раздел со средствами администрирования Windows добавить оснастку вручную. Для этого в окне консоли MMC нажмите на кнопку «Файл» и выберите «Сохранить как». Задайте имя для оснастки и сохраните параметры. После перезагрузки компьютера созданный инструмент администрирования разместится в соответствующем разделе.
Читайте также: Настраиваем рабочую группу на компьютере Windows 10
Решение возможных проблем
Случается, что на этапе установки компонента Active Directory возникают различные проблемы. Например, при использовании Способа 1 после выполнения команды в «Windows PowerShell» появляется сообщение красного цвета с кодом ошибки 0x800f0954, как на скрине ниже.
А при попытке добавить компонент через штатные «Параметры» некоторые юзеры сталкиваются с той же ошибкой и описанием «Сбой установки».
При этом ни «Журнал событий» Windows 10, ни какие-либо другие признаки не дают полноценного ответа на вопрос о решении неполадки. Чаще всего проблема кроется в политиках домена – например, компоненты Active Directory пытаются установиться через WSUS (сервис обновлений операционных системы и продуктов Microsoft, синхронизирующийся с сайтом компании для скачивания обновлений), но при этом там нужных пакетов нет. Исправить такую ситуацию иногда получается с помощью «Редактора локальной групповой политики»:
- Через окно «Выполнить» запустите оснастку командой
gpedit.msc. - Слева разверните меню «Конфигурация компьютера» — «Административные шаблоны» и выберите «Система». В центральной части окна дважды кликните левой кнопкой мыши по политике «Укажите параметры для установки необязательных компонентов и восстановления компонентов».
- В открывшемся окне, если надо, отметьте пункт «Включено», затем в поле «Параметры» поставьте галочку у параметра «Скачайте содержимое для восстановления и дополнительные компоненты непосредственно из Центра обновления Windows вместо Windows Server Update Services (WSUS)». Сохраните внесенные изменения.
Теперь повторите попытку установки Active Directory> через консоль или штатные «Параметры».
Кроме того, иногда во время настройки оснастки (в том числе при добавлении домена) появляются различные ошибки. В этом случае убедитесь, что пользователь имеет права администратора домена, а также выполнение и запуск программ осуществляются с расширенными правами.
Читайте также:
Используем учетную запись «Администратора» в Windows
Запуск программ от имени администратора
Наша группа в TelegramПолезные советы и помощь
Подсветка кровати с датчиком движения на Arduino своими руками
Создание подсветки для кровати – это интересный проект для автоматизации освещения
Кто такой джуниор, миддл, сениор
Градация специалистов, зачем она нужна
Обзор материалов для моддинга компьютеров: акрил, оргстекло и другие
Акрил, оргстекло, стекло, металл, дерево, 3D-печать, композитные материалы, силикон и термоусадочные трубки
Что такое TCP и UDP
В чем разница между ними
Что такое MAC-адрес?
Media Access Control Address
Как ускорить интернет
Советы по улучшению скорости интернет-соединения
Что такое RAID массив
Настройка RAID в Windows Server 2016
Что такое прокси-сервер
Как работает Proxy. Преимущества, типы, примеры прокси
Что делать, если клавиатура не печатает
Клавиатура перестала работать? Не спешите паниковать
Что такое шлюз?
Функции и примеры шлюза
Невозможно загрузить драйвер ene.sys на это устройство
Как исправить проблему совместимости драйвера ENE.SYS в Windows 11
Принтеры: выбор для дома и офиса
Лазерные, струйные, многофункциональные устройства
Как очистить компьютер от пыли?
Рекомендации по регулярному обслуживанию
Звуковая карта: нужна ли она в 2025 году?
Интегрированный звук vs дискретные решения
Доброго времени суток, друзья. Представляю вашему вниманию первый дополнительный урок к курсу «Администрирование Windows Server 2016». По многочисленным просьбам членов закрытой академии я решил более подробно осветить тему работы с групповыми политиками. В этом выпуске речь пойдёт об установке типового набора программ на большое количество компьютеров в пределах локальной сети.
Так как данный урок является логическим продолжением курса, все виртуальные машины у нас уже созданы и настроены. В принципе, если вы уже обладаете базовыми навыками администрирования серверных операционных систем семейства Windows, дальнейшие действия не вызовут затруднений. Остальным подписчикам, я настоятельно рекомендую предварительно ознакомиться с базовой настройкой сервера, которую мы подробно разбирали во второй и третьей главе курса, и лишь затем вникать в тонкости конфигурирования групповых политик для решения специфических задач.
Что ж, прежде чем мы приступим к непосредственной работе с виртуальным полигоном, давайте сформулируем простенькое техническое задание. Допустим, нам необходимо установить с сервера:
- Программу для удалённого доступа LiteManager на клиентский ПК;
- Архиватор WinRAR на все компьютеры нашего домена.
Установка программ с расширением MSI
LiteManager является одной из лучших программ для удалённого управления компьютерами. В последних проектах я всё чаще использую её, игнорируя старый добрый RAdmin. По функционалу она значительно интереснее и заслуживает в будущем отдельного выпуска. Бесплатную версию LiteManager можно скачать с сайта разработчиков. Установочные пакеты данной программы поставляется в формате MSI (Microsoft Software Installer). Весь софт с таким расширением заранее адаптирован для упрощённой установки на операционные системы от Microsoft. Это самый удобный и практичный вариант, если вы занимаетесь инсталляцией через групповые политики.
Загрузка LiteManager
Шаг 1. Переходим на официальный ресурс litemanager.ru и кликаем по ссылке «Скачать (для Windows)».
Шаг 2. После загрузки открываем архив и распаковываем его содержимое в отдельную папку на рабочем столе хост системы.
Шаг 3. Создаём на виртуальной машине с Windows Server 2016 каталог «Soft» на диске D и копируем в него папку «LiteManager».
Установка модуля LiteManager Viewer
Шаг 4. Запускаем установочный пакет модуля LiteManager Viewer. Эта часть программы устанавливается на компьютер, с которого осуществляется удалённое управление рабочими станциями. Поэтому мы установим её на сервер. В первом окне жмём «Next».
Шаг 5. Принимаем условия лицензионного соглашения.
Шаг 6. Путь установки оставляем по умолчанию.
Шаг 7. И запускаем процесс инсталляции, кликнув «Install».
Шаг 8. После завершения установки оставляем галочку «Launch LiteManager Pro — Viewer», чтобы запустить программу сразу после закрытия последнего окна и жмём «Finish».
Шаг 9. Из двух типов лицензии выбираем «Free».
Конфигурирование установочного MSI пакета
Шаг 10. В открывшемся окне программы переходим на вкладку «Удалённая установка» и выбираем пункт «MSI Конфигуратор…».
Шаг 11. Выбираем установочный пакет «LiteManager Pro – Server». В данном модуле нужно предварительно настроить параметры по умолчанию, прежде чем он будет установлен на клиентский компьютер. Жмём «Конфигурировать».
Шаг 12. Переходим «Настройка сервера» — «Безопасность» и на вкладке «Авторизация» задаём пароль, который мы будем использовать для подключения к рабочей станции. Жмём «ОК».
Шаг 13. Далее переходим в «Настройки». На вкладочке «Общее» снимаем галочки напротив пунктов «Показывать меню в системном трее» и «Менять вид иконки в трее», дабы избавить пользователей от отображения лишней информации о программе в системном трее. Сохраняем настройки кликнув по кнопке «ОК».
Шаг 14. И последнее, что мы сделаем, это установим пароль на изменение настроек. Жмём «Защита настроек», отмечаем галочкой соответствующий параметр и задаём сложный пароль, который простому юзеру подобрать не удастся.
Шаг 15. На этом конфигурация пакета завершена. Жмём «Закрыть» и убеждаемся в успехе проделанных действий.
Теперь файл «LiteManager Pro – Server» содержит правильные настройки по умолчанию. В таком виде его можно смело устанавливать на рабочие станции.
Настройка ГП для установки LiteManager
Шаг 16. Осталось только правильно создать и настроить групповую политику. Открываем в «Диспетчере серверов» вкладку «Средства» и выбираем в раскрывшемся списке «Управление групповой политикой».
Шаг 17. Кликнув правой кнопкой по названию нашего домена жмём «Создать объект групповой политика в этом домене и связать его…». Тут же в появившемся окне задаём новой политики, например «Политика для LiteManager».
Шаг 18. Политика создана. Для её редактирования вызываем контекстное меню и кликаем «Изменить».
Шаг 19. Переходим к изменению настроек. «Конфигурация компьютера» – «Политики» – «Конфигурация Windows» – «Сценарии (запуск/завершение)». Давайте глянем свойства сценариев для «Автозагрузки». В появившемся окне жмём «Показать файлы».
Шаг 20. Сервер посылает в общую папку для скриптов, которая привязана к редактируемой политике. Я рекомендую располагать файлы для установки именно здесь, так как в случае переноса групповой политики или создании её резервной копии путь к данной директории точно останется неизменным. Ко всему прочему вам не придётся ломать голову с назначением прав доступа к данной папке, ведь по дефолту её основное предназначение — это хранилище скриптов. А значит, рабочая станция точно сможет достучаться ко всем файлам, расположенным в этой директории. Так что смело, переносим сюда установочный пакет «LiteManager Pro — Server» из папки «Soft».
Шаг 21. Копируем путь к «скриптовой» папке. Совсем скоро он нам пригодится.
Шаг 22. И переходим в ветку «Политики» — «Конфигурация программ» — «Установка программ». Вызываем контекстное меню, «Создать» — «Пакет».
Шаг 23. Вставляем в адресную строку скопированный путь к директории с установочным пакетом серверной части программы и выбираем его.
Шаг 24. Метод развёртывания оставляем по умолчанию, так как все настройки в нашем файле уже сконфигурированы и никакие дополнительные команды для его запуска не требуются.
Шаг 25. Видим, что пакет LiteManager появился в списке программ предназначенных для установки.
Шаг 26. Закрываем ненужные более окна и раскрываем дерево «Объектов групповой политики». Вызвав контекстное меню к «Политике для LiteManager» изменим состояние объекта, выключив применение параметров конфигурации для пользователей. Зачем это нужно? Как бы странно это не прозвучало, но данная настройка может значительно ускорить время применения политики на рабочей станции. Так как мы производили все изменения политики только для компьютера, не затрагивая при этом конфигурацию пользователя, какой смысл заставлять компьютер конечного пользователя прогружать «вхолостую» пустой набор политик? Очевидно, что если есть возможность этого не делать, то лучше воспользоваться данной фишкой системы и ускорить загрузку рабочей станции на несколько секунд.
Шаг 27. Далее давайте настроим нацеливание применения политики для конкретного компьютера. Не закрывая окно, переходим на вкладочку «Делегирование» и кликаем по кнопке «Дополнительно». В открывшемся окне настройки параметров безопасности находим группу пользователей «Прошедшие проверку» и снимаем галочку с пункта «Применить групповую политику». Отлично, теперь групповая политика не будет применяться для всех пользователей авторизованных в домене. Осталось указать, для кого же конкретно она предназначена. Жмём «Добавить».
Шаг 28. И прописываем DNS-имя компьютера, на который будет распространяться созданная политика. В качестве клиентской машины у нас выступает рабочая станция с установленной операционной системой Windows 10 и сетевым именем «CLIENT». Прописываем его и переходим в «Типы объектов».
Шаг 29. Отмечаем в типах «Компьютеры» и нажимаем «ОК».
Шаг 30. Хорошо. Теперь можем проверить, корректно ли написано имя клиента, кликнув по соответствующей кнопке. Всё верно. Закрываем это окно, нажав «ОК».
Шаг 31. Наш компьютер появился в списке. Ставим галочку напротив разрешения «Применить групповую политику» и сохраняем изменения кнопкой «ОК».
Теперь групповая политика для LiteManager будет применяться исключительно к рабочей станции «CLIENT» и не затрагивать другие компьютеры в домене.
В принципе с основной настройкой практически закончили. Для корректной работы требуется проделать ещё несколько нехитрых манипуляций. Во-первых, настроить правила для порта 5650 (это стандартный порт, который использует программа LiteManager) в политике брандмауэра. Но мы этого делать не будем, так как ранее в одном из уроков курса мы уже отключили дефолтный виндосовский фаервол для всех ПК входящих в состав домена. Во-вторых, включить режим инициализации сети при запуске и входе в систему.
Дело в том, что некоторые специфические функции групповых политик, такие как установка программ и запуск скриптов, требуют, чтобы во время их обработки обязательно была установлена связь с сервером. По умолчанию на контроллере функция инициализации сети выключена. Это сделано с целью минимизации времени входа пользователя в систему. Ведь при такой схеме работы групповая политика может примениться уже после того, как пользователь залогинился на своём компьютере.
Однако на практике, такая экономия двух-трёх секунд может стать причиной возникновения серьёзных проблем. Если в момент применения политики сеть была недоступна, настройки могут попросту не примениться. А может получиться и так, что пользователь осуществит вход в систему под временным профилем, вся сохранённая информация из которого после перезагрузки машины полностью удалится. Чтобы исключить подобные ситуации, давайте создадим отдельную политику для синхронной обработки.
Настройка ГП для синхронной обработки
Шаг 32. В окне «Управление групповой политикой» вызываем контекстное меню, кликнув правой кнопкой по имени домена, и создаём новый объект.
Шаг 33. Даём политике звучное имя, например «Политика для синхронной обработки».
Шаг 34. И незамедлительно переходим к изменению настроек созданной политики.
Шаг 35. Ветка «Конфигурация компьютера» — «Политики» — «Административные шаблоны» — «Система» — «Вход в систему». Ищем параметр, отвечающий за инициализацию сети. Звучит он следующим образом «Всегда ждать сеть при запуске и входе в систему». Открываем данный параметр, быстренько пробегаем взглядом по описанию и включаем его.
Вот и всё. Осталось проверить, как отработает групповая политика на клиентском компьютере.
Проверка корректной установки ПО
Шаг 36. Переходим к виртуальной машине с Windows 10 и осуществляем вход под любой доменной учётной записью. В рамках курса мы проверяли большую часть политик под пользователем «Бархатов». Не будем делать исключения в данной ситуации.
Шаг 37. Сразу после входа в систему выжидаем некоторое время, приблизительно три минуты и перезапускаем виртуальную машину. Зачем спрашивается делать этот лишний ребут? Хм. Наверняка вы частенько сталкивались с программами, которые после инсталляции требуют выполнить перезагрузку. Это нужно, прежде всего, для завершения установки дополнительных служб. Так вот LiteManager, как раз относится к категории таких программ. Следовательно, для корректного завершения установки серверного модуля требуется перезапуск операционной системы.
Шаг 38. После включения компьютера заходим в меню «Пуск» и видим, что появился новый каталог «LiteManager Pro — Server», а в нём различные варианты для взаимодействия с программой. Это значит, что политика, отвечающая за установку, отработала на отлично.
Шаг 39. Давайте попробуем изменить настройки кликнув по ярлыку «Settings for LM-Server». Как и следовало ожидать, появилось окно с просьбой ввести пароль.
Шаг 40. Теперь давайте вернёмся на сервер и попробуем подключиться удалённо к рабочей станции. Для этого запускаем на рабочем столе ярлык «LM–Viewer». В главном окне жмём «Добавить новое соединение», отмечаем галочкой тип подключения с использованием IP или DNS-имени компьютера и прописываем сетевое имя «CLIENT».
Шаг 41. Вводим пароль, ранее заданный нами на этапе конфигурирования MSI-пакета. И отметим пункты «Сохранить пароль» и «Авто-логин», дабы в следующий раз не вводить эти данные, жмём на «ОК».
Шаг 42. Через некоторое время соединение будет установлено, и вы получите возможность удалённо управлять клиентской станцией.
Таким образом, мы осуществили автоматическую установку с сервера программного пакета MSI без вмешательства со стороны пользователя. Однако, к сожалению, не все разработчики столь расторопны и большинство из них не стремятся адаптировать свои продукты под столь удобный для системных администраторов формат. Поэтому далее, я предлагаю рассмотреть процесс установки программ с самым распространённым на сегодняшний день расширением EXE.
Установка программ с расширением EXE
Архиватор WinRAR является наиболее популярным среди пользователей Рунета. С его помощью даже маленький ребёнок может научиться самостоятельно, создавать и распаковывать архивы.
Загрузка архиватора WinRAR
Шаг 43. Давайте перейдём на официальный сайт win-rar.ru и в меню слева выберем пункт «Загрузить». Далее находим из списка на странице локализованную русскую 32-битную версию архиватора и скачиваем её.
Шаг 44. Отлично. Теперь заглянем во вкладку «Обучение». Нас интересует «Глава 6. Оптимизация установки WinRAR для работы в сети».
Шаг 45. В ней содержится информация об установке в silent-режиме. Кликаем по соответствующей гиперссылке.
Шаг 46. И смотрим, какой ключ необходимо использовать, чтобы весь процесс установки происходил в тихом режиме, то есть незаметно для конечного пользователя. В случае с WinRAR’ом это ключ «/s».
Шаг 47. Хорошо. Теперь давайте скопируем установочный пакет «wrar540ru.exe» из хост-системы на виртуальную машину с Windows Server 2016.
Шаг 48. Рядом с инсталляционным файлом создаём текстовый документ с именем «install».
Шаг 49. Открываем его и прописываем полное имя установочного файла с расширением EXE, а после добавляем ключ для тихой установки. По итогу получится строчка типа «wrar540ru.exe /s». Обращаю ваше внимание, что в данном случае мы не прописываем полный путь к установочному файлу. Это связано с тем, что создаваемый скрипт будет находиться непосредственно в одном каталоге с инсталляционным пакетом архиватора. Сохраняем изменения в текстовом документе и закрываем его.
Шаг 50. Теперь необходимо трансформировать наше творение в формат скрипта. Для этого потребуется изменить расширение текстового документа TXT на исполняемый BAT-файл. Первым делом переходим в проводнике на вкладку «Вид» и включаем отображение «Расширения имён файлов».
Шаг 51. Затем просто переименовываем «install.txt» в «install.bat» и соглашаемся с изменениями.
Отныне данный файл является скриптом. Осталось подцепить его вместе с EXE’шником к групповой политике.
Настройка ГП для установки WinRAR
Шаг 52. В оснастке «Управлением групповой политикой» создаём новый объект.
Шаг 53. С одноимённым именем «Политика для WinRAR».
Шаг 54. И переходим к конфигурированию политики.
Шаг 55. Раскрываем привычную ветку «Конфигурация компьютера» — «Политики» — «Конфигурация Windows» — «Сценарии (запуск/завершение)». Заходим в свойства параметра «Автозагрузка».
Шаг 56. На вкладке сценарии жмём «Показать файлы…» и перекидываем в появившуюся директорию из папки «Soft» инсталляционный пакет и скрипт тихой установки WinRAR.
Шаг 57. Возвращаемся к окну «Свойства» и кликаем по кнопке «Добавить». Далее щёлкнув «Обзор» выбираем скрипт «install.bat», находящийся в папке для сценариев данной политики.
Шаг 58. Наш скрипт появился в списке для автозагрузки, а значит можно выйти из данной оснастки, сохранив изменения кнопкой «ОК».
Шаг 59. Такс. Объекты нацеливания для политики в данном случае мы настраивать не будем. Пусть применится ко всем компьютерам домена. Архиватор это такая вещь, которая лишней нигде не будет. В том числе и на серверах. Не забываем изменить состояние объекта групповой политики, отключив параметры конфигурации пользователя.
Проверка корректной установки ПО
И переходим к клиентской машине с Windows 10.
Шаг 60. Для того, чтобы проверить отработает ли наша политика, отвечающая за установку WinRAR давайте перезапустим гостевую ОС.
Шаг 61. После перезагрузки логинимся под доменной учёткой и проверяем в ПУСК’е наличие архиватора.
Основная сложность в установке программ с расширением EXE заключается в поиске ключей установке. Они, как правило, идут в комплекте с репаками, которые самопально собирают различные умельцы и распространяют на торрентах. Так что формирование пакета программ поддерживающих тихую установку может отнять у вас очень много времени, но озадачившись этой проблемой единожды, в дальнейшем вы сможете значительно облегчить процесс подключения к сети новых рабочих станций.
Удаление программ с расширением MSI
Однако автоматизировать установку программных продуктов это ещё полдела. Нужно ещё уметь правильно их удалять, не взаимодействуя с пользователем. Вопрос удаления особенно актуален в тех ситуациях, когда предприятие переходит на новую версию программного обеспечения или полностью отказывается от использования софтины.
Шаг 62. Начнём с удаления программ, которые были установлены с использование MSI пакета. В нашем случае это LiteManager. Находим соответствующую политику и, вызвав контекстное меню, жмём «Изменить».
Шаг 63. Идём по пути «Конфигурация компьютера» — «Политики» — «Конфигурация программ» — «Установка программ» и щёлкаем правой кнопкой по пакету «LiteManager Pro — Server». Далее «Все задачи» — «Удалить».
Шаг 64. В появившемся окне оставляем возможность по умолчанию, позволяющую осуществить «Немедленное удаление этого приложения с компьютеров всех пользователей».
Проверка корректного удаления LiteManager
Шаг 65. Для проверки переходим на клиентский компьютер и перезагружаем его.
Шаг 66. После включения осуществляем вход в систему. Как видим в меню «ПУСК» исчез каталог программы «LiteManager», а это свидетельствует о том, что она успешно удалена.
Удаление программ с расширением EXE
Процесс деинсталляции программ установленных с помощью EXE’шных файлов к сожалению не так прост. Для их удаления, собственно как и ранее для установки, приходится создавать костыли в виде скриптов. Давайте рассмотрим пример создания такового для программы WinRAR.
Шаг 67. На диске D в папке архиватора создаём новый текстовый файл с названием «uninstall.txt». Переходим к его изменению. Прописываем директорию, в которую, как правило, устанавливается программа WinRAR. Если не знаете, то можете посмотреть её в свойствах ярлыка в меню «ПУСК». После папки прописываем uninstall.exe и сделав пробел указываем ключ с сайта разработчиков. Отлично. Теперь видоизменяем «Program Files» в переменную «%ProgramFiles%», дабы программа могла быть корректно удалена на операционных системах любой разрядности. И, так как наш путь содержит переменную, необходимо напоследок заключить его в кавычки. По итогу мы получаем скрипт следующего содержания: «»%ProgramFiles%\WinRAR\uninstall.exe» /s». Сохраняем изменения в файле перед закрытием.
Шаг 68. Меняем его разрешение с «TXT» на «BAT».
Шаг 69. И переходим к изменению групповой политики для WinRAR.
Шаг 70. «Конфигурация компьютера» — «Политики» — «Конфигурация Windows» — «Сценарии (запуск/завершение)». Свойства автозагрузки.
Шаг 71. В открывшемся окне жмакаем «Показать файлы» и закидываем в общую папку для сценариев политики скрипт «uninstall.bat» из директории «Soft/WinRAR».
Шаг 72. Далее удаляем из свойств автозагрузки сценарий «Install.bat».
Шаг 73. А на его место привычным движением добавляем «uninstall.bat».
Шаг 74. Сохраняем изменения нажав на «ОК».
Проверка корректного удаления WinRAR
Осталось проверить, удалился ли архиватор с клиентского ПК.
Шаг 75. Для этого перезагружаем виртуальную машину с десяткой.
Шаг 76. И после запуска убеждаемся, что в пуске не осталось и следа от WinRAR’а.
Друзья, в этом уроке мы затронули достаточно сложную, но безумно полезную в прикладном плане тему установки и удаления программ с помощью групповых политик. Надеюсь, вы по достоинству оцените данный материал и непременно воспользуетесь полученными знаниями на практике.
В ближайшее время запланирована целая серия уроков, посвящённая групповым политикам. Так, на следующем занятии я расскажу вам о принципах конфигурирования сетевых принтеров через GPO. Далее по плану у нас фильтры безопасности, моделирование политик, результирующие наборы и множество других очень важных для начинающего сисадмина тонкостей, которые необходимо понимать для эффективного администрирования сети.
Не могу обещать, что все эти уроки будут в открытом доступе. Изначально они рассчитаны на членов академии, которые приобрели доступ к обучающему курс «Администрирование Windows Server 2016». Так что если вы заинтересованы в получении новых знаний по данной тематике, милости просим в наш закрытый клуб. Именно там я отвечаю на все комментарии и помогаю решать вопросы в индивидуальном порядке.
Ну а на сегодня это всё. С вами был Денис Курец. Выпуск блога информационных технологий Kurets.Ru. Если урок был для вас полезен, то не забываем поставить лайк и подписаться на канал. Вам не сложно, а мне чертовски приятно. Такс, ладно, мне уже пора идти на прогулку с коржом. До новых встреч, друзья.
