Время на прочтение4 мин
Количество просмотров55K
Одним из реально полезных нововведений в Windows Server 2019 является возможность вводить серверы, не делая Sysprep или чистую установку. Развернуть инфраструктуру на виртуальных серверах с Windows Server никогда еще не было так просто.
Сегодня поговорим о том, насколько же, оказывается, просто устанавливать и управлять Active Directory через Powershell.
Устанавливаем роль
RSAT или локальный сервер с GUI:
Сначала нужно добавить сервер в RSAT. Добавляется он на главной странице с помощью доменного имени или ip адреса. Убедитесь, что вы вводите логин в формате local\Administrator, иначе сервер не примет пароль.
Переходим в добавление компонентов и выбираем AD DS.
Powershell:
Если вы не знаете, как называется компонент системы, можно выполнить команду и получить список доступных компонентов, их зависимостей и их имена.
Get-WindowsFeature
Копируем имя компонента и приступаем к установке.
Install-WindowsFeature -Name AD-Domain-ServicesWindows Admin Center:
Переходим в «Роли и компоненты» и выбираем ADDS (Active Directory Domain Services).
И это буквально всё. Управлять Active Directory через Windows Admin Center на текущий момент невозможно. Его упоминание не более чем напоминание о том, насколько он пока что бесполезен.
Повышаем сервер до контроллера домена
А для этого создаем новый лес.
RSAT или локальный серверс GUI:
Очень рекомендуем оставлять все по умолчанию, все компоненты из коробки прекрасно работают и их не нужно трогать без особой на то необходимости.
Powershell:
Сначала нужно создать лес и установить пароль от него. В Powershell для паролей есть отдельный тип переменной – SecureString, он используется для безопасного хранения пароля в оперативной памяти и безопасной его передачи по сети.
$pass = Read-Host -AsSecureStringЛюбой командлет который использует чей угодно пароль нужно вводит таким образом. Сначала записываем пароль в SecureString, а затем указываем эту переменную в командлет.
Install-ADDSForest -DomainName test.domain -SafeModeAdministratorPassword $passКак и в установке через GUI, даже вывод в консоль один и тот же. В отличие от сервера с GUI, как установка роли, так и установка сервера в качестве контроллера домена не требует перезагрузки.
Установка контроллера с помощью RSAT занимает больше времени, чем через Powershell.
Управляем доменом
Теперь, чтобы понять насколько сильно различается управление Active Directory через Powershell и AD AC (Active Directory Administrative Center), рассмотрим пару рабочих примеров.
Создание нового пользователя
Скажем, мы хотим создать пользователя в группе Users и хотим чтобы он сам установил себе пароль. Через AD AC это выглядит так:
New-ADUser -Name BackdoorAdmin -UserPrincipalName BackdoorAdmin@test
Get-ADUser BackdoorAdminОтличий между AD DC и Powershell никаких.
Включить пользователя
RSAT или локальный серверс GUI:
Через GUI пользователю нужно сначала задать пароль отвечающий GPO и только после этого его можно будет включить.
Powershell:
Через Powershell почти то же самое, только пользователя можно сделать активным даже без пароля.
Set-ADUser -Identity BackdoorAdmin -Enabled $true -PasswordNotRequired $trueДобавляем пользователя в группу
RSAT или локальный сервер с GUI:
С помощью AD DC нужно перейти в свойства пользователя, найти графу с членством пользователя в группах, найти группу в которую мы хотим его поместить и добавить его наконец, а затем кликнуть OK.
Powershell:
Если мы не знаем как называется нужная нам группа, получить их список мы можем с помощью:
(Get-ADGroup -Server localhost -Filter *).nameПолучить группу со всеми свойствами можно так:
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"}Ну и наконец добавляем пользователя в группу:
Далее, из-за того, что в Powershell все является объектами, мы как и через AD DC должны сначала получить группу пользователя, а затем добавить его в неё.
$user = Get-ADUser BackdoorAdminЗатем добавляем этот объект в группу:
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"} | Add-ADGroupMember -Members $userИ проверяем:
Get-ADGroupMember -Identity AdministratorsКак видим, отличий в управлении AD через AD AC и Powershell почти нет.
Вывод:
Если вы уже сталкивались с развертыванием AD и других служб, то вы, возможно подмечали сходство развертывания через RSAT и Powershell, и насколько на самом деле все похоже. GUI в ядре, как никак.
Надеемся, статья была полезна или интересна.
Ну и напоследок пару дельных советов:
- Не устанавливайте других ролей на контроллер домена.
- Используйте BPA (Best practice analyzer), чтобы чуточку ускорить контроллер
- Не используйте встроенного Enterprice Admin’а, всегда используйте свою собственную учетную запись.
- При развертывании сервера на белом IP адресе, с проброшенными портами или на VSD обязательно закройте 389 порт, иначе вы станете точкой амплификации DDoS атак.
Предлагаем также прочитать наши прошлые посты: рассказ как мы готовим клиентские виртуальные машины на примере нашего тарифа VDS Ultralight с Server Core за 99 рублей, как работать с Windows Server 2019 Core и как установить на него GUI, а также как управлять сервером с помощью Windows Admin Center, как установить Exchange 2019 на Windows Server Core 2019
Предлагаем обновлённый тариф UltraLite Windows VDS за 99 рублей с установленной Windows Server 2019 Core.
После того, как установлена роль Active Directory в домене windows server 2019, появляется возможность управления доменом. Далее необходимо создать пользователей, которые будут входить под учетными записями, группы и подразделения.
Как создать и удалить пользователя, группу и объект в домене
- Создание пользователя в домене
- Создание группы в домене
- Создание объекта в домене
- Удаление пользователя в домене
- Удаление группы в домене
- Удаление подразделения в домене
Для создания и удаления пользователя, группы и подразделения воспользуемся средством централизованного управления сервером — Диспетчер серверов. Далее выбираем «Пользователи и компьютеры Active Directory».
Создание пользователя в домене.
1. Нажимаем «Пуск«, далее выбираем «Диспетчер серверов«.
2. В новом окне нажимаем «Средства«, в открывшемся списке выбираем «Пользователи и компьютеры Active Directory«.
3. Далее нажимаем правой клавишей на «User«, далее «Создать» — «Пользователь«.
4. Заполняем необходимые поля для создания пользователя (Имя, Фамилия, Имя входа пользователя). «Полное имя» заполнится автоматически. Затем нажимаем «Далее«.
5. В следующем окне дважды набираем пароль для пользователя. Затем устанавливаем чекбокс на «Требовать смены пароля при следующем входе в систему«. Тогда при входе в систему пользователю будет предложено заменить текущий пароль. Нажимаем «Далее«.
6. В новом окне смотрим сводную информацию по вновь созданному пользователю и нажимаем «Готово«. Будет создан новый пользователь.
Создание группы в домене
1. Для создания группы в домене, нажимаем правой клавишей мыши на «Users«, далее «Создать» — «Группа«.
2. Задаем «Имя группы«, «Область действия группы» и «Тип группы«, далее нажимаем «ОК«. Будет создана группа.
3. Для добавления пользователей в группу, открываем пользователя, выбираем вкладку «Член групп«, нажимаем кнопку «Добавить«.
4. В новом окне вводим имя группы, в которую будет добавлен пользователь. Проверяем нажав кнопку «Проверить имена«, далее «ОК«.
5. Также возможно добавить пользователя в группу, открыв нужную группу. Далее выбираем вкладку «Члены группы«. Нажимаем «Добавить«.
6. В новом окне вводим имена пользователей, которые будут добавлены в группу. Проверяем нажав клавишу «Проверить имена«, далее «ОК«.
Добавление подразделения в домене
1. Для добавления подразделения в домене нажимаем правой клавишей мыши на домен, в появившемся меню «Создать» — «Подразделение«.
2. Задаём имя подразделения, далее «ОК«.
3. Если необходимо, в созданном подразделении создаём вложенные подразделения. Далее в созданные подразделения можно перенести или создать различные объекты (пользователи, компьютеры, группы).
Удаление пользователя
1. Обычно сначала пользователя отключают и по истечении определенного промежутка времени удаляют. Для этого выбираем пользователя, правой клавишей мыши — «Отключить учетную запись«.
2. Для удаления выбирают необходимого пользователя, далее правой клавишей мыши — «Удалить«.
3. Появится предупреждение о том, что «Вы действительно хотите удалить Пользователь с именем…«. Нажимаем «Да» и выбранный пользователь будет удален из домена.
Удаление группы
1. Для удаления группы в домене выбираем нужную группу, нажимаем правой клавишей — «Удалить«.
2. Появится предупреждение о том, что «Вы действительно хотите удалить Группу безопасности….«. Нажимаем «Да«. Выбранная группа будет удалена из домена.
Удаление подразделения
1. Перед тем, как удалять подразделение, необходимо снять защиту, которая не дает удалить объект от случайного удаления. Если попробовать просто удалить подразделение, то появится предупреждение — «Недостаточные привилегии для удаления Departmnet1, или объект защищен от случайного удаления«.
2. Для снятия защиты в меню «Вид» выбираем «Дополнительные компоненты«.
3. Далее выбираем подразделение (объект), которое хотим удалить. Правой клавишей мыши — «Свойства«.
4. Выбираем вкладку «Объект«. Убираем чекбокс «Защитить объект от случайного удаления«, далее «ОК«.
5. Далее нажимаем правой клавишей мыши на выбранное подразделение — «Удалить«.
6. Появится предупреждение о том, что «Вы действительно хотите удалить Подразделение с именем….?«. Нажимаем «Да«. Если в выбранном объекте не будет других вложенных объектов, то подразделение будет удалено.
7. Если объект содержит другие объекты, то появится предупреждение «Объект Department1 содержит другие объекты. Вы действительно хотите удалить объект Department1 и все содержащиеся в нем объекты?«. Нажимаем «Да» и выбранный объект будет удален с вложенными объектами.
8. Далее в окне «Active Directory — пользователи и компьютеры» в меню «Вид» возвращаем галочку напротив «Дополнительные компоненты«.
Посмотреть видео о том, как создать или удалить пользователя, группу, объект в домене можно здесь:
- Windows server 2019 — установка и настройка WSUS, создание и настройка GPO
- Windows server 2019 — добавление и удаление компьютера в домене
- Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя
- Windows server 2019 — установка и настройка Active Directory, DNS, DHCP
- Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO
- Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей
{/source}
Hello, how are you? It is well known that Windows Server offers many tools for the management of elements. In fact, it has multiple roles and services that centralize this work. Consequently, the administration becomes a simple and dynamic task. However, one of the daily activities of the administrators is the management of users. This involves the creation and assignment of attributes. In this post, we will see how to create a user in Windows Server 2019/2016 domain controller.
How to access Active Directory Windows Server 2016 Users and Computers
In the first place it is necessary to go to the users and computers of Active Directory. Since it is in this console where objects, users and other elements of the Domain are stored. For this there are a couple of options:
- Follow the route below: Server Manager>Tools>Active Directory Users and Computers
- Press the Win+R combination and run the command dsa.msc
Immediately the Active Directory users and computers console will be deployed
How to create an organizational unit in Windows Server
It is highly recommended to create an organizational unit within the domain. This will optimize the organization. In addition, it is possible to create a unit for each area of the company. Consequently, the assignment of roles and functions is better managed. With this intention, right-click on the domain and select New>Organizational Unit
In the new window, please assign a name to the new unit. Also, it is possible to check the option to prevent accidental deletion. This will protect the elements stored in the container.
Creating a new user within the organizational unit.
After the previous process, we will see the new organizational unit. Now it is time to create a new user. With this in mind, right-click on the unit and then New>User.
Once there, it is time to establish some parameters of the user to be created. For example, first and last name, account name and the domain. After completing the data, press Next to continue.
Now it’s time to create the password. In addition, it is possible to edit the account properties. For example, password policy and account status. Click Next to continue
Finally, a summary of the values assigned to the new user is displayed. If you agree, press Finish.
Then you can see the new user created within the Organizational Unit.
How to modify new user attributes in Windows Server 2019/2016
Just double-click on the user to edit their properties. That is, you can add or modify aspects such as: email, phone, groups, file association, among others.
-
Editing user values -
At the end of the day we have seen how to create a user in Windows Server 2019/2016 domain controller. This is a valuable tool for system administrators. Since user management is an everyday process in the system. All right, that’s it for now. Before saying goodbye I invite you to see our post about installing IIS on Windows Server. Bye!
— Advertisement —
Everything Linux, A.I, IT News, DataOps, Open Source and more delivered right to you.
Subscribe
«The best Linux newsletter on the web»
После установки Windows Server на VDS вам доступна только одна учётная запись — Administrator. Однако во многих случаях сервер нужен для работы нескольких человек — причём одновременной. В таких случаях в систему необходимо добавлять дополнительных пользователей — при условии, что у вас уже настроен терминальный сервер и подключено требуемое количество RDP-лицензий.
Добавление учётной записи в Windows Server 2016
Добавление учётной записи в Windows Server 2019/2022
Зачем нужны RDP-лицензии и где их взять
Для начала подключитесь к вашему серверу по RDP под пользователем Administrator. Если сервер только приобретён, для удобства работы можно сразу включить русский язык в настройках:
- Как добавить русский язык в Windows Server 2016
- Как добавить русский язык в Windows Server 2019/2022
Добавление учётной записи в Windows Server 2016
В Windows Server 2016 в панель управления можно перейти из контекстного меню при клике правой кнопкой мыши по меню «Пуск»:
В панели управления в разделе «Учётные записи пользователей» нажмите «Изменение типа учётной записи». Откроется список пользователей вашего сервера. Здесь выберите опцию «Добавить учётную запись пользователя»:
Запустится мастер создания пользователей. Введите логин, пароль, подтверждение пароля, подсказку и нажмите «Далее».
Система добавит новую учётную запись и отобразит её данные — имя и уровень прав. Для завершения настройки нажмите «Готово»:
После этого в списке пользователей появится новая учётная запись.
При необходимости вы можете изменить тип созданного пользователя — дать ему права администратора. Для этого кликните на карточку учётной записи — откроется окно настройки:
В меню слева выберите «Изменение типа учётной записи» — система предложит настроить уровень доступа:
Укажите требуемый уровень прав и нажмите «Изменение типа учётной записи» для вступления настроек в силу.
На этом процесс создания пользователя на Windows Server 2016 завершён. Чтобы новый пользователь мог подключиться к серверу по RDP, ему потребуются следующие данные:
- IP-адрес вашего сервера / домен;
- логин пользователя;
- пароль пользователя.
Добавление учётной записи в Windows Server 2019/2022
Алгоритм создания пользователей на Windows Server 2019 и 2022 немного отличается. После подключения к серверу откройте меню «Пуск» и перейдите в раздел «Параметры».
В панели управления выберите раздел «Учётные записи».
Система перенаправит вас на страницу с данными текущего пользователя. В меню слева перейдите в раздел «Другие пользователи» и нажмите «Добавить пользователя для этого компьютера»
Запустится оснастка настройки локальных пользователей и групп. Выберите раздел «Пользователи» и в блоке «Действия» в соответствующем подразделе справа перейдите в меню «Дополнительные действия» — «Новый пользователь...»:
Система предложит ввести данные нового пользователя: логин, имя для отображения в системе, описание и пароль с подтверждением. После заполнения данных нажмите «Создать». Поля в форме сбросятся к пустому состоянию — при отсутствии ошибок это означает, что новый пользователь успешно добавлен.
После добавления нужного количества пользователей нажмите «Закрыть» — вы вернётесь к списку пользователей, где появятся созданные учётные записи.
По умолчанию новые учётные записи создаются со стандартным уровнем прав. Если вы хотите предоставить новому пользователю права администратора, вернитесь в Параметры — Учётные записи — Другие пользователи. Выберите созданного пользователя и нажмите «Изменить тип учётной записи».
В окне настройки выберите в списке «Тип учётной записи» уровень прав и нажмите «ОК».
На этом процесс добавления пользователя завершён. Чтобы новый пользователь мог подключиться к серверу по RDP, ему потребуются следующие данные:
- IP-адрес вашего сервера / домен;
- логин пользователя;
- пароль пользователя.
Зачем нужны RDP-лицензии и где их взять
По умолчанию в Windows Server одновременно могут работать только два пользователя уровня Administrator. Для совместной работы большего числа пользователей к серверу нужно подключить RDP-лицензии — по одной на каждого дополнительного пользователя. Их можно приобрести в Личном кабинете: для этого откройте раздел Товары — Виртуальные серверы, выберите ваш сервер в списке, сверху «Изменить».
В списке настроек услуги в блоке «Дополнительно» измените значение поля «Количество RDP-лицензий» и нажмите «В корзину». Стоимость одной RDP-лицензии составляет 1200 ₽ в месяц. После активации лицензия включается в стоимость сервера и автоматически продлевается вместе с ним.
После оплаты в течение получаса к серверу подключится наш системный администратор для активации лицензий и настройки терминального сервера.
Этот материал был полезен?
Для быстрого и удобного создания нового пользователя в Windows Server 2022 и 2019 мы рекомендуем использовать стандартный инструмент “Computer Management”. Он удобен простотой в использовании и очень полезным функционалом, который даёт возможность быстро произвести настройки компьютера без выполнения лишних операций и переходов.
Давайте же посмотрим, как добавить пользователя в Windows Server 2022 и 2019.
Есть два быстрых варианта запуска «Computer Management»:
1. Нажмите на Start и начните писать в поиске «Computer Management». После того как вам будет показано результат – запускайте программу.
Нажмите на Start и откройте меню «Windows Administrative Tools».
В новом окне нажмите и запустите «Computer Management».
Перейдите в раздел Computer Management -> System Tools -> Local Users and Groups -> Users.
Нажмите правой кнопкой по каталогу Users и выберите New user
В новом окне вам нужно обязательно заполнить поля User Name, Password, Confirm Password.
Вы также можете задать различные параметры пользователя, установив или сняв флажки в следующих опциях:
- Пользователь должен менять пароль при следующем входе в систему: Эта опция полезна, если вы сгенерировали пароль для пользователя.
- Пользователь не может изменить пароль: Включение этой опции не позволяет пользователю изменить свой пароль.
- Password never expires: Если вы хотите, чтобы срок действия пароля никогда не истекал, отметьте эту опцию (не рекомендуется по соображениям безопасности).
- Учетная запись отключена: Если вы не хотите сразу включать учетную запись, то можете отметить эту опцию.
Для завершения создания пользователя с нашим набором опций, нажмите на Create и после того, как поля станут пустыми, нажмите на Close.
Новый пользователь добавлен в систему и готов к работе!
В этой статье мы рассмотрели, как можно добавить юзера в Windows Server 2022 и 2019 и сделали это на практике. Мы надеемся, что данная статья будет полезна Вам в работе и позволит более детально настраивать Ваш сервер.
https://finerdp.com/ru/rdp-server