התחל AD עם מרכז הניהול של Active Directory

מדריכים

ניהול משתמשים והרשאות עשוי להיות מטריד, במיוחד אם אתה מתחיל רק כמנהל. אבל החדשות הטובות הן ש-מרכז הניהול של רישום הפעילות הפעיל (ADAC) זמין בקרבת מקום.

בין שאתה יוצר משתמש, אפס סיסמה, או משנה הרשאות משתמש, ADAC מוכן למשימה. ובמדריך זה, תלמד איך להפעיל ולהשתמש ב-ADAC ברמה מקצועית.

רוצה להתרגש? המשך לקרוא והתחל את המסע שלך כמנהל עם ADAC!

A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!

דרישות מוקדמות

אם אתה מתכנן לעקוב אחר הדוגמאות במדריך זה, וודא שיש לך שרת Windows. מדריך זה משתמש ב-Windows Server 2019, אך גרסאות מאוחרות יעבדו גם.

התקנת רישום הפעילות על Windows Server 2019+

רישום הפעילות (AD) הוא שירות ספריה המאפשר למנהלים כמוך לנהל הרשאות ולשלוט בגישה למשאבי הרשת. אך מאחר ש-AD לא מותקן ברירת מחדל עם השרת שלך של Windows, תצטרך תחילה להתקין את AD דרך מנהל השרת.

1. פתח את מנהל השרת מתוך תפריט ההתחלה.

Launching Server Manager

2. במנהל השרת, לחץ על ניהול (למעלה-ימינה), ובחר את האפשרות להוספת תפקידים ותכונות. אשף ההתקנה יופיע שבו תוכל להתקין את AD.

Accessing the Add Roles and Features Wizard

3. סמן את האפשרות "לדלג על דף זה ברירת המחדל" ולחץ על הבא מאחר שדף זה הוא מבוא בלבד.

Acknowledging the beginning of the installation

4. בתחום סוג ההתקנה, בחר בהתקנת התפקיד או התקנה מבוססת תכונה מאחר ואתה עובד על שרת יחיד, ולא חלק מ-VDI, ולחץ על הבא.

Selecting the installation type

5. כעת, בחר באפשרות בחר שרת מהאולם, בחר את השרת הרלוונטי כיעד להתקנה, ולחץ על הבא.

בחירת השרת שברצונך שייהיה שרת ה-DC שלך חיונית בתהליך זה. אם אתה עובד על המארח הראשון בסביבתך, יהיה רק שרת אחד באולם. אך אם אתה בסביבה חיה עם שירותים קיימים, תראה את שאר השרתים מהסביבה.

Selecting Destination Server for installation

6. סמן את האפשרות שירותי רשת של שירותי מדינת הדת האקטיביים, שעשויה להפעיל חלון נוסף אם תכונות תלויות חסרות.

Selecting the Active Directory Domain Services role

7. אשר את התלותים, ולחץ על הוספת תכונות.

Confirming additional dependencies

8. אשר כי אפשרות שירותי מדינת הדת האקטיביים נבחרה, ולחץ על הבא.

Confirming the selected server roles

9. השאר הכל כברירת המחדל באזור התכונות, ולחץ על הבא.

Selecting additional features

10. ניתן לבדוק את ההקדמה של מדינת הדת האקטיבית ולחץ על הבא.

Reviewing the selected role

11. אשר את בחירות ההתקנה שלך, ולחץ על התקנה. על ידי עשיית זאת, אתה מתחיל את ההתקנה של ה-AD על השרת שלך.

Confirming the installation settings

12. לחץ על סגירה כאשר ההתקנה הושלמה. התקנת בהצלחה את ה-ADAC, ומכאן ואילך, תוכל לחוות ניהול גמיש של AD.

Finishing the installation

קיבוע התקנת ה-AD

אפילו לאחר התקנה, עדיין נדרש תצורה של שרת ה-AD כדי להיקדם לשרת של בקרת דומיין. על ידי כך, השרת שלך מתחיל לשמש כרשותי עבור דומיין של AD, שזה חיוני כדי שהמארחים יכירו אילו שרת הוא בקרת הדומיין.

1. ב-Server Manager שלך, בחר את הסימן הקריאה הצהוב ליד הדגל (בפינה העליונה לימין) ולחץ על הקישור "לקדם שרת זה לבקר דומיין".

אשף תצורת שירותי דומיינים של Active Directory נפתח, כאשר תגדיר את בקר הדומיין החדש שלך.

Promoting the server to a domain controller

2. בתצורת ההתקנה, בחר באפשרות "להוסיף יעד יער חדש". יער הוא בניין המשמש ל-AD להגדיר ולקבץ דומיינים יחד.

ציין את שם הדומיין הראשי ולחץ על הבא. במדריך זה, שם הדומיין הראשי הוא testdomain12.tk.

במדריך זה, תיצור יער חדש, אך יש אפשרות להצטרף לדומיין קיים כדי להרחיב את הרכוש שלך.

Defining the domains name

3. השאר את ברירת המחדל באפשרויות בקרת הדומיין, והגדר רק את הסיסמה הרצויה שלך.

Defining the restore mode’s password

אם השרת שלך לא יכול למצוא הורה רשותית עבור ה-DNS, תיתקל בהודעת אזהרה הבאה.

ההודעה הזו פשוטה מזכירה לך להגדיר את רשומות ה-DNS הקיימות שלך כך שיתרזו כראוי את שם הדומיין שלך. פעולה זו חלה רק כאשר ברצונך לשלב את הדומיין שלך בתשתיות הקיימות.

אם לא, ואתה בונה תשתית חדשה עם השרת הזה הופך להיות המארח האב של DNS החדש שלך, התעלם מההודעה הזו.

Reviewing the warning message

4. השאר את אפשרות יצירת השליחות של DNS ללא בידוק ולחץ על הלאה.

Skipping creating DNS delegation

5. כעת, השאר את שם הדומיין המשני של NetBIOS בברירת מחדל ולחץ על הלאה.

בברירת המחדל, האשף מגדיר את שם הדומיין של NetBIOS כגרסה מקוצרת של שם הדומיין שסיפקת בשם השורשי של הדומיין בשלב שני.

אף על פי שניתן לשנות את שם הדומיין של NetBIOS, נהוג להשאיר את זה כברירת המחדל מאחר וזה קשור לדומיין שלך.

Setting the NetBIOS domain name

6. כמו בשלבים הקודמים, השאר את הנתיבים המוגדרים כברירת מחדל להגדרת הספריות המקומיות של ההתקנה.

Defining Active Directories Path

7. בדוק את האפשרויות שלך להתקנה, ולחץ על הלאה כאשר אתה מרוצה עם הכל.

Reviewing the configuration

8. לחץ על התקן לאחר שהאשף אימת את התצורה שלך ווידא שהכל מוכן להפעלה.

אם אתה רואה את הודעת "כל בדיקת תנאי עברו בהצלחה" המוצגת למטה, אתה יכול להמשיך עם ההתקנה. אם לא, לחץ על "הצג עוד" וחקור עוד.

Running a prerequisites check

לאחר שההתקנה מושלמת, השרת שלך יפעיל מחדש.

Proceeding with installation

9. לבסוף, פתח את מנהל השרת שלך לאחר האיתחול ונווט אל לשונית השרת המקומית (בפאנל השמאלי). תראה שהקבוצה העבודה השתנתה לשם הדומיין של השורש שלך (testdomain12.tk), מה שמאשר שהשרת שלך כעת נמצא בדומיין.

Verifying domain controller

יצירת יחידת ארגון

\

\

\

\

Selecting managed domain and viewing existing OUs

\

\
\

Initiating creating a new organizational unit

\

Creating a new organizational unit

\

Confirming the newly-created OU’s existence

\

\

\

\

Accessing the newly-created OU

\

Initiating creating a new user

השם המלא ושם המשתמש SamAccountName להתחברות הם השדות החובה היחידים. אך, כפי שניתן לראות ממספר השדות האופציונליים, קיימים הרבה שדות שניתן להתאים אישית. לדוגמה, השם המלא, הסימנים האמצעיים, ושם המשפחה יתרגמו לחשבון המשתמש ולכל יישום המשתמש בהתחברות SSO (אינטגרציה של משתמש AD להתחברות).

Creating a new user

חזרה לחלון הראשי של ADAC, תראו את המשתמש שנוצר בהצלחה ביחידת הארגון שלכם.

Verifying the newly-created user

איפוס סיסמת משתמש

אולי אחד המשתמשים שכחו את הסיסמה שלהם (מה שקורה כל הזמן). אם כן, תצטרכו למצוא את המשתמש בשאלה ולאפס את הסיסמה שלהם. למזלכם, ADAC מסוגלת לזה.

קשור:Specops – ניהול סיסמאות של Active Directory

לאפס את הסיסמה של משתמש:

1. פתחו את ADAC, הדגישו את התחום בו קיים המשתמש, ולחצו על האפשרות חיפוש תחת אפשרות זו בשורת המשימות, כפי שמוצג למטה.

A Global Search option appears on the left pane (step three).

Selecting OU where the user exists

2. לאחר מכן, לחצו על אפשרות החיפוש הגלובלי (בצד שמאל), הזינו את שם המשתמש (או אחד מהמאפיינים המזהים של המשתמש, כמו שם ראשון או שם משפחה), ולחצו על Enter כדי לחפש את המשתמש.

Searching for a user

3. בחרו את המשתמש, ולחצו על "איפוס סיסמה" בלוח המשימות. יפתח תיבת דו-שיח שבה תוכלו לאפס את הסיסמה של המשתמש (שלב ארבע).

Opening the Password Reset Dialog

אם אתם מוחקים משתמש או כל אובייקטים AD אחרים, בחרו באפשרות המחיקה במקום זאת. כאשר עובדים עוזבים את החברה, מחיקת חשבונות המשתמש ב-AD חיונית לסגירת הגישה, כך שהם לא יוכלו להתחבר ולגרום לשוד.

בסופו של דבר, אפשר לאפס את סיסמת המשתמש עם ההוראות הבאות:

  • הכנס סיסמה אקראית ואשר את הסיסמה. וודא שהסיסמה עומדת בדרישות הארגוניות שלך.
  • סמן את האפשרות המשתמש חייב לשנות סיסמה בכניסה הבאה כדי לדרוש מהמשתמש לשנות סיסמה לפני התחברות לחשבון.
  • לחץ על אישור כדי לסיים את איפוס סיסמת המשתמש.
Resetting the user’s password

קשור:בניית כלי לאיפוס סיסמת Active Directory עם PowerShell

שחזור משתמש או כל עצם AD אחר

כאשר אתה מוחק עצם בטעות, כמו משתמש או קבוצה, תצטרך לשחזר את העצם ההוא. אבל כיצד? תוכל לשחזר כל עצם כל עוד סל המיחזור מאופשר.

לכן לפני שתבצע שינויים דרסטיים בדומיין שלך, הפעל את סל המיחזור תחילה:

1. בחר בדומיין הרלוונטי (לוח השמאלי), ולחץ על אפשרות הפעלת סל המיחזור בלשונית המשימות, כפי שמוצג למטה, כדי להפעיל את סל המיחזור.

Enabling the Recycle Bin

2. לאחר מכן, לחץ על אישור כאשר מתבקש עם ההודעה למטה כדי לאשר את הפעלת סל המיחזור.

Confirming enabling the Recycle Bin

3. לחץ שוב על אישור כדי לאשר את השינויים.

Confirming the changes

4. לחץ על כפתור F5 כדי לרענן את ADAC, ואפשרות הפעלת סל המיחזור תהיה עכשיו מושחלת, מציינת כי סל המיחזור מופעל.

כעת תוכל למחוק עצמים בטוחים ולשחזר אותם כאשר נדרש.

Verifying the Enable Recycle Bin option is grayed out

5. כעת, מחק משתמש עם ההוראות הבאות:

  • נווט אל הדומיין שלך.
  • בחר את OU בו המשתמש מתגורר.
  • לחץ עם העכבר הימני על המשתמש ובחר באפשרות מחיקה כדי למחוק את המשתמש.
Deleting a user

6. לחץ על סמל החץ הימני ליד הדומיין שלך (בתפריט השמאלי), ובחר בתיקיית האובייקטים שנמחקו כדי לראות את רשימת כל האובייקטים שנמחקו.

Accessing the list of all deleted objects

7. לחץ עם העכבר הימני על המשתמש מתוך רשימת האובייקטים שנמחקו ובחר באפשרות השחזור כדי לשחזר את המשתמש ל OU המקורי שלו. אבל אם אתה מעדיף לשחזר את המשתמש לתקייה / OU שונה, בחר באפשרות "שחזור אל" במקום.

Restoring a user to its OU

אם בחרת לשחזר את המשתמש למיקום שונה, חלון החלוץ למטה מופיע שבו ניתן לבחור את מיקום השחזור.

Selecting the location to restore the user

פעם ששוחזר, המשתמש נעלם מתוך תיקיית האובייקטים שנמחקו.

Verifying the user is not in the Deleted Objects container anymore

8. לחץ בסופו של דבר על ה OU שבו יצרת את המשתמש, ותראה שהמשתמש חוזר ל OU.

Verifying the user is restored to its original OU

צפייה בהיסטוריית PowerShell ב- ADAC

הניחו שאחד מהעמיתים שלך ביצע שינויים לא מורשים בשלט התחום שלך. ללא ספק, תצטרך לצפות בהיסטוריה ולראות אילו שינויים נעשו ASAP, ו- ADAC יכול לעזור.

נווט אל הדומיין שלך, ולחץ על חלק ההיסטוריה של WINDOWS POWERSHELL בתחתית כדי להרחיב את החלק מאחר והוא מכווץ כברירת מחדל.

ברגע שהוא מורחב, תוכל לראות את ההיסטוריה של PowerShell מאז ש-PowerShell מפעיל פקודות עבור כל השינויים שאתה עושה ב- ADAC. עיון בהיסטוריה מאפשר לך לזהות אילו שינויים לא מורשים נעשו בשלט שלך ולבסוף לשחזר אותם.

למטה, תוכל לראות כי עצם (משתמש) הוסר באמצעות הפקודה Remove-ADObject. כעת תוכל לשחזר את המשתמש שנמחק ליחידת הארגון שלו.

Viewing PowerShell history

הרחב את הפונקציונליות של מדיניות קבוצה ופשוט את ניהול מדיניות הסיסמאות הדקות. הפוך כל GPO, קבוצה, משתמש, או מחשב עם הגדרות מילון וסיסמת גישה באמצעות Specops Password Policy. נסה זאת בחינם!

מסקנה

מדריך זה היה מיועד לשפר את יכולתך לנהל אינסטנס AD מההתחלה. האם זה היה יעיל? עברת על התקנת והגדרת האינסטנס, ניהול משתמשים, עצמים, ויחידות ארגון, שמאפשרת לך לנהל סביבה צנועה.

כעת אתה בטוח לנהל עצמים בדומיין שלך בלי לדאוג אם הם יימחקו מאחר ותמיד תוכל לשחזר אותם מסל המחזור במספר לחיצות.

אם תגיע לנקודה בה ארגון הגדול שלך יהפוך לבלגן, שקול לנקוט בניקוי של ה-AD שלך.

קשור:Specops – איך לבצע ניקוי של Active Directory

Source:
https://adamtheautomator.com/active-directory-administrative-center/