Aduc: Установка оснастки Active Directory Users and Computers в Windows 10/11

Содержание

Установка оснастки Active Directory Users and Computers в Windows 10/11

Оснастка Active Directory Users and Computers (или ADUC) – это одна из наиболее часто используемых консолей управления объектами в домене Active Directory. Вы можете установить mmc оснастку ADUC как на Windows Server, так и на десктопные Windows 10 и 11. Консоль ADUC входит в состав набора компоненту администрирования Microsoft Remote Server Administration Tools (RSAT). В этой статье мы покажем, как установить и использовать консоль управление Active Directory Users and Computers в Windows.

Содержание:

Установка оснастки RSAT Active Directory в Windows 10 и 11
Как пользоваться консолью Active Directory?
Подключение консоли ADUC к домену из рабочей группы

Установка оснастки RSAT Active Directory в Windows 10 и 11

В современных версиях Windows 10 (начиная с билда 1809) и в Windows 11 инструменты администрирования RSAT устанавливаются онлайн в виде Features on Demand. Чтобы установить инструменты администрирования RSAT Active Directory в Windows 10/11, перейдите в Settings -> Apps -> Optional Features -> Add an optional feature (View features).

Наберите в поисковой строке Active Directory и выберите для установки компонент RSAT: Active Directory Domain Services and Lightweight Directory Services Tool.

Нажмите Next-> Install для начала установки.

Windows подключится к серверам Microsoft, скачает и установит набор инструментов для управления Active Directory (включает в себя графические консоли Active Directory, утилиты командной строки и модуль Active Directory PowerShell).

Либо вы можете установить набор компонентов администрирования AD с помощью PowerShell:

Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

В предыдущих билдах Windows 10, а также в Windows 8. 1, установить RSAT можно с помощью MSU обновления. Скачать RSAT можно здесь:

RSAT для Windows 10 1803/1709 — https://www.microsoft.com/en-us/download/details.aspx?id=45520
RSAT для Windows 8.1 — https://www.microsoft.com/en-us/download/details.aspx?id=39296

Скачайте версию файла RSAT в зависимости от разрядности вашей операционной системы и установите его. Дважды щелкните по файлу для начала установки:

Или установите MSU файл RSAT из командной строки в «тихом» режиме:

wusa.exe c:\Install\WindowsTH-RSAT_TP5_Update-x64.msu /quiet /norestart

После окончания установки RSAT нужно перезагрузить компьютер.

Осталось активировать необходимый функционал RSAT. Для этого:

Щелкните ПКМ по кнопке Start и выберите Control Panel (Панель управления)
Выберите Programs and Features (Программы и компоненты)
В левой панели нажмите кнопку Turn Windows features on or off
В дереве компонентов разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
Отметьте раздел AD DS Tools и нажмите OK.

Установка оснастки ADUC также может быть выполнена из командой строки. Последовательно выполните 3 команды:

dism /online /enable-feature /featurename:RSATClient-Roles-AD dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

После установки оснасток управления, в разделе Administrative Tools панели управления (Control Panel\System and Security\Windows Tools) появится ссылка на консоль Active Directory Users and Computers.

Как пользоваться консолью Active Directory?

Чтобы запустить консоль ADUC, щелкните по ярлыку в панели управления или выполните команду:

dsa.msc

Все аутентифицированные пользователи домена могут использовать консоль ADUC для просмотра объектов Active Directory.

Если ваш компьютер состоит в домене Active Directory, то консоль ADUC подключится к контролеру домена, на основании текущего Logon сервера. Имя контроллера домена, с которого вы получаете информации указано в верху.

Вы можете подключиться к другому контроллеру домена AD или другому домену, щелкнув по корню консоли и выбрав пункт в контекстном меню.

В консоли Active Directory отображается древовидная структура организационных юнитов (Organizational Unit, OU) вашего домена (и отдельный раздел с сохраненными запросами/ Saved Queries AD).

Администратор домена может создавать контейнеры (OU) в соответствии с физической или логической структуры предприятиями. С помощью контекстного меню можно создать новые объекты в AD (пользователей, группы, компьютеры, OU, контакты), переименовать, переместить или удалить объекты. В зависимости от типа объекта, который вы выбрали пункты контекстного меню могут отличаться.

Например, у пользователя есть опции на сброс пароля в AD или блокировку/разблокировку учетной записи.

Вы можете использовать контекстное меню Search для поиска объектов в AD.

Администратор может делегировать права на создание/редактирование/удаление объектов в Active Directory другим пользователям или группам.

С помощью меню View -> Add/Remove columns можно добавить атрибуты объектов, которые вы хотите отображать в консоли ADUC.

В консоли ADUC можно посмотреть или изменить свойства объектов домена. Например, можно открыть свойства пользователя и изменить его настройки. Часть свойств пользователя находится на соответствующих вкладках, а полный список атрибутов пользователя доступен на вкладке редактора атрибутов AD (Attribute Editor).

Можно добавить отдельную вкладку с фотографией пользователя AD.

При подключении к RODC контроллеру домена вы не сможете изменить свойства объектов AD.

Чтобы показывать системные контейнеры и свойства объектов в оснастке AD (по умолчанию скрыты), включите опцию View -> Advanced features.

После этого у всех объектов появится ряд системных вкладок.

Например, на вкладке Object можно получить каноническое имя объекта, дату создания учетной записи и включить опцию защиты от удаления (protect object from accidental deletion).

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с компьютера, который не включен в домен (состоит в рабочей группе), воспользуйтесь таким методом:

Запустите командную строку и выполните команду запуска оснастки от имени другого пользователя: runas /netonly /user:winitpro\aaivanov mmc
В пустой консоли MMC выберите File->Add/Remove Snap-In
Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите Add;
Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена.

В результате консоль ADUC подключится к контроллеру домена, получит и отобразит структуру контейнеров (OU) данного домена Active Directory.

Вкладка Additional Account Info в консоль ADUC

В комментариях к одной из предыдущиз статей наша читательница sveta спрашивала, можно ли вернуть вкладку Additional info в консоли ADUC для домена на базе Win2008R2. Попробуем вспомнить, что это за вкладка и можно ли ее использовать в последних версиях Windows.

Многим администраторам вкладка Additional Account Info знакома еще со времен домена на базе Windows Server 2003. Напомним, чтобы в свойствах пользователя в консоли Active Directory Users and Computers (ADUC) появилась вкладка Additional Account Info, нужно было скачать Windows 2003 Resource Kit и зарегистрировать в системе специальную библиотеку Acctinfo.dll. После этого при открытии окна свойств любого пользователя AD, можно увидеть новую вкладку, содержавшей различную полезную для администратора домена информацию, в частности:

Password Last Set — когда был изменен пароль пользователя
Password Expires – когда истекает срой действия пароля пользователя
User Account Control / Locked – статус учетной записи (активна, отключена, заблокирована и т.д.)
Last logon (logoff) — время последней регистрации (выхода) пользователя на контроллере домена
Информацию по счетчикам неудачных/удачных входов в систему
Информацию о SID, GUID и SID History
и т. д.

Совет. В общем-то всю эту информацию можно получить с помощью консоли ADSIEdit или на вкладке Attribute Editor в свойствах пользователя (появилась в версии ADUC для Windows 7), но информация представленная на вкладке Additional Account Info более полная, информативна и удобна для анализа.

Итак, чтобы добавить Acctinfo.dll в консоль Active Directory Users and Computers в x64 версии Windows (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012) нужно:

Скачать пакет Account Lockout and Management Tools с сайта Microsoft (архив от 8/22/2012, содержит самораспаковывающий архив ALTools.exe, размеров 850 KB) и распаковать его.
Скопировать файл библиотеки acctinfo.dll в каталог C:\Windows\SysWOW64
Запустить командную строку с правами администратора и зарегистрировать библиотеку в системе:
```
regsvr32 C:\Windows\SysWOW64\acctinfo.dll
```
Создать ярлык для оснастки Active Directory Users and Computer (dsa. msc), указав в свойствах ярлыка, что нужно запускать консоль в 32 битном режиме:
```
C:\Windows\System32\dsa.msc -32
```
С помощью созданного ярлыка открыть консоль ADUC и включить отображение дополнительных параметров (
View->Advanced Features)
Осталось открыть свойства любого пользователя домена и убедится, что новая вкладка Additional Account Info появилась.

Возможности этой вкладки также можно расширить, интегрировав в нее отдельную кнопку Account Lockout Status, позволяющей непосредственно из консоли ADUC запускать утилиту LockoutStatus.exe (Microsoft Account Lockout Status). Данная утилита может анализировать журналы контроллеров домена AD и определять на каком из контроллеров домена произошла блокировка учетной записи (мы вспоминали про эту утилиту в статье про поиск источника блокировки учётной записи пользователя в домене AD).

Все что нужно сделать – скопировать файл lockoutstatus. exe (из того же архива) в каталог %systemroot%\syswow64\ и перезапустить консоль ADUC. На скриншоте ниже видно, что на вкладке Additional Account Info появилась новая кнопка

Account Lockout Status, нажатие на которую запускает утилиту LockoutStatus.exe, которой в качестве аргумента будет передано имя соответствующего пользователя.

Примечание. Вся описанная выше процедура должна работать и на 32-битных версиях Windows с одной ремаркой: копировать файлы библиотек нужно в каталог %systemroot%\system32\. Но мною этот вариант не тестировался, т.к. таких 32 битных ОС под рукой просто не осталось : ).

Чтобы удалить вкладку Additional Account Info в консоли ADUC, нужно отменить регистрацию библиотеки в системе и удалить соответствующие файлы:

regsvr32 /u %systemroot%\SysWOW64\acctinfo.dlldel %systemroot%\SysWOW64\acctinfo.dlldel %systemroot%\SysWOW64\LockoutStatus.exe

Как установить пользователей и компьютеры Active Directory (ADUC)

Пользователи и компьютеры Active Directory (ADUC) — это распространенный инструмент, используемый администраторами для выполнения повседневных задач и многого другого в Active Directory AD. Вот некоторые из задач, которые администратор может выполнять с помощью этой оснастки MMC:

Создание и управление объектами AD, такими как пользователи, компьютеры, группы и контакты, вместе с их атрибутами.
Создание организационных единиц (OU), перемещение пользователей и компьютеров внутри них и вокруг них, а также удаление OU.
Делегируйте пользователям права на управление групповой политикой.
Определение расширенной безопасности и аудита в AD.
Работа с ролями FSMO, такими как хозяин RID, эмулятор PDC и хозяин инфраструктуры.
Повысить функциональный уровень домена.
Дополнительные параметры функций, которые помогают управлять контейнером LostAndFound, квотами NTDS, программными данными и системной информацией.

Как установить пользователей и компьютеры Active Directory

Процесс установки ADUC для Windows 10 1809и выше отличается от процесса для Windows 10 1803 и ниже. Вот два процесса установки ADUC:

Установка пользователей и компьютеров Active Directory для Windows 1809 и выше

Перейдите к Start , выберите Settings , а затем Apps .
Нажмите Управление дополнительными функциями .
В новом окне нажмите Добавить функцию .
Select R SAT: доменные службы Active Directory и облегченные инструменты каталогов , а затем нажмите Установить .

Установка доменных служб Active Directory и облегченных инструментов каталогов будет содержать консоль ADUC. Для проверки перейдите к Start . Теперь в списке будут средства администрирования Windows.

Установка пользователей и компьютеров Active Directory для Windows 1803 и более ранних версий и Windows 8

Загрузите Инструменты администратора удаленного сервера для своей версии Windows и установите его. Вы можете загрузить инструмент из Центра загрузки Майкрософт.
Перейдите к Пуск и выберите Панель управления.
Перейдите к Программы > Программы и компоненты > T включить или выключить функции Windows .
Прокрутите вниз и разверните Инструменты удаленного администрирования сервера , а затем перейдите к Инструменты администрирования ролей > AD DS и инструменты AD LDS.
Отметьте Инструменты AD DS и нажмите OK .

Когда процесс установки завершится, на вашем компьютере будет установлен ADUC. Для проверки перейдите к Старт . В меню будет папка с именем Административные инструменты , которая должна содержать Пользователи и компьютеры Active Directory .

Как открыть Active Directory Users and Computers

Ниже приведены некоторые способы открытия Active Directory Users and Computers на контроллере домена:

Способ 1: С помощью команды RUN

Перейти к
1 Start, and нажмите Выполнить .
Тип dsa.msc и нажмите Введите .

Открытие ADUC из меню «Выполнить»
Способ 2: Из меню «Пуск»
Перейти к Пуск → Административные инструменты → Пользователи и компьютеры Active Directory .
Способ 3. Из панели управления
Перейти к Пуск → Панель управления .
Щелкните S Система и Безопасность и выберите A Инструменты администрирования .
Из списка доступных инструментов выберите Пользователи и компьютеры Active Directory .
Открытие ADUC из панели управления
Теперь, когда ADUC установлен и открыт, давайте посмотрим, как вы можете выполнять различные функции с помощью консоли.
Создание новой учетной записи пользователя
На левой панели ADUC щелкните правой кнопкой мыши папку, в которой должна быть создана учетная запись пользователя.
Нажмите Новый , а затем нажмите Пользователь .
Введите данные, такие как Имя, Имя пользователя и т. д., и нажмите Далее .
Введите пароль пользователя и подтвердите его в соответствующих полях. Проверьте необходимые параметры пароля.
Создание нового объекта пользователя
Включение или отключение учетной записи пользователя
В левой панели ADUC разверните папку, содержащую учетную запись пользователя, которую нужно включить/отключить.
Щелкните правой кнопкой мыши учетную запись пользователя и выберите Включите или Отключите , чтобы включить или отключить учетную запись пользователя по мере необходимости.
Включение/отключение учетной записи пользователя с помощью ADUC
Сброс пароля учетной записи пользователя
На левой панели ADUC разверните папку, содержащую учетную запись пользователя, пароль которой необходимо сбросить.
Щелкните правой кнопкой мыши учетную запись и выберите Сбросить пароль .
Введите и подтвердите пароль в соответствующих полях. При необходимости выберите другие параметры, связанные с паролем.
Сброс паролей заблокированных пользователей
Создание новой групповой учетной записи
На левой панели ADUC щелкните правой кнопкой мыши папку, в которой должна быть создана групповая учетная запись.
Щелкните Новый , а затем щелкните Группа .
Введите подходящее имя для группы. Для области действия группы выберите один из локальных, глобальных и универсальных доменов. В качестве типа группы выберите безопасность или распространение.
Нажмите Применить , а затем нажмите ОК .
Диалоговое окно «Новый объект — группа»
Добавление участника в группу
На левой панели ADUC щелкните правой кнопкой мыши папку, содержащую учетную запись группы, в которую вы хотите добавить участника.
Щелкните группу правой кнопкой мыши и выберите Свойства .
Перейдите на вкладку Участники и нажмите Добавить .
Введите имя объектов, которые вы хотите добавить в группу.
Нажмите ОК .
Добавление пользователей, контактов и компьютеров в группу на вкладке «Участники»
Изменение типа или области действия группы
На левой панели ADUC щелкните правой кнопкой мыши папку, содержащую группу, тип или область действия которой быть изменены.
Щелкните группу правой кнопкой мыши и выберите Свойства .
Выберите необходимый объем или тип для группы.
Щелкните Применить , а затем щелкните OK .
Выберите необходимый диапазон группы на вкладке свойств группы.
Создание новой учетной записи компьютера
На левой панели ADUC щелкните правой кнопкой мыши папку, в которой должна быть создана учетная запись компьютера.
Щелкните Новый , а затем щелкните Компьютер .
Введите подходящее имя для компьютера.
Сброс учетной записи компьютера
На левой панели ADUC щелкните правой кнопкой мыши папку, в которой должна быть создана учетная запись компьютера.
Нажмите Новый , а затем щелкните Компьютер .
Введите подходящее имя для компьютера.
Создание новой организационной единицы (OU)
На левой панели ADUC щелкните правой кнопкой мыши имя домена.
Щелкните Новый , а затем щелкните Организационная единица .
Введите подходящее имя для OU.
Удаление пользователей, компьютеров и подразделений
На левой панели ADUC щелкните правой кнопкой мыши папку, в которой находится объект.
Щелкните объект правой кнопкой мыши и выберите Удалить .
Теперь давайте рассмотрим некоторые дополнительные задачи, которые пригодятся администратору, управляющему пользователями, компьютерами и другими объектами в Active Directory.
Расширенные настройки в ADUC
ADUC содержит несколько расширенных функций, которые позволяют администраторам работать со сложными настройками и контейнерами, которые иначе не отображаются в консоли.
Чтобы включить дополнительные функции, выполните следующие действия:
Перейдите к Пуск -> Административные инструменты и нажмите Пользователи и компьютеры Active Directory . Откроется консоль ADUC.
В консоли ADUC нажмите Просмотр и включение дополнительных функций .
Расширенные настройки включены. Теперь, чтобы просмотреть атрибуты пользователя и компьютера, вы можете выполнить следующие шаги:

В левой панели ADUC щелкните правой кнопкой мыши объект, атрибуты которого вы хотите просмотреть.

Щелкните Свойства, , а затем щелкните вкладку Редактор атрибутов . Можно просмотреть список всех атрибутов, относящихся к объекту.

Защита объектов от случайного удаления

Это действие отказывает в разрешении на удаление объекта, и при попытке сделать это отображается сообщение об ошибке.

Следующие шаги иллюстрируют, как защитить объекты AD от случайного удаления:

Перейти к Пуск -> Средства администрирования и щелкните Пользователи и компьютеры Active Directory . Откроется консоль ADUC.
В левой панели ADUC щелкните правой кнопкой мыши объект, который необходимо защитить от случайного удаления, и выберите Свойства .
Выберите вкладку Объект и установите флажок Защитить объект от случайного удаления .

Поиск объектов

Объекты в AD можно найти с помощью диалогового окна «Найти» в консоли ADUC. Следующие шаги иллюстрируют выполнение поиска:

Перейдите к Пуск -> Административные инструменты и нажмите Пользователи и компьютеры Active Directory . Откроется консоль ADUC.
В левой панели ADUC щелкните правой кнопкой мыши объект-контейнер, в котором необходимо выполнить поиск.
Выберите Найти из контекстного меню.
В появившемся диалоговом окне Поиск пользователей, контактов и групп укажите тип искомого объекта, а также контейнер, в котором должен выполняться поиск.
Чтобы упростить поиск, щелкните вкладку Дополнительно .
В появившемся диалоговом окне выберите поиск по атрибуту в списке полей. Для дальнейшего уточнения поиска используйте раскрывающийся список условий. Укажите значение для условного поиска в поле значения. Вы можете использовать кнопку «Добавить», чтобы включить дополнительные условия.
Нажмите Найти , чтобы отобразить результаты поиска.

Альтернативным методом поиска объектов является использование инструмента командной строки DSquery. Чтобы узнать, как, вы можете проверить эту статью.

Создание сохраненного запроса

Сохраненные запросы в ADUC позволяют администраторам получать доступ и проверять информацию в AD и фильтровать только те объекты, которые соответствуют определенным критериям.

Следующие шаги иллюстрируют создание сохраненного запроса:

Перейдите к Пуск -> Административные инструменты и щелкните Пользователи и компьютеры Active Directory . Откроется консоль ADUC.
На левой панели ADUC щелкните правой кнопкой мыши Сохраненные запросы и нажмите Новый , а затем Запрос .
Введите подходящее имя для сохраненного запроса и нажмите Определить запрос .
Выберите нужную вкладку объекта и определите переменные вашего запроса.
Нажмите OK , чтобы сохранить запрос.

Здесь будут перечислены только те учетные записи, которые соответствуют критериям, указанным в запросе.

пользователей и компьютеров Active Directory (ADUC): установка и использование

Блог о внутренней безопасности / Активный каталог

Пользователи и компьютеры Active Directory (ADUC) — это оснастка консоли управления Microsoft, которую вы используете для администрирования Active Directory (AD). Вы можете управлять объектами (пользователями, компьютерами), организационными единицами (OU) и атрибутами каждой из них.

ADUC — это один из многих инструментов, которые вы можете использовать для администрирования AD, но, поскольку он существует с Windows 2000, он является одним из самых популярных. Читайте дальше, чтобы узнать, как запустить и использовать ADUC для управления AD.

Как добавить пользователей и компьютеры Active Directory?

Некоторые из вас, возможно, уже искали ADUC на своем ноутбуке и обнаружили, что его там нет. Он не является частью установки по умолчанию, и способ его установки зависит от вашей версии Windows.

В текущих версиях Windows ADUC является частью административного набора инструментов, который называется Средства удаленного администрирования сервера (RSAT).

Средства удаленного администрирования сервера (RSAT)

В обновлении от октября 2018 года Microsoft переместила все инструменты администрирования Active Directory в «функции по запросу» под названием RSAT. Злоумышленники используют все возможное для повышения привилегий и эксфильтрации. Им не нужен RSAT, чтобы нанести серьезный ущерб вашей сети, но он, несомненно, упрощает задачу! Если злоумышленник завладел компьютером с установленным ADUC, он мог просто изменить пароли и права доступа по своему усмотрению. Это было бы очень плохо.

В любом случае, если вы хотите получить доступ к ADUC на своем компьютере, вам необходимо установить RSAT. ADUC не является частью установки по умолчанию для любой версии Windows. Следуйте инструкциям ниже, чтобы установить:

Установка ADUC для Windows 10 версии 1809 и выше

1. В меню «Пуск» выберите Настройки > Приложения .
2. Щелкните гиперссылку справа с надписью «Управление дополнительными функциями», а затем нажмите кнопку «Добавить функцию 9».0503 .
3. Выберите RSAT: доменные службы Active Directory и упрощенные инструменты каталогов .
4. Щелкните Установить .
5. По завершении установки в меню «Пуск» появится новый пункт под названием Средства администрирования Windows .

Установка ADUC для Windows 8 и Windows 10 версии 1803 и ниже

1. Загрузите и установите средства удаленного администратора сервера в зависимости от вашей версии Windows. Ссылка предназначена для Windows 10, другие версии доступны в Центре загрузки Microsoft.
2. Нажмите кнопку «Пуск» и выберите Панель управления > Программы > Программы и компоненты > Включение или отключение компонентов Windows .
3. Прокрутите список вниз и разверните Инструменты удаленного администрирования сервера .
4. Развернуть Средства администрирования ролей .
5. Развернуть Инструменты AD DS и AD LDS .
6. Отметьте Инструменты AD DS , затем выберите «ОК».
7. Когда установка завершится, у вас будет папка для Средства администрирования в меню «Пуск». ADUC должен быть в этом списке.

Устранение неполадок при установке RSAT

Есть две распространенные проблемы установки, чтобы проверить, если что-то идет не так, и вы не можете установить RSAT. Во-первых, убедитесь, что вы включили брандмауэр Windows. RSAT использует серверную часть Центра обновления Windows и поэтому требует включения брандмауэра Windows.

Иногда после установки могут отсутствовать вкладки и тому подобное. Удалите и переустановите. Возможно, у вас была более старая версия, и обновление не работало на 100%. Вы также можете щелкнуть правой кнопкой мыши ADUC в меню «Пуск» и убедиться, что ярлык указывает на %SystemRoot%\system32\dsa.msc. Если он не указывает там, вам нужно удалить и переустановить наверняка.

Нужно укротить свою рекламу?

Active Directory очень быстро усложняется, и почти невозможно определить, какие права и группы нужны каждому пользователю.

Для чего используются пользователи и компьютеры Active Directory?

ADUC может выполнять большую часть ваших обязанностей администратора AD. Самая важная отсутствующая задача — это, вероятно, управление объектами групповой политики, но почти все остальное вы можете делать в ADUC.

С помощью ADUC вы можете управлять ролями сервера FSMO, сбрасывать пароли, разблокировать пользователей, изменять членство в группах и многое другое. В RSAT есть и другие инструменты, которые вы также можете использовать для управления AD.

Центр администрирования Active Directory : позволяет управлять корзиной AD (случайное удаление), политиками паролей и отображает историю PowerShell.
Домены и доверительные отношения Active Directory : Позволяет администрировать несколько доменов для управления функциональным уровнем, функциональным уровнем леса, именами участников-пользователей (UPN) и доверительными отношениями между доменами и лесами.
Модуль Active Directory для Windows PowerShell : Включает командлеты PowerShell для администрирования AD.
Сайты и службы Active Directory : Позволяет просматривать сайты и службы и управлять ими. Вы можете определить топологию AD и запланировать репликацию.
ADSI Edit : ADSI Edit — это бюджетный инструмент для управления объектами AD. Эксперты AD не рекомендуют использовать ADSI Edit, вместо этого используйте ADUC.

Теперь давайте рассмотрим несколько вариантов использования ADUC.

ADUC для делегирования управления

Сценарий: вы хотите ограничить ответственность группы системных администраторов за управление определенными доменами в вашей сети. Вы хотите назначить двух системных администраторов на домен, основного и резервного. Вот как это сделать:

Откройте ADUC от имени администратора.
Щелкните домен правой кнопкой мыши и выберите “Делегировать управление”.

Щелкайте по Мастеру, пока не дойдете до этого экрана. Добавьте сюда пользователей, которым вы хотите делегировать административные обязанности.

Выберите пользователя и нажмите Далее.

Выберите задачи, которые вы делегируете этому пользователю, на следующем экране.

На следующем экране вы получите резюме, нажмите «Готово», если оно выглядит правильно.

ADUC для добавления новых пользователей в домен

Далее мы рассмотрим, как добавить нового пользователя в домен.

Разверните дерево домена, в котором вы хотите добавить нового пользователя, щелкните правой кнопкой мыши контейнер пользователя и выберите Новый -> Пользователь .

Заполните поля и нажмите Далее.

Установите пароль, установите правильные флажки и нажмите Далее.

Убедитесь, что пользователь правильно настроен на следующем экране, и нажмите Готово.

ADUC для добавления новой группы

Чтобы создать новую группу, выполните следующие действия:

Как и раньше, разверните домен и щелкните правой кнопкой мыши контейнер, в котором вы хотите разместить новую группу, и выберите «Создать» -> «Группа».
Заполните поля мастера, выбрав правильную кнопку «Безопасность» или «Распространение».

Нажмите «ОК», затем найдите новую группу и откройте ее, выберите вкладку «Участники» и добавьте нужных пользователей в эту группу.

Чем больше вы знаете о тонкостях AD, тем лучше вы подготовлены к ее защите.

Varonis отслеживает и автоматизирует задачи, выполняемые пользователями с помощью ADUC. Varonis предоставляет полный журнал аудита любых событий AD (добавление пользователей, вход в систему, изменения групп, изменения GPO и т. д.) и сравнивает текущую активность с базовым нормализованным поведением с течением времени. Любое новое действие, похожее на кибератаку (грубая сила, сбор билетов, повышение привилегий и т. д.), вызывает оповещения, помогающие защитить вашу сеть от компрометации и утечки данных.

Кроме того, Varonis позволяет вашим владельцам данных контролировать, кто имеет доступ к их данным.