Что такое компьютерные объекты

Обновлено: 04.07.2024

Разница между объектами «Компьютер» и «Пользователь» в Active Directory. Применение правил GPO к этим объектам.

У меня практически нет опыта работы с Active Directory, поэтому некоторые/все мои вопросы могут показаться глупыми и очевидными для кого-то более опытного, чем я. Но меня «наградили» правом полностью переустановить сервер Active Directory в моей организации среднего размера, поэтому я хочу иметь хоть какое-то представление о том, как все работает в AD.

Я не мог понять, что такое «объект-компьютер» в Active Directory.

1) Совпадает ли "объект-компьютер" с именем, которое вы вводите при добавлении нового ПК в домен?
Что делать, если "объект-компьютер" с таким именем не существует? Будет ли он создан в общей "папке" компьютеров (это папка? Какой правильный термин? Это определенно не организационная единица)? Что делать, если компьютер с таким именем уже добавлен в домен?
2) Что означает, что любой пользователь имеет право добавить 10 новых ПК? Что делать, если эта опция отключена? Только админ будет иметь право добавлять новые компьютеры? В таком случае, сможет ли пользователь добавить новый компьютер в домен, если там уже создан "компьютерный объект"?

3) О применении GPO - я читал в мудрых статьях, что есть две разные области, к которым применяется правило GPO:
"Конфигурация компьютера" - применяется при запуске компьютеров. После перезагрузки. (Применяется каждые 90 минут?)
"Конфигурация пользователя" – применяется, когда пользователь входит в систему. Каждые 90 минут.

Являются ли они полностью разными «уровнями»?
Что, если к пользователю применяется правило GPO, содержащее раздел «Конфигурация компьютера»? Будут ли полностью игнорироваться все настройки из разделов "Конфигурация компьютера"? Всегда ли так? Не будут ли они применены по прошествии 90 минут с момента входа пользователя в систему?

Верно ли обратное? Будут ли полностью игнорироваться правила GPO, содержащие «Конфигурацию пользователя», примененные к компьютеру?

Каковы правильные стратегии для решения этих проблем?
Нужно ли создавать отдельные правила GPO для компьютеров и пользователей? Какие есть другие варианты?

4) Следуя моему предыдущему вопросу:
Может ли кто-нибудь объяснить простым языком, что такое «петля»? Сочетает ли он «Конфигурацию компьютера» и «Конфигурацию пользователя»? Какие проблемы решает механизм «loopback»? Усложняет ли это систему? Есть ли у него какое-то странное и неожиданное поведение? Стоит ли использовать его в относительно простой сети?

Привет
Как дела у вас? Пожалуйста, держите меня в курсе этого вопроса.
Если у вас есть дополнительные вопросы или сомнения по этому поводу, сообщите нам об этом.
Я ценю ваше время и усилия.

С уважением,
Дейзи Чжоу

2 ответа

Здравствуйте
Спасибо, что написали здесь.

Вот ответы для ваших ссылок.

В1: Совпадает ли "объект-компьютер" с именем, которое вы вводите при добавлении нового ПК в домен?
Что делать, если "объект-компьютер" с таким именем не существует? Будет ли он создан в общей "папке" компьютеров (это папка? Как правильно назвать? Это точно не организационная единица)? Что делать, если компьютер с таким именем уже добавлен в домен?

A1:
Совпадает ли «объект-компьютер» с именем, которое вы вводите при добавлении нового ПК в домен?
1. «Объекты-компьютеры» — это логические компоненты в AD.
2.Если вы успешно присоединяете компьютер к одному домену, имя, которое вы вводите при добавлении нового ПК в домен, является одним из объектов компьютера.

Что делать, если нет "компьютерного объекта" с таким именем? Будет ли он создан в общей "папке" компьютеров (это папка? Как правильно назвать? Это точно не организационная единица)?

3.Не имеет значения, нет ли "компьютерного объекта" с таким именем, потому что при добавлении компьютера в домен вы можете переименовать компьютер с таким именем либо по своим правилам, либо по правилам вашей компании. rules.
Или мы можем создать такое имя для объекта компьютера в контейнере «Компьютеры» в «Active Directory Users and Computers», и присоединять один компьютер к домену, используя это имя при добавлении нового ПК в домен.

4. По умолчанию, если мы успешно присоединим компьютер к одному домену, объект компьютера будет находиться в контейнере «Компьютеры». Папка «Компьютеры» ниже называется контейнером.

В то время как контроллеры домена в подразделении «Контроллеры домена» являются особыми компьютерными объектами, поскольку они являются компьютерами, а также серверами контроллеров домена.

Что делать, если компьютер с таким именем уже добавлен в домен?

5. Два объекта-компьютера с одинаковым именем не могут находиться в одном домене.
Если компьютер с таким именем уже добавлен в домен, то я создам два объекта компьютера с таким же именем в одном домене, я получу сообщение об ошибке ниже.
Похожее сообщение об ошибке появится, когда мы присоединим компьютер к домену, используя то же имя.

В2: Что означает, что любой пользователь имеет право добавить 10 новых ПК? Что делать, если эта опция отключена? Только админ будет иметь право добавлять новые компьютеры? В таком случае, сможет ли пользователь добавить новый компьютер в домен, если там уже создан "компьютерный объект"?

A2:
Что означает, что любой пользователь имеет право добавить 10 новых компьютеров?
Это означает, что обычные пользователи домена могут добавлять компьютеры в домен, один пользователь домена может добавить только 10 компьютеров в домен. домен bu по умолчанию, если он / она хочет присоединить одиннадцатый компьютер к домену, он / она не сможет присоединиться к одиннадцатому компьютеру к домену.
Мы можем увидеть свойства «ms-DS-MachineAccountQuota» ниже, он управляет числом 10.

Что делать, если этот параметр отключен? Только администратор будет иметь право добавлять новые компьютеры?
Да, если мы изменим значение свойства для «ms-DS-MachineAccountQuota» на 0, только администратор будет иметь права на присоединение компьютеров к домену.

В таком случае, сможет ли пользователь добавить новый компьютер в домен, если там уже создан "компьютерный объект"?
Нет, он/она не сможет добавить компьютер в домен.

Q3: О применении GPO. Я читал в мудрых статьях, что есть две разные области, к которым применяется правило GPO:
"Конфигурация компьютера" - применяется при запуске компьютера. После перезагрузки. (Применяется ли оно каждые 90 минут?)
«Конфигурация пользователя» — применяется, когда пользователь входит в систему. Каждые 90 минут.
Являются ли они полностью разными «уровнями»?
Что, если правило GPO который содержит раздел «Конфигурация компьютера», применяется к пользователю? Будут ли полностью игнорироваться все настройки из разделов "Конфигурация компьютера"? Всегда ли так? Не будут ли они применены через 90 минут после входа пользователя в систему?
Верно ли обратное? Будут ли полностью игнорироваться правила GPO, содержащие «Конфигурацию пользователя», примененные к компьютеру?
Каковы правильные стратегии для решения этих проблем?
Нужно ли мне создавать отдельные правила GPO для компьютеров и пользователей? Какие есть другие варианты?

A3: Для обновления GPO мы можем обновить GPO, как показано ниже:

1.Для обновления объекта групповой политики с конфигурацией компьютера
мы можем перезагрузить компьютеры или запустить gpupdate /force для обновления объекта групповой политики.
Или объект групповой политики с конфигурацией компьютера будет обновляться в фоновом режиме через 90–120 минут. по умолчанию.

2.Для обновления объекта групповой политики с пользовательскими конфигурациями
мы можем выйти и войти в систему пользователя или запустить gpupdate /force для обновления объекта групповой политики.
Или объект групповой политики с пользовательскими конфигурациями обновится в фоновом режиме. 90–120 минут по умолчанию.

3. Для некоторых конкретных объектов групповой политики мы должны перезагрузить компьютеры или выйти из системы и войти в систему пользователей, чтобы объект групповой политики вступил в силу.

Сценарий входа и выхода
Сценарий запуска и завершения работы
Перенаправление папок
Установка программного обеспечения
Дисковые квоты
Карты дисков

5. Мы должны создать отдельные правила GPO для компьютеров и пользователей.

Вопрос 4. После моего предыдущего вопроса:
Может кто-нибудь объяснить простым языком, что такое "петля"? Сочетает ли он «Конфигурацию компьютера» и «Конфигурацию пользователя»? Какие проблемы решает механизм «loopback»? Усложняет ли это систему? Есть ли у него какое-то странное и неожиданное поведение? Стоит ли использовать его в относительно простой сети?

A4. Для замыкания на себя объединяются только пользовательские конфигурации.

Этот параметр политики предписывает системе применять набор объектов групповой политики для компьютера ко всем пользователям, которые входят в систему на компьютере, на который распространяется этот параметр. Он предназначен для компьютеров специального назначения, например, в общественных местах, лабораториях и классах, где необходимо изменить пользовательские настройки в зависимости от используемого компьютера.

По умолчанию объекты групповой политики пользователя определяют, какие параметры пользователя применяются. Если этот параметр включен, то, когда пользователь входит в систему на этом компьютере, объекты групповой политики компьютера определяют, какой набор объектов групповой политики применяется.

Мы можем понять «петлю», как показано ниже (пример):

GPO1 с (настройка пользователя1 и настройка компьютера1), применяется к пользователю1
GPO2 с (настройка пользователя2 и настройка компьютера2), применяется к ПК1

Если мы включим петлю с режимом замены:
Если uer1 войдет в систему на ПК1, пользователь1 будет использовать настройки пользователя2, а ПК1 будет использовать настройки компьютера2.

Если мы включим петлю с режимом слияния:
Если uer1 входит в систему на ПК1, пользователь1 будет использовать пользовательские настройки1 и пользовательские настройки2 (если есть конфликт между пользовательскими настройками1 и пользовательскими настройками 2, пользователь1 будет использовать пользовательские настройки2) и ПК1 будет использовать настройки компьютера2.

Что вы узнаете из этой статьи:

Active Directory — это служба каталогов, которую организации могут использовать для организации своих ресурсов. Сеть Active Directory состоит из элементов, называемых объектами Active Directory. Эти объекты представляют ресурсы, которые являются частью сети. Существует несколько типов объектов, таких как пользователь, компьютер, принтер и т. д. В этой статье мы рассмотрим, что такое объект компьютера Active Directory, каковы его свойства и как можно создавать, удалять и изменять объект компьютера.

Что такое объект компьютера Active Directory?

Объект-компьютер в AD используется для моделирования реального компьютера в сетевой среде организации. Скажем, например, я купил в своей организации новый компьютер -01 и хочу разрешить людям доступ к различным организационным ресурсам через этот компьютер. Все, что мне нужно сделать для этого, — это создать объект-компьютер в консоли пользователей и компьютеров Active Directory и назначить разрешения объекту-компьютеру, представляющему машину — 01. И в зависимости от разрешений, которые я назначаю объекту-компьютеру, доступ пользователей к ресурсам через этот компьютер могут быть разрешены, ограничены или запрещены.

Удаление объекта-компьютера

Откройте ADUC и щелкните правой кнопкой мыши объект компьютера, который вы хотите удалить.
В появившемся подменю выберите вариант «Удалить».
Объект-компьютер будет удален из Active Directory и больше не будет отображаться в дереве консоли.

Изменение объекта-компьютера

Откройте ADUC и щелкните правой кнопкой мыши объект компьютера, который вы хотите изменить.
В появившемся контекстном меню выберите пункт «Свойства».
Появится диалоговое окно «Свойства объекта-компьютера» с различными вкладками.
Перейдите по различным вкладкам и внесите необходимые изменения.
Нажмите «Применить», а затем «ОК».
Поэтому будут внесены изменения.

Откроется окно свойств. В окне вы найдете следующие вкладки:

Общие. Эта вкладка содержит атрибуты, определяющие общие сведения об объекте, такие как его имя, роль, описание и т. д.
Операционная система. Эта вкладка содержит сведения об операционной системе, на которой работает компьютер.
Член: на этой вкладке содержатся сведения об объектах-контейнерах, таких как подразделения и группы, в которые помещен компьютер.
Делегирование. Эта вкладка содержит сведения о том, можно ли доверять компьютеру делегирование и какие службы делегируются.
Местоположение. Эта вкладка содержит географическое положение (страна, провинция, город), где находится компьютер, на который ссылается этот объект.
Управляется. Эта вкладка содержит сведения о пользователе, который управляет компьютером, а также информацию о местоположении.
Объект. Эта вкладка содержит дополнительные сведения об объекте, такие как его каноническое имя, класс объекта, дата создания и дата изменения и т. д.
Безопасность. Эта вкладка содержит сведения о безопасности объекта-компьютера, такие как его права доступа и привилегии, а также пользователей, которые могут получить доступ к компьютеру.

Dial-in: эта вкладка содержит такие сведения, как свойства доступа к сети, параметры обратного вызова и многое другое.

Обязательные атрибуты объекта-компьютера

Каждый объект имеет набор свойств, определяющих объект. Эти свойства называются атрибутами объекта. Вы можете узнать больше об атрибутах объекта в этой статье. Объект-компьютер также имеет набор атрибутов, определяющих его свойства, такие как его имя, пользователей, которые могут получить доступ к компьютеру, и многое другое. Некоторые из этих атрибутов являются обязательными и должны иметь значение. Например:

Поскольку в лесу AD DS используется централизованный каталог, должны быть какие-то средства отслеживания реальных компьютеров, входящих в домен. Для этого в Active Directory используются учетные записи компьютеров, реализованные в виде объектов компьютеров в базе данных Active Directory. У вас может быть действующая учетная запись пользователя Active Directory и пароль, но если ваш компьютер не представлен объектом-компьютером, вы не сможете войти в домен с помощью этой системы.

Объекты-компьютеры состоят из свойств, которые определяют имя компьютера, его местонахождение и тех, кому разрешено им управлять.
Объекты-компьютеры наследуют параметры групповой политики от объектов-контейнеров, таких как домены, сайты и подразделения.
Компьютерные объекты могут быть членами групп и наследовать разрешения от групповых объектов.

Когда пользователь пытается войти в домен Active Directory, клиентский компьютер устанавливает соединение с контроллером домена для аутентификации пользователя. Прежде чем произойдет проверка подлинности пользователя, два компьютера выполняют предварительную проверку подлинности, используя соответствующие объекты компьютеров, чтобы убедиться, что обе системы являются частью домена. Служба Net-Logon, работающая на клиентском компьютере, подключается к той же службе на контроллере домена, а затем каждая из них проверяет, имеет ли другая система действительную учетную запись компьютера. Когда эта проверка завершена, две системы устанавливают безопасный канал связи между собой, который они затем могут использовать для начала процесса аутентификации пользователя.

Проверка учетной записи компьютера между клиентом и контроллером домена — это подлинный процесс проверки подлинности с использованием имен учетных записей и паролей, как и при проверке подлинности пользователя в домене. Разница в том, что пароли, используемые учетными записями компьютеров, генерируются автоматически и остаются скрытыми. Администраторы могут сбрасывать учетные записи компьютеров, но не обязаны указывать для них пароли.

Создание учетной записи компьютера.
Вы создаете учетную запись компьютера, создавая новый объект компьютера в Active Directory и назначая имя фактическому компьютеру в сети.
Присоединение компьютера к домену:
При присоединении компьютера к домену система связывается с контроллером домена, устанавливает доверительные отношения с доменом, находит (или создает) объект-компьютер, соответствующий имя, изменяет свой идентификатор безопасности (SID), чтобы он соответствовал идентификатору объекта-компьютера, и изменяет его членство в группе.

Как выполняются эти шаги и кто их выполняет, зависит от способа развертывания компьютеров в вашей сети. Существует множество способов создания новых объектов-компьютеров, и то, как это сделают администраторы, зависит от нескольких факторов, включая количество объектов, которые им необходимо создать, где они будут находиться при создании объектов и какие инструменты они предпочитают использовать.< /p>

Вообще говоря, объекты-компьютеры создаются при развертывании новых компьютеров в домене. Как только компьютер представлен объектом и присоединен к домену, любой пользователь в домене может войти в систему с этого компьютера. Например, вам не нужно создавать новые компьютерные объекты или повторно присоединять компьютеры к домену, когда сотрудники увольняются из компании, а новые сотрудники начинают использовать их компьютеры. Однако, если вы переустанавливаете операционную систему на компьютер, вы должны создать для него новый объект компьютера (или сбросить существующий), потому что новый установленный компьютер будет иметь другой SID.

Заранее создайте объекты-компьютеры с помощью инструмента Active Directory, чтобы компьютеры могли найти существующие объекты при присоединении к домену.
Сначала начните процесс присоединения и позвольте компьютеру создать свой собственный компьютерный объект.

В любом случае объект-компьютер существует до того, как произойдет присоединение. Во второй стратегии кажется, что сначала начинается процесс присоединения, но компьютер создает объект до того, как начнется фактический процесс присоединения.

Если необходимо развернуть несколько компьютеров, особенно в разных местах, администраторы могут создать объекты-компьютеры заранее. Для большого количества компьютеров можно даже автоматизировать процесс создания объекта-компьютера с помощью инструментов командной строки и пакетных файлов, хотя многие используют для этой задачи сторонние инструменты. В следующих разделах рассматриваются инструменты, которые можно использовать для создания объектов-компьютеров.

Создание объектов-компьютеров с помощью Active Directory Users And Computers

Как и в случае с объектами пользователей, объекты компьютеров можно создавать с помощью консоли Active Directory Users And Computers. Чтобы создать объекты-компьютеры в домене Active Directory с помощью консоли «Пользователи и компьютеры Active Directory» или с помощью любого инструмента, у вас должны быть соответствующие разрешения для контейнера, в котором будут расположены объекты.

По умолчанию группа «Администраторы» имеет разрешение на создание объектов в любом месте домена, а группа «Операторы учетных записей» имеет специальные разрешения, необходимые для создания объектов-компьютеров и их удаления из контейнера «Компьютеры» и из любых новых создаваемых вами подразделений. Члены групп «Администраторы домена» и «Администраторы предприятия» также могут создавать объекты-компьютеры где угодно. Администратор также может явным образом делегировать управление контейнерами определенным пользователям или группам, позволяя им создавать объекты-компьютеры в этих контейнерах.

Процесс создания объекта-компьютера в Active Directory Users And Computers аналогичен процессу создания объекта-пользователя. Вы выбираете контейнер, в который хотите поместить объект, и в меню «Действие» выбираете «Создать», «Компьютер». Запустится мастер создания нового объекта — компьютера.

Вкладка «Свойства» для объектов «Компьютер» в консоли «Пользователи и компьютеры Active Directory» показывает относительно немного атрибутов, и в большинстве случаев вы, скорее всего, просто предоставите им имя, которое может содержать до 64 символов. Это имя должно совпадать с именем компьютера, присоединенного к объекту.

Создание объектов-компьютеров с помощью Центра администрирования Active Directory

Как и в случае с пользователями, вы также можете создавать объекты-компьютеры в Центре администрирования Active Directory. Чтобы создать объект-компьютер, выберите контейнер, а затем выберите «Создать», «Компьютер» в списке «Задачи», чтобы открыть диалоговое окно «Создать компьютер».

Создание объектов-компьютеров с помощью Dsadd.exe

Как и в случае с пользователями, графические инструменты, предоставляемые Windows Server 2012 R2, хороши для создания отдельных объектов и управления ими, но многие администраторы обращаются к командной строке, когда им нужно создать несколько объектов.

Утилита Dsadd.exe позволяет создавать объекты-компьютеры из командной строки точно так же, как вы создавали объекты-пользователи ранее в этом уроке. Вы можете создать пакетный файл Dsadd. exe для создания нескольких объектов в одном процессе. Основной синтаксис для создания объекта компьютера с помощью Dsadd.exe следующий:

Параметр задает отличительное имя для нового объекта компьютера, который вы хотите создать. DN используют тот же формат, что и файлы CSV, как обсуждалось ранее.

Создание объектов-компьютеров с помощью Windows PowerShell

Windows PowerShell включает командлет New-ADComputer, который можно использовать для создания объектов-компьютеров со следующим основным синтаксисом. Этот командлет создает объекты-компьютеры, но не присоединяется к домену.