Как называется графическая ссылка на любой компьютерный объект

Обновлено: 24.11.2024

В этой статье описывается, как делегировать права пользователю или группе, чтобы разрешить добавление рабочих станций в домен Active Directory (AD) с помощью консоли Provisioning Server.

Фон

Несмотря на то, что можно назначать пользователей или группы AD встроенным группам в AD, чтобы активировать эту функцию (например, администраторы домена или операторы учетных записей), встроенные группы могут предоставлять дополнительные роли, которые явно не требуются, что может представлять угрозу безопасности. Процесс, описанный в этой статье, предоставляет только те роли, которые необходимы для добавления и удаления рабочих станций в домене, а также для сброса паролей учетных записей компьютеров для этих рабочих станций.

Инструкции

Выполните следующие шаги, чтобы предоставить права на управление учетными записями компьютеров:

На контроллере домена Windows откройте оснастку «Пользователи и компьютеры Active Directory» в инструментах администрирования.

Щелкните правой кнопкой мыши объект корневого домена и выберите "Делегировать управление", как показано на следующем снимке экрана.

Выполните мастер и добавьте любых пользователей или группы, которым вы хотите предоставить роль.
Рекомендуется не добавлять отдельных пользователей. Вместо этого используйте группы, чтобы упростить управление ролью. Если для управления сервером Provisioning Server была создана группа администраторов фермы Provisioning Server, эту группу можно добавить, чтобы позволить этим пользователям добавлять рабочие станции в домен.

Установите флажок Присоединить компьютер к роли домена и завершите работу мастера.

Выберите "Пуск" > "Выполнить", введите adsiedit.msc в поле "Выполнить" и нажмите "ОК".

На корневом объекте контроллера домена щелкните правой кнопкой мыши и выберите "Свойства", как показано на следующем снимке экрана.

На вкладке "Безопасность" выберите учетную запись, которая была назначена для присоединения компьютера к роли домена из предыдущей процедуры, и нажмите "Дополнительно".

Выберите учетную запись еще раз и нажмите "Изменить".

Установите флажок Разрешить для роли Удалить компьютерные объекты.

Гиперссылка, также называемая ссылкой и веб-ссылкой, представляет собой значок, графику или текст, который ссылается на другой файл или объект. Всемирная паутина состоит из гиперссылок, связывающих триллионы страниц и файлов друг с другом. Например, «Домашняя страница Computer Hope» — это гиперссылка на домашнюю страницу Computer Hope.

Почему на веб-страницах используются гиперссылки?

Гиперссылки позволяют веб-страницам соединяться с другими веб-страницами, и без них вам нужно было бы знать URL-адрес (унифицированный указатель ресурсов) для каждой страницы в Интернете.

Что происходит, когда вы нажимаете гиперссылку?

Когда вы нажимаете, касаетесь или выбираете гиперссылку, браузер покидает текущую страницу, которую вы просматриваете, и открывает ссылку для новой страницы. Например, вы можете щелкнуть любую из приведенных ниже ссылок, чтобы получить дополнительную информацию о гиперссылках.

Также можно создать гиперссылку (названную привязкой) к месту на той же странице. Например, ссылки в начале этой страницы называются привязками к заголовкам на этой странице. Ссылка также может открывать новую вкладку и оставлять текущее окно открытым в качестве фоновой вкладки.

На компьютере вы можете определить гиперссылку, даже если она не подчеркнута, наведя указатель мыши на текст. Браузер меняет указатель со стрелки на палец, чтобы указать, что его можно открыть. Кроме того, в нижней части окна должен отображаться URL-адрес ссылки, чтобы помочь вам определить, куда ведет ссылка.

Почему некоторые гиперссылки окрашены в разные цвета?

Для удобства использования многие веб-сайты (включая Computer Hope) меняют цвет посещенных гиперссылок, чтобы читатель знал, какую страницу он уже посещал. Например, если вы еще не просмотрели нашу страницу материнской платы, ссылка должна быть синего цвета. Однако ссылка на эту страницу с гиперссылкой должна быть фиолетовой, потому что вы посетили эту страницу с тех пор, как читаете ее сейчас.

Пример создания гиперссылки

Ниже приведен пример создания гиперссылки на HTML-странице. В нашем визуальном примере вы можете видеть, что гиперссылка использует тег с атрибутом href, который указывает на файл или веб-страницу. В этом примере гиперссылка будет называться «Компьютерная надежда» и указывать на файл Hope.html. Если бы файл не существовал, вы получили бы ошибку 404.

Дополнительная информация и примеры создания гиперссылок находятся по ссылке ниже.

Как щелкнуть ссылку, не используя мышь?

Клавиатура также может выполнять то же действие, что и щелчок, нажатием пробела или клавиши Enter на клавиатуре. Например, вы можете несколько раз нажать клавишу Tab, чтобы перейти по каждой из ссылок на этой странице. Когда вы дойдете до ссылки, которую хотите «щелкнуть» и посетить, вы можете нажать клавишу Enter, чтобы перейти по этой ссылке.

Как создать гиперссылку на изображение

В HTML есть два способа создать гиперссылку на изображении. Если вы хотите связать полное изображение, вы можете поместить тег img в тег привязки. Если вы хотите создать гиперссылку только в части изображения, создайте карту изображения.

Что такое сочетание клавиш гиперссылки?

Сочетание клавиш, используемое для вставки гиперссылки, зависит от используемой программы. В большинстве программ Microsoft, таких как Microsoft Word и Excel, используются сочетания клавиш Ctrl + K .

Другие места, где можно найти гиперссылки

Гиперссылки используются не только в интернет-браузерах. Многие программы и даже операционные системы также используют гиперссылки. Например, электронные документы, PDF-файлы и Windows 10 содержат гиперссылки, открывающие другие файлы, документы и веб-страницы.

Гиперссылки также можно преобразовать в QR-код, разместить на продуктах и ​​отсканировать смартфоном, чтобы открыть веб-страницу без ввода URL-адреса.

Настройка и использование Active Directory с AppStream 2.0 включает следующие административные задачи.

Задачи

  • Предоставление разрешений на создание и управление компьютерными объектами Active Directory
  • Поиск отличительного названия организационного подразделения
  • Предоставление прав локального администратора в Image Builders
  • Обновление учетной записи службы, используемой для присоединения к домену
  • Блокировка сеанса потоковой передачи, когда пользователь бездействует
  • Редактирование конфигурации каталога
  • Удаление конфигурации каталога
  • Настройка AppStream 2.0 для использования доверительных отношений домена
  • Управление компьютерными объектами AppStream 2.0 в Active Directory

Предоставление разрешений на создание и управление компьютерными объектами Active Directory

Чтобы AppStream 2.0 мог выполнять операции с компьютерными объектами Active Directory, необходима учетная запись с достаточными разрешениями. Рекомендуется использовать учетную запись с минимальными необходимыми привилегиями. Минимальные разрешения организационной единицы (OU) Active Directory следующие:

Создать объект-компьютер

Прежде чем настраивать разрешения, вам необходимо сделать следующее:

Получите доступ к компьютеру или экземпляру EC2, присоединенному к вашему домену.

Войдите в систему как пользователь домена с соответствующими разрешениями, чтобы изменить настройки безопасности OU.

Создайте или определите учетную запись пользователя, учетную запись службы или группу, для которой необходимо делегировать разрешения.

Чтобы установить минимальные разрешения

Откройте Active Directory Users and Computers в вашем домене или на контроллере домена.

На левой панели навигации выберите первую организационную единицу, для которой необходимо предоставить права на присоединение к домену, откройте контекстное меню (щелкните правой кнопкой мыши) и выберите "Делегировать управление".

На странице мастера делегирования управления выберите "Далее", "Добавить".

В разделе «Выбрать пользователей, компьютеры или группы» выберите предварительно созданную учетную запись пользователя, учетную запись службы или группу, а затем нажмите кнопку «ОК».

На странице "Задачи для делегирования" выберите "Создать пользовательскую задачу для делегирования", а затем нажмите "Далее".

Выберите Только следующие объекты в папке Компьютерные объекты.

Выберите Создать выбранные объекты в этой папке, Далее.

В разделе "Разрешения" выберите "Чтение", "Запись", "Изменить пароль", "Сбросить пароль", "Далее".

На странице "Завершение мастера делегирования управления" проверьте информацию и нажмите "Готово".

Повторите шаги 2–9 для всех дополнительных подразделений, которым требуются эти разрешения.

Если вы делегировали разрешения группе, создайте учетную запись пользователя или службы с надежным паролем и добавьте эту учетную запись в группу. Эта учетная запись будет иметь достаточные привилегии для подключения ваших экземпляров потоковой передачи к каталогу. Используйте эту учетную запись при создании конфигурации каталога AppStream 2.0.

Поиск отличительного имени организационного подразделения

При регистрации домена Active Directory с помощью AppStream 2.0 необходимо указать различающееся имя организационной единицы (OU). Для этого создайте OU. Контейнер Computers по умолчанию не является OU и не может использоваться AppStream 2.0. Следующая процедура показывает, как получить это имя.

Идентификационное имя должно начинаться с OU=, иначе его нельзя использовать для объектов-компьютеров.

Прежде чем завершить эту процедуру, вам необходимо сделать следующее:

Получите доступ к компьютеру или экземпляру EC2, присоединенному к вашему домену.

Войдите в систему как пользователь домена с соответствующими разрешениями для чтения свойств безопасности OU.

Чтобы найти отличительное имя организационной единицы

Откройте Active Directory Users and Computers в вашем домене или на контроллере домена.

Убедитесь, что в разделе «Просмотр» включены дополнительные функции.

На левой навигационной панели выберите первую организационную единицу, которая будет использоваться для объектов компьютеров потокового экземпляра AppStream 2.0, откройте контекстное меню (щелкните правой кнопкой мыши) и выберите «Свойства».

Выберите Редактор атрибутов.

В разделе "Атрибуты" для отличительного имени выберите "Просмотр".

В поле "Значение" выберите различающееся имя, откройте контекстное меню и выберите "Копировать".

Предоставление прав локального администратора в Image Builders

По умолчанию пользователи домена Active Directory не имеют прав локального администратора для экземпляров построителя образов. Вы можете предоставить эти права с помощью настроек групповой политики в своем каталоге или вручную, используя учетную запись локального администратора в средстве создания образов. Предоставление прав локального администратора пользователю домена позволяет этому пользователю устанавливать приложения и создавать образы в конструкторе образов AppStream 2.0.

Содержание

Использование настроек групповой политики

Вы можете использовать настройки групповой политики для предоставления прав локального администратора пользователям или группам Active Directory и всем объектам-компьютерам в указанной OU. Пользователи или группы Active Directory, которым вы хотите предоставить разрешения локального администратора, должны уже существовать. Чтобы использовать настройки групповой политики, сначала необходимо сделать следующее:

Получите доступ к компьютеру или экземпляру EC2, присоединенному к вашему домену.

Войдите в систему как пользователь домена с разрешениями на создание объектов групповой политики (GPO). Свяжите объекты групповой политики с соответствующими подразделениями.

Чтобы использовать настройки групповой политики для предоставления разрешений локального администратора

В своем каталоге или на контроллере домена откройте командную строку от имени администратора, введите gpmc.msc и нажмите клавишу ВВОД.

В дереве консоли слева выберите подразделение, в котором вы хотите создать новый объект групповой политики или использовать существующий объект групповой политики, а затем выполните одно из следующих действий:

Создайте новый объект групповой политики, открыв контекстное меню (щелкните правой кнопкой мыши) и выберите Создать объект групповой политики в этом домене, Связать его здесь. В поле Имя укажите описательное имя для этого объекта групповой политики.

Выберите существующий объект групповой политики.

Откройте контекстное меню объекта групповой политики и выберите «Изменить».

В дереве консоли выберите Конфигурация компьютера, Настройки, Параметры Windows, Параметры панели управления и Локальные пользователи и группы.

Выберите «Выбранные локальные пользователи и группы», откройте контекстное меню и выберите «Создать», «Локальная группа».

В разделе «Действие» выберите «Обновить».

В качестве имени группы выберите «Администраторы (встроенные)».

В разделе «Участники» выберите «Добавить…» и укажите учетные записи пользователей или группы Active Directory, которым необходимо назначить права локального администратора в экземпляре потоковой передачи. В разделе «Действие» выберите «Добавить в эту группу» и нажмите «ОК».

Чтобы применить этот объект групповой политики к другим подразделениям, выберите дополнительное подразделение, откройте контекстное меню и выберите «Связать существующий объект групповой политики».

Используя новое или существующее имя объекта групповой политики, указанное на шаге 2, прокрутите список, чтобы найти объект групповой политики, и нажмите кнопку ОК.

Повторите шаги 9 и 10 для дополнительных организационных единиц, которые должны иметь этот параметр.

Нажмите "ОК", чтобы закрыть диалоговое окно "Свойства новой локальной группы".

Снова нажмите OK, чтобы закрыть консоль управления групповыми политиками.

Чтобы применить новые настройки к объекту групповой политики, необходимо остановить и перезапустить все запущенные средства создания образов или группы. Пользователям и группам Active Directory, которые вы указали на шаге 8, автоматически предоставляются права локального администратора для создателей образов и групп в подразделении, с которым связан объект групповой политики.

Использование локальной группы администраторов в конструкторе образов

Чтобы предоставить пользователям или группам Active Directory права локального администратора в конструкторе образов, вы можете вручную добавить этих пользователей или группы в локальную группу администраторов в конструкторе образов. Создатели образов, созданные из образов с этими правами, сохраняют те же права.

Пользователи или группы Active Directory, которым должны быть предоставлены права локального администратора, уже должны существовать.

Чтобы добавить пользователей или группы Active Directory в локальную группу администраторов в конструкторе образов

Подключитесь к мастеру создания образов в режиме администратора. Конструктор образов должен быть запущен и присоединен к домену. Дополнительные сведения см. в разделе Учебник: Настройка Active Directory.

Выберите «Пуск», «Администрирование», а затем дважды щелкните «Управление компьютером».

На левой панели навигации выберите «Локальные пользователи и группы» и откройте папку «Группы».

Откройте группу «Администраторы» и выберите «Добавить». .

Выберите всех пользователей или группы Active Directory, которым нужно назначить права локального администратора, и нажмите кнопку ОК. Нажмите кнопку "ОК" еще раз, чтобы закрыть диалоговое окно "Свойства администратора".

Закройте Управление компьютером.

Чтобы войти в систему как пользователь Active Directory и проверить, есть ли у этого пользователя права локального администратора в конструкторе образов, выберите «Команды администратора», «Сменить пользователя», а затем введите учетные данные соответствующего пользователя.

Обновление учетной записи службы, используемой для присоединения к домену

Чтобы обновить учетную запись службы, которую AppStream 2.0 использует для присоединения к домену, мы рекомендуем использовать две отдельные учетные записи службы для присоединения сборщиков образов и групп к вашему домену Active Directory.Использование двух отдельных учетных записей служб гарантирует бесперебойную работу службы при необходимости обновления учетной записи службы (например, по истечении срока действия пароля).

Чтобы обновить учетную запись службы

Создайте группу Active Directory и делегируйте ей правильные разрешения.

Добавьте свои сервисные аккаунты в новую группу Active Directory.

При необходимости отредактируйте объект конфигурации каталога AppStream 2.0, введя имя пользователя и пароль для новой учетной записи службы.

После того как вы настроили группу Active Directory с новой учетной записью службы, любые новые операции экземпляра потоковой передачи будут использовать новую учетную запись службы, в то время как операции экземпляра потоковой передачи в процессе продолжают использовать старую учетную запись без перерыва.

Время перекрытия сервисного аккаунта при выполнении внутрипроцессных операций экземпляра потоковой передачи очень короткое, не более суток. Время перекрытия необходимо, потому что вы не должны удалять или изменять пароль для старой служебной учетной записи в течение периода перекрытия, иначе существующие операции могут завершиться ошибкой.

Блокировка сеанса потоковой передачи, когда пользователь бездействует

AppStream 2.0 зависит от параметра, который вы настраиваете в консоли управления групповыми политиками, чтобы заблокировать сеанс потоковой передачи после того, как ваш пользователь бездействует в течение определенного периода времени. Чтобы использовать GPMC, сначала необходимо сделать следующее:

Получите доступ к компьютеру или экземпляру EC2, присоединенному к вашему домену.

Войдите в систему как пользователь домена с разрешениями на создание объектов групповой политики. Свяжите объекты групповой политики с соответствующими подразделениями.

Чтобы автоматически блокировать экземпляр потоковой передачи, когда ваш пользователь бездействует

В своем каталоге или на контроллере домена откройте командную строку от имени администратора, введите gpmc.msc и нажмите клавишу ВВОД.

В дереве консоли слева выберите подразделение, в котором вы хотите создать новый объект групповой политики или использовать существующий объект групповой политики, а затем выполните одно из следующих действий:

Создайте новый объект групповой политики, открыв контекстное меню (щелкните правой кнопкой мыши) и выберите Создать объект групповой политики в этом домене, Связать его здесь. В поле Имя укажите описательное имя для этого объекта групповой политики.

Выберите существующий объект групповой политики.

Откройте контекстное меню объекта групповой политики и выберите «Изменить».

В разделе «Конфигурация пользователя» разверните «Политики», «Административные шаблоны», «Панель управления» и выберите «Персонализация».

Дважды щелкните Включить заставку.

В параметре политики "Включить экранную заставку" выберите "Включено".

Выберите «Применить», а затем нажмите «ОК».

Двойной щелчок по экранной заставке.

В параметре политики Принудительно использовать определенную заставку выберите Включено.

В поле Имя исполняемого файла заставки введите scrnsave.scr . Если этот параметр включен, система отображает черную заставку на рабочем столе пользователя.

Выберите «Применить», а затем нажмите «ОК».

Дважды щелкните Пароль для защиты экранной заставки.

В параметре политики "Защита паролем заставки" выберите "Включено".

Выберите «Применить», а затем нажмите «ОК».

Дважды щелкните Тайм-аут заставки.

В параметре политики Время ожидания заставки выберите Включено.

В поле "Секунды" укажите время, в течение которого пользователи должны бездействовать, прежде чем будет применена экранная заставка. Чтобы установить время простоя равным 10 минутам, укажите 600 секунд.

Выберите «Применить», а затем нажмите «ОК».

В дереве консоли в разделе Конфигурация пользователя разверните Политики, Административные шаблоны, Система и выберите Параметры Ctrl+Alt+Del.

Дважды щелкните Снять блокировку компьютера.

В параметре политики "Снять блокировку компьютера" выберите "Отключено".

Выберите «Применить», а затем нажмите «ОК».

Редактирование конфигурации каталога

После создания конфигурации каталога AppStream 2.0 вы можете отредактировать ее, добавив, удалив или изменив организационные подразделения, обновив имя пользователя учетной записи службы или пароль учетной записи службы.

Чтобы обновить конфигурацию каталога

На левой панели навигации выберите «Конфигурации каталога» и выберите конфигурацию каталога для редактирования.

Выберите «Действия», «Изменить».

Обновите поля, которые нужно изменить. Чтобы добавить дополнительные подразделения, выберите знак плюс (+) рядом с самым верхним полем подразделения. Чтобы удалить поле OU, выберите x рядом с полем.

Требуется хотя бы одно организационное подразделение. OU, которые используются в настоящее время, нельзя удалить.

Чтобы сохранить изменения, выберите «Обновить конфигурацию каталога».

Информация на вкладке "Подробности" теперь должна обновиться, чтобы отразить изменения.

Изменения имени пользователя и пароля учетной записи службы не влияют на операции экземпляра потоковой передачи в процессе. Новые операции экземпляра потоковой передачи используют обновленные учетные данные. Дополнительные сведения см. в разделе Обновление учетной записи службы, используемой для присоединения к домену.

Удаление конфигурации каталога

Вы можете удалить конфигурацию каталога AppStream 2.0, которая больше не нужна. Конфигурации каталогов, связанные с любыми сборщиками образов или группами, нельзя удалить.

Чтобы удалить конфигурацию каталога

На левой панели навигации выберите «Конфигурации каталога» и выберите конфигурацию каталога для удаления.

Выберите Действия, Удалить.

Проверьте имя во всплывающем сообщении и выберите Удалить.

Выберите «Обновить конфигурацию каталога».

Настройка AppStream 2.0 для использования доверительных отношений домена

AppStream 2.0 поддерживает доменные среды Active Directory, в которых сетевые ресурсы, такие как файловые серверы, приложения и компьютерные объекты, находятся в одном домене, а пользовательские объекты — в другом. Учетная запись службы домена, используемая для операций с объектами-компьютерами, не обязательно должна находиться в том же домене, что и объекты-компьютеры AppStream 2.0.

При создании конфигурации каталога укажите учетную запись службы, которая имеет соответствующие разрешения для управления компьютерными объектами в домене Active Directory, где находятся файловые серверы, приложения, компьютерные объекты и другие сетевые ресурсы.

Ваши учетные записи Active Directory конечных пользователей должны иметь разрешения «Разрешено для аутентификации» для следующих действий:

Компьютерные объекты AppStream 2.0

Контроллеры домена для домена

Управление компьютерными объектами AppStream 2.0 в Active Directory

AppStream 2.0 не удаляет объекты-компьютеры из Active Directory. Эти компьютерные объекты можно легко идентифицировать в вашем каталоге. Каждый объект-компьютер в каталоге создается с помощью атрибута Description, который указывает группу или экземпляр построителя образов и имя.

AppStream 2.0 – парк:ExampleFleet

AppStream 2.0 — сборщик изображений:ExampleImageBuilder

Вы можете определить и удалить неактивные объекты компьютеров, созданные AppStream 2.0, с помощью следующих команд dsquery computer и dsrm. Дополнительные сведения см. в разделе Компьютер Dsquery и Dsrm в документации Microsoft.

Команда dsquery определяет неактивные компьютерные объекты в течение определенного периода времени и использует следующий формат. Команду dsquery также следует запускать с параметром -desc "AppStream 2.0*", чтобы отображались только объекты AppStream 2.0.

Отличительное-имя-подразделения — это различающееся имя организационной единицы. Дополнительные сведения см. в разделе Поиск отличительного имени организационного подразделения. Если вы не укажете параметр OU-distinguished-name, команда будет искать во всем каталоге.

количество недель с момента последнего входа в систему — это желаемое значение, основанное на том, как вы хотите определить неактивность.

Например, следующая команда отображает все объекты-компьютеры в организационном подразделении OU=ExampleOU,DC=EXAMPLECO,DC=COM, в которые не выполнялся вход в течение последних двух недель.

Если найдено какое-либо совпадение, результатом будет одно или несколько имен объектов. Команда dsrm удаляет указанный объект и использует следующий формат:

Где имя_объекта — это полное имя объекта из выходных данных команды dsquery. Например, если приведенная выше команда dsquery приводит к созданию объекта-компьютера с именем «ExampleComputer», команда dsrm для его удаления будет выглядеть следующим образом:

Вы можете связать эти команды вместе, используя оператор вертикальной черты ( | ). Например, чтобы удалить все компьютерные объекты AppStream 2.0 с запросом подтверждения для каждого, используйте следующий формат. Добавьте параметр -noprompt в dsrm, чтобы отключить подтверждение.

Нужно ли вам централизованно управлять системами Linux и учетными записями пользователей в домене Active Directory? Вот как это сделать.

Опубликовано: 13 октября 2020 г. | Эдем Афеньо

Microsoft Active Directory (AD) — это служба каталогов, к которой обращаются многие организации. Если вы и ваша команда отвечаете за смешанную среду Windows и Linux, вы, вероятно, захотите централизовать аутентификацию для обеих платформ. Я расскажу, как добавить компьютеры Linux в домен Active Directory.

Active Directory и потребность в централизованном управлении доступом

Дополнительные ресурсы по Linux

Компания Microsoft Active Directory, более известная как AD, уже много лет занимает львиную долю рынка средств управления корпоративным доступом. Он используется учреждениями и отдельными лицами во всем мире для централизованного управления доступом к ресурсам, принадлежащим организации. Это дает вам возможность управлять пользователями, паролями, ресурсами, такими как компьютеры, и определять, кто имеет доступ к чему. Для некоторых из вас, читающих эту статью, особенно для тех, кто работает в крупных учреждениях, раньше взаимодействовали с AD. Обычно при взаимодействии используется один набор учетных данных для входа на любую рабочую станцию ​​в организации. Это лишь верхушка большого айсберга.

Представьте себе набор из 40 компьютерных систем и 70 пользователей в фирме. Некоторые сотрудники работают по сменам, а другие работают по обычному графику. Некоторые имеют доступ к печати; другие нет.Традиционный способ работы заключается в создании локальных учетных записей пользователей на каждом компьютере, к которому пользователь должен получить доступ. Представьте себе нагрузку на группу поддержки конечных пользователей. Когда пользователь меняет свой пароль по какой-либо причине, этот пользователь должен изменить пароль на всех компьютерах, к которым у него ранее был доступ, чтобы обеспечить синхронизацию. В ближайшее время будет хаос. Теперь представьте, что два сотрудника уходят в отставку. Мне не нужно рассказывать вам о монотонной работе, которую приходится повторять каждый раз при смене штатного расписания или каких-либо рабочих мест. Для ИТ-команд это кошмар. Время, которое можно было бы использовать для решения инновационных задач, теперь тратится на изобретение велосипеда. Я даже не говорил об управлении доступом к принтерам.

Именно здесь процветает такая служба каталогов, как Active Directory. Это может буквально спасти жизнь. В Active Directory каждый пользователь создается уникальным образом как объект в центральной базе данных с единым набором учетных данных. Каждая компьютерная система также создается как объект. Автоматически каждый пользователь может получить доступ к каждой рабочей станции с одним и тем же набором учетных данных. Любые изменения учетных записей, которые необходимо внести, вносятся один раз в центральную базу данных. Сотрудники могут получить доступ к принтерам, используя тот же набор учетных данных. Для этого механизм аутентификации принтеров может быть объединен с AD. Счастливые пользователи, счастливая ИТ-команда.

С помощью групп и организационных подразделений можно настраивать и поддерживать доступ к различным ресурсам. Становится еще лучше. Этот каталог может хранить номера телефонов сотрудников, адреса электронной почты и может быть расширен для хранения другой информации. А если кто-то уволится? Без проблем. Просто отключите учетную запись пользователя. Доступ этого человека ко всем ресурсам аннулируется на месте. Чем крупнее организация, тем больше потребность в централизованном управлении. Это экономит время; это экономит эмоции.

По сути, служба каталогов — это просто организованный способ систематизации всех ресурсов в организации, облегчающий доступ к этим ресурсам. По сути, AD — это своего рода распределенная база данных, доступ к которой осуществляется удаленно через протокол облегченного доступа к каталогам (LDAP). LDAP — это открытый протокол для удаленного доступа к службам каталогов через среду, ориентированную на соединение, такую ​​как TCP/IP. AD — не единственная служба каталогов, основанная на стандарте x.500 или к которой можно получить доступ с помощью LDAP. Другие службы каталогов включают OpenLDAP и FreeIPA. Однако AD — это зрелая служба на основе Windows, которая встроена в системы Windows Server. Другими словами, если в вашей организации много систем Windows, она автоматически станет победителем. Это одна из причин его повсеместного распространения. Службы каталогов, такие как FreeIPA, основаны на Linux и обеспечивают отличный сервис для стабильной версии Linux. Когда резина отправляется в путь, выбор сводится к тому, какой из двух вы можете быстро настроить, учитывая текущую среду и набор навыков вашей команды.

Но что происходит, когда вы выбираете AD и у вас есть несколько серверов CentOS, и вы не хотите поддерживать отдельный набор учетных данных для своих пользователей Linux? Этих накладных расходов можно полностью избежать. Что вам нужно сделать, так это присоединить серверы Linux к домену AD, как вы бы сделали это с сервером Windows.

Если это то, что вам нужно сделать, читайте дальше, чтобы узнать, как это сделать. Можно присоединить систему Windows к домену FreeIPA, но это выходит за рамки данной статьи.

Предварительные условия

В этой статье предполагается, что у вас есть хотя бы начальный опыт работы с Active Directory, особенно в области управления учетными записями пользователей и компьютеров. Кроме того, должны быть соблюдены следующие очевидные требования:

  • Учетная запись в AD с правами, необходимыми для присоединения системы к домену.
  • Сервер Linux (для этой демонстрации использовался сервер CentOS 7).
  • Контроллер домена.
  • Убедитесь, что ваш Linux-сервер знает, как найти контроллер домена через DNS.

Чтобы сделать эту статью проще для всех, вот список ключевых деталей. Вот как настроена лаборатория, которую я использовал для этой записи, поэтому вы должны изменить ее соответствующим образом.

Пакеты для установки

Для этой конфигурации необходимо установить пакет realmd . Помимо realmd, для этого необходимо установить множество пакетов.

Realmd предоставляет упрощенный способ обнаружения доменов Active Directory и взаимодействия с ними. Он использует sssd для фактического поиска, необходимого для удаленной аутентификации и другой тяжелой работы по взаимодействию с доменом. В интересах краткости я не буду останавливаться на других пакетах в списке.

Однако тем, кто интересуется подробностями, быстрый поиск в Google должен быть очень полезен.

Realmd (взаимодействует с доменом)

Теперь, когда все пакеты установлены, первое, что нужно сделать, — это присоединить систему CentOS к домену Active Directory. Для этого мы используем приложение realm.Клиент realm устанавливается одновременно с realmd. Он используется для присоединения, удаления, управления доступом и выполнения многих других задач. Вот ожидаемый синтаксис для простого присоединения к домену:

Пробел между учетной записью пользователя и учетной записью домена не является опечаткой. Вставив соответствующие реквизиты, мы получим следующую команду:

Укажите пароль при появлении запроса и дождитесь завершения процесса.

Не позволяйте кратковременному отсутствию вывода обмануть вас. В рамках этого процесса выполняется ряд операций. Вы можете включить переключатель -v для более подробного вывода. Однако лучший способ проверить, является ли компьютер теперь членом домена, — запустить команду списка областей. Команда пытается отобразить текущее состояние сервера относительно домена. Это быстрый и грязный способ узнать, какие группы или пользователи могут получить доступ к серверу.

Посмотрите на результат:

Кроме того, с самого начала довольно просто поместить вновь созданный компьютерный объект AD в определенную организационную единицу (OU). Я оставлю это для дальнейшего чтения, но в качестве подсказки вы можете обратиться к справочной странице. Используя клиент области, вы можете предоставить или отозвать доступ к пользователям и группам домена. Глубокого погружения в более тонкое использование realmd достаточно, чтобы написать еще одну статью. Однако не лишним будет выделить вашему вниманию несколько параметров, а именно клиентское ПО и серверное ПО. Теперь вы должны понять, почему нам пришлось установить так много пакетов.

Чтобы полностью покинуть домен, нужно два слова: realm leave

Дальнейшая настройка

Итак, теперь, когда сервер Linux является частью домена AD, пользователи домена могут получить доступ к серверу со своими обычными учетными данными. Мы закончили, верно? Неправильно. "В чем проблема?" Я слышу, как ты говоришь.

Ну, для начала, это базовая конфигурация, которая поможет вам приступить к работе. Но опыт неуклюжий, мягко говоря. Нам нужно дополнительно настроить службу, чтобы придать ей истинное ощущение AD. Это должно быть похоже на вход на рабочую станцию ​​Windows 10, присоединенную к домену.

Во-вторых, в комнате системных администраторов есть большой слон, который называется динамическими обновлениями DNS (DynDNS). Если он настроен неправильно, мы создаем дополнительные накладные расходы, поскольку нам приходится поддерживать записи DNS вручную. Для среды, которая сильно зависит от DNS, это может быть проблемой. Для систем Windows присоединение системы к домену означает, что две записи автоматически управляются и поддерживаются на DNS-сервере. Когда IP-адреса меняются, это изменение автоматически отражается в DNS. Это означает, что вы можете изменить IP-адреса систем без затрат на ручное обслуживание. Это будет иметь смысл только для тех, кто уже использует преимущества DNS в своей среде. Помимо заметного повышения производительности за счет автоматизации, важно, чтобы среды Windows и Linux работали одинаково.

Третья проблема — очистка DNS. В домене Active Directory DNS обычно предоставляется контроллерами домена. Каждая система, присоединенная к домену, имеет автоматическую запись DNS с соответствующим IP-адресом. Это супер удобно. Автоматически с заданным интервалом устаревшие записи DNS удаляются, чтобы предотвратить ошибочно направленные пакеты, а также позаботиться об удаленных компьютерных объектах. Это называется очисткой и не включено по умолчанию в AD. Однако, если он включен, нам нужно его настроить. Как правило, интервал очистки составляет семь дней. Если по истечении этого периода запись не обновлялась, она удаляется, если только это не статическая запись. Для систем Windows функция динамических обновлений настраивается автоматически. Однако для серверов Linux необходимо внести несколько изменений. Если этого не делать, через какое-то время сервисы перестанут работать, потому что их записи удалены из DNS, и никто не знает, как добраться до их составных частей.

Теперь, когда мы знаем о некоторых потенциальных проблемах, которые необходимо решить, давайте посмотрим, что мы можем изменить, чтобы сделать работу пользователей и системных администраторов более удобной.

SSSD (упрощенный вход и динамические обновления)

sssd в системе Linux отвечает за предоставление системе доступа к службам проверки подлинности из удаленного источника, такого как Active Directory. Другими словами, это основной интерфейс между службой каталогов и модулем, запрашивающим службы аутентификации, realmd. Его основной файл конфигурации находится в /etc/sssd/sssd.conf.По сути, это основной файл конфигурации, который мы будем модифицировать.

Давайте посмотрим на его содержимое перед настройкой. Как только вы присоединяетесь к домену, он немедленно модифицируется, чтобы содержать минимум информации, необходимой для успешного входа в систему. Мой файл выглядел так:

Приходилось ли вам когда-нибудь искать объект-компьютер на каждом контроллере домена (DC) в вашей организации, чтобы быть абсолютно уверенным, что его больше не существует? Погоня за компьютерным объектом иногда может показаться игрой в «Где Уолдо?» Я пытался найти встроенный инструмент Windows, чтобы легко сделать это, но безрезультатно. Итак, я создал инструмент «Найти компьютерный объект».

Вот как появился этот инструмент. Наша группа поддержки настольных компьютеров столкнулась с проблемой повторного присоединения компьютера к нашему домену. Члены группы поддержки попробовали стандартные процедуры:

  • С помощью вкладки "Имя компьютера" в диалоговом окне "Свойства системы" они переместили объект-компьютер в рабочую группу, а затем переместили его обратно в домен, используя учетные данные администратора, необходимые для присоединения компьютера к домену.
  • В оснастке Active Directory Users and Computers консоли управления Microsoft (MMC) они нашли и удалили объект компьютера из домена, подождали 90 минут, а затем снова присоединили его к домену.

После каждой процедуры члены группы поддержки и пользователи компьютера считали, что проблема решена, поскольку пользователи могут войти в домен. Однако, когда пользователи попытались войти в систему позже, они обнаружили, что не могут. Когда члены группы поддержки проверили, они обнаружили, что объект компьютера «выпал» из домена.

Эта проблема расстраивала как пользователей, так и членов группы поддержки, поэтому команда по устранению неполадок, к которой я принадлежу, была привлечена для более глубокого изучения. Пришлось службе поддержки еще раз присоединить компьютер к домену. Мы наблюдали, как компьютерный объект появился на DC. Позже мы подтвердили, что его больше нет на том же DC.

Быстрая проверка связи показала, что все контроллеры домена отвечают, поэтому мы использовали оснастку Active Directory Users and Computers для ручного поиска каждого контроллера домена, чтобы убедиться, что объект компьютера больше не существует на нем. Именно тогда мы обнаружили, что объект компьютера все еще задерживается на одном контроллере домена.

Выяснилось, что у этого конкретного контроллера домена была проблема с репликацией со своими партнерами, но по какой-то неизвестной причине система мониторинга не обнаружила эту проблему. У контроллера домена была поврежденная база данных, но он по-прежнему объявлялся клиентам как действительный через DNS.

Необходимость вручную искать каждый контроллер домена, чтобы найти проблему, заставила меня понять, что должен быть более простой способ проверить наличие или отсутствие определенного компьютерного объекта на всех контроллерах домена. Именно тогда я решил создать инструмент «Найти компьютерный объект».

Инструмент «Найти компьютерный объект» может выполнять двойную функцию. Вы можете использовать его, чтобы не только определить, присутствует ли компьютерный объект на контроллере домена, но и точно определить, где этот объект находится в структуре организационной единицы (OU), если он присутствует.


Рис. 1. Пользовательский интерфейс инструмента "Найти компьютерный объект"

На рис. 1 показан пользовательский интерфейс инструмента. После того как вы введете имя компьютера, который ищете, и нажмете кнопку «Найти компьютер», инструмент создаст список объектов-компьютеров в подразделении «Контроллеры домена» в AD. Затем инструмент запрашивает каждый контроллер домена в этом списке, ища введенное вами имя компьютера. Он также увеличивает индикатор выполнения, чтобы вы знали, что он действительно что-то делает.


Рисунок 2. Сообщение о том, что объект компьютера найден

Когда инструмент находит объект компьютера, он останавливается и уведомляет вас. Как показано на экране 2, он сообщает вам контроллер домена, на котором был найден объект-компьютер, и организационную единицу, в которой находится объект-компьютер. Если он не найдет объект компьютера ни на одном из контроллеров домена, вы получите сообщение, похожее на то, что показано на рис. 3.


Рис. 3. Сообщение о том, что объект-компьютер не найден

Вы можете загрузить инструмент "Найти компьютерный объект", представляющий собой HTML-приложение (HTA), с веб-сайта Windows IT Pro. Перейдите в начало этой страницы и нажмите кнопку Загрузить код здесь.

Читайте также: