Как называется инструмент в диспетчере серверов для просмотра пользователей компьютеров, введенных в домен

Обновлено: 21.11.2024

В зависимости от вашей среды и требований к доступу к данным вам может потребоваться изменить учетную запись службы запуска от имени. Существует два основных сценария изменения учетной записи службы запуска от имени:

  • Замена локальной учетной записи запуска от имени (NetworkService) по умолчанию учетной записью домена. Если вы работаете в среде, где большинство ваших источников данных аутентифицируются в контексте Active Directory (встроенная система безопасности Windows NT), вам потребуется настроить учетную запись службы запуска от имени для использования учетной записи домена, а не локальной учетной записи ( Сетевая служба).
  • Изменение существующей учетной записи службы запуска от имени домена на другую учетную запись.

В этом разделе описаны оба сценария и описано, как обновить пароль учетной записи службы запуска от имени.

Учетная запись, которую вы используете для учетной записи службы запуска от имени, не должна быть членом учетной записи локальных администраторов или администраторов домена. Вместо этого мы рекомендуем использовать учетную запись пользователя домена, которая не является администратором для учетной записи службы запуска от имени. Использование учетной записи домена, которая не является членом этих групп администраторов, является хорошей практикой безопасности и может помочь избежать доступа к определенным источникам данных и папкам. Сведения о передовых методах создания учетной записи службы запуска от имени см. в разделе Создание учетной записи службы запуска от имени.

Замена локальной учетной записи запуска от имени (NetworkService) по умолчанию учетной записью домена

Если вы собираетесь заменить учетную запись NetworkService по умолчанию учетной записью домена, мы рекомендуем использовать выделенную учетную запись для учетной записи службы запуска от имени. Выполните следующие действия:

  1. Создайте учетную запись службы запуска от имени в Active Directory.
  2. Настройте Tableau Server для использования сервисной учетной записи запуска от имени

Создание учетной записи службы запуска от имени

Следуйте этим рекомендациям:

Настройка учетной записи службы запуска от имени в Tableau Server

После того как вы создали учетную запись службы запуска от имени в Active Directory, настройте Tableau Server для использования этой учетной записи.

Используйте веб-интерфейс TSM для настройки учетной записи службы запуска от имени в первый раз.

Чтобы настроить учетную запись службы запуска от имени

Откройте TSM в браузере:

Перейдите на вкладку "Безопасность", а затем на вкладку "Учетная запись службы запуска от имени".

Выберите «Учетная запись пользователя», а затем введите имя пользователя и пароль для учетной записи службы. Укажите доменное имя как domain\account , где доменное имя — это NetBIOS-имя домена, в котором находится пользователь:

Нажмите "Сохранить", чтобы подтвердить имя пользователя и пароль.

Когда вы закончите, нажмите Ожидающие изменения , а затем нажмите Применить изменения и перезапустить .

После того как вы обновите учетную запись службы запуска от имени, Tableau Server автоматически настроит разрешения на локальном компьютере для введенной вами учетной записи.

Изменение существующей учетной записи службы запуска от имени домена на другую учетную запись

Чтобы изменить существующую учетную запись службы запуска от имени домена на другую учетную запись, необходимо применить разрешения к этой новой учетной записи. Чтобы применить разрешения к новой учетной записи службы запуска от имени, необходимо сначала сбросить разрешения, применив их к учетной записи NetworkService по умолчанию.

Прежде чем начать, убедитесь, что новая учетная запись, которую вы будете использовать для служебной учетной записи запуска от имени, соответствует рекомендациям, описанным ранее в разделе Создание служебной учетной записи запуска от имени.

Эта процедура требует двойного перезапуска служб Tableau Server, поэтому выполняйте эту процедуру в нерабочее время.

Откройте TSM в браузере:

Перейдите на вкладку "Безопасность", а затем на вкладку "Учетная запись службы запуска от имени".

В разделе "Учетная запись пользователя" выберите NT Authority\NetworkService.

Когда вы закончите, нажмите Ожидающие изменения , а затем нажмите Применить изменения и перезапустить .

После перезапуска сервера откройте TSM и перейдите на вкладку "Запуск от имени служебной учетной записи".

Выберите «Учетная запись пользователя», а затем введите имя пользователя и пароль для учетной записи службы. Укажите доменное имя как domain\account , где доменное имя — это NetBIOS-имя домена, в котором находится пользователь:

Нажмите "Сохранить", чтобы подтвердить имя пользователя и пароль.

Когда вы закончите, нажмите Ожидающие изменения , а затем нажмите Применить изменения и перезапустить .

Отозвать разрешения для предыдущей учетной записи. См. раздел Отзыв разрешений для служебной учетной записи запуска от имени.

Сбросьте учетную запись службы запуска от имени на NetworkService. Выполните следующую команду:

набор конфигурации tsm -k service.runas.username -v "NT AUTHORITY\NetworkService"

Выполните следующую команду, чтобы сохранить это изменение и перезапустить:

применяются ожидающие изменения tsm

Задайте для учетной записи службы запуска от имени новую учетную запись. Выполните следующие команды:

набор конфигурации tsm -k service.runas.password -v ""

Заключите пароль в двойные кавычки, чтобы специальные символы в строке обрабатывались правильно. Чтобы просмотреть пароль в том виде, в котором он будет сохранен, выполните следующую команду:

список ожидающих изменений tsm

Пароль будет проверен с помощью Active Directory. Если он действителен, то пароль будет зашифрован и сохранен. ITSM не сообщит об успехе или неудаче.

Выполните следующую команду для сохранения и перезапуска:

применяются ожидающие изменения tsm

Убедитесь, что сервер запущен. Если он находится в ухудшенном состоянии, возможно, вы ввели неверный пароль. Просмотрите сохраненный пароль, выполнив команду получения конфигурации. Эта команда расшифрует и отобразит пароль в оболочке. Выполните следующую команду:

Если отображается предыдущий пароль, значит, вы ввели неверный пароль.

Введите правильный пароль (см. шаг 3), а затем выполните следующую команду для сохранения и перезапуска:

применяются ожидающие изменения tsm

Отозвать разрешения для предыдущей учетной записи. См. раздел Отзыв разрешений для служебной учетной записи запуска от имени.

Обновление пароля учетной записи службы запуска от имени

Если пароль учетной записи службы запуска от имени был обновлен в Active Directory, вы должны обновить его для сервера Tableau. Пароль учетной записи службы запуска от имени шифруется и хранится на сервере Tableau. Дополнительные сведения см. в разделе Управление секретами сервера.

Если вы используете Tableau Server в распределенном развертывании, вам нужно только обновить пароль с помощью TSM на начальном узле в кластере. ITSM автоматически распространит эту конфигурацию на каждый узел.

Откройте TSM в браузере:

Перейдите на вкладку "Безопасность", а затем на вкладку "Учетная запись службы запуска от имени".

В разделе "Учетная запись пользователя" введите пароль для служебной учетной записи.

Нажмите "Сохранить", чтобы подтвердить пароль.

Когда вы закончите, нажмите Ожидающие изменения , а затем нажмите Применить изменения и перезапустить .

Установите новый пароль. Выполните следующую команду:

набор конфигурации tsm -k service.runas.password -v ""

Заключите пароль в двойные кавычки, чтобы специальные символы в строке обрабатывались правильно. Чтобы убедиться, что специальные символы были правильно экранированы, выполните следующую команду, чтобы просмотреть пароль в том виде, в котором он будет сохранен:

список ожидающих изменений tsm

Пароль будет проверен с помощью Active Directory. Если он действителен, то пароль будет зашифрован и сохранен. ITSM не сообщит об успехе или неудаче.

Выполните следующую команду для сохранения и перезапуска:

применяются ожидающие изменения tsm

Убедитесь, что сервер запущен. Если он находится в ухудшенном состоянии, возможно, вы ввели неверный пароль. Просмотрите сохраненный пароль, выполнив команду получения конфигурации. Эта команда расшифрует и отобразит пароль в оболочке. Выполните следующую команду:

Если отображается предыдущий пароль, значит, вы ввели неверный пароль.

Введите правильный пароль (см. шаг 1), а затем выполните следующую команду для сохранения и перезапуска:

применяются ожидающие изменения tsm

Устранение неполадок: обновление пароля в консоли Microsoft Services

В некоторых случаях после обновления пароля служебной учетной записи запуска от имени могут возникать сбои службы. Если это так, вам может потребоваться вручную обновить пароль для службы Tableau Server Services Manager. Обновите пароль в консоли управления Microsoft Services.

Если вы используете Tableau Server в распределенном развертывании, вы должны выполнить следующую процедуру на каждом узле в кластере.

Остановить сервер Tableau.

Чтобы использовать интерфейс командной строки TSM, выполните следующую команду:

Чтобы использовать веб-интерфейс TSM, в правом верхнем углу страницы щелкните раскрывающийся список рядом со статусом, а затем нажмите Остановить сервер Tableau :

Откройте оснастку MMC «Службы» на компьютере Windows, на котором запущен Tableau Server.

Дважды щелкните службу Tableau Server Services Manager, чтобы открыть страницу свойств.

На странице свойств диспетчера служб Tableau Server щелкните вкладку "Вход" и введите пароль для учетной записи службы.

Нажмите «Применить», затем нажмите «ОК».

Перезапустите службу Tableau Server Services Manager, щелкнув правой кнопкой мыши имя службы и выбрав "Перезапустить" .

Запустите сервер Tableau.

Чтобы использовать интерфейс командной строки TSM, выполните следующую команду:

Чтобы использовать веб-интерфейс TSM, в правом верхнем углу страницы щелкните раскрывающийся список рядом со статусом и выберите Запустить сервер Tableau .

Связанные задачи

Служебная учетная запись запуска от имени играет центральную роль во многих операциях на сервере Tableau, особенно в тех, которые связаны с удаленным доступом к данным.Чтобы избежать ошибок доступа, ознакомьтесь с задачами здесь и перейдите по ссылкам на те, которые относятся к вашему сценарию.

В этой статье описывается механизм, используемый Windows для обнаружения контроллера домена в домене Windows.

Эта статья относится к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр решений по окончанию поддержки Windows 2000 является отправной точкой для планирования стратегии перехода с Windows 2000. Дополнительные сведения см. Политика жизненного цикла поддержки Майкрософт.

Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 247811

Обзор

В этой статье подробно описывается процесс обнаружения домена по его имени в стиле DNS и его простому имени (NetBIOS). Имя в плоском стиле используется для обратной совместимости. Во всех остальных случаях следует использовать имена в стиле DNS в соответствии с политикой. В этой статье также рассматривается устранение неполадок в процессе определения местоположения контроллера домена.

Как Locator находит контроллер домена

Эта последовательность описывает, как локатор находит контроллер домена:

На клиенте (компьютере, на котором находится контроллер домена) локатор запускается как удаленный вызов процедуры (RPC) для локальной службы входа в сеть. Вызов интерфейса прикладного программирования (API) Locator DsGetDcName реализуется службой Netlogon.

Клиент собирает информацию, необходимую для выбора контроллера домена. Затем он передает информацию службе входа в сеть с помощью вызова DsGetDcName.

Служба Netlogon на клиенте использует собранную информацию для поиска контроллера домена для указанного домена одним из двух способов:

Для DNS-имени Netlogon запрашивает DNS с помощью локатора, совместимого с IP/DNS. То есть DsGetDcName вызывает вызов DnsQuery для чтения записей ресурсов службы (SRV) и записей "A" из DNS после добавления доменного имени к соответствующей строке, указывающей записи SRV.

Рабочая станция, которая входит в домен Windows, запрашивает у DNS записи SRV в общем виде:

Серверы Active Directory предлагают службу облегченного протокола доступа к каталогам (LDAP) по протоколу TCP. Таким образом, клиенты находят сервер LDAP, запрашивая у DNS запись вида:

Для NetBIOS-имени Netlogon выполняет обнаружение контроллера домена с помощью локатора, совместимого с Microsoft Windows NT версии 4.0. То есть с помощью механизма, специфичного для транспорта, такого как WINS.

В Windows NT 4.0 и более ранних версиях "обнаружение" — это процесс поиска контроллера домена для проверки подлинности либо в основном домене, либо в доверенном домене.

Служба Netlogon отправляет дейтаграммы на компьютеры, зарегистрировавшие это имя. Для доменных имен NetBIOS дейтаграмма реализована как сообщение почтового ящика. Для доменных имен DNS дейтаграмма реализована как поиск по протоколу пользовательских дейтаграмм (UDP) LDAP. (UDP – это протокол передачи дейтаграмм без установления соединения, входящий в набор протоколов TCP/IP. TCP – это транспортный протокол, ориентированный на установление соединения.)

Каждый доступный контроллер домена отвечает на дейтаграмму, чтобы указать, что он в настоящее время работает, и возвращает информацию в DsGetDcName.

UDP позволяет программе на одном компьютере отправлять дейтаграмму программе на другом компьютере. UDP включает номер порта протокола, который позволяет отправителю различать несколько получателей (программ) на удаленном компьютере.

  • Каждый доступный контроллер домена отвечает на дейтаграмму, чтобы указать, что он в настоящее время работает, и возвращает информацию в DsGetDcName.
  • Служба Netlogon кэширует информацию о контроллере домена, чтобы последующие запросы не повторяли процесс обнаружения. Кэширование этой информации способствует согласованному использованию одного и того же контроллера домена и единообразному представлению Active Directory.

Когда клиент входит в систему или присоединяется к сети, он должен иметь возможность найти контроллер домена. Клиент отправляет запрос DNS Lookup в DNS, чтобы найти контроллеры домена, предпочтительно в собственной подсети клиента. Таким образом, клиенты находят контроллер домена, запрашивая у DNS запись вида:

После того как клиент находит контроллер домена, он устанавливает связь с помощью LDAP для получения доступа к Active Directory. В рамках этого согласования контроллер домена определяет, на каком сайте находится клиент, на основе IP-подсети этого клиента.

Если клиент обменивается данными с контроллером домена, который не находится на ближайшем (наиболее оптимальном) сайте, контроллер домена возвращает имя сайта клиента. Если клиент уже пытался найти контроллеры домена на этом сайте, клиент использует неоптимальный контроллер домена. Например, клиент отправляет DNS-запрос поиска в DNS, чтобы найти контроллеры домена в подсети клиента.

В противном случае клиент снова выполняет поиск DNS для конкретного сайта с новым оптимальным именем сайта.Контроллер домена использует некоторую информацию службы каталогов для идентификации сайтов и подсетей.

После того как клиент находит контроллер домена, запись контроллера домена кэшируется. Если контроллер домена находится не на оптимальном сайте, клиент очищает кеш через 15 минут и отбрасывает запись кеша. Затем он пытается найти оптимальный контроллер домена на том же сайте, что и клиент.

После того как клиент установил путь связи с контроллером домена, он может установить учетные данные для входа и аутентификации. А при необходимости для компьютеров на базе Windows может настроить безопасный канал. После этого клиент готов выполнять обычные запросы и искать информацию в каталоге.

Клиент устанавливает соединение LDAP с контроллером домена для входа в систему. В процессе входа в систему используется диспетчер учетных записей безопасности. Путь связи использует интерфейс LDAP, и клиент аутентифицируется контроллером домена. Таким образом, учетная запись клиента проверяется и передается через диспетчер учетных записей безопасности агенту службы каталогов, затем на уровень базы данных и, наконец, в базу данных в механизме расширяемого хранилища (ESE).

Устранение неполадок в процессе поиска доменов

Чтобы устранить неполадки в процессе поиска доменов:

Проверьте средство просмотра событий как на клиенте, так и на сервере. Журналы событий могут содержать сообщения об ошибках, указывающие на наличие проблемы. Чтобы просмотреть средство просмотра событий, выберите «Пуск», выберите «Программы» > «Администрирование», а затем выберите «Просмотр событий». Проверьте системный журнал как на клиенте, так и на сервере. Также проверьте журналы службы каталогов на сервере и журналы DNS на DNS-сервере.

Проверьте конфигурацию IP с помощью команды ipconfig /all в командной строке.

Используйте утилиту Ping для проверки подключения к сети и разрешения имен. Пропингуйте как IP-адрес, так и имя сервера. Вы также можете проверить связь с доменным именем.

Используйте средство Netdiag, чтобы определить, правильно ли работают сетевые компоненты. Чтобы отправить подробный вывод в текстовый файл, используйте следующую команду:

netdiag /v >test.txt
Просмотрите файл журнала, найдите проблемы и изучите любые связанные компоненты. Этот файл также содержит другие сведения о конфигурации сети.

Для устранения мелких проблем используйте средство Netdiag со следующим синтаксисом:

Используйте команду nltest /dsgetdc:domainname, чтобы убедиться, что контроллер домена может быть расположен для определенного домена.

Используйте инструмент NSLookup, чтобы убедиться, что записи DNS правильно зарегистрированы в DNS. Убедитесь, что записи узла сервера и записи GUID SRV могут быть разрешены.

Если ни одна из этих команд не выполняется, используйте один из следующих методов для перерегистрации записей в DNS:

  • Чтобы принудительно зарегистрировать запись хоста, введите ipconfig /registerdns.
  • Чтобы принудительно зарегистрировать службу контроллера домена, остановите и снова запустите службу Netlogon.

Чтобы обнаружить проблемы с контроллером домена, запустите утилиту DCdiag из командной строки. Утилита запускает множество тестов, чтобы убедиться, что контроллер домена работает правильно. Используйте эту команду для отправки результатов в текстовый файл: dcdiag /v >dcdiag.txt

Используйте средство Ldp.exe для подключения и привязки к контроллеру домена, чтобы проверить правильность подключения LDAP.

Если вы подозреваете, что у конкретного контроллера домена есть проблемы, может быть полезно включить ведение журнала отладки Netlogon. Используйте утилиту NLTest, введя следующую команду: nltest /dbflag:0x2000ffff. Затем информация записывается в папку Debug в файле Netlogon.log.

Если вы все еще не изолировали проблему, используйте сетевой монитор для мониторинга сетевого трафика между клиентом и контроллером домена.

Ссылки

Дополнительную информацию см. в наборе ресурсов Windows, глава 10, "Диагностика Active Directory, устранение неполадок и восстановление".

RSAT позволяет ИТ-администраторам удаленно управлять ролями и функциями в Windows Server с компьютера под управлением Windows 10 и Windows 7 с пакетом обновления 1 (SP1).

Применимо к: Windows 10 — все выпуски, Windows 7 с пакетом обновления 1, Windows Server 2019, Windows Server 2012 R2
Исходный номер базы знаний: 2693643< /p>

Введение

Вы не можете установить RSAT на компьютеры с домашней или стандартной версиями Windows. Вы можете установить RSAT только в выпусках Professional или Enterprise клиентской операционной системы Windows. Если на странице загрузки специально не указано, что RSAT применяется к бета-версии, предварительной версии или другой предварительной версии Windows, для установки и использования RSAT необходимо использовать полную (окончательную) версию операционной системы Windows. Некоторые пользователи нашли способы вручную взломать или взломать MSU RSAT, чтобы установить RSAT в неподдерживаемых выпусках или выпусках Windows. Такое поведение является нарушением лицензионного соглашения с конечным пользователем Windows.

Установка RSAT аналогична установке Adminpak.msi на клиентских компьютерах под управлением Windows 2000 или Windows XP. Однако есть одно существенное отличие: в Windows 7 инструменты не становятся доступными автоматически после загрузки и установки RSAT. Включите инструменты, которые вы хотите использовать, с помощью панели управления. Чтобы включить инструменты, нажмите «Пуск», выберите «Панель управления», нажмите «Программы и компоненты», а затем нажмите «Включение или отключение компонентов Windows».

В выпусках RSAT для Windows 10 все инструменты снова включены по умолчанию. Вы можете открыть Включение или отключение функций Windows, чтобы отключить инструменты, которые вы не хотите использовать для Windows 7.

Для RSAT в Windows 7 необходимо включить инструменты для ролей и функций, которыми вы хотите управлять, после запуска загруженного установочного пакета.

Вы не можете внести следующие изменения для RSAT в Windows 8 или более поздних версиях.

Если вам нужно установить инструменты управления в Windows Server 2012 R2 для определенных ролей или функций, работающих на удаленных серверах, вам не нужно устанавливать дополнительное программное обеспечение. Запустите мастер добавления ролей и компонентов в Windows Server 2012 R2 и более поздних версиях. Затем на странице Выбор компонентов разверните Инструменты удаленного администрирования сервера, а затем выберите инструменты, которые вы хотите установить. Завершите работу мастера, чтобы установить инструменты управления.

Загрузить местоположения для RSAT

Матрица поддержки платформы и инструментов RSAT для Windows 10

Технология средств удаленного администрирования сервера Описание Управление технологией в Windows Server 2012 R2 Управление технологией в Windows Server 2016 Technical Preview и Windows Server 2012 R2
Инструменты Active Directory Certificate Services (AD CS) Инструменты AD CS включают центр сертификации , Шаблоны сертификатов, Enterprise PKI и оснастки управления сетевыми ответчиками.
Доменные службы Active Directory ( Инструменты AD DS) и инструменты служб Active Directory облегченного доступа к каталогам (AD LDS) Инструменты AD DS и AD LDS включают следующие инструменты:

  • DCPromo.exe
  • LDP.exe
  • NetDom.exe
  • NTDSUtil.exe
  • RepAdmin.exe
  • DCDiag.exe
  • DSACLS.exe
  • DSAdd.exe
  • DSDBUtil.exe
  • DSMgmt.exe
  • DSMod.exe
  • DSMove.exe
  • DSQuery.exe
  • DSRm.exe
  • GPFixup.exe
  • KSetup.exe
  • NlTest.exe
  • NSLookup.exe
  • W32tm.exe
  • Оснастка управления DFS
  • Инструменты командной строки Dfsradmin.exe , Dfsrdiag.exe , Dfscmd.exe , Dfsdiag.exe и Dfsutil.exe
  • Модули PowerShell для DFSN и DFSR
  • Оснастка диспетчера ресурсов файлового сервера
  • Инструменты командной строки Dirquota.exe , Filescrn.exe и Storrept.exe.

RSAT для Windows 10 версии 1809 или более поздних версий

Вы не можете использовать диалоговое окно включения и выключения компонентов Windows из панели управления

Установка инструментов RSAT для Windows 10 версии 1809 и более поздних версий немного отличается от более ранних версий. RSAT теперь является частью операционной системы и может быть установлен с помощью дополнительных функций.

Чтобы включить инструменты, нажмите «Пуск», нажмите «Настройки», нажмите «Приложения», а затем нажмите «Дополнительные функции», после чего нажмите на панель «Добавить функцию» и введите «Удаленный» в строке поиска.

Пользователи и компьютеры Active Directory (ADUC) — это один из самых популярных инструментов для управления Active Directory на серверах Windows. В этой статье объясняется, как начать работу с ADUC.

Что такое пользователи и компьютеры Active Directory (ADUC)?

ADUC — это оснастка консоли управления Microsoft (MMC), позволяющая администраторам управлять объектами Active Directory и их атрибутами. Например, они могут:

  • Изменить пароли
  • Сбросить учетные записи пользователей
  • Добавить пользователей в группы безопасности
  • Создание и удаление организационных подразделений (OU)
  • Обработка ролей FSMO, таких как мастер RID, эмулятор PDC и хозяин инфраструктуры.
  • Создание и управление компьютерами, группами и пользователями и их атрибутами
  • Делегировать управление объектами
  • Определить расширенную безопасность и аудит в AD

Дополнительную информацию об Active Directory можно найти в нашем руководстве по AD для начинающих.

Расширенные функции ADUC

Если вы включите параметр «Дополнительные функции» в ADUC (используя окно просмотра), вы также сможете управлять:

  • Контейнер LostAndFound
  • Квоты NTDS
  • Данные программы
  • Информация о системе

При включении расширенных функций на страницу свойств объекта добавляется множество вкладок, включая "Опубликованные сертификаты", "Редактор атрибутов" и "Репликация паролей".

Как включить пользователей и компьютеры Active Directory

На ваших контроллерах домена (DC) Active Directory по умолчанию будет установлен ADUC.

Для удаленного управления серверами и компьютерами необходимо установить средства удаленного администрирования сервера (RSAT) для Windows. RSAT позволяет ИТ-администраторам удаленно управлять серверами Windows, ролями и функциями в вашей среде с компьютера Windows и включает ADUC как часть инструментов администрирования ролей. Обратите внимание, что RSAT можно установить только на компьютеры с профессиональной или корпоративной версиями Windows.

Установка ADUC в Windows 10

Как вы устанавливаете ADUC, зависит от вашей версии Windows, как описано ниже.

Установка ADUC в Windows 10 версии 1809 или выше

Начиная с обновления Windows 10, выпущенного в октябре 2018 г., RSAT входит в состав набора «Функции по запросу», поэтому вам не нужно загружать и устанавливать его. Чтобы включить инструмент ADUC, выполните следующие действия:

  1. Откройте "Настройки" в меню "Пуск" (или нажмите Win-I).
  2. Откройте "Приложения и функции", нажмите "Управление дополнительными функциями" в верхней части страницы и выберите "Добавить функцию".
  3. Выберите поле RSAT: доменные службы Active Directory и облегченные инструменты каталогов и нажмите «Установить».

Установка ADUC с помощью командной строки

В качестве альтернативы, если вы используете Windows 10 версии 1809 или более поздней версии, вы можете установить ADUC из командной строки следующим образом:

Включение ADUC в Windows 10 версии 1803 или ниже

Для более ранних версий Windows 10 необходимо вручную загрузить и установить соответствующие инструменты удаленного администратора сервера для вашей версии Windows. Все инструменты, включая ADUC, включены по умолчанию.

Если вам нужно вручную включить ADUC, выполните следующие действия:

  1. Откройте панель управления из меню "Пуск" (или нажмите Win-X).
  2. Перейдите в раздел "Программы" > "Программы и компоненты" > "Включение или отключение компонентов Windows".
  3. Откройте Инструменты удаленного администрирования сервера > Инструменты администрирования ролей > Инструменты AD DS и AD LDS.
  4. Установите флажок "Инструменты AD DS" и нажмите "ОК".

Исправление ошибок RSAT в Windows 10

RSAT может аварийно завершать работу по разным причинам, включая неудачное обновление, поврежденный установочный файл или несовместимость операционной системы. Кроме того, проблемы могут возникнуть, если администратор сервера попытается изменить любой из своих инструментов администрирования, особенно компонент центра администрирования Active Directory (ADAC) RSAT.

Выполните следующие действия для устранения ошибок:

  • Убедитесь, что ваша версия RSAT соответствует версиям вашей операционной системы. В некоторых случаях удаление RSAT и установка новой совместимой версии решает проблему сбоя.
  • Если вы получаете сообщение об ошибке установки RSAT 0x800f0954:
  1. Нажмите правой кнопкой мыши кнопку "Пуск" > выберите "Выполнить" > введите msc > нажмите "ОК".
  2. В редакторе локальной групповой политики выберите Конфигурация компьютера > Административные шаблоны > Система.
  3. Щелкните правой кнопкой мыши «Указать параметры политики установки и восстановления дополнительных компонентов» > Установите для нее значение «Включено» > Установите флажок «Загружать содержимое для восстановления и дополнительные функции непосредственно из обновлений Windows, а не из служб обновлений Windows Server (WSUS)».< /li>
  4. Нажмите «Применить» > «ОК».
  5. Нажмите правой кнопкой мыши кнопку "Пуск" > выберите "Выполнить" > введите gpupdate > нажмите "ОК".
  • Ошибка установки RSAT 0x80070003 обычно связана с установкой из необычного места. Скопируйте установочные файлы на локальный диск целевой машины и продолжите.

Установка ADUC в старых версиях Windows

Если у вас более старая версия Windows, вы можете загрузить соответствующий пакет RSAT, а затем использовать функции «Добавить Windows» на панели управления, чтобы добавить необходимые оснастки MMC.

Обратите внимание, что если вы устанавливаете RSAT на компьютер под управлением Windows 7, вы должны включить инструменты вручную после установки RSAT. Выберите «Пуск» > «Панель управления» > «Программы и компоненты» и используйте «Включение и отключение компонентов Windows».

Чтобы запустить консоль ADUC, нажмите «Пуск», перейдите к «Администрирование» и щелкните «Пользователи и компьютеры Active Directory».

Добавить пользователя

<р>1. Выберите домен, в который вы хотите добавить пользователя, а затем разверните его содержимое.

<р>2. Щелкните правой кнопкой мыши контейнер, в который вы хотите добавить пользователя (обычно "Пользователи"), выберите "Создать", а затем щелкните "Пользователь".

<р>3. Введите имя, фамилию и имя нового пользователя. Затем нажмите «Далее».

<р>4. Введите и подтвердите новый пароль для пользователя. Убедитесь, что вы включили один из следующих параметров, чтобы управлять тем, как пользователь должен управлять своим паролем:

  • Пользователь должен сменить пароль при следующем входе в систему
  • Пользователь не может изменить пароль
  • Аккаунт отключен

<р>5. Нажмите «Далее».

<р>6. Убедитесь, что все введено правильно, и нажмите Готово.

Добавить пользователя в группу

<р>1. Щелкните правой кнопкой мыши домен, в котором вы хотите добавить пользователя в группу, и выберите "Найти".

<р>2. Выберите «Пользователи, контакты и группы» в раскрывающемся списке «Найти».

<р>3. Введите название группы, в которую вы хотите добавить пользователя, нажмите «Найти», выберите нужную группу в результатах поиска и нажмите «ОК».

<р>4. Перейдите в «Действие» > «Свойства» и выберите участников

<р>5. Нажмите Добавить.

<р>6. Введите имя пользователя, которого нужно добавить в группу (если вы указываете несколько пользователей, разделяйте имена точкой с запятой), а затем нажмите кнопку Проверить имена. Кроме того, вы можете использовать кнопку «Дополнительно» для поиска пользователей по одному.

<р>7. Выберите всех пользователей, которых хотите добавить в группу, и нажмите кнопку "ОК".

Удалить пользователя из группы

<р>1. Щелкните правой кнопкой мыши домен, из которого вы хотите удалить пользователя, и выберите

<р>2. Выберите «Пользователи, контакты и группы» в раскрывающемся списке «Найти».

<р>3. Введите имя группы, из которой вы хотите удалить пользователя, и нажмите «Найти сейчас».

<р>4. Щелкните группу правой кнопкой мыши и выберите "Свойства".

<р>5. Перейдите на вкладку "Участники", выделите пользователя и нажмите "Удалить".

Отключить учетную запись пользователя

<р>1. Выберите домен пользователя и разверните его содержимое.

<р>2. Щелкните правой кнопкой мыши учетную запись пользователя. (Чтобы выбрать нескольких пользователей, удерживайте нажатой клавишу CTRL). Затем нажмите «Отключить учетную запись».

Сбросить пароль пользователя

<р>1. Перейдите в папку «Пользователи» домена пользователя.

<р>2. Щелкните правой кнопкой мыши имя пользователя, выберите «Все задачи» и выберите «Сбросить пароль».

<р>3. Введите новый пароль, введите его еще раз в поле Подтвердить пароль и нажмите кнопку ОК.

Переместить пользователя в другую организационную единицу

<р>1. Щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory и выберите Подключиться к домену.

<р>2. Введите имя домена пользователя и нажмите OK.

<р>3. Щелкните правой кнопкой мыши пользователя и выберите Переместить.

<р>4. Выберите контейнер, в который вы хотите переместить пользователя, и нажмите OK.

Изменить данные пользователя

<р>1. Щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory и выберите Подключиться к домену.

<р>2. Введите имя домена пользователя и нажмите OK.

<р>3. Щелкните правой кнопкой мыши пользователя и выберите "Свойства".

<р>4. Перейдите на вкладку с данными, которые вы хотите изменить, внесите изменения и нажмите

Другие инструменты RSAT для управления Active Directory

Вот некоторые другие инструменты, включенные в RSAT:

  • Центр администрирования Active Directory — используется для управления корзиной AD и политиками паролей, а также для отображения истории PowerShell.
  • Модуль Active Directory для Windows PowerShell — установите, чтобы активировать командлеты PowerShell для администрирования AD
  • Домены и отношения доверия Active Directory. Позволяет управлять функциональным уровнем, функциональным уровнем леса и именами участников-пользователей (UPN), а также доверием между лесами и доменами.
  • Сайты и службы Active Directory — позволяет просматривать и управлять своими сайтами и службами
  • Редактирование ADSI. Предоставляет некоторые функции для управления объектами AD, но большинство экспертов рекомендует вместо этого использовать ADUC.

ADUC — это оснастка консоли управления Microsoft (MMC), позволяющая администраторам управлять объектами Active Directory и их атрибутами. Например, они могут:

  • Изменить пароли
  • Сбросить учетные записи пользователей
  • Добавить пользователей в группы безопасности
  • Создание и удаление организационных подразделений (OU)
  • Обработка ролей FSMO, таких как мастер RID, эмулятор PDC и хозяин инфраструктуры.
  • Создание и управление компьютерами, группами и пользователями и их атрибутами
  • Делегировать управление объектами
  • Определить расширенную безопасность и аудит в AD

Дополнительную информацию об основах Active Directory можно найти в нашем руководстве по AD для начинающих.

  1. Как получить пользователей и компьютеры Active Directory в Windows 10?

В Windows 10 версии 1809 или выше вы можете включить ADUC, выбрав «Настройки» > «Приложения и функции» > «Дополнительные функции» > «Добавить функцию». В старых версиях Windows для получения ADUC необходимо вручную загрузить и установить пакет RSAT.

  1. Как установить RSAT в Windows 10?

Начиная с обновления Windows 10, выпущенного в октябре 2018 г., RSAT входит в состав набора «Функции по запросу», поэтому вам не нужно его устанавливать. Вам просто нужно включить определенные инструменты RSAT, которые вам нужны, выбрав «Настройки» > «Приложения и функции» > «Дополнительные функции» > «Добавить функцию».

Если вы используете более раннюю версию Windows, вам необходимо вручную загрузить и установить RSAT.

Инструмент удаленного администрирования сервера позволяет удаленно управлять службами и функциями Windows Server с компьютера Windows.

  1. Что входит в средства удаленного администрирования сервера?

RSAT содержит множество инструментов, включая ADUC, модуль Active Directory для Windows PowerShell и центр администрирования Active Directory (ADAC).

Джефф — бывший директор по разработке глобальных решений в Netwrix. Он давний блогер Netwrix, спикер и ведущий. В блоге Netwrix Джефф делится лайфхаками, советами и рекомендациями, которые могут значительно улучшить ваш опыт системного администрирования.

Последнее обновление: 12.06.2020

Автор: Энди Дональдсон

В этой статье описывается создание, управление и удаление пользователей и групп в Microsoft® Active Directory®.

Эта статья относится только к тем клиентам, которые используют собственные настройки Active Directory. Те клиенты, которые хотят управлять пользователями Active Directory в домене Rackspace Shared Active Directory, должны отправить запрос в службу поддержки на вашем портале.

  • Должны быть установлены доменные службы Active Directory
  • Для внесения изменений требуется доступ к контроллеру домена.
  • Должен иметь доступ администратора домена к контроллеру домена

Создать нового пользователя в Active Directory

Чтобы создать нового пользователя в Active Directory, выполните следующие действия:

Войдите в свой контроллер домена с помощью удаленного рабочего стола.

Используйте один из следующих вариантов, чтобы открыть Active Directory Users and Computers:

Щелкните правой кнопкой мыши меню "Пуск", выберите "Выполнить", введите dsa.msc и нажмите "ОК".

Используйте функцию поиска Windows®, нажав кнопку "Пуск" и введя dsa.msc.

Нажмите "Диспетчер серверов" -> "Инструменты" и выберите в меню "Пользователи и компьютеры Active Directory".

Расширьте свой домен в меню слева.

В зависимости от того, используете ли вы организационные подразделения или нет, найдите подходящий объект для размещения пользователя. По умолчанию вы можете использовать объект «Пользователи», если у вас нет или вы не планируете создавать организационное подразделение.

После того, как вы найдете подходящий объект для нового пользователя, щелкните его правой кнопкой мыши, выберите "Создать" в меню и выберите "Пользователь".

В окне «Новый объект — пользователь» введите имя, фамилию и имя пользователя для входа. Когда вы вводите имя и фамилию, мастер автоматически заполняет полное имя. Примечание. Если вы используете имя для входа в систему (до Windows 2000), этот выбор ограничивает вас 20 символами.

Нажмите «Далее». Для нового пароля мы рекомендуем использовать онлайн-инструмент для создания случайного пароля или создания сложного пароля, который включает как минимум три из четырех следующих категорий:

Английские прописные буквы (от A до Z)

Символы нижнего регистра английского языка (от a до z)

Основание 10 цифр (от 0 до 9)

Введите пароль. Когда закончите, нажмите «Далее».

Просмотрев сводку, нажмите "Готово".

Удалить или удалить пользователя из Active Directory

Чтобы удалить нового пользователя из Active Directory, выполните следующие действия:

Войдите в свой контроллер домена с помощью удаленного рабочего стола.

Используйте один из следующих вариантов, чтобы открыть Active Directory Users and Computers:

Щелкните правой кнопкой мыши меню "Пуск", выберите "Выполнить", введите dsa.msc и нажмите "ОК".

Используйте функцию поиска Windows, нажав кнопку "Пуск" и введя dsa.msc.

Нажмите "Диспетчер серверов" -> "Инструменты" и выберите в меню "Пользователи и компьютеры Active Directory".

Расширьте свой домен в меню слева.

Чтобы использовать функцию "Найти" в Active Directory, щелкните правой кнопкой мыши свой домен и выберите "Найти". Убедитесь, что вы выбрали «Пользователи, контакты и группы» в раскрывающемся меню «Найти». Затем введите имя пользователя, которого хотите удалить.

Вы можете удалить или отключить пользователя. Примечание. Удаление пользователя необратимо.

Чтобы удалить пользователя, щелкните его правой кнопкой мыши и выберите "Удалить". Нажмите Да в окне подтверждения, если вы уверены.

Чтобы отключить пользователя, щелкните его правой кнопкой мыши и выберите "Отключить". Нажмите Да в окне подтверждения, если вы уверены.

Создать новую группу в Active Directory

Чтобы создать новую группу в Active Directory, выполните следующие действия:

Войдите в свой контроллер домена с помощью удаленного рабочего стола.

Используйте один из следующих вариантов, чтобы открыть Active Directory Users and Computers:

Щелкните правой кнопкой мыши меню "Пуск", выберите "Выполнить", введите dsa.msc и нажмите "ОК".

Используйте функцию поиска Windows, нажав кнопку "Пуск" и введя dsa.msc.

Нажмите "Диспетчер серверов" -> "Инструменты" и выберите в меню "Пользователи и компьютеры Active Directory".

Расширьте свой домен в меню слева.

В зависимости от того, используете ли вы организационные единицы или нет, найдите соответствующий объект, в который можно поместить пользователя. По умолчанию встроенные группы Microsoft по умолчанию находятся в организационной единице «Пользователи». При желании вы можете поместить пользователя в специальное организационное подразделение.

Щелкните правой кнопкой мыши объект, который хотите выбрать для пользователя, выберите "Создать" и выберите "Группа".

В мастере введите имя своей группы. По умолчанию мастер предварительно выбирает «Глобальный» в разделе «Область действия группы и безопасность» в разделе «Тип группы». Не изменяйте тип группы на Распределение, так как этот параметр создает группы рассылки для Microsoft Exchange® и электронной почты.

Добавление пользователей в группу или удаление из нее

Вы можете добавлять и удалять пользователей из группы или из группы из группы или из пользователя. В этом разделе описаны оба варианта.

Выполните следующие действия, чтобы добавить или удалить пользователей из групп в Active Directory:

Войдите в свой контроллер домена с помощью удаленного рабочего стола.

Используйте один из следующих вариантов, чтобы открыть Active Directory Users and Computers:

Щелкните правой кнопкой мыши меню "Пуск", выберите "Выполнить", введите dsa.msc и нажмите "ОК".

Используйте функцию поиска Windows, нажав кнопку "Пуск" и введя dsa.msc.

Нажмите "Диспетчер серверов" -> "Инструменты" и выберите в меню "Пользователи и компьютеры Active Directory".

Расширьте свой домен в меню слева.

Чтобы добавить пользователя в группу из группы, выполните следующие действия:

а. Щелкните правой кнопкой мыши свой домен и выберите «Найти». Убедитесь, что вы выбрали «Пользователи, контакты и группы» в раскрывающемся меню «Найти». Введите название группы и нажмите «Найти сейчас».

б. Щелкните группу правой кнопкой мыши и выберите "Свойства".

<р>в. Перейдите на вкладку "Участники".

д. Чтобы удалить пользователя, щелкните пользователя, чтобы выделить его, и нажмите Удалить.

<р>т.е. Чтобы добавить пользователя, нажмите Добавить. Введите имя пользователя в поле Введите имена объектов для выбора. Щелкните Проверить имена. Нажмите OK, когда мастер подчеркнет имя.

Чтобы добавить пользователя в группу из пользователя, выполните следующие действия:

а. Щелкните правой кнопкой мыши свой домен и выберите «Найти». Убедитесь, что вы выбрали «Пользователи, контакты и группы» в раскрывающемся меню «Найти». Введите имя пользователя и нажмите «Найти сейчас».

б. Щелкните правой кнопкой мыши пользователя и выберите "Свойства".

<р>в. Перейдите на вкладку Член группы.

д. Чтобы удалить пользователя из группы, выберите группу и нажмите Удалить.

<р>т.е. Чтобы добавить пользователя в группу, нажмите Добавить. Введите имя группы в поле Введите имена объектов для выбора. Нажмите «Проверить имена» и нажмите «ОК», когда мастер подчеркнет имя.

Удалить группу в Active Directory

Чтобы удалить группу из Active Directory, выполните следующие действия:

Войдите в свой контроллер домена с помощью удаленного рабочего стола.

Используйте один из следующих вариантов, чтобы открыть Active Directory Users and Computers:

Щелкните правой кнопкой мыши меню "Пуск", выберите "Выполнить", введите dsa.msc и нажмите "ОК".

Используйте функцию поиска Windows, нажав кнопку "Пуск" и введя dsa.msc.

Нажмите "Диспетчер серверов" -> "Инструменты" и выберите в меню "Пользователи и компьютеры Active Directory".

Расширьте свой домен в меню слева.

Чтобы использовать функцию "Найти" в Active Directory, щелкните правой кнопкой мыши свой домен и выберите "Найти". Убедитесь, что вы выбрали «Пользователи, контакты и группы» в раскрывающемся меню «Найти». Введите имя группы, которую хотите удалить.

Щелкните правой кнопкой мыши группу и выберите "Удалить". Нажмите Да в окне подтверждения, если вы уверены.

Статьи по теме

Поделитесь этой информацией:

© 2020 Rackspace США, Inc.

Если не указано иное, содержимое этого сайта находится под лицензией Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License

Читайте также: