Меню

Контроллер домена настройка рабочего стола



Создание контроллера домена Active Directory Domain Services

В статье описан процесс установки Active Directory, настройки контроллера домена и создание пользователей AD на VPS с операционной системой семейства Windows Server.

Виртуальный сервер на базе Windows

  • Лицензия включена в стоимость
  • Тестирование 3-5 дней
  • Безлимитный трафик

Что это такое?

Доменные службы Active Directory (AD DS) — это реализация службы каталогов Microsoft, которая предоставляет централизованные службы проверки подлинности и авторизации. AD DS в Windows Server предоставляет мощную службу каталогов для централизованного хранения и управления безопасностью, например пользователями, группами и компьютерами, а также обеспечивает централизованный и безопасный доступ к сетевым ресурсам. Active Directory Domain Services используется для организации локальных вычислительных сетей.

Подготовка Windows Server и конфигурация сети

Создание и конфигурация сети

Для начала в панели управления необходимо создать необходимые для сети серверы и один из них будет контроллером домена.

Важно: для работы с Active Directory необходимо при заказе сервера в панели управления отметить галочкой поле “выполнить системную подготовку Windows”.

После создания необходимо объединить все машины в единую частную сеть через панель управления в разделе “Частные сети”, в результате чего они получат локальные IP-адреса.

Настройка сетевого адаптера контроллера домена

Для начала подключитесь к виртуальному серверу по протоколу RDP.

О том как настроить сетевой адаптер написано в нашей инструкции.

Укажите локальный IP-адрес, маску подсети и шлюз по умолчанию из раздела Сети панели управления. В качестве предпочитаемого DNS-сервера укажите IP-адрес шлюза по умолчанию. Сохраните настройки.

Установка Active Directory Domain Service

Откройте Диспетчер серверов и выберете пункт «Add roles and features».

В качестве типа установки укажите Role-based or feature-based installation.

Выберете ваш сервер из пула.

В следующем окне отметьте Active Directory Domain Services (Доменные службы Active Directory).

Установите все отмеченные компоненты на VPS с помощью кнопки Установить.

Настройка

В поиске введите dcpromo и откройте одноименную утилиту.

В открывшемся окне нажмите Ok.

После этого откройте Диспетчер серверов, в вертикальном меню у вас появится вкладка AD DS.

В горизонтальном меню нажмите на восклицательный знак и выберете Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера).

В появившемся окне настроек выберите Добавить новый лес (т.к. действия выполняются впервые) и введите ваше доменное имя.

Читайте также:  Настройка оповещений в erp

Примечания:
— Имя корневого домена леса не может быть однокомпонентным (например, он должен быть «company.local» вместо «company»);
— Домен должен быть уникальным;
— Рекомендуем использовать уникальное имя домена из списка локальных (напр. company.local) во избежание конфликтов разрешения имен DNS в случае идентичных имен. — учетная запись, с которой делают настройки, должна входить в группу администраторов.

На следующем шаге введите и подтвердите пароль для режима восстановления служб каталогов.

На этом шаге просто нажмите Next.

Укажите удобное имя домена NetBIOS.

Укажите пути до базы данных AD DS, файлов журналов и папки SYSVOL. Рекомендуем оставить значения по умолчанию.

Проверьте настроенные параметры.

Дождитесь проверки предварительных требований после чего нажмите Установить. После установки сервер будет перезагружен.

Создание учетных записей

Для создания новых учетных записей и администраторов откройте оснастку Active Directory Users and Computers, для этого откройте Диспетчер серверов и перейдите в раздел AD DS. В контекстном меню сервера выберете соответствующую оснастку.

В новом окне разверните дерево вашего домена и найдите каталог с пользователями Users. Правой кнопкой мыши нажмите на каталог и выберете Создать -> Пользователь.

Для нового пользователя задайте личные данные и имя входа.

Далее введите пароль, который должен быть достаточно сложным и содержать буквы разного регистра и цифры. Дополнительные опции выберите на свое усмотрение.

Создайте нового пользователя.

Чтобы пользователь мог управлять службами Active Directory, его необходимо добавить в группу Domain Admins. Для этого с помощью правой кнопки мыши откройте свойства пользователя и перейдите во вкладку Member Of. Нажмите кнопку Add для добавления в группу.

Выполните поиск группы Domain Admins с помощью кнопки Check Names. Нажмите OK.

Сохраните изменения кнопкой Apply.

Теперь созданный пользователь сможет подключиться к контроллеру домена.

Рекомендуем сразу убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной/частной сетей — отключен.

Источник

Создать ярлык на рабочих столах пользователей с помощью групповых политик

С помощью групповых политик вы можете создать ярлык на определенное приложение на рабочем столе всех (или только определенных) пользователей домена. GPO позволяют вам создать ярлык как на локально-установленное приложение, URL адрес, исполняемый файл в сетевой папке или на контроллере домена в NetLogon.

Читайте также:  Импортировать настройки в thunderbird

В этом примере мы покажем, как создать несколько ярлыков на рабочем столе пользователя с помощью предпочтений групповых политик (Group Policy Preferences — доступны начиная с Windows Server 2008R2). Аналогичным образом вы можете создать ярлыки в меню Пуск Windows 10 или панели быстрого доступа.

  1. Откройте консоль управления Group Policy Management Console (gpmc.msc), щелкните ПКМ по контейнеру AD, к которому нужно применить политику создания ярлыка и создайте новую политику (объект GPO) с именем CreateShortcut;
  2. Щелкните ПКМ по созданной политике и выберите “Edit”;
  3. Перейдите в раздел предпочтений групповых политик (Group Policy Preferences) UserConfiguration –>Preferences ->Windows Settings ->Shortcuts. Щелкните по пункту и выберите New -> Shortcut;
  4. Создайте новый ярлык со следующими настройками:
    Action: Update
    Name: TCPViewShortcut (имя ярлыка)Target Type: File System Object (здесь также можно выбрать URL адрес или объект Shell)Location: Desktop

Target Path: C:\Install\TCPView\Tcpview.exe (путь к файлу, на который нужно создать ярлык)

Icon file path: C:\Install\TCPView\Tcpview.exe (путь к иконке ярлыка)

  • Если вы выбрали, что ярлык нужно поместить на Рабочий стол текущего пользователя (Location = Desktop) , на вкладке “Common” нужно включить опцию “Run in logged-on user’s security context (user policy option)”;
  • Дополнительно с помощью Group Policy Targeting вы можете указать для какой доменной группы пользователей нужно создавать ярлык. Включите опцию “Item-level targeting”, нажмите кнопку “Targeting”. Выберите New Item ->Security Group и выберите доменную группу пользователей. В результате ярлык будет появляться только у пользователей, добавленных в указанную группу безопасности Active Directory;
  • Если нужно создать ярлык программы в Public профиле (для всех пользователей компьютера), выберите опцию Location = All User Desktop (опцию “Run in logged-on user’s security context” нужно отключить, т.к. у обычных пользователей нет прав для модификации Public профиля);
  • Сохраните изменения, обратите внимание, что в консоли GPO отображается переменные окружения для Desktop (%DesktopDir%) и %CommonDesktopDir% для All User Desktop;
  • Обновите политики на клиентах (gpupdate /force или логофф/логон).

    В одной политике вы можете добавить несколько правил для создания ярлыков приложений для разных групп пользователей, компьютеров или OU (можно настроить различные критерии применения политики ярлыка с помощью GPP Item Level Targeting).

    Добавим на рабочий стол всех пользователи ярлык LogOff, позволяющий быстро завершить сессию.

    Создайте новый элемент политики с параметрами:

    Источник

    Назначение личного виртуального рабочего стола при помощи оснастки «Active Directory — пользователи и компьютеры»

    Чтобы назначить персональный виртуальный рабочий стол пользователю при помощи компонента «Active Directory — пользователи и компьютеры», используйте следующую процедуру.

    Необходимо использовать компонент «Active Directory — пользователи и компьютеры» из Windows Server 2008 R2.

    Членство в группе Операторы учета или аналогичной является минимально необходимым требованием для настройки свойств большинства учетных записей пользователей домена. В некоторых случаях необходимым минимумом является членство в группе Администраторы домена или аналогичной. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .

    Примечание
    Назначение личного виртуального рабочего стола при помощи компонента «Active Directory — пользователи и компьютеры»

    Откройте оснастку «Active Directory — пользователи и компьютеры». Для этого войдите в компьютер, на котором был установлен компонент «Active Directory — пользователи и компьютеры» (например, в контроллер домена Active Directory), нажмите кнопку Пуск, выберите команду Выполнить, введите dsa.msc, а затем нажмите кнопку ОК.

    Найдите учетную запись пользователя, которой нужно назначить персональный виртуальный рабочий стол.

    Щелкните правой кнопкой мыши учетную запись пользователя, а затем выберите пункт Свойства.

    На вкладке Личный виртуальный рабочий стол установите флажок Предоставить этому пользователю доступ к личному виртуальному рабочему столу.

    В поле Имя компьютера введите полное доменное имя компьютера, которому нужно назначить пользователя. Чтобы найти имя компьютера, нажмите кнопку Обзор, а затем кнопку Дополнительно, чтобы воспользоваться диалоговым окном Выбор компьютера для поиска компьютера.

    Имя виртуальной машины в диспетчере Hyper-V должно совпадать с полным доменным именем (FQDN) компьютера.

    Нажмите кнопку ОК, чтобы сохранить выбранные значения и закрыть диалоговое окно Свойства.

    Чтобы удалить назначение, снимите флажок Предоставить этому пользователю доступ к личному виртуальному рабочему столу. Чтобы очистить значение атрибута msTSPrimaryDesktop в свойствах учетной записи пользователя, можно также использовать консоль «Редактирование ADSI».

    Сведения о просмотре списка виртуальных машин, назначенных каждому пользователю, см. в разделе О назначениях виртуальных машин.

    Источник

    Adblock
    detector
    Важно!