Ero sivun ”Active Directory Domain Services” versioiden välillä
(Tämä versio merkittiin käännettäväksi) |
|||
Rivi 1: | Rivi 1: | ||
<languages/> | <languages/> | ||
<translate> | <translate> | ||
+ | <!--T:1--> | ||
Active Directory Domain Services (AD DS) on palvelu, jolla luodaan toimialue. Toimialue on yleinen organisaatiossa, jossa halutaan keskitää kaikki yhteen palvelimeen. Tämä palvelu mahdollistaa samalla käyttäjätunnuksella kirjautumisen kaikkiin toimialueen työasemiin, ellei rajoiteta [[Group Policy Management | Group Policy Managementin]] avulla. | Active Directory Domain Services (AD DS) on palvelu, jolla luodaan toimialue. Toimialue on yleinen organisaatiossa, jossa halutaan keskitää kaikki yhteen palvelimeen. Tämä palvelu mahdollistaa samalla käyttäjätunnuksella kirjautumisen kaikkiin toimialueen työasemiin, ellei rajoiteta [[Group Policy Management | Group Policy Managementin]] avulla. | ||
+ | <!--T:2--> | ||
Toimialue on vaatimus seuraavalle roolille [[Windows Deployment Services]] | Toimialue on vaatimus seuraavalle roolille [[Windows Deployment Services]] | ||
+ | <!--T:3--> | ||
<span style="color:red;"> HUOM! Toimialueen ohjauskoneena oleva palvelimen nimi pitää muutettava ennen asennusta. Asennuksen jälkeen nimeä ei voi muuttaa. Määritä kiinteä IP-osoite ennen roolin asennusta. </span> | <span style="color:red;"> HUOM! Toimialueen ohjauskoneena oleva palvelimen nimi pitää muutettava ennen asennusta. Asennuksen jälkeen nimeä ei voi muuttaa. Määritä kiinteä IP-osoite ennen roolin asennusta. </span> | ||
− | == Asentaminen == | + | == Asentaminen == <!--T:4--> |
+ | <!--T:5--> | ||
HUOM! Windows Server 2008 R2 ja vanhemmat versiossa asennetaan '''dcromo.exe''' komennolla, ei Server Managerista. Tässä ohje: http://www.ictmanuaali.net/windows2008r2#toc7 | HUOM! Windows Server 2008 R2 ja vanhemmat versiossa asennetaan '''dcromo.exe''' komennolla, ei Server Managerista. Tässä ohje: http://www.ictmanuaali.net/windows2008r2#toc7 | ||
+ | <!--T:6--> | ||
# Avaa Server Manager | # Avaa Server Manager | ||
# Avaa '''Add Roles and Features''' (Lisää rooleja ja toimintoja) | # Avaa '''Add Roles and Features''' (Lisää rooleja ja toimintoja) | ||
Rivi 20: | Rivi 25: | ||
# Tarkista että olet määrittänyt oikein ja valitse '''Install''' | # Tarkista että olet määrittänyt oikein ja valitse '''Install''' | ||
+ | <!--T:7--> | ||
<gallery> | <gallery> | ||
File:server_manager_add_role_and_features.png | 2. | File:server_manager_add_role_and_features.png | 2. | ||
Rivi 28: | Rivi 34: | ||
</gallery> | </gallery> | ||
− | == Konfigurointi == | + | == Konfigurointi == <!--T:8--> |
+ | <!--T:9--> | ||
Asennuksen suoriuduttuaan jatketaan palvelimen määritystä toimialueen ohjauskoneeseen. | Asennuksen suoriuduttuaan jatketaan palvelimen määritystä toimialueen ohjauskoneeseen. | ||
+ | <!--T:10--> | ||
Nyt sinun tulisi tietää miten AD toimialueen ohjain asennetaan. | Nyt sinun tulisi tietää miten AD toimialueen ohjain asennetaan. | ||
+ | <!--T:11--> | ||
* Luomalla '''New Forest''', eli kokonaan uuden toimialueen. | * Luomalla '''New Forest''', eli kokonaan uuden toimialueen. | ||
* Lisäämällä '''Domain Controller''' aikaisemmin luotuun toimialueeseen. Vaatii siis että on olemassa toimialue. | * Lisäämällä '''Domain Controller''' aikaisemmin luotuun toimialueeseen. Vaatii siis että on olemassa toimialue. | ||
* Luomalla uusi toimialue aikaisemmin luotuun '''Forest'''. Vaatii aikaisemmin luotuun Forest. | * Luomalla uusi toimialue aikaisemmin luotuun '''Forest'''. Vaatii aikaisemmin luotuun Forest. | ||
− | === New forest === | + | === New forest === <!--T:12--> |
+ | <!--T:13--> | ||
# Avaa Server Managerista ylhäältä lipun kohtaa '''Promote this server domain controller'''. | # Avaa Server Managerista ylhäältä lipun kohtaa '''Promote this server domain controller'''. | ||
#Luodaan uuteen metsään toimialue. Valitse '''Add new domain new forest'''. (Windows Server 2008 R2 ja vanhemmat käyttöjärjestelmän käyttäjät voivat seurata tästä kohtaa eteenpäin. Anna toimialueelle nimi, käytän nyt tässä esimerkissä domain.local, mutta voit käyttää myös .fi / .com jne. päätteitä jos omistat ne. .local on hyvä pääte jos vain yksityinen palvelin.Suositus on AD.domain.local / AD.domain.com | #Luodaan uuteen metsään toimialue. Valitse '''Add new domain new forest'''. (Windows Server 2008 R2 ja vanhemmat käyttöjärjestelmän käyttäjät voivat seurata tästä kohtaa eteenpäin. Anna toimialueelle nimi, käytän nyt tässä esimerkissä domain.local, mutta voit käyttää myös .fi / .com jne. päätteitä jos omistat ne. .local on hyvä pääte jos vain yksityinen palvelin.Suositus on AD.domain.local / AD.domain.com | ||
Rivi 50: | Rivi 60: | ||
+ | <!--T:14--> | ||
<gallery> | <gallery> | ||
File:promote_this_server_domain_controller1.png | 1. | File:promote_this_server_domain_controller1.png | 1. | ||
Rivi 60: | Rivi 71: | ||
File:promote_this_server_domain_controller8.png | 8. | File:promote_this_server_domain_controller8.png | 8. | ||
+ | <!--T:15--> | ||
</gallery> | </gallery> | ||
− | === Add new domain to existing forest === | + | === Add new domain to existing forest === <!--T:16--> |
+ | <!--T:17--> | ||
<span style="color:red;"> Tämä ohje ei vielä toimi. dcpromo jää jumiin </span> | <span style="color:red;"> Tämä ohje ei vielä toimi. dcpromo jää jumiin </span> | ||
+ | <!--T:18--> | ||
<gallery> | <gallery> | ||
Tiedosto:SubAD-01.png|1 | Tiedosto:SubAD-01.png|1 | ||
Rivi 77: | Rivi 91: | ||
</gallery> | </gallery> | ||
− | === Käyttäjät, ryhmät, organisaatioyksiköt ja tietokoneet === | + | === Käyttäjät, ryhmät, organisaatioyksiköt ja tietokoneet === <!--T:19--> |
+ | <!--T:20--> | ||
Avaa Server Managerista -> Tools -> Active Directory Users and Computers. | Avaa Server Managerista -> Tools -> Active Directory Users and Computers. | ||
+ | <!--T:21--> | ||
<gallery> | <gallery> | ||
Tiedosto: Active directory users and computers 1.png| | Tiedosto: Active directory users and computers 1.png| | ||
Rivi 88: | Rivi 104: | ||
</gallery> | </gallery> | ||
− | ==== Käyttäjät (CN) ==== | + | ==== Käyttäjät (CN) ==== <!--T:22--> |
− | ===== Uusi käyttäjä toimialueelle ===== | + | ===== Uusi käyttäjä toimialueelle ===== <!--T:23--> |
+ | <!--T:24--> | ||
Nyt luodaan toimialueellemme uusi käyttäjätili, jolla on perusoikeus kirjautua kaikille toimialueen työasemille. Esimerkissämme luomme käyttäjälle Matti Meikäläiselle toimialueelle käyttäjätilin. | Nyt luodaan toimialueellemme uusi käyttäjätili, jolla on perusoikeus kirjautua kaikille toimialueen työasemille. Esimerkissämme luomme käyttäjälle Matti Meikäläiselle toimialueelle käyttäjätilin. | ||
+ | <!--T:25--> | ||
#Avaa Users | #Avaa Users | ||
#Avaa hiiren kaksoispainikkeella New - User | #Avaa hiiren kaksoispainikkeella New - User | ||
Rivi 100: | Rivi 118: | ||
#Nyt on käyttäjälle Matti Meikäläiselle luotu käyttäjätili. Oletuksena käyttäjätili on ryhmässä Domain Users (Toimialueen käyttäjä) ja sillä on oikeus kirjautua kaikille työasemille. Domain Users käyttäjällä ei ole oletuksena järjestelmävalvojan oikeuksia. | #Nyt on käyttäjälle Matti Meikäläiselle luotu käyttäjätili. Oletuksena käyttäjätili on ryhmässä Domain Users (Toimialueen käyttäjä) ja sillä on oikeus kirjautua kaikille työasemille. Domain Users käyttäjällä ei ole oletuksena järjestelmävalvojan oikeuksia. | ||
+ | <!--T:26--> | ||
<gallery> | <gallery> | ||
File:Active directory users and computers create new user 1.png|1. | File:Active directory users and computers create new user 1.png|1. | ||
Rivi 108: | Rivi 127: | ||
</gallery> | </gallery> | ||
− | ==== Organisaatioyksiköt (OU) ==== | + | ==== Organisaatioyksiköt (OU) ==== <!--T:27--> |
+ | <!--T:28--> | ||
Organisaatioyksiköt (Organisaational Unit = OU) helpottavat suurissa organisaatiossa tietokoneiden, ryhmien ja käyttäjien hallintaa. | Organisaatioyksiköt (Organisaational Unit = OU) helpottavat suurissa organisaatiossa tietokoneiden, ryhmien ja käyttäjien hallintaa. | ||
+ | <!--T:29--> | ||
#Avaa hiiren kaksoispainikkeella domain.local -> New -> Organisational Unit | #Avaa hiiren kaksoispainikkeella domain.local -> New -> Organisational Unit | ||
#Luodaan organisaatioyksikkö ''Tampere''. | #Luodaan organisaatioyksikkö ''Tampere''. | ||
Rivi 117: | Rivi 138: | ||
#Luodaan Tampere OU:n alle kaksi OU:ta koneet ja kayttajat | #Luodaan Tampere OU:n alle kaksi OU:ta koneet ja kayttajat | ||
+ | <!--T:30--> | ||
<gallery> | <gallery> | ||
Tiedosto:Active_directory_users_and_computers_create_new_ou_1.png|1. | Tiedosto:Active_directory_users_and_computers_create_new_ou_1.png|1. | ||
Rivi 124: | Rivi 146: | ||
</gallery> | </gallery> | ||
− | ===== Organisaatioyksikön poistaminen ===== | + | ===== Organisaatioyksikön poistaminen ===== <!--T:31--> |
+ | <!--T:32--> | ||
#Organisaatioyksikköä ei voi vain poistaa joka käy ilmi ensimmäisestä kuvasta. Se on suojattu ns. "poistaminen vahingossa" | #Organisaatioyksikköä ei voi vain poistaa joka käy ilmi ensimmäisestä kuvasta. Se on suojattu ns. "poistaminen vahingossa" | ||
#Avaa valikosta View -> Advance Features | #Avaa valikosta View -> Advance Features | ||
Rivi 132: | Rivi 155: | ||
#Nyt voit poistaa organisaatioyksikön. | #Nyt voit poistaa organisaatioyksikön. | ||
+ | <!--T:33--> | ||
Suositeltavaa poiston jälkeen Advance Features ottaminen pois käytöstä. | Suositeltavaa poiston jälkeen Advance Features ottaminen pois käytöstä. | ||
+ | <!--T:34--> | ||
<gallery> | <gallery> | ||
Tiedosto:Active directory users and computers delete ou 1.png|1. | Tiedosto:Active directory users and computers delete ou 1.png|1. | ||
Rivi 141: | Rivi 166: | ||
</gallery> | </gallery> | ||
− | == Powershell == | + | == Powershell == <!--T:35--> |
+ | <!--T:36--> | ||
Suunnitelmissamme on asentaa Active Directory Domain Services konfiguroida sitä. Määritä kiinteä IP-osoite ennen asennusta [[Server_Core#Verkkoasetukset|sconfigin]] avulla. | Suunnitelmissamme on asentaa Active Directory Domain Services konfiguroida sitä. Määritä kiinteä IP-osoite ennen asennusta [[Server_Core#Verkkoasetukset|sconfigin]] avulla. | ||
+ | <!--T:37--> | ||
Avaa Powershell | Avaa Powershell | ||
− | powershell | + | <!--T:38--> |
+ | powershell | ||
+ | <!--T:39--> | ||
Tämän jälkeen anna komento | Tämän jälkeen anna komento | ||
− | Install-WindowsFeature | + | <!--T:40--> |
+ | Install-WindowsFeature | ||
− | AD-Domain-Services | + | <!--T:41--> |
+ | AD-Domain-Services | ||
− | DNS | + | <!--T:42--> |
+ | DNS | ||
+ | <!--T:43--> | ||
<gallery> | <gallery> | ||
Tiedosto:Active directory installation server core 1.png| | Tiedosto:Active directory installation server core 1.png| | ||
Rivi 163: | Rivi 196: | ||
</gallery> | </gallery> | ||
+ | <!--T:44--> | ||
Tämän jälkeen luodaan uusi Forest. | Tämän jälkeen luodaan uusi Forest. | ||
− | Install-ADDSforest | + | <!--T:45--> |
+ | Install-ADDSforest | ||
+ | <!--T:46--> | ||
<gallery> | <gallery> | ||
Tiedosto:Active directory installation server core 4.png|Anna toimialueelle nimi ja salasana. Tätä salasanaa tarvitaan vain toimialueen varmuuskopioinnissa. | Tiedosto:Active directory installation server core 4.png|Anna toimialueelle nimi ja salasana. Tätä salasanaa tarvitaan vain toimialueen varmuuskopioinnissa. | ||
Rivi 173: | Rivi 209: | ||
</gallery> | </gallery> | ||
+ | <!--T:47--> | ||
Tehdään DNS reverse lookup zone: | Tehdään DNS reverse lookup zone: | ||
− | Add-DnsServerPrimaryZone -NetworkId "10.5.26.0/24" -ReplicationScope "Forest" | + | <!--T:48--> |
+ | Add-DnsServerPrimaryZone -NetworkId "10.5.26.0/24" -ReplicationScope "Forest" | ||
− | === Users and Computers === | + | === Users and Computers === <!--T:49--> |
+ | <!--T:50--> | ||
Seuraavaksi neuvomme miten näet toimialueesi käyttäjätilit, organisaatioyksiköt, ryhmät ja tietokoneet. | Seuraavaksi neuvomme miten näet toimialueesi käyttäjätilit, organisaatioyksiköt, ryhmät ja tietokoneet. | ||
− | Import-Module ActiveDirectory | + | <!--T:51--> |
+ | Import-Module ActiveDirectory | ||
cd AD: | cd AD: | ||
− | dir | + | <!--T:52--> |
+ | dir | ||
+ | <!--T:53--> | ||
Tulostuu: | Tulostuu: | ||
Rivi 196: | Rivi 238: | ||
ForestDnsZones domainDNS DC=ForestDnsZones,DC=domain,DC=local | ForestDnsZones domainDNS DC=ForestDnsZones,DC=domain,DC=local | ||
− | cd "DC=domain,DC=local" | + | <!--T:54--> |
+ | cd "DC=domain,DC=local" | ||
dir | dir | ||
+ | <!--T:55--> | ||
Sivulle tulostuu sama kuin Active Directory Users and Computers | Sivulle tulostuu sama kuin Active Directory Users and Computers | ||
− | Builtin builtinDomain CN=Builtin,DC=domain,DC=local | + | <!--T:56--> |
+ | Builtin builtinDomain CN=Builtin,DC=domain,DC=local | ||
COMPUTER organizationalUnit OU=COMPUTER,DC=domain,DC=local | COMPUTER organizationalUnit OU=COMPUTER,DC=domain,DC=local | ||
Computers container CN=Computers,DC=domain,DC=local | Computers container CN=Computers,DC=domain,DC=local | ||
Rivi 216: | Rivi 261: | ||
Users container CN=Users,DC=domain,DC=local | Users container CN=Users,DC=domain,DC=local | ||
+ | <!--T:57--> | ||
jatka siirtymällä esimerkiksi | jatka siirtymällä esimerkiksi | ||
− | dir "CN=Users" | + | <!--T:58--> |
+ | dir "CN=Users" | ||
+ | <!--T:59--> | ||
niin näet käyttäjätilit palvelimessasi. | niin näet käyttäjätilit palvelimessasi. | ||
− | ==== Konetilit ==== | + | ==== Konetilit ==== <!--T:60--> |
+ | <!--T:61--> | ||
Luo konetili komennolla: | Luo konetili komennolla: | ||
− | New-ADComputer | + | <!--T:62--> |
+ | New-ADComputer | ||
+ | <!--T:63--> | ||
Tiedot komentotilistä saat komennolla: | Tiedot komentotilistä saat komennolla: | ||
− | GetADComputer | + | <!--T:64--> |
+ | GetADComputer | ||
+ | <!--T:65--> | ||
Poista konetili komennolla: | Poista konetili komennolla: | ||
− | Remove-ADComputer | + | <!--T:66--> |
+ | Remove-ADComputer | ||
− | ==== Käyttäjätilit ==== | + | ==== Käyttäjätilit ==== <!--T:67--> |
+ | <!--T:68--> | ||
Luodaan uusi käyttäjätili nimellä testi | Luodaan uusi käyttäjätili nimellä testi | ||
− | New–ADUser -Name ’Testi Käyttäjä’ - SamAccountName 'testik' | + | <!--T:69--> |
+ | New–ADUser -Name ’Testi Käyttäjä’ - SamAccountName 'testik' | ||
+ | <!--T:70--> | ||
Määritetään salasana käyttäjälle testikäyttäjä ja salasanana on Password2014 | Määritetään salasana käyttäjälle testikäyttäjä ja salasanana on Password2014 | ||
− | Set-ADAccountPassword ’Testikäyttäjä’ –NewPassword (ConvertTo-SecureString - AsPlainText -string 'Password2014' -force). | + | <!--T:71--> |
+ | Set-ADAccountPassword ’Testikäyttäjä’ –NewPassword (ConvertTo-SecureString - AsPlainText -string 'Password2014' -force). | ||
+ | <!--T:72--> | ||
Pakota käyttäjätilin vaihtamaan salasanan seuraavan kirjautumisen yhteydessä: | Pakota käyttäjätilin vaihtamaan salasanan seuraavan kirjautumisen yhteydessä: | ||
− | Set-ADUser testi - hangePasswordAtLogon $true | + | <!--T:73--> |
+ | Set-ADUser testi - hangePasswordAtLogon $true | ||
+ | <!--T:74--> | ||
Tarkastele käyttäjän tietoja | Tarkastele käyttäjän tietoja | ||
− | Get-ADUser 'testi' | + | <!--T:75--> |
+ | Get-ADUser 'testi' | ||
+ | <!--T:76--> | ||
Usealle eri käyttäjätilille suoritettavat toiminnot onnistuu ''filter'' parametrillä. Esimerkiksi otetaan kaikki käyttäjät käyttöön organisaatioyksikössä ''tamk''. | Usealle eri käyttäjätilille suoritettavat toiminnot onnistuu ''filter'' parametrillä. Esimerkiksi otetaan kaikki käyttäjät käyttöön organisaatioyksikössä ''tamk''. | ||
− | Get-ADUser -Filter "Organization -eq 'tamk'" | Enable-ADAccount. | + | <!--T:77--> |
+ | Get-ADUser -Filter "Organization -eq 'tamk'" | Enable-ADAccount. | ||
+ | <!--T:78--> | ||
Käyttäjätilin poisto onnistuu komennolla | Käyttäjätilin poisto onnistuu komennolla | ||
− | Remove-ADUser | + | <!--T:79--> |
+ | Remove-ADUser | ||
+ | <!--T:80--> | ||
Aktiivihakemistossa objektien siirto onnistuu Move-ADObject komennolla. Esimerkissä siirretään testikäyttäjä OU1 -> OU2. | Aktiivihakemistossa objektien siirto onnistuu Move-ADObject komennolla. Esimerkissä siirretään testikäyttäjä OU1 -> OU2. | ||
− | Move-ADObject -Identity testi -TargetPath '.\OU=OU2' | + | <!--T:81--> |
+ | Move-ADObject -Identity testi -TargetPath '.\OU=OU2' | ||
− | ==== Käyttöoikeusryhmät ==== | + | ==== Käyttöoikeusryhmät ==== <!--T:82--> |
+ | <!--T:83--> | ||
Luo uusi käyttöoikeusryhmä komennolla: | Luo uusi käyttöoikeusryhmä komennolla: | ||
− | New-ADGroup | + | <!--T:84--> |
+ | New-ADGroup | ||
− | New-ADGroup -Name 'Ryhmä A' - GroupScope DomainLocal. | + | <!--T:85--> |
+ | New-ADGroup -Name 'Ryhmä A' - GroupScope DomainLocal. | ||
+ | <!--T:86--> | ||
Lisää käyttäjätili käyttäjäoikeusryhmään: | Lisää käyttäjätili käyttäjäoikeusryhmään: | ||
− | AddADGroupMember | + | <!--T:87--> |
+ | AddADGroupMember | ||
− | Add-ADGroupMember -Identity 'Ryhmä A' -Members testi | + | <!--T:88--> |
+ | Add-ADGroupMember -Identity 'Ryhmä A' -Members testi | ||
+ | <!--T:89--> | ||
Poista käyttjätili ryhmästä: | Poista käyttjätili ryhmästä: | ||
− | Remove-ADGroup. | + | <!--T:90--> |
+ | Remove-ADGroup. | ||
− | === Organisaatioyksiköt === | + | === Organisaatioyksiköt === <!--T:91--> |
+ | <!--T:92--> | ||
Luodaan organisaatioyksikkö komennolla: | Luodaan organisaatioyksikkö komennolla: | ||
− | New-ADOrganizationalUnit -name OU1 -Path '.\DC=ONT,DC=local | + | <!--T:93--> |
+ | New-ADOrganizationalUnit -name OU1 -Path '.\DC=ONT,DC=local | ||
− | === Powershellin avulla toimialueelle === | + | === Powershellin avulla toimialueelle === <!--T:94--> |
+ | <!--T:95--> | ||
Tällä PowerShell komennolla saat liitettyä palvelimen toimialueelle nimeltä testi.local. Varmista ennen liitosta että tämä palvelin käyttää ensisijaisena DNS palvelimena liitettävän toimialueen ohjauskonetta. | Tällä PowerShell komennolla saat liitettyä palvelimen toimialueelle nimeltä testi.local. Varmista ennen liitosta että tämä palvelin käyttää ensisijaisena DNS palvelimena liitettävän toimialueen ohjauskonetta. | ||
− | Add-Computer -DomainName domain.local | + | <!--T:96--> |
+ | Add-Computer -DomainName domain.local | ||
+ | <!--T:97--> | ||
Voit myös liittää sconfigin avulla toimialueelle [[Server Core|Server Coressa]]. | Voit myös liittää sconfigin avulla toimialueelle [[Server Core|Server Coressa]]. | ||
− | == Katso myös == | + | == Katso myös == <!--T:98--> |
* [[Windows 8.1 | Windows 8.1 toimialueelle]] | * [[Windows 8.1 | Windows 8.1 toimialueelle]] | ||
* [[Linux AD liitos]] | * [[Linux AD liitos]] | ||
− | == Lähteet == | + | == Lähteet == <!--T:99--> |
+ | <!--T:100--> | ||
http://www.ictmanuaali.net/windows2008r2 | http://www.ictmanuaali.net/windows2008r2 | ||
+ | <!--T:101--> | ||
http://www.ictmanuaali.net/windows8server | http://www.ictmanuaali.net/windows8server | ||
+ | <!--T:102--> | ||
https://www.theseus.fi/bitstream/handle/10024/78424/Koivisto_Iiro.pdf?sequence=1 | https://www.theseus.fi/bitstream/handle/10024/78424/Koivisto_Iiro.pdf?sequence=1 | ||
</translate> | </translate> |
Versio 22. tammikuuta 2015 kello 16.55
Active Directory Domain Services (AD DS) on palvelu, jolla luodaan toimialue. Toimialue on yleinen organisaatiossa, jossa halutaan keskitää kaikki yhteen palvelimeen. Tämä palvelu mahdollistaa samalla käyttäjätunnuksella kirjautumisen kaikkiin toimialueen työasemiin, ellei rajoiteta Group Policy Managementin avulla.
Toimialue on vaatimus seuraavalle roolille Windows Deployment Services
HUOM! Toimialueen ohjauskoneena oleva palvelimen nimi pitää muutettava ennen asennusta. Asennuksen jälkeen nimeä ei voi muuttaa. Määritä kiinteä IP-osoite ennen roolin asennusta.
Sisällysluettelo
Asentaminen
HUOM! Windows Server 2008 R2 ja vanhemmat versiossa asennetaan dcromo.exe komennolla, ei Server Managerista. Tässä ohje: http://www.ictmanuaali.net/windows2008r2#toc7
- Avaa Server Manager
- Avaa Add Roles and Features (Lisää rooleja ja toimintoja)
- Valitse asennustyyppi.
- Valitse palvelin, johon asennetaan rooleja.
- Valitse rooleista Active Directory Domain Service ja DNS Server ja valitse NEXT.
- Voit ohittaa Feature välilehden ja jatka NEXT.
- Tarkista että olet määrittänyt oikein ja valitse Install
Konfigurointi
Asennuksen suoriuduttuaan jatketaan palvelimen määritystä toimialueen ohjauskoneeseen.
Nyt sinun tulisi tietää miten AD toimialueen ohjain asennetaan.
- Luomalla New Forest, eli kokonaan uuden toimialueen.
- Lisäämällä Domain Controller aikaisemmin luotuun toimialueeseen. Vaatii siis että on olemassa toimialue.
- Luomalla uusi toimialue aikaisemmin luotuun Forest. Vaatii aikaisemmin luotuun Forest.
New forest
- Avaa Server Managerista ylhäältä lipun kohtaa Promote this server domain controller.
- Luodaan uuteen metsään toimialue. Valitse Add new domain new forest. (Windows Server 2008 R2 ja vanhemmat käyttöjärjestelmän käyttäjät voivat seurata tästä kohtaa eteenpäin. Anna toimialueelle nimi, käytän nyt tässä esimerkissä domain.local, mutta voit käyttää myös .fi / .com jne. päätteitä jos omistat ne. .local on hyvä pääte jos vain yksityinen palvelin.Suositus on AD.domain.local / AD.domain.com
- Forest level määritetään toimialueiden käyttöjärjestelmien mukaan. Suositus on korkein taso, jos mahdollista. Alimmassa tasossa toimii myös kaikki uusimmat käyttöjärjestelmät. Esimerkki: Windows 7 vaatii Windows Server 2008 R2 metsän tasoksi, kuitenkin Windows 8.X toimii siinäkin. Windows Vista ei toimi, jos metsän taso on Windows Server 2008 R2 tai korkeampi. Huomioithan, että Windows XP ei ole tuettu Windows Server 2012 R2 toimialueelle. Domain Functional Level kannattaa laittaa sama kuin Forest Level. Määritä AD DS palvelulle salasana jonka muistat, tätä tarvitaan AD palvelun varmuuskopioinnissa.
- DNS Delegation voidaan useammassa tapauksessa ohittaa.
- Tarkista että NETBIOS nimi on oikein. Yleensä tämä tulee automaattisesti.
- Määritä asennuspolku. Yleensä oletuspolku riittää.
- Tarkista määrittämäsi asetukset
- Jatka painamalla Install ja odota että palvelin on käynnistynyt uudelleen. Tämä voi kestää jonkin aikaa. Uudelleen käynnistyksen jälkeen kirjautuminen on muodossa domain\käyttäjätunnus
Add new domain to existing forest
Tämä ohje ei vielä toimi. dcpromo jää jumiin
Käyttäjät, ryhmät, organisaatioyksiköt ja tietokoneet
Avaa Server Managerista -> Tools -> Active Directory Users and Computers.
Käyttäjät (CN)
Uusi käyttäjä toimialueelle
Nyt luodaan toimialueellemme uusi käyttäjätili, jolla on perusoikeus kirjautua kaikille toimialueen työasemille. Esimerkissämme luomme käyttäjälle Matti Meikäläiselle toimialueelle käyttäjätilin.
- Avaa Users
- Avaa hiiren kaksoispainikkeella New - User
- Anna käyttäjälle etunimi, sukunimi ja kirjautumisen nimi.
- Anna salasana Matti Meikäläiselle. Oletuksena on rastitettu: User must change password at next logon = Käyttäjän on vaihdettava salasana seuraanan kirjautumisen yhteydessä.
- Nyt on käyttäjälle Matti Meikäläiselle luotu käyttäjätili. Oletuksena käyttäjätili on ryhmässä Domain Users (Toimialueen käyttäjä) ja sillä on oikeus kirjautua kaikille työasemille. Domain Users käyttäjällä ei ole oletuksena järjestelmävalvojan oikeuksia.
Organisaatioyksiköt (OU)
Organisaatioyksiköt (Organisaational Unit = OU) helpottavat suurissa organisaatiossa tietokoneiden, ryhmien ja käyttäjien hallintaa.
- Avaa hiiren kaksoispainikkeella domain.local -> New -> Organisational Unit
- Luodaan organisaatioyksikkö Tampere.
- Nyt on luotu 3 eri organisaatioyksikköä
- Luodaan Tampere OU:n alle kaksi OU:ta koneet ja kayttajat
Organisaatioyksikön poistaminen
- Organisaatioyksikköä ei voi vain poistaa joka käy ilmi ensimmäisestä kuvasta. Se on suojattu ns. "poistaminen vahingossa"
- Avaa valikosta View -> Advance Features
- Avaa hiiren kaksoispainikkeella poistettavasta organisaatioyksiköstä Properties.
- Poista rasti Object välilehdestä Protect object from accidental deletion.
- Nyt voit poistaa organisaatioyksikön.
Suositeltavaa poiston jälkeen Advance Features ottaminen pois käytöstä.
Powershell
Suunnitelmissamme on asentaa Active Directory Domain Services konfiguroida sitä. Määritä kiinteä IP-osoite ennen asennusta sconfigin avulla.
Avaa Powershell
powershell
Tämän jälkeen anna komento
Install-WindowsFeature
AD-Domain-Services
DNS
Tämän jälkeen luodaan uusi Forest.
Install-ADDSforest
Tehdään DNS reverse lookup zone:
Add-DnsServerPrimaryZone -NetworkId "10.5.26.0/24" -ReplicationScope "Forest"
Users and Computers
Seuraavaksi neuvomme miten näet toimialueesi käyttäjätilit, organisaatioyksiköt, ryhmät ja tietokoneet.
Import-Module ActiveDirectory cd AD:
dir
Tulostuu:
Name ObjectClass DistinguishedName ---- ----------- ----------------- domain domainDNS DC=domain,DC=local Configuration configuration CN=Configuration,DC=domain,DC=local Schema dMD CN=Schema,CN=Configuration,DC=domain,DC=local DomainDnsZones domainDNS DC=DomainDnsZones,DC=domain,DC=local ForestDnsZones domainDNS DC=ForestDnsZones,DC=domain,DC=local
cd "DC=domain,DC=local" dir
Sivulle tulostuu sama kuin Active Directory Users and Computers
Builtin builtinDomain CN=Builtin,DC=domain,DC=local COMPUTER organizationalUnit OU=COMPUTER,DC=domain,DC=local Computers container CN=Computers,DC=domain,DC=local Domain Controllers organizationalUnit OU=Domain Controllers,DC=domain,DC=local ForeignSecurityPr... container CN=ForeignSecurityPrincipals,DC=domain,DC=local Infrastructure infrastructureUpdate CN=Infrastructure,DC=domain,DC=local LostAndFound lostAndFound CN=LostAndFound,DC=domain,DC=local Managed Service A... container CN=Managed Service Accounts,DC=domain,DC=local CN=NTDS Quotas,DC=domain,DC=local Program Data container CN=Program Data,DC=domain,DC=local SERVER organizationalUnit OU=SERVER,DC=domain,DC=local System container CN=System,DC=domain,DC=local CN=TPM Devices,DC=domain,DC=local Users container CN=Users,DC=domain,DC=local
jatka siirtymällä esimerkiksi
dir "CN=Users"
niin näet käyttäjätilit palvelimessasi.
Konetilit
Luo konetili komennolla:
New-ADComputer
Tiedot komentotilistä saat komennolla:
GetADComputer
Poista konetili komennolla:
Remove-ADComputer
Käyttäjätilit
Luodaan uusi käyttäjätili nimellä testi
New–ADUser -Name ’Testi Käyttäjä’ - SamAccountName 'testik'
Määritetään salasana käyttäjälle testikäyttäjä ja salasanana on Password2014
Set-ADAccountPassword ’Testikäyttäjä’ –NewPassword (ConvertTo-SecureString - AsPlainText -string 'Password2014' -force).
Pakota käyttäjätilin vaihtamaan salasanan seuraavan kirjautumisen yhteydessä:
Set-ADUser testi - hangePasswordAtLogon $true
Tarkastele käyttäjän tietoja
Get-ADUser 'testi'
Usealle eri käyttäjätilille suoritettavat toiminnot onnistuu filter parametrillä. Esimerkiksi otetaan kaikki käyttäjät käyttöön organisaatioyksikössä tamk.
Get-ADUser -Filter "Organization -eq 'tamk'" | Enable-ADAccount.
Käyttäjätilin poisto onnistuu komennolla
Remove-ADUser
Aktiivihakemistossa objektien siirto onnistuu Move-ADObject komennolla. Esimerkissä siirretään testikäyttäjä OU1 -> OU2.
Move-ADObject -Identity testi -TargetPath '.\OU=OU2'
Käyttöoikeusryhmät
Luo uusi käyttöoikeusryhmä komennolla:
New-ADGroup
New-ADGroup -Name 'Ryhmä A' - GroupScope DomainLocal.
Lisää käyttäjätili käyttäjäoikeusryhmään:
AddADGroupMember
Add-ADGroupMember -Identity 'Ryhmä A' -Members testi
Poista käyttjätili ryhmästä:
Remove-ADGroup.
Organisaatioyksiköt
Luodaan organisaatioyksikkö komennolla:
New-ADOrganizationalUnit -name OU1 -Path '.\DC=ONT,DC=local
Powershellin avulla toimialueelle
Tällä PowerShell komennolla saat liitettyä palvelimen toimialueelle nimeltä testi.local. Varmista ennen liitosta että tämä palvelin käyttää ensisijaisena DNS palvelimena liitettävän toimialueen ohjauskonetta.
Add-Computer -DomainName domain.local
Voit myös liittää sconfigin avulla toimialueelle Server Coressa.
Katso myös
Lähteet
http://www.ictmanuaali.net/windows2008r2
http://www.ictmanuaali.net/windows8server
https://www.theseus.fi/bitstream/handle/10024/78424/Koivisto_Iiro.pdf?sequence=1