Mainos / Advertisement:

Ero sivun ”Active Directory Domain Services” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
 
(77 välissä olevaa versiota 3 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
 +
<languages/>
 +
<translate>
 +
<!--T:1-->
 
Active Directory Domain Services (AD DS) on palvelu, jolla luodaan toimialue. Toimialue on yleinen organisaatiossa, jossa halutaan keskitää kaikki yhteen palvelimeen. Tämä palvelu mahdollistaa samalla käyttäjätunnuksella kirjautumisen kaikkiin toimialueen työasemiin, ellei rajoiteta [[Group Policy Management | Group Policy Managementin]] avulla.
 
Active Directory Domain Services (AD DS) on palvelu, jolla luodaan toimialue. Toimialue on yleinen organisaatiossa, jossa halutaan keskitää kaikki yhteen palvelimeen. Tämä palvelu mahdollistaa samalla käyttäjätunnuksella kirjautumisen kaikkiin toimialueen työasemiin, ellei rajoiteta [[Group Policy Management | Group Policy Managementin]] avulla.
  
 +
<!--T:2-->
 
Toimialue on vaatimus seuraavalle roolille [[Windows Deployment Services]]
 
Toimialue on vaatimus seuraavalle roolille [[Windows Deployment Services]]
  
<pre style="color:red;"> HUOM! Toimialueen ohjauskoneena oleva palvelimen nimi pitää muutettava ennen asennusta. Asennuksen jälkeen nimeä ei voi muuttaa.</pre>
+
<!--T:3-->
 +
<span style="color:red;"> HUOM! Toimialueen ohjauskoneena oleva palvelimen nimi pitää muutettava ennen asennusta. Asennuksen jälkeen nimeä ei voi muuttaa. Määritä kiinteä IP-osoite ennen roolin asennusta. </span>
  
  
== Asentaminen ==
+
== Asentaminen == <!--T:4-->
  
HUOM! Windows Server 2008 R2 ja vanhemmat versiossa asennetaan '''dcromo.exe''' komennolla, ei Server Managerista.
+
<!--T:5-->
 +
HUOM! Windows Server 2008 R2 ja vanhemmat versiossa asennetaan '''dcromo.exe''' komennolla, ei Server Managerista. Tässä ohje: http://www.ictmanuaali.net/windows2008r2#toc7
  
 +
<!--T:6-->
 
# Avaa Server Manager
 
# Avaa Server Manager
 
# Avaa '''Add Roles and Features''' (Lisää rooleja ja toimintoja)
 
# Avaa '''Add Roles and Features''' (Lisää rooleja ja toimintoja)
# Valitse palvelimeen mihin asennat roolin.
+
# Valitse asennustyyppi.
 +
# Valitse palvelin, johon asennetaan rooleja.
 
# Valitse rooleista '''Active Directory Domain Service''' ja '''DNS Server''' ja valitse NEXT.
 
# Valitse rooleista '''Active Directory Domain Service''' ja '''DNS Server''' ja valitse NEXT.
# Voit ohittaa Feature välilehden ja jatka asennukseen.
+
# Voit ohittaa Feature välilehden ja jatka NEXT.
 
# Tarkista että olet määrittänyt oikein ja valitse '''Install'''
 
# Tarkista että olet määrittänyt oikein ja valitse '''Install'''
  
 +
<!--T:7-->
 
<gallery>
 
<gallery>
 
File:server_manager_add_role_and_features.png | 2.
 
File:server_manager_add_role_and_features.png | 2.
 
File:add_role_and_features_installation_type.png|3.
 
File:add_role_and_features_installation_type.png|3.
File:add_roles_and_features_domain.png|4.
+
File:Active_directory_installation_select_server.png|4.
 +
File:add_roles_and_features_domain.png|5.
 +
File:Active directory features 1.png|6.
 
</gallery>
 
</gallery>
  
== Konfigurointi ==
+
== Konfigurointi == <!--T:8-->
  
 +
<!--T:9-->
 
Asennuksen suoriuduttuaan jatketaan palvelimen määritystä toimialueen ohjauskoneeseen.
 
Asennuksen suoriuduttuaan jatketaan palvelimen määritystä toimialueen ohjauskoneeseen.
  
# Avaa Server Managerista ylhäältä lipun kohtaa Promote this server domain controller.
+
<!--T:10-->
#Luodaan uuteen metsääm toimialue. Valitse '''Add new domain new forest'''. (Windows Server 2008 R2 ja vanhemmat käyttöjärjestelmän käyttäjät voivat seurata tästä kohtaa eteenpäin. Anna toimialueelle nimi, käytän nyt tässä esimerkissä domain.local, mutta voit käyttää myös .fi / .com jne. päätteitä jos omistat ne. .local on hyvä pääte jos vain yksityinen palvelin.
+
Nyt sinun tulisi tietää miten AD toimialueen ohjain asennetaan.
  
Suositus on AD.domain.local / AD.domain.com
+
<!--T:11-->
 +
* Luomalla '''New Forest''', eli kokonaan uuden toimialueen.
 +
* Lisäämällä '''Domain Controller''' aikaisemmin luotuun toimialueeseen. Vaatii siis että on olemassa toimialue.
 +
* Luomalla uusi toimialue aikaisemmin luotuun '''Forest'''. Vaatii aikaisemmin luotuun Forest.
  
#  '''Forest level''' määritetään toimialueiden käyttöjärjestelmien mukaan. Suositus on korkein taso, jos mahdollista. Alimmassa tasossa toimii myös kaikki uusimmat käyttöjärjestelmät. Esimerkki: Windows 7 vaatii Windows Server 2008 R2 metsän tasoksi, kuitenkin Windows 8.X toimii siinäkin. Windows Vista ei toimi, jos metsän taso on Windows Server 2008 R2 tai korkeampi. Huomioithan, että Windows XP ei ole tuettu Windows Server 2012 R2 toimialueelle. '''Domain Functional Level''' kannattaa laittaa sama kuin Forest Level. Määritä AD DS palvelulle salasana jonka muistat, tätä tarvitaan jos haluat poistaa tämän palvelun palvelimeltasi
+
=== Add a new forest === <!--T:12-->
 +
 
 +
<!--T:13-->
 +
# Avaa Server Managerista ylhäältä lipun kohtaa '''Promote this server domain controller'''.
 +
#Luodaan uuteen metsään toimialue. Valitse '''Add new domain new forest'''. (Windows Server 2008 R2 ja vanhemmat käyttöjärjestelmän käyttäjät voivat seurata tästä kohtaa eteenpäin. Anna toimialueelle nimi, käytän nyt tässä esimerkissä domain.local, mutta voit käyttää myös .fi / .com jne. päätteitä jos omistat ne. .local on hyvä pääte jos vain yksityinen palvelin.Suositus on AD.domain.local / AD.domain.com
 +
#  '''Forest level''' määritetään toimialueiden käyttöjärjestelmien mukaan. Suositus on korkein taso, jos mahdollista. Alimmassa tasossa toimii myös kaikki uusimmat käyttöjärjestelmät. Esimerkki: Windows 7 vaatii Windows Server 2008 R2 metsän tasoksi, kuitenkin Windows 8.X toimii siinäkin. Windows Vista ei toimi, jos metsän taso on Windows Server 2008 R2 tai korkeampi. Huomioithan, että Windows XP ei ole tuettu Windows Server 2012 R2 toimialueelle. '''Domain Functional Level''' kannattaa laittaa sama kuin Forest Level. Määritä AD DS palvelulle salasana jonka muistat, tätä tarvitaan AD palvelun varmuuskopioinnissa.
 
# DNS Delegation voidaan useammassa tapauksessa ohittaa.
 
# DNS Delegation voidaan useammassa tapauksessa ohittaa.
 
# Tarkista että NETBIOS nimi on oikein. Yleensä tämä tulee automaattisesti.
 
# Tarkista että NETBIOS nimi on oikein. Yleensä tämä tulee automaattisesti.
 
# Määritä asennuspolku. Yleensä oletuspolku riittää.
 
# Määritä asennuspolku. Yleensä oletuspolku riittää.
 
# Tarkista määrittämäsi asetukset
 
# Tarkista määrittämäsi asetukset
# Jatka painamalla Install ja käynnistä asennuksen jälkeen palvelin uudelleen. Uudelleen käynnistyksen jälkeen kirjautuminen on muodossa domain\käyttäjätunnus
+
# Jatka painamalla Install ja odota että palvelin on käynnistynyt uudelleen. Tämä voi kestää jonkin aikaa. Uudelleen käynnistyksen jälkeen kirjautuminen on muodossa domain\käyttäjätunnus
  
  
 +
<!--T:14-->
 
<gallery>
 
<gallery>
 
File:promote_this_server_domain_controller1.png | 1.  
 
File:promote_this_server_domain_controller1.png | 1.  
Rivi 50: Rivi 71:
 
File:promote_this_server_domain_controller8.png | 8.
 
File:promote_this_server_domain_controller8.png | 8.
  
 +
<!--T:15-->
 +
</gallery>
 +
 +
=== Add new a domain controller to an existing forest ===
 +
 +
Lisätään uusi toimialueen ohjauskone aikaisempaan luotuun metsään.
 +
 +
#Kirjoita domainiksi domain, johon haluat yhdistää. Sinulta kysytään tämän jälkeen käyttäjäoikeuksia. Anna toimialueen järjestelmävalvojan domain, käyttäjätunnus ja salasana. Sen jälkeen odota hetki, metsän domainit pitäisi listautua sen jälkeen. Valitse domain ja jatka NEXT painikkeella.
 +
#Määritä DSRM salasana.
 +
#DNS välilehden voit ohittaa
 +
#Sallitaan toistaminen kaikilta toimialueen ohjauskoneilta.
 +
#Määritetään oletussijainnit Active Directory Domain Servicen tietokannalle, lokitiedostoille ja SYSVOL:ille.
 +
#Vahvista asetukset
 +
#Odota hetki, dcpromo tarkistaa asetuksia.
 +
#Kun dcpromo on vahvistanut asetukset jatka valitsemalla asenna.
 +
 +
 +
<gallery>
 +
Tiedosto:Active_directory_add_domain_controller_existing_domain.png|1.
 +
Tiedosto:Active_directory_add_domain_controller_existing_domain_2.png|2.
 +
Tiedosto:Active_directory_add_domain_controller_existing_domain_3.png|3.
 +
Tiedosto:Active_directory_add_domain_controller_existing_domain_4.png|4.
 +
Tiedosto:Active_directory_add_domain_controller_existing_domain_5.png|5.
 
</gallery>
 
</gallery>
  
== Toinen toimialeenohjainen ==
+
''Tätä ohjetta testatessamme dcpromo ei hyväksynyt staattisia IPv4-osoitteita''
  
Asenna ensin AD DS ja DNS roolit Server Managerista.
 
  
Konfiguroinnissa valitse Add new Domain Controller ton an existing Forest.
+
* Windows Server 2012 vaatii että '''Forest Level''' on vähintään Windows Server 2003
  
== Katso myös ==
+
=== Add new a domain to an existing forest === <!--T:16-->
 +
 
 +
<!--T:17-->
 +
<span style="color:red;"> Tämä ohje ei vielä toimi. dcpromo jää jumiin </span>
 +
 
 +
<!--T:18-->
 +
<gallery>
 +
Tiedosto:SubAD-01.png|1
 +
Tiedosto:SubAD-02.png|2
 +
Tiedosto:SubAD-03.png|3
 +
Tiedosto:SubAD-04.png|4
 +
Tiedosto:SubAD-05.png|5
 +
Tiedosto:SubAD-06.png|6
 +
Tiedosto:SubAD-07.png|7
 +
Tiedosto:SubAD-08.png|8
 +
</gallery>
 +
 
 +
== Hallinta ==
 +
 
 +
Kun konfigurointi on suoritettu niin tutustutaan Active Directoryn hallintatyökaluihin.
 +
 
 +
=== Käyttäjät, ryhmät, organisaatioyksiköt ja tietokoneet === <!--T:19-->
 +
 
 +
 
 +
<!--T:20-->
 +
Avaa Server Managerista -> Tools -> Active Directory Users and Computers.
 +
 
 +
<!--T:21-->
 +
<gallery>
 +
Tiedosto: Active directory users and computers 1.png|
 +
Tiedosto: Active directory users and computers 2.png|
 +
Tiedosto: Active directory users and computers 3.png|
 +
</gallery>
 +
 
 +
==== Käyttäjät (CN) ==== <!--T:22-->
 +
 
 +
===== Uusi käyttäjä toimialueelle ===== <!--T:23-->
 +
 
 +
<!--T:24-->
 +
Nyt luodaan toimialueellemme uusi käyttäjätili, jolla on perusoikeus kirjautua kaikille toimialueen työasemille. Esimerkissämme luomme käyttäjälle Matti Meikäläiselle toimialueelle käyttäjätilin.
 +
 
 +
<!--T:25-->
 +
#Avaa Users
 +
#Avaa hiiren kaksoispainikkeella New - User
 +
#Anna käyttäjälle etunimi, sukunimi ja kirjautumisen nimi.
 +
#Anna salasana Matti Meikäläiselle. Oletuksena on rastitettu: User must change password at next logon = Käyttäjän on vaihdettava salasana seuraanan kirjautumisen yhteydessä.
 +
#Nyt on käyttäjälle Matti Meikäläiselle luotu käyttäjätili. Oletuksena käyttäjätili on ryhmässä Domain Users (Toimialueen käyttäjä) ja sillä on oikeus kirjautua kaikille työasemille. Domain Users käyttäjällä ei ole oletuksena järjestelmävalvojan oikeuksia.
 +
 
 +
<!--T:26-->
 +
<gallery>
 +
File:Active directory users and computers create new user 1.png|1.
 +
File:Active directory users and computers create new user 2.png|2.
 +
File:Active directory users and computers create new user 3.png|3.
 +
File:Active directory users and computers create new user 4.png|4.
 +
File:Active directory users and computers create new user 5.png|5.
 +
</gallery>
 +
 
 +
==== Organisaatioyksiköt (OU) ==== <!--T:27-->
 +
 
 +
<!--T:28-->
 +
Organisaatioyksiköt (Organisaational Unit = OU) helpottavat suurissa organisaatiossa tietokoneiden, ryhmien ja käyttäjien hallintaa.
 +
 
 +
<!--T:29-->
 +
#Avaa hiiren kaksoispainikkeella domain.local -> New -> Organisational Unit
 +
#Luodaan organisaatioyksikkö ''Tampere''.
 +
#Nyt on luotu 3 eri organisaatioyksikköä
 +
#Luodaan Tampere OU:n alle kaksi OU:ta koneet ja kayttajat
 +
 
 +
<!--T:30-->
 +
<gallery>
 +
Tiedosto:Active_directory_users_and_computers_create_new_ou_1.png|1.
 +
Tiedosto:Active_directory_users_and_computers_create_new_ou_2.png|2.
 +
File:Active_directory_users_and_computers_create_new_ou_3.png|3.
 +
File:Active_directory_users_and_computers_create_new_ou_4.png|4.
 +
</gallery>
 +
 
 +
===== Organisaatioyksikön poistaminen ===== <!--T:31-->
 +
 
 +
<!--T:32-->
 +
#Organisaatioyksikköä ei voi vain poistaa joka käy ilmi ensimmäisestä kuvasta. Se on suojattu ns. "poistaminen vahingossa"
 +
#Avaa valikosta View -> Advance Features
 +
#Avaa hiiren kaksoispainikkeella poistettavasta organisaatioyksiköstä Properties.
 +
#Poista rasti Object välilehdestä Protect object from accidental deletion.
 +
#Nyt voit poistaa organisaatioyksikön.
 +
 
 +
<!--T:33-->
 +
Suositeltavaa poiston jälkeen Advance Features ottaminen pois käytöstä.
 +
 
 +
<!--T:34-->
 +
<gallery>
 +
Tiedosto:Active directory users and computers delete ou 1.png|1.
 +
Tiedosto:Active directory users and computers delete ou 2.png|2.
 +
Tiedosto:Active directory users and computers delete ou 3.png|3.
 +
Tiedosto:Active directory users and computers delete ou 4.png|4.
 +
</gallery>
 +
 
 +
== Powershell  == <!--T:35-->
 +
 
 +
<!--T:36-->
 +
Suunnitelmissamme on asentaa Active Directory Domain Services konfiguroida sitä. Määritä kiinteä IP-osoite ennen asennusta [[Server_Core#Verkkoasetukset|sconfigin]] avulla.
 +
 
 +
<!--T:37-->
 +
Avaa Powershell
 +
 
 +
<!--T:38-->
 +
powershell
 +
 
 +
<!--T:39-->
 +
Tämän jälkeen anna komento
 +
 
 +
<!--T:40-->
 +
Install-WindowsFeature
 +
 
 +
<!--T:41-->
 +
AD-Domain-Services
 +
 
 +
<!--T:42-->
 +
DNS
 +
 
 +
<!--T:43-->
 +
<gallery>
 +
Tiedosto:Active directory installation server core 1.png|
 +
Tiedosto:Active directory installation server core 2.png|
 +
File:Active directory installation server core 3.png|
 +
</gallery>
 +
 
 +
<!--T:44-->
 +
Tämän jälkeen luodaan uusi Forest.
 +
 
 +
<!--T:45-->
 +
Install-ADDSforest
 +
 
 +
<!--T:46-->
 +
<gallery>
 +
Tiedosto:Active directory installation server core 4.png|Anna toimialueelle nimi ja salasana. Tätä salasanaa tarvitaan vain toimialueen varmuuskopioinnissa.
 +
File:Active directory installation server core 5.png|AD DS Konfigurointi valmis. Palvelin käynnistyy automaattisesti uudelleen.
 +
File:Active directory installation server core 6.png|Kirjaudu palvelimelle toimialueen järjestelmävalvojana.
 +
</gallery>
 +
 
 +
<!--T:47-->
 +
Tehdään DNS reverse lookup zone:
 +
 
 +
<!--T:48-->
 +
Add-DnsServerPrimaryZone -NetworkId "10.5.26.0/24" -ReplicationScope "Forest"
 +
 
 +
=== Users and Computers === <!--T:49-->
 +
 
 +
<!--T:50-->
 +
Seuraavaksi neuvomme miten näet toimialueesi käyttäjätilit, organisaatioyksiköt, ryhmät ja tietokoneet.
 +
 
 +
<!--T:51-->
 +
Import-Module ActiveDirectory
 +
cd AD:
 +
 
 +
<!--T:52-->
 +
dir
 +
 
 +
<!--T:53-->
 +
Tulostuu:
 +
 
 +
Name                ObjectClass          DistinguishedName
 +
----                -----------          -----------------
 +
domain              domainDNS            DC=domain,DC=local
 +
Configuration        configuration        CN=Configuration,DC=domain,DC=local
 +
Schema              dMD                  CN=Schema,CN=Configuration,DC=domain,DC=local
 +
DomainDnsZones      domainDNS            DC=DomainDnsZones,DC=domain,DC=local
 +
ForestDnsZones      domainDNS            DC=ForestDnsZones,DC=domain,DC=local
 +
 
 +
<!--T:54-->
 +
cd "DC=domain,DC=local"
 +
dir
 +
 
 +
<!--T:55-->
 +
Sivulle tulostuu sama kuin Active Directory Users and Computers
 +
 
 +
<!--T:56-->
 +
Builtin              builtinDomain        CN=Builtin,DC=domain,DC=local
 +
COMPUTER            organizationalUnit  OU=COMPUTER,DC=domain,DC=local
 +
Computers            container            CN=Computers,DC=domain,DC=local
 +
Domain Controllers  organizationalUnit  OU=Domain Controllers,DC=domain,DC=local
 +
ForeignSecurityPr... container            CN=ForeignSecurityPrincipals,DC=domain,DC=local
 +
Infrastructure      infrastructureUpdate CN=Infrastructure,DC=domain,DC=local
 +
LostAndFound        lostAndFound        CN=LostAndFound,DC=domain,DC=local
 +
Managed Service A... container            CN=Managed Service Accounts,DC=domain,DC=local
 +
                                          CN=NTDS Quotas,DC=domain,DC=local
 +
Program Data        container            CN=Program Data,DC=domain,DC=local
 +
SERVER              organizationalUnit  OU=SERVER,DC=domain,DC=local
 +
System              container            CN=System,DC=domain,DC=local
 +
                                          CN=TPM Devices,DC=domain,DC=local
 +
Users                container            CN=Users,DC=domain,DC=local
 +
 
 +
<!--T:57-->
 +
jatka siirtymällä esimerkiksi
 +
 
 +
<!--T:58-->
 +
dir "CN=Users"
 +
 
 +
<!--T:59-->
 +
niin näet käyttäjätilit palvelimessasi.
 +
 
 +
====  Konetilit ==== <!--T:60-->
 +
 
 +
<!--T:61-->
 +
Luo konetili komennolla:
 +
 
 +
  <!--T:62-->
 +
New-ADComputer
 +
 
 +
<!--T:63-->
 +
Tiedot komentotilistä saat komennolla:
 +
 
 +
  <!--T:64-->
 +
GetADComputer
 +
 
 +
<!--T:65-->
 +
Poista konetili komennolla:
 +
 
 +
  <!--T:66-->
 +
Remove-ADComputer
 +
 
 +
==== Käyttäjätilit ==== <!--T:67-->
 +
 
 +
<!--T:68-->
 +
Luodaan uusi käyttäjätili nimellä testi
 +
 
 +
  <!--T:69-->
 +
New–ADUser -Name ’Testi Käyttäjä’ - SamAccountName 'testik'
 +
 
 +
<!--T:70-->
 +
Määritetään salasana käyttäjälle testikäyttäjä ja salasanana on Password2014
 +
 
 +
<!--T:71-->
 +
Set-ADAccountPassword ’Testikäyttäjä’ –NewPassword (ConvertTo-SecureString - AsPlainText -string 'Password2014' -force).
 +
 
 +
<!--T:72-->
 +
Pakota käyttäjätilin vaihtamaan salasanan seuraavan kirjautumisen yhteydessä:
 +
 
 +
  <!--T:73-->
 +
Set-ADUser testi - hangePasswordAtLogon $true
 +
 
 +
<!--T:74-->
 +
Tarkastele käyttäjän tietoja
 +
 
 +
  <!--T:75-->
 +
Get-ADUser 'testi'
 +
 
 +
<!--T:76-->
 +
Usealle eri käyttäjätilille suoritettavat toiminnot onnistuu ''filter'' parametrillä. Esimerkiksi otetaan kaikki käyttäjät käyttöön organisaatioyksikössä ''tamk''.
 +
 
 +
  <!--T:77-->
 +
Get-ADUser -Filter "Organization -eq 'tamk'" | Enable-ADAccount.
 +
 
 +
<!--T:78-->
 +
Käyttäjätilin poisto onnistuu komennolla
 +
 
 +
  <!--T:79-->
 +
Remove-ADUser
 +
 
 +
<!--T:80-->
 +
Aktiivihakemistossa objektien siirto onnistuu Move-ADObject komennolla. Esimerkissä siirretään testikäyttäjä OU1 -> OU2.
 +
 
 +
  <!--T:81-->
 +
Move-ADObject -Identity testi -TargetPath '.\OU=OU2'
 +
 
 +
==== Käyttöoikeusryhmät ==== <!--T:82-->
 +
 
 +
<!--T:83-->
 +
Luo uusi käyttöoikeusryhmä komennolla:
 +
 
 +
  <!--T:84-->
 +
New-ADGroup
 +
 
 +
  <!--T:85-->
 +
New-ADGroup -Name 'Ryhmä A' - GroupScope DomainLocal.
 +
 
 +
<!--T:86-->
 +
Lisää käyttäjätili käyttäjäoikeusryhmään:
 +
 
 +
  <!--T:87-->
 +
AddADGroupMember
 +
 
 +
  <!--T:88-->
 +
Add-ADGroupMember -Identity 'Ryhmä A' -Members testi
 +
 
 +
<!--T:89-->
 +
Poista käyttjätili ryhmästä:
 +
 
 +
  <!--T:90-->
 +
Remove-ADGroup.
 +
 
 +
=== Organisaatioyksiköt === <!--T:91-->
 +
 
 +
<!--T:92-->
 +
Luodaan organisaatioyksikkö komennolla:
 +
 
 +
  <!--T:93-->
 +
New-ADOrganizationalUnit -name OU1 -Path '.\DC=ONT,DC=local
 +
 
 +
 
 +
=== Powershellin avulla toimialueelle === <!--T:94-->
 +
 
 +
<!--T:95-->
 +
Tällä PowerShell komennolla saat liitettyä palvelimen toimialueelle nimeltä testi.local. Varmista ennen liitosta että tämä palvelin käyttää ensisijaisena DNS palvelimena liitettävän toimialueen ohjauskonetta.
 +
 
 +
  <!--T:96-->
 +
Add-Computer -DomainName domain.local
 +
 
 +
<!--T:97-->
 +
Voit myös liittää sconfigin avulla toimialueelle [[Server Core|Server Coressa]].
 +
 
 +
== Katso myös == <!--T:98-->
 
* [[Windows 8.1 | Windows 8.1 toimialueelle]]
 
* [[Windows 8.1 | Windows 8.1 toimialueelle]]
 
* [[Linux AD liitos]]
 
* [[Linux AD liitos]]
 +
 +
== Lähteet == <!--T:99-->
 +
 +
<!--T:100-->
 +
http://www.ictmanuaali.net/windows2008r2
 +
 +
<!--T:101-->
 +
http://www.ictmanuaali.net/windows8server
 +
 +
<!--T:102-->
 +
https://www.theseus.fi/bitstream/handle/10024/78424/Koivisto_Iiro.pdf?sequence=1
 +
</translate>
 +
 +
[[Category:Windows Server 2012 R2]]
 +
[[Category:Active Directory]]

Nykyinen versio 30. huhtikuuta 2015 kello 18.02

Muut kielet:
suomi

Active Directory Domain Services (AD DS) on palvelu, jolla luodaan toimialue. Toimialue on yleinen organisaatiossa, jossa halutaan keskitää kaikki yhteen palvelimeen. Tämä palvelu mahdollistaa samalla käyttäjätunnuksella kirjautumisen kaikkiin toimialueen työasemiin, ellei rajoiteta Group Policy Managementin avulla.

Toimialue on vaatimus seuraavalle roolille Windows Deployment Services

HUOM! Toimialueen ohjauskoneena oleva palvelimen nimi pitää muutettava ennen asennusta. Asennuksen jälkeen nimeä ei voi muuttaa. Määritä kiinteä IP-osoite ennen roolin asennusta.


Asentaminen

HUOM! Windows Server 2008 R2 ja vanhemmat versiossa asennetaan dcromo.exe komennolla, ei Server Managerista. Tässä ohje: http://www.ictmanuaali.net/windows2008r2#toc7

  1. Avaa Server Manager
  2. Avaa Add Roles and Features (Lisää rooleja ja toimintoja)
  3. Valitse asennustyyppi.
  4. Valitse palvelin, johon asennetaan rooleja.
  5. Valitse rooleista Active Directory Domain Service ja DNS Server ja valitse NEXT.
  6. Voit ohittaa Feature välilehden ja jatka NEXT.
  7. Tarkista että olet määrittänyt oikein ja valitse Install

Konfigurointi

Asennuksen suoriuduttuaan jatketaan palvelimen määritystä toimialueen ohjauskoneeseen.

Nyt sinun tulisi tietää miten AD toimialueen ohjain asennetaan.

  • Luomalla New Forest, eli kokonaan uuden toimialueen.
  • Lisäämällä Domain Controller aikaisemmin luotuun toimialueeseen. Vaatii siis että on olemassa toimialue.
  • Luomalla uusi toimialue aikaisemmin luotuun Forest. Vaatii aikaisemmin luotuun Forest.

Add a new forest

  1. Avaa Server Managerista ylhäältä lipun kohtaa Promote this server domain controller.
  2. Luodaan uuteen metsään toimialue. Valitse Add new domain new forest. (Windows Server 2008 R2 ja vanhemmat käyttöjärjestelmän käyttäjät voivat seurata tästä kohtaa eteenpäin. Anna toimialueelle nimi, käytän nyt tässä esimerkissä domain.local, mutta voit käyttää myös .fi / .com jne. päätteitä jos omistat ne. .local on hyvä pääte jos vain yksityinen palvelin.Suositus on AD.domain.local / AD.domain.com
  3. Forest level määritetään toimialueiden käyttöjärjestelmien mukaan. Suositus on korkein taso, jos mahdollista. Alimmassa tasossa toimii myös kaikki uusimmat käyttöjärjestelmät. Esimerkki: Windows 7 vaatii Windows Server 2008 R2 metsän tasoksi, kuitenkin Windows 8.X toimii siinäkin. Windows Vista ei toimi, jos metsän taso on Windows Server 2008 R2 tai korkeampi. Huomioithan, että Windows XP ei ole tuettu Windows Server 2012 R2 toimialueelle. Domain Functional Level kannattaa laittaa sama kuin Forest Level. Määritä AD DS palvelulle salasana jonka muistat, tätä tarvitaan AD palvelun varmuuskopioinnissa.
  4. DNS Delegation voidaan useammassa tapauksessa ohittaa.
  5. Tarkista että NETBIOS nimi on oikein. Yleensä tämä tulee automaattisesti.
  6. Määritä asennuspolku. Yleensä oletuspolku riittää.
  7. Tarkista määrittämäsi asetukset
  8. Jatka painamalla Install ja odota että palvelin on käynnistynyt uudelleen. Tämä voi kestää jonkin aikaa. Uudelleen käynnistyksen jälkeen kirjautuminen on muodossa domain\käyttäjätunnus


Add new a domain controller to an existing forest

Lisätään uusi toimialueen ohjauskone aikaisempaan luotuun metsään.

  1. Kirjoita domainiksi domain, johon haluat yhdistää. Sinulta kysytään tämän jälkeen käyttäjäoikeuksia. Anna toimialueen järjestelmävalvojan domain, käyttäjätunnus ja salasana. Sen jälkeen odota hetki, metsän domainit pitäisi listautua sen jälkeen. Valitse domain ja jatka NEXT painikkeella.
  2. Määritä DSRM salasana.
  3. DNS välilehden voit ohittaa
  4. Sallitaan toistaminen kaikilta toimialueen ohjauskoneilta.
  5. Määritetään oletussijainnit Active Directory Domain Servicen tietokannalle, lokitiedostoille ja SYSVOL:ille.
  6. Vahvista asetukset
  7. Odota hetki, dcpromo tarkistaa asetuksia.
  8. Kun dcpromo on vahvistanut asetukset jatka valitsemalla asenna.


Tätä ohjetta testatessamme dcpromo ei hyväksynyt staattisia IPv4-osoitteita


  • Windows Server 2012 vaatii että Forest Level on vähintään Windows Server 2003

Add new a domain to an existing forest

Tämä ohje ei vielä toimi. dcpromo jää jumiin

Hallinta

Kun konfigurointi on suoritettu niin tutustutaan Active Directoryn hallintatyökaluihin.

Käyttäjät, ryhmät, organisaatioyksiköt ja tietokoneet

Avaa Server Managerista -> Tools -> Active Directory Users and Computers.

Käyttäjät (CN)

Uusi käyttäjä toimialueelle

Nyt luodaan toimialueellemme uusi käyttäjätili, jolla on perusoikeus kirjautua kaikille toimialueen työasemille. Esimerkissämme luomme käyttäjälle Matti Meikäläiselle toimialueelle käyttäjätilin.

  1. Avaa Users
  2. Avaa hiiren kaksoispainikkeella New - User
  3. Anna käyttäjälle etunimi, sukunimi ja kirjautumisen nimi.
  4. Anna salasana Matti Meikäläiselle. Oletuksena on rastitettu: User must change password at next logon = Käyttäjän on vaihdettava salasana seuraanan kirjautumisen yhteydessä.
  5. Nyt on käyttäjälle Matti Meikäläiselle luotu käyttäjätili. Oletuksena käyttäjätili on ryhmässä Domain Users (Toimialueen käyttäjä) ja sillä on oikeus kirjautua kaikille työasemille. Domain Users käyttäjällä ei ole oletuksena järjestelmävalvojan oikeuksia.

Organisaatioyksiköt (OU)

Organisaatioyksiköt (Organisaational Unit = OU) helpottavat suurissa organisaatiossa tietokoneiden, ryhmien ja käyttäjien hallintaa.

  1. Avaa hiiren kaksoispainikkeella domain.local -> New -> Organisational Unit
  2. Luodaan organisaatioyksikkö Tampere.
  3. Nyt on luotu 3 eri organisaatioyksikköä
  4. Luodaan Tampere OU:n alle kaksi OU:ta koneet ja kayttajat
Organisaatioyksikön poistaminen
  1. Organisaatioyksikköä ei voi vain poistaa joka käy ilmi ensimmäisestä kuvasta. Se on suojattu ns. "poistaminen vahingossa"
  2. Avaa valikosta View -> Advance Features
  3. Avaa hiiren kaksoispainikkeella poistettavasta organisaatioyksiköstä Properties.
  4. Poista rasti Object välilehdestä Protect object from accidental deletion.
  5. Nyt voit poistaa organisaatioyksikön.

Suositeltavaa poiston jälkeen Advance Features ottaminen pois käytöstä.

Powershell

Suunnitelmissamme on asentaa Active Directory Domain Services konfiguroida sitä. Määritä kiinteä IP-osoite ennen asennusta sconfigin avulla.

Avaa Powershell

powershell

Tämän jälkeen anna komento

Install-WindowsFeature
AD-Domain-Services
DNS

Tämän jälkeen luodaan uusi Forest.

Install-ADDSforest

Tehdään DNS reverse lookup zone:

Add-DnsServerPrimaryZone -NetworkId "10.5.26.0/24" -ReplicationScope "Forest"

Users and Computers

Seuraavaksi neuvomme miten näet toimialueesi käyttäjätilit, organisaatioyksiköt, ryhmät ja tietokoneet.

Import-Module ActiveDirectory
cd AD:
dir

Tulostuu:

Name                 ObjectClass          DistinguishedName
----                 -----------          -----------------
domain               domainDNS            DC=domain,DC=local
Configuration        configuration        CN=Configuration,DC=domain,DC=local
Schema               dMD                  CN=Schema,CN=Configuration,DC=domain,DC=local
DomainDnsZones       domainDNS            DC=DomainDnsZones,DC=domain,DC=local
ForestDnsZones       domainDNS            DC=ForestDnsZones,DC=domain,DC=local
cd "DC=domain,DC=local"
dir

Sivulle tulostuu sama kuin Active Directory Users and Computers

Builtin              builtinDomain        CN=Builtin,DC=domain,DC=local
COMPUTER             organizationalUnit   OU=COMPUTER,DC=domain,DC=local
Computers            container            CN=Computers,DC=domain,DC=local
Domain Controllers   organizationalUnit   OU=Domain Controllers,DC=domain,DC=local
ForeignSecurityPr... container            CN=ForeignSecurityPrincipals,DC=domain,DC=local
Infrastructure       infrastructureUpdate CN=Infrastructure,DC=domain,DC=local
LostAndFound         lostAndFound         CN=LostAndFound,DC=domain,DC=local
Managed Service A... container            CN=Managed Service Accounts,DC=domain,DC=local
                                          CN=NTDS Quotas,DC=domain,DC=local
Program Data         container            CN=Program Data,DC=domain,DC=local
SERVER               organizationalUnit   OU=SERVER,DC=domain,DC=local
System               container            CN=System,DC=domain,DC=local
                                         CN=TPM Devices,DC=domain,DC=local
Users                container            CN=Users,DC=domain,DC=local

jatka siirtymällä esimerkiksi

dir "CN=Users"

niin näet käyttäjätilit palvelimessasi.

Konetilit

Luo konetili komennolla:

 New-ADComputer

Tiedot komentotilistä saat komennolla:

 GetADComputer

Poista konetili komennolla:

 Remove-ADComputer

Käyttäjätilit

Luodaan uusi käyttäjätili nimellä testi

 New–ADUser -Name ’Testi Käyttäjä’ - SamAccountName 'testik'

Määritetään salasana käyttäjälle testikäyttäjä ja salasanana on Password2014

Set-ADAccountPassword ’Testikäyttäjä’ –NewPassword (ConvertTo-SecureString - AsPlainText -string 'Password2014' -force).

Pakota käyttäjätilin vaihtamaan salasanan seuraavan kirjautumisen yhteydessä:

 Set-ADUser testi - hangePasswordAtLogon $true

Tarkastele käyttäjän tietoja

 Get-ADUser 'testi'

Usealle eri käyttäjätilille suoritettavat toiminnot onnistuu filter parametrillä. Esimerkiksi otetaan kaikki käyttäjät käyttöön organisaatioyksikössä tamk.

 Get-ADUser -Filter "Organization -eq 'tamk'" | Enable-ADAccount.

Käyttäjätilin poisto onnistuu komennolla

 Remove-ADUser

Aktiivihakemistossa objektien siirto onnistuu Move-ADObject komennolla. Esimerkissä siirretään testikäyttäjä OU1 -> OU2.

 Move-ADObject -Identity testi -TargetPath '.\OU=OU2'

Käyttöoikeusryhmät

Luo uusi käyttöoikeusryhmä komennolla:

 New-ADGroup
 New-ADGroup -Name 'Ryhmä A' - GroupScope DomainLocal.

Lisää käyttäjätili käyttäjäoikeusryhmään:

 AddADGroupMember
 Add-ADGroupMember -Identity 'Ryhmä A' -Members testi

Poista käyttjätili ryhmästä:

 Remove-ADGroup.

Organisaatioyksiköt

Luodaan organisaatioyksikkö komennolla:

 New-ADOrganizationalUnit -name OU1 -Path '.\DC=ONT,DC=local


Powershellin avulla toimialueelle

Tällä PowerShell komennolla saat liitettyä palvelimen toimialueelle nimeltä testi.local. Varmista ennen liitosta että tämä palvelin käyttää ensisijaisena DNS palvelimena liitettävän toimialueen ohjauskonetta.

 Add-Computer -DomainName domain.local

Voit myös liittää sconfigin avulla toimialueelle Server Coressa.

Katso myös

Lähteet

http://www.ictmanuaali.net/windows2008r2

http://www.ictmanuaali.net/windows8server

https://www.theseus.fi/bitstream/handle/10024/78424/Koivisto_Iiro.pdf?sequence=1

Mainos / Advertisement: