Active Directory - это иерархически организованное хранилище данных об объектах сети, обеспечивающее удобные средства для поиска и использования этих данных (пользователей, компьютеров и т.д.). Технология AD позволяет решать многие административные задачи, такие как - управление пользователями, управление общими ресурсами, разграничение прав и настройка политик безопасности.
Основные понятия AD:
подразделение (organizational unit) - подгруппа пользователей и компьютеров, которая, как правило, отражает структуру компании;
домен - минимальная структурная единица организации Active Directory (может состоять из пользователей, компьютеров, принтеров, прочих общих ресурсов);
дерево (domain tree) — один или несколько доменов, совместно использующих непрерывное пространство имен, имеющее единый корень (корневой домен);
лес (domain forest) — одно или несколько деревьев, находящихся в различных формах доверительных отношений.
Рассмотрим более подробно, для чего можно использовать AD:
Единая точка аутентификации. Так как контроллер домен (сервер, на котором установлена AD) хранит всю информацию об инфраструктуре, логично его использовать для хранения логинов и паролей пользователей. Под такими учетными данными пользователи могут работать на любом компьютере, входящим в домен (если это не оговорено отдельно);
Управление политиками безопасности. В подразделении OU, можно создать еще несколько подразделений, а также групп для компьютеров и пользователей, к которым будут применяться различные политики безопасности (разрешение на изменение настроек, установка ПО, доступ к различным инструментам администрирования). Таким образом, для изменения прав пользователя его необходимо будет просто перенести в другое подразделение или группу. При добавлении нового пользователя к нему автоматически будут применяться все необходимые настройки.
Управление общими ресурсами. С помощью политик безопасности возможно настроить автоматическое подключение общих ресурсов (общие папки, принтеры) ко всем пользователям.
По умолчанию домен состоит из следующих контейнеров (Organization Unit, OU): Builtin (встроенные группы безопасности), Computers (компьютеры организации - пока там ничего нет), DomainControllers (контроллеры домена - в нем уже есть наш домен), ForeignSecurityPrincipals (контейнер принципала безопасности из другого домена), ManagedServiceAccounts (специальные учетные записи, которые можно использовать для безопасного запуска служб, приложений и заданий планировщика) и Users (уже созданные учетные записи и группы безопасности)
Все компьютеры, которые вы будете добавлять в домен будут автоматически попадать в контейнер Computers.
Для того, чтобы к пользователям вашей организации можно было гибко применять политики безопасности, их можно вынести в отдельный контейнер и в нем уже создать структуру организации.
Обратите внимание на то что при создании подразделения у вас автоматически появляется галка Protect container from accidental deletion
- защитить контейнер от случайного удаления. Если вам все-таки нужно будет удалить контейнер, необходимо зайти в меню View и включить отображение дополнительных параметров (Advansec Features), после чего можно будет убрать эту настройку во вкладке Object и удалить контейнер.
Как только вы создали структуру в виде контейнеров, в них можно добавлять пользователей. Сделать это можно нажав на соответствующую иконку или же правой клавишей мыши → new → user. При добавлении пользователя необходимо заполнить следующие поля - first name, last name, full name и user logon name. В следующем окне - настройки пароля. По умолчанию применяются политика использования паролей - минимум 7 символов, большие и маленькие буквы, цифры и специальные символы. После установки пароля вам доступны следующие настройки:
User must change passowrd at next logon - пользователь должен изменить пароль при следующем входе в систему. Такую настройку следует применять, если учетная запись персональная и пользователь может (должен) сам придумать себе пароль. Может показаться, что это приведет к тому, что пароли будут не слишком сложные, однако, вы можете изменить требования к паролям и сделать их сложнее. Данная настройка будет гораздо более безопасная, нежели вы сами выдадите пользователю сложный пароль, так как свой пароль пользователь сможет запомнить, а вот ваш скорее всего запишет на бумажке и приклеит к монитору.
User cannot change password - пользователь не может изменять свой пароль. Данная настройка требует в том случае, когда учетная запись выдается группе пользователей (например, ваша студенческая учетная запись).
Password never expires - пароль никогда не изменяется. В политике по умолчанию, пароль пользователя должен меняться каждые 42 дня. Если вы выберете эту настройку, то пароль не будет меняться. Это может понадобиться в том случае, когда учетная запись нужна для взаимодействия нескольких сервисов (под этой учетной записью никто не работает).
Account is disable - отключить учетную запись. Можно создать учетную запись и сразу же ее выключить.
Учетными записями пользователей можно (и нужно) управлять с помощью доменной политики безопасности. Однако, некоторые настройки можно делать непосредственно в оснастке Users and Computers, например, задать домашнюю папку пользователя, определить сценарий входа в систему или же указать когда и на какие компьютеры можно заходить под этой учетной записью.