Windows Server 2016
Server Core telepítése
Érintett kiadások: Windows Server (féléves csatorna) és Windows Server 2016
Amikor első alkalommal telepíti a Windows Server 2016 rendszert, akkor a következő telepítési lehetőségek közül választhat:
A következő listában az „Asztali élmény” kiegészítés nélküli kiadások maguk a Server Core telepítési lehetőségek
Windows Server Standard
Windows Server Standard Asztali élménnyel
Windows Server Datacenter
Windows Server Datacenter Asztali élménnyel
Amikor első alkalommal telepíti a Windows Server 1709-es verzióját, akkor a következő telepítési lehetőségek közül választhat:
Windows Server Standard
Windows Server Datacenter
Mivel a Server Core lehetőség csökkenti a szükséges lemezterületet és a potenciális támadási felületet, ezért javasolt ezt a telepítési módot használni, ha nincs kifejezetten szüksége a kiszolgáló Asztali élménnyel beállítás kiegészítő felhasználói felületi elemeire és grafikus felügyeleti eszközeire. Ha úgy érzi, hogy szüksége van a további felhasználói felületi elemekre, tekintse át a Kiszolgáló telepítése Asztali élménnyel című cikket.
A Server Core lehetőséggel a szabványos felhasználói felület (az asztali kezelőfelület) telepítése nem történik meg. A kiszolgálót a parancssorral, a Windows PowerShell használatával vagy távoli módszerekkel kezelheti.
A Windows Server egyes korábbi verzióival ellentétben a telepítést követően nem végezhet konvertálást a Server Core- és az Asztali kezelőfelülettel telepített példányok között. Ha a Server Core változatot telepíti, és később az Asztali kezelőfelülettel telepített példány használata mellett dönt, újra kell telepítenie a rendszert.
Felhasználói felület: parancssor
A kiszolgálói szerepkörök telepítése, konfigurálása, eltávolítása helyileg: Windows PowerShell funkcióval rendelkező parancssorban.
Kiszolgálói szerepkörök távoli telepítése, konfigurálása és eltávolítása a Windows ügyfélszámítógépről (vagy asztali kezelőfelülettel telepített kiszolgálóról: a Kiszolgálókezelővel, a Távoli kiszolgáló felügyeleti eszközökkel (RSAT), a Windows PowerShell-lel vagy a Project Honoluluval.
Nano Server telepítése
A Windows Server 1709-es verziójától kezdve a Nano Server csak tárolóalap operációsrendszer-lemezképként lesz elérhető. Olvassa el a Nano Server változásai című cikket, hogy megtudja, mit jelent ez.
A Windows Server 2016 egy új telepítési lehetőséget kínál, a Nano Servert. A Nano Server egy magánfelhőkre és adatközpontokra optimalizált, távolról felügyelhető kiszolgálói operációs rendszer. Hasonló a Windows Server Server Core módjához, de annál sokkal kisebb, nem rendelkezik bejelentkezési képességekkel, és csak 64 bites alkalmazásokat, eszközöket és ügynököket támogat. Jóval kevesebb lemezterületet igényel, gyorsabban telepíthető, és sokkal kevesebb frissítést és újraindítást igényel, mint a Windows Server. Amikor újraindítják, sokkal gyorsabban indul újra. A Nano Server telepítési lehetőség a Windows Server 2016 Standard és Datacenter kiadásához érhető el.
A Nano Server számos forgatókönyv esetén lehet ideális megoldás:
Fürtökben vagy önállóan elhelyezkedő Hyper-V-virtuálisgépek „számítási” gazdagépeként
Kibővíthető fájlkiszolgálók tárológazdagépeként
DNS-kiszolgálóként
Internet Information Services (IIS) szolgáltatást futtató webkiszolgálóként
Olyan alkalmazások gazdagépeként, amelyek felhőbeli alkalmazásmintákkal lettek kifejlesztve, és egy tárolóban vagy egy virtuális gép vendég operációs rendszerén futnak
Fontos különbségek a Nano Serverben
Mivel a Nano Server egy kis erőforrásigényű operációs rendszer, amelyet tárolókra és mikroszolgáltatásokra épülő, „natív felhőalapú” alkalmazások futtatására, valamint erőteljesen csökkentett erőforrásigényű, agilis és költséghatékony adatközpontot kiszolgáló gazdagép szerepre terveztek, lényeges különbségek vannak a Nano Server és a Server Core vagy az asztali kezelőfelülettel telepített szerverek között:
A Nano Server csak távfelügyelettel kezelhető: sem helyi bejelentkezési lehetőséggel, sem grafikus felhasználói felülettel nem rendelkezik.
Kizárólag 64 bites alkalmazásokat, eszközöket és ügynököket támogat.
A Nano Server nem használható Active Directory-tartományvezérlőként.
Csoportházirendeket nem támogat. Használható azonban a Célállapot-konfiguráló szolgáltatás a beállítások tömeges alkalmazásához.
A Nano Server nem konfigurálható úgy, hogy proxykiszolgálót használjon interneteléréshez.
A Hálózati adapterek összevonása (különösen a terhelésleosztáshoz és feladatátvételhez (LBFO)) nem támogatott. Helyette a kapcsoló-beágyazott összevonás (SET) használata támogatott.
A System Center Configuration Manager és a System Center Data Protection Manager nem támogatott.
Az Ajánlott eljárásokat elemző eszköz (BPA) parancsmagjai és a BPA integrációja a Kiszolgálókezelővel nem támogatott.
A Nano Server nem támogatja a virtuális gazdabuszadaptereket (HBA).
A Nano Servert nem kell termékkulccsal aktiválni. Ha a Nanon Server Hyper-V-gazdagépként működik, nem támogatja a Virtuális gépek automatikus aktiválása (AVMA) funkciót. A Nano Server-gazdagépen futó virtuális gépek a Kulcskezelő szolgáltatás (KMS) használatával aktiválhatók általános mennyiségi licenckulccsal, vagy az Active Directory-alapú aktiválás segítségével.
A Windows PowerShell Nano Serverhez elérhető verziójában fontos eltérések vannak. További információ: A Nano Serveren futó PowerShell különbségei.
A Nano Serverhez csak az Aktuális üzleti ág (CBB) modellben jár támogatás, Hosszú távú karbantartási ág (LTSB) jelenleg nem érhető el hozzá. Az alábbi alszakaszban további információkat talál.
---------------
az Active Directory tartományvezérlőinek telepítésével foglalkozunk, végighaladva az első, majd az ehhez kapcsolódó többi géppel végzendő lépéseken. Az előkészületek:
Ha még nincs a hálózaton Active Directory, alapvető feltétel az operációs rendszer feltelepítése után a TCP/IP protokoll megléte. Amennyiben a telepítés folyamán van hálózati kártya a kiszolgálóban, ennek telepítése meg is történik. Ha utólag helyezzük az eszközt a gépbe, a meghajtó programjának feltelepítése alkalmával adódik hozzá.
Az Active Directory az IP címek gépnevekre való konvertálását a DNS kiszolgáló segítségével oldja meg. Azonban ennek előtelepítése nem szükségszerű, mert a címtárat telepítő varázsló menet közben felrakja.
Nagyon fontos, hogy működő hálózati kapcsolatunk legyen. Ez elég, ha abból áll, hogy a gép hálózati kártyája egy bekapcsolt HUB-al van összekötve. Ennek hiányában két gép is összeköthető ún. Cross Over kábelen keresztül, viszont ilyenkor a másik gépnek is bekapcsolva kell lenni. Amennyiben nem teljesül ez a feltétel, a címtár telepítése az utolsó fázisában hibaüzenettel fog leállni.
Az Active Directory telepítő varázslójának elindításához kattintsunk a Start > Programok > Felügyeleti eszközök > Kiszolgáló konfigurálása (Start > Programs > Administrative Tools > Configure Your Server) menüpontra és a megjelenő ablak bal oldalán az Active Directory sorra. Ennek hatására megjelenik az ablak jobb felén egy rövid leírás, aminek a vége felé található egy "Indítsa el az Active Directory varázslót" ("Start the Active Directory wizard") felirat. Ebben az "Indítsa el" ("Start") szerepel aláhúzva, ha rákattintunk elindul a varázsló. Van egy rövidebb út is: a Start > Futtatás (Start > Run) mezőbe írjuk be: dcpromo. Mindkét esetben a %systemroot%\system32\dcpromo.exe programja indul el.
Az első tartományvezérlő telepítése:
Viszonylag egyszerű a helyzet, mert a varázsló úgy van beállítva, hogy feltételezze: az első tartományvezérlő telepítése zajlik. Nagyrészt csak a "Tovább" ("Next") gombokra kell kattintani, ezért címszavakban ismertetjük a lépéseket.
Példának vegyük az "animare.zp" tartománynevet:
Új tartomány új tartományvezérlője > Új tartományfa létrehozása > Tartományfák új erdőjének létrehozása > Az új tartomány teljes DNS-neve: animare.zp > Tartomány NetBIOS-neve: animare (Az adatbázis, logfájl és sysvol mappa helyén nem szükséges változtatni) > Következik egy hibaüzenet, ha nincs megfelelő DNS kiszolgáló, majd > Igen, telepítsen és állítson be DNS kiszolgálót ezen a számítógépen > Windows 2000 előtti kiszolgálókkal kompatibilis engedélyek
Angol nyelvű szerveren:
Domain controller for a new domain > Create a new domain tree > Create a new forest of domain trees > Full DNS name for new domain: animare.zp > Domain NetBIOS name: animare (Az adatbázis, logfájl és sysvol mappa helyén nem szükséges változtatni) > Yes, install and configure DNS on this computer > Permissions compatible with pre-Windows 2000 servers
Az összegzést követően további adatokat nem kell megadnunk a varázsló számára, most következik a telepítés. Ha nem létezik a fent említett aktív fizikai kapcsolat a hálózaton, ezen a ponton fog hibaüzenettel leállni a telepítés. A konfigurálás a gép hardverösszetevőitől függően néhány percig tart, de nem célszerű magára hagyni, mert kérheti a Windows 2000 telepítőlemezét (például amikor a DNS-t rakja fel).
Mindennek a végén következik az operációs rendszer újraindítása és használatba vehető a címtár.
További tartományvezérlők telepítése:
Adva van egy működő Active Directory tartomány egyetlen tartományvezérlővel. Ebbe a rendszerbe szeretnénk még egy tartományvezérlőt telepíteni (ha nem egyet, hanem többet, akkor mindegyiknél ugyanígy kell eljárni).
A kiszolgálóknak fix IP címet kell adni, példánkban az első szerveré legyen: 192.168.0.1, folytatva a sort, a következő tartományvezérlő kapja a 192.168.0.2-es IP címet és így tovább. Itt jön egy meghatározó dolog: az első szerver telepítésénél nem volt alapfeltétel a működő DNS, a továbbiaknál e nélkül nem megy. Ezért a leendő tartományvezérlő hálózati beállításai (Vezérlőpult > Hálózati és telefonos kapcsolatok > Helyi kapcsolat > Tulajdonságok > TCP/IP protokoll > Tulajdonságok (Control Panel > Network and Dial-up Connections > Local Area Connection > Properties > Internet Protocol (TCP/IP) > Properties)) a következőképpen alakulnak: IP cím = 192.168.0.2, Alhálózati maszk = 255.255.255.0, DNS kiszolgáló = 192.168.0.1 (ha esetleg különálló DNS kiszolgálót üzemeltetünk, akkor ennek a címét adjuk meg). Ha kimarad a DNS, a konfigurálás a későbbiekben egy hibaüzenettel megáll.
Van még egy gyakori probléma, ami megakadályozhatja a telepítést: az eltérő IP biztonsági (IPSec) beállítások. Gondoskodjunk ezek egyezéséről a csoportházirendben a
Felügyeleti eszközök > Active Directory - felhasználók és számítógépek > Domain Controllers > Tulajdonságok > Csoportházirend > Szerkesztés > Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > IP-biztonsági házirendek - Active Directory (Administrative Tools > Active Directory Users and Computers > Domain Controllers > Properties > Group Policy > Edit > Computer Configuration > Windows Settings > Security Settings > IP Security Policies on Active Directory)
vagy ennek hiányában a hálózati beállításoknál a
Vezérlőpult > Hálózati és telefonos kapcsolatok > Helyi kapcsolat > Tulajdonságok > TCP/IP protokoll > Tulajdonságok > Speciális > Beállítások > IP-biztonság > Tulajdonságok (Control Panel > Network and Dial-up Connections > Local Area Connection > Properties > Internet Protocol (TCP/IP) > Properties > Advanced > Options > IP-security > Properties)
oldalon.
Ezután következhet az Active Directory telepítése az új tartományvezérlőn a "dcpromo" nevű programmal:
További tartományvezérlő már meglévő tartományban (Additional domain controller for an existing domain) > Tartománynév: animare.zp > Az adatbázis, logfájl és sysvol mappa helyén nem szükséges változtatni > A tartományban érvényes rendszergazdai fiók nevének és jelszavának beírása következik, majd megkezdődik a telepítés - a meglévő séma és adatbázis átvitele ekkor zajlik le. A végén újra kell indítani a gépet és már használatba is vehető az új tartományvezérlő. Mindez eltérő nyelvi környezetet használó Windows 2000 operációs rendszerek esetén is működik: lehet például az egyik tartományvezérlőn magyar a másikon pedig angol.
Hogy ellenőrizhető legegyszerűbben, hogy sikeres volt a tartományvezérlő telepítése? Nézzük meg az Active Directory - Helyek és szolgáltatások (Active Directory Sites and Services) MMC konzol Sites > Default-first-site-name > Servers mappájában megjelent-e az új gép. Ha igen, a telepítésnek ez a szakasza sikeresen lezajlott. Ezenkívül megtalálhatók még a tartományvezérlők az Active Directory - felhasználók és számítógépek (Active Directory Users and Computers) konzol "Domain Controllers" nevű mappájában. Ha rákattintunk az egyik nevére a jobb oldali egérgombbal, majd utána a Tulajdonságok (Properties) menüsorra, a megjelenő ablakban a "Szerepkör" ("Role") mezőben a "Tartományvezérlő" ("Domain Controller") bejegyzésnek kell szerepelnie.
Új csoport létrehozása
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Új csoportfiók létrehozása
A Windows felhasználói felületéről
A parancssorból
Új csoportfiók létrehozása a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal arra a mappára, amelyben új csoportot kíván létrehozni.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\mappa
Mutasson az Új pontra, majd kattintson a Csoport parancsra.
Írja be az új csoport nevét.
Alapértelmezés szerint a beírt név az új csoport Windows 2000 rendszer előtti neveként is megjelenik.
A Csoport hatóköre területen kattintson az egyik lehetőségre.
További információt A csoportfiókok ismertetése című témakör „A csoporthatókör ismertetése” című fejezetében talál.
A Csoport típusa területen kattintson az egyik lehetőségre.
További információt A csoportfiókok ismertetése című témakör „A csoporttípusok ismertetése” című fejezetében talál.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Csoportot hozzáadhat úgy is, hogy kijelöli azt a mappát, amelyikbe fel szeretné venni azt, majd az eszköztáron az új csoport ikonjára kattint.
Ha a csoport létrehozására használt tartomány a Windows 2000 – vegyes tartományi működési szintre van állítva, akkor csak a Biztonsági csoporttípust választhatja a Tartományon belüli vagy a Globális hatókörökkel.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
A Windows PowerShell Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt az Új csoport létrehozása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138377). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
A csoportnevek nem egyezhetnek meg a tartományban lévő egyéb csoportnevekkel.
A csoportnevek legfeljebb 64 nagybetűs vagy kisbetűs karaktert tartalmazhatnak.
A csoportnevek nem állhatnak kizárólag szóközökből.
A csoportnevek (Windows 2000 előtti rendszer) (samAccountName objektumattribútum) legfeljebb 256 nagybetűs vagy kisbetűs karaktert tartalmazhatnak a következők kivételével:
" / \ [ ] : ; | = , + * ? <>
A csoportnevek (Windows 2000 előtti rendszer) (samAccountName objektumattribútum) nem állhatnak kizárólag pontokból vagy szóközökből.
Az Active Directory – felhasználók és számítógépek beépülő modulban és az Active Directory felügyeleti központban alapértelmezés szerint a beírt név lesz az új csoport Windows 2000 rendszer előtti neve is.
További források
Csoportok kezelése
Új csoportfiók létrehozása a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsadd group <GroupDN> -samid<SAMName> -secgrp {yes|no} -scope {l|g|u}
Új felhasználói fiók létrehozása
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Tartományi felhasználók kezeléséhez hozzon létre fiókokat az Active Directory tartományi szolgáltatásokban (AD DS). Ezzel ellentétben csak adott számítógépet használó felhasználók kezeléséhez az adott számítógépen hozzon létre helyi felhasználói fiókokat. További információt a Helyi felhasználói fiók létrehozása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138393).
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
----------------
Tag hozzáadása csoporthoz
Frissítve: 2010. január
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Tag hozzáadása egy csoporthoz
A Windows felhasználói felületéről
A parancssorból
Tag hozzáadása egy csoporthoz a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson arra mappára, amely tartalmazza a csoportot, amelyhez tagot szeretne adni.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\a csoportot tartalmazó mappa
A részleteket tartalmazó ablaktáblában kattintson a jobb gombbal a csoportra, és válassza a Tulajdonságok parancsot.
A Tagok lapon kattintson a Hozzáadás gombra.
Az Írja be a kijelölendő objektumok nevét mezőben adja meg a csoporthoz hozzáadni kívánt felhasználó, csoport vagy számítógép nevét, majd kattintson az OK gombra.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Az Active Directory – felhasználók és számítógépek beépülő modult úgy is megnyithatja, ha a Start menü Futtatás parancsára kattint, és beírja a dsa.msc parancsot.
Felhasználók és számítógépek mellett kapcsolattartók és más csoportok is lehetnek csoporttagok.
Tagokat felvehet egy csoportba úgy is, hogy kijelöli a kívánt objektumot, majd A kijelölt objektumok felvétele a megadott csoporthoz eszköztárikonra kattint. Tagobjektum csoporthoz való hozzáadását húzással, illetve a jobb gombbal az objektumra kattintva, majd a Hozzáadás csoporthoz parancsra kattintva is elvégezheti.
Tartományok felügyelete során a szülőtartomány vagy más megbízható tartományok rendszerbiztonsági tagjai nem láthatók a tartományi felhasználók tulajdonságainak Tagság lapján. Kizárólag a jelenlévő tartományi csoportokat adhatja hozzá vagy tekintheti meg. Csak olyan tartományi csoportok jelennek meg, amelyek a jelenlévő tartományban vannak, akkor is, ha a tag más megbízható tartománycsoportokhoz tartozik.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
A Windows PowerShell Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt a Tag hozzáadása csoporthoz című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138378). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Csoportok kezelése
Tag hozzáadása egy csoporthoz a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsmod group <GroupDN> -addmbr <MemberDN>
Paraméter Leírás
<CsoportMegkülönböztetőNeve>
Azon csoportobjektum megkülönböztető neve, amelyhez hozzá szeretné adni az objektumot.
-addmbr
A <TagMegkülönböztetőNeve> érték megadása.
<TagMegkülönböztetőNeve>
A csoporthoz hozzáadni kívánt objektum megkülönböztető neve.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsmod group /?
------------
Csoporthatókör módosítása
Frissítve: 2010. január
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Csoporthatókör módosítása
A Windows felhasználói felületéről
A parancssorból
Csoporthatókör módosítása a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a módosítandó csoporthatókörű csoportot tartalmazó mappára.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\a csoportot tartalmazó mappa
A részleteket tartalmazó ablaktáblában kattintson a jobb gombbal a csoportra, majd válassza a Tulajdonságok parancsot.
Az Általános lap Csoport hatóköre területén jelölje ki a csoporthatókört.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Az Active Directory – felhasználók és számítógépek beépülő modult úgy is megnyithatja, ha a Start menü Futtatás parancsára kattint, és beírja a dsa.msc parancsot.
A csoportok hatóköreit csak akkor módosíthatja, ha a tartomány működési szintje legalább Windows 2000 – natív beállítású.
Egy csoport hatókörének univerzálisról tartományon belüli csoportra való módosítását csak globáliskatalógus-kiszolgálón végezheti el. Ha a tartományvezérlő nem globáliskatalógus-kiszolgáló, hibaüzenet jelenik meg.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra. További információt a Csoporthatókör módosítása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=180675).
Az Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Csoportok kezelése
Csoporthatókör módosítása a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsmod group <GroupDN> -scope {L|G|U}
Paraméter Leírás
<CsoportMegkülönböztetőNeve>
Meghatározza azon csoportobjektum megkülönböztető neveit, amelyre a hatókör meg fog változni.
{L|G|U}
Meghatározza, hogy a csoporthatókör helyi (L), globális (G) vagy univerzális (U). Ha a tartomány működési szintje továbbra is Windows 2000 - vegyes beállítású, az univerzális hatókör nem támogatott. Ugyanígy nem lehetséges egy helyi csoportot globális csoporttá vagy egy globális csoportot helyi csoporttá alakítani.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsmod group /?
----------------
Új számítógépfiók létrehozása
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Új számítógépfiók létrehozása
A Windows felhasználói felületéről
A parancssorból
Új számítógépfiók létrehozása a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal a Számítógépek elemre.
Helye
Active Directory - felhasználók és számítógépek\tartomány csomópontja\Számítógépek
Ehelyett arra a mappára is kattinthat a jobb gombbal, amelyhez a számítógépet hozzá szeretné adni.
Mutasson az Új pontra, és kattintson a Számítógép parancsra.
Írja be a számítógépnevet.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Alapértelmezés szerint a Fiókfelelősök csoport tagjai hozhatnak létre számítógépfiókokat a Számítógépek tárolóban és az új szervezeti egységekben.
Alapértelmezés szerint a Munkaállomás hozzáadása a tartományhoz felhasználói jog hozzá van rendelve egy tartomány Hitelesített felhasználók csoportjához, amely tagjai legfeljebb 10 számítógépfiókot hozhatnak létre a tartományban.
Két további eljárással adhat engedélyt a felhasználóknak vagy csoportoknak arra, hogy számítógépet csatlakoztassanak a tartományhoz:
Csoportházirend-objektum használata a Számítógép/felhasználó hozzáadása felhasználói engedély hozzárendeléséhez
A számítógép-objektumok létrehozására vonatkozó jogosultság hozzárendelése a szervezeti egységben a felhasználóhoz vagy a csoporthoz
Ha a létrehozott fiókot használó számítógép Windows 2000 előtti rendszert futtat, jelölje be A számítógépfiók megjelölése Windows 2000 előtti rendszert futtató számítógépként jelölőnégyzetet.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
Az Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt az Új számítógépfiók létrehozása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138384). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Számítógépek kezelése
Új számítógépfiók létrehozása a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsadd computer <ComputerDN>
Paraméter Leírás
<SzámítógépMegkülönböztetőNeve>
A hozzáadni kívánt számítógép megkülönböztető neve. A megkülönböztető név a címtárbeli helyet határozza meg.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsadd computer /?
--------------------
Számítógépfiók hozzáadása csoporthoz
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Számítógépfiók hozzáadása csoporthoz
A Windows felhasználói felületéről
A parancssorból
Számítógépfiók hozzáadása egy csoporthoz a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a Számítógépek ikonra.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\Számítógépek
Ehelyett a számítógépet tartalmazó mappára is kattinthat.
A részleteket tartalmazó ablaktáblában kattintson a jobb gombbal a számítógépre, és válassza a Tulajdonságok parancsot.
A következő tagja lapon kattintson a Hozzáadás gombra.
Az Írja be a kijelölendő objektumok nevét területen írja be annak a csoportnak a nevét, amelybe tagként fel szeretné venni a számítógépet, és kattintson az OK gombra.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Felhasználók, számítógépek és csoportok tárolóként történő megtekintésekor egy csoportba felvehet számítógépet annak a csoportba húzásával is.
Számítógép csoporthoz adásával engedélyeket rendelhet azon csoport összes számítógépfiókjához, és a csoport összes fiókján szűrheti a csoportházirendek beállításait.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
Az Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt A Windows Server 2008 rendszerhez a jövőben elérhetővé váló források című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138385). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Számítógépek kezelése
Számítógépfiók hozzáadása csoporthoz a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsmod group <GroupDN> -addmbr <ComputerDN>
Paraméter Leírás
<CsoportMegkülönböztetőNeve>
Annak a csoportobjektumnak a megkülönböztető neve, amelyhez hozzá szeretné adni a számítógép-objektumot.
-addmbr
A <SzámítógépMegkülönböztetőNeve> érték megadása.
<SzámítógépMegkülönböztetőNeve>
A csoporthoz hozzáadni kívánt számítógép megkülönböztető neve. A megkülönböztető név a címtárbeli helyet határozza meg.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsmod group /?
---------------
Távoli számítógép kezelése
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Távoli számítógépek kezelése
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a Számítógépek ikonra.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\Számítógépek
Vagy kattintson arra mappára, amely tartalmazza a kezelni kívánt számítógépet.
A részleteket tartalmazó ablaktáblában kattintson a jobb gombbal a számítógépre, és válassza a Kezelés parancsot.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
A Kezelés parancsra kattintva elindul a távoli számítógépek felügyeletére használható Számítógép-kezelés eszköz. Rendszergazdai hitelesítő adatokkal kell rendelkeznie a helyi számítógépen bizonyos információk megtekintéséhez, vagy a számítógép tulajdonságainak a Számítógép-kezelés eszközzel történő módosításához.
--------------
-----------------
Új felhasználói fiók létrehozása
A Windows felhasználói felületéről
A parancssorból
Új felhasználói fiók létrehozása a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
Kattintson a konzolfában a jobb gombbal arra a mappára, amelyhez hozzá kívánja adni a felhasználói fiókot.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\mappa
Mutasson az Új elemre, majd kattintson a Felhasználó parancsra.
Más címtárakkal való együttműködéshez kattintson az InetOrgPerson elemre. Az InetOrgPerson osztályról bővebben A felhasználói fiókok ismertetése című témakörben olvashat.
Az Utónév mezőbe írja be a felhasználó utónevét.
A Monogram mezőbe írja be a felhasználó monogramját.
A Vezetéknév mezőbe írja be a felhasználó vezetéknevét.
Módosítsa a Teljes név mezőt, ha előtagot kíván a névhez adni, vagy meg kívánja cserélni a vezetéknév és az utónév sorrendjét.
A Bejelentkezési név mezőbe írja be a felhasználó bejelentkezési nevét, jelölje ki az egyszerű felhasználónév utótagját a legördülő listában, és kattintson a Tovább gombra.
Ha a felhasználó más nevet fog használni Microsoft® Windows® 95, Windows 98 vagy Windows NT® operációs rendszereket használó gépekre való bejelentkezéshez, a másik névre módosíthatja a Bejelentkezési név (Windows 2000 előtti rendszer) mezőben megjelenő felhasználónevet.
A Jelszó és a Jelszó megerősítése mezőbe írja be a felhasználó jelszavát, majd jelölje ki a megfelelő jelszóbeállításokat.
További szempontok
Az eljárást akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Egy korábban törölt felhasználói fiók nevével egyező nevű új fiók létrehozása nem feltételezi automatikusan a korábban törölt fiókhoz kapcsolt engedélyeket és csoport tagságokat, mert minden fiók biztonsági azonosítója (SID) egyedi. Ha egy törölt felhasználói fiókot kíván duplikálni, minden engedélyt és tagságot kézi úton újra létre kell hoznia.
Új felhasználói fiók létrehozásakor a teljes név attribútumot a program alapértelmezés szerint az UtónévVezetéknév formátumban hozza létre. A teljes név attribútum a megjelenítendő név formátumát is meghatározza a globális címlistában. A megjelenítendő név formátumát az ADSI-szerkesztővel módosíthatja. Ha módosítja a megjelenítendő név formátumát, azzal a teljes név formátuma változik. További információt a Microsoft Tudásbázis 250455-ös számú cikkében talál (http://go.microsoft.com/fwlink/?LinkId=131264).
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell™ környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
A Windows PowerShell Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt az Új felhasználói fiók létrehozása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138369). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Felhasználók kezelése
Új felhasználói fiók létrehozása parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsadd user <UserDN> [-samid<SAMName>] -pwd {<Password>|*}
Paraméter Leírás
<FelhasználóMegkülönböztetőNeve>
A hozzáadni kívánt felhasználói objektum megkülönböztető neve.
-samid
A <SAMNév> érték megadása.
<SAMNév>
Megadhat egy Biztonsági fiókkezelő (SAM-) nevet a felhasználóhoz, amely a felhasználó egyedi SAM-fiókneve lesz (például Linda). Ha a SAM-név nincs megadva, a dsadd parancs automatikusan megkísérli a SAM-fióknév létrehozását a FelhasználóMegkülönböztetőNeve köznapi név első 20 karakteréből.
-pwd
A <Jelszó> érték megadása.
<Jelszó>
A felhasználói fiókhoz használt jelszó. Ha ezt a paramétert * értékre állítja, akkor a program jelszó megadását kéri.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsadd user /?
Bejelentkezési idő megadása
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
A bejelentkezési idő beállítása a Windows felhasználói felületén
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
Kattintson a konzolfa Felhasználók elemére.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\Felhasználók
Kattintson a jobb gombbal a felhasználói fiókra, és válassza a Tulajdonságok parancsot.
A Fiók lapon kattintson a Bejelentkezési idő gombra, majd adja meg a felhasználó bejelentkezéséhez engedélyezett vagy letiltott időpontokat.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Az Active Directory – felhasználók és számítógépek beépülő modult úgy is megnyithatja, ha a Start menü Futtatás parancsára kattint, és beírja a dsa.msc parancsot.
Több felhasználó bejelentkezési idejének módosításához nyomja le és tartsa nyomva a CTRL billentyűt, majd kattintson az egyes felhasználókra. Kattintson a jobb gombbal a kijelölt felhasználókra, és válassza a Tulajdonságok parancsot. A Fiók lapon kattintson a Bejelentkezési idő gombra, majd adja meg a felhasználó bejelentkezéséhez engedélyezett vagy letiltott időpontokat.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
A Windows PowerShell Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
Felhasználói fiók engedélyezése vagy letiltása
Frissítve: 2010. január
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Bizonyos felhasználók bejelentkezésének biztonsági okokból való megakadályozásához letilthat felhasználói fiókokat azok törlése helyett.
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Felhasználói fiókok letiltása és engedélyezése
A Windows felhasználói felületéről
A parancssorból
Felhasználói fiókok letiltása és engedélyezése a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
Kattintson a konzolfa Felhasználók elemére.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\Felhasználók
Ehelyett a felhasználói fiókot tartalmazó mappára is kattinthat.
A részleteket tartalmazó ablaktáblán kattintson a jobb gombbal a felhasználóra.
A fiók állapotától függően hajtsa végre a következők egyikét:
A fiók letiltásához kattintson a Fiók tiltása parancsra.
A fiók engedélyezéséhez kattintson a Fiók engedélyezése parancsra.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Az Active Directory – felhasználók és számítógépek beépülő modult úgy is megnyithatja, ha a Start menü Futtatás parancsára kattint, és beírja a dsa.msc parancsot.
A közös csoporttagságokkal rendelkező letiltott felhasználói fiókok létrehozásával a letiltott felhasználói fiókokat fióksablonokként használhatja, ezzel leegyszerűsítve a felhasználói fiókok létrehozását.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
A Windows PowerShell Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt a Felhasználói fiók engedélyezése vagy letiltása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138374). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Felhasználók kezelése
Felhasználói fiókok letiltása és engedélyezése a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsmod user <UserDN> -disabled {yes|no}
Paraméter Leírás
<FelhasználóMegkülönböztetőNeve>
A hozzáadni kívánt felhasználói objektum megkülönböztető neve.
-disabled
A userAccountControl UF_ACCTDISABLED értékét állítja be.
{yes|no}
Megadja, hogy a bejelentkezés a felhasználói fiókon keresztül letiltott-e (yes) vagy nem (no).
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsmod user /?
------------------
Másik tartomány kezelése
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Más tartomány kezelése
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal az Active Directory – felhasználók és számítógépek elemre, és válassza a Tartomány módosítása parancsot.
Adja meg a tartomány nevét.
Ehelyett a Tallózás gombra is kattinthat, majd kijelölhet egy tartományt a listában.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Ha bejelöli a Tartománybeállítás mentése az aktuális konzolba jelölőnégyzetet, az Active Directory – felhasználók és számítógépek eszköz megkísérel kapcsolódni az Active Directory – felhasználók és számítógépek megnyitásakor a Tartomány mezőben minden alkalommal megadott tartományhoz.
A tartomány neve tartalmazza a tartomány összes szülőtartományának nevét. Az „ertekesites” tartomány teljes neve lehet például ertekesites.kontraktor.hu.
---------------
Tartomány kezelése másik tartományvezérlővel
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Nem szükséges minimális csoporttagság ennek az eljárásnak az elvégzéséhez. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Tartomány kezelése másik tartományvezérlővel
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal az Active Directory – felhasználók és számítógépek elemre,és válassza a Tartományvezérlő váltása parancsot.
Kattintson a tartományvezérlőre a listában.
Ehelyett az <Írja ide a tartományvezérlő nevét vagy az IP-címet> mezőbe is kattinthat, majd beírhatja a tartományvezérlő nevét.
További szempontok
A feladat végrehajtásához nem szükséges rendszergazdai hitelesítő adatokkal rendelkeznie. Biztonsági szempontból ajánlott a feladatot rendszergazdai hitelesítő adatokkal nem rendelkező felhasználóként végrehajtani. A kijelölt tartomány kezeléséhez viszont megfelelő rendszergazdai hitelesítő adatokkal kell rendelkeznie.
Alapértelmezés szerint a tartományvezérlőket első alkalommal történő létrehozásukkor a Tartományvezérlők szervezeti egységben lehet konfigurálni.
Ha bejelölte az A beállítás mentése az aktuális konzolba jelölőnégyzetet az Active Directory – felhasználók és számítógépek eszköz megpróbál csatlakozni a tartományvezérlőhöz, amelyet az Active Directory – felhasználók és számítógépek minden megnyitásakor megad.
-------------
Új szervezeti egység létrehozása
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Új szervezeti egység létrehozása
A Windows felhasználói felületéről
A parancssorból
Új szervezeti egység létrehozása a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal a tartománynévre.
Mutasson az Új elemre, majd kattintson a Szervezeti egység parancsra.
Írja be a szervezeti egység nevét.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Szervezeti egység hozzáadásához kattintson a tartományra vagy mappára, amelyben a szervezeti egységet szeretné hozzáadni, majd kattintson az eszköztár Új szervezeti egység létrehozása az aktuális tárolóban ikonjára.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
Az Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
Erről bővebben az Új szervezeti egység létrehozása című témakörben olvashat (http://go.microsoft.com/fwlink/?LinkId=138390). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Szervezeti egységek kezelése
Új szervezeti egység létrehozása a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsadd ou <OrganizationalUnitDN>
--------------
Szervezeti egység törlése
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Szervezeti egység törlése
A Windows felhasználói felületéről
A parancssorból
Szervezeti egység törlése a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal a törölni kívánt szervezeti egységre.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\szervezeti egység
Kattintson a Törlés parancsra.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Ha a kijelölt szervezeti egység egyéb objektumokat tartalmaz, az Active Directory – felhasználók és számítógépek eszköz arra kéri, hogy válasszon a törlés folytatása vagy megszakítása között. Ha folytatja a törlést, minden objektum törlődik a szervezeti egységben.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
Az Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt a Szervezeti egység törlése című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138391). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Szervezeti egységek kezelése
Szervezeti egységek törlése a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsrm <OrganizationalUnitDN> [-subtree]
Paraméter Leírás
<SzervezetiEgységMegkülönböztetőNeve>
A törölni kívánt szervezeti egység megkülönböztető neve.
-subtree
Megadja, hogy minden, a kijelölt szervezeti egység által tartalmazott objektumot szintén törölni kell.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsrm /?
-------------
https://technet.microsoft.com/hu-hu/library/cc742399(v=ws.11).aspx
---------------
Az Active Directory telepítésének megkezdése előtt több kérdést intéz hozzánk a telepítő varázsló. Sorban mindegyiket meg kell válaszolni és csak utána kezdődhet meg a címtár telepítése. Cikkünkben bemutatunk egy lehetőséget, amellyel előre megadhatók a válaszok és így automatizálható a folyamat. Mikor vesszük ennek hasznát? Például akkor, ha több tartományvezérlőt telepítünk vagy tesztelési céllal több telepítést és eltávolítást hajtunk végre. Akkor is hasznos lehet, ha egy esetleges rendszerösszeomlás miatt újra kell installálni mindent, ugyanis garantált, hogy másodszor is ugyanazok a beállítások fognak szerepelni.
Cikkünkhöz mellékeltünk egy elkészített válaszfájlt "unattend.txt" néven, ami az alábbiakban leírt módon felhasználható az Active Directory telepítésének automatizálására.
Az operációs rendszer felügyelet nélküli telepítéséről már több cikkben szóltunk. Ott egy előre elkészített úgynevezett válaszfájlt használtunk fel, amely tartalmazta a telepítés során felmerülő kérdésekre adandó válaszokat - így azok meg sem jelentek. Mindehhez természetesen a Windows támogatása szükséges. Az Active Directory esetében ugyanez a helyzet. Készítünk egy válaszfájlt és elindítjuk a telepítő varázslót paraméterként megadva a fájl elérési útját és nevét. A varázsló elindításának legegyszerűbb módja, ha futtatjuk a DCPROMO.EXE nevű programot a Start > Futtatás (Start > Run) menü segítségével.
Felügyelet nélküli futtatáshoz használjuk a "/answer:" kapcsolót utána megadva a válaszfájl elérési útját:
dcpromo /answer:c:\install\unattend.txt
Példánkban feltételeztük, hogy a "c:\install" mappában "unattend.txt" néven tárolódik a válaszfájl. Használhatunk más elérési utat és más nevet is.
Nézzük milyen tartalommal kell feltölteni:
Felépítését tekintve a szabványos Windows .INI fájlokhoz hasonlít. Egy szekciót tartalmaz, amit mindjárt az elején szögletes zárójelek között kell megadni.
[DCInstall]
Ezt követik a paraméterek, értékkel ellátva. A következők közül választhatunk, nem kell mindegyiket használni, de ha az adott körülmények között szükségeset kihagyunk, megszakad a felügyelet nélküli telepítés és a rendszer bekéri tőlünk.
AutoConfigDNS
Alapértelmezett érték: Yes
Az Active Directory igényeinek megfelelően automatikusan konfigurálja a DNS névfeloldó kiszolgálót. Javasolt a használata.
AutoConfigDNS=Yes
ChildName
Akkor van jelentősége, ha nem az első tartományvezérlő telepítését végezzük. A meglévő tartománynévhez fűz egy előtagot. Például tegyük fel, hogy eddig létezett egy "proba.hu" tartomány. Beírjuk a válaszfájlba, hogy:
ChildName="informatika"
És az új tartomány neve "informatika.proba.hu" lesz.
CreateOrJoin
Alapértelmezett érték: Join
Két beállítás közül választhatunk. Az egyik:
CreateOrJoin=Create
A tartomány első tartományvezérlőjének telepítésénél alkalmazzuk. Létrehoz egy új erdőt és egy fát. A másik lehetőség:
CreateOrJoin=Join
Új tartományt hoz létre a meglévő erdőben.
DatabasePath
Alapértelmezett érték: %systemroot%\NTDS
Az Active Directory adatbázisának tároló mappáját határozhatjuk meg, ha el akarunk térni az alapértelmezett helytől. Nem létező mappa megadása esetén a telepítő létrehozza.
LogPath
Alapértelmezett érték: %systemroot%\NTDS
Naplóállományok tárolási helye az előzőekkel megegyezően.
SysVolPath
Alapértelmezett érték: %systemroot%\sysvol
A beállításokat tároló "sysvol" mappa helye.
DNSOnNetwork
Alapértelmezett érték: No
Ha a tartomány első tartományvezérlőjének telepítését végezzük, akkor adjunk "Yes" értéket és a telepítő felrakja és bekonfigurálja a DNS-t.
DNSOnNetwork=Yes
Ha "No"-t adunk meg, akkor meglévő DNS kiszolgálóhoz próbál kapcsolódni.
DomainNetBiosName
Itt állíthatjuk be a tartomány NetBios szolgáltatás által is használható nevét. Például:
DomainNetBiosName="Proba"
NewDomainDNSName
Az új tartomány teljes DNS szintaxis szerinti neve. Például:
NewDomainDNSName="informatika.proba.hu"
ParentDomainDNSName
Akkor értelmezett, ha egy létező tartomány új tartományvezérlőjét telepítjük. Ekkor meg kell adni a meglévő Active Directory nevet. Például:
ParentDomainDNSName="proba2.hu"
RebootOnSuccess
Alapértelmezett érték: No
Ha értékét "Yes"-re állítjuk, akkor a telepítés végeztével automatikusan újraindítja a gépet, teljessé téve a kényelmet.
RebootOnSuccess=Yes
ReplicaDomainDNSName
Meglévő tartomány új biztonsági másolat készítő tartományvezérlőjének (Backup Domain Controller (BDC)) telepítésekor van értelmezve Meghatározza, annak a tartománynak a nevét (DNS szintaxis szerint), amelynek az adatbázisa többszörözve (replikálva) lesz. Például:
ReplicaDomainDNSName="proba2.hu"
ReplicaOrMember
Alapértelmezett érték: Member
Windows NT 3.51 vagy NT 4.0 biztonsági másolat készítő tartományvezérlőjének (BDC) Windows 2000-re való frissítésekor meghatározza, hogy BDC-ként fog az új tartományban működni (Replica) vagy vissza lesz minősítve "sima" tartományvezérlővé (Member).
ReplicaOrMember=Replica
ReplicaOrNewDomain
Alapértelmezett érték: Replica
Meghatározza, hogy a gép új tartomány tartományvezérlője (Domain) lesz vagy egy meglévőbe fog kapcsolódni (Replica).
ReplicaOrNewDomain=Domain
SiteName
Alapértelmezett érték: angol Windows-on: "Default-First-Site"
Az új tartományi hely elnevezése. Csak akkor használjuk, ha el akarunk térni az alapértelmezettől. Például:
SiteName="Proba telepites"
TreeOrChild
Alapértelmezett érték: Child
Meghatározza, hogy az új tartomány gyökere egy új fának (Tree) vagy egy meglévő fához kapcsolódik.
TreeOrChild=Tree
UserName
Annak a felhasználói fióknak a neve, ami megfelelő jogosultsággal rendelkezik az Active Directory telepítéséhez. A "Rendszergazdák" csoport tagjának kell lennie. Például:
UserName=Administrator
UserDomain
Az előbbi felhasználói fiókot tartalmazó tartomány neve. Például:
UserDomain=Proba2
Password
Végül meg kell adnunk a felhasználói fiókhoz tartozó jelszót. Például:
Password=xyz123
Nem csak telepítésnél, hanem az Active Directory eltávolításánál is lehet használni a válaszfájlt. Menete ugyanaz, mint az előbb és a következő paraméterek állnak rendelkezésre:
AdministratorPassword
Amíg működik az Active Directory, minden felhasználói fiókot és jelszót tárol. Eltávolítása után egy rendszergazdai jogokat tartalmazó fiók marad, magyar rendszereken "Rendszergazda", angolon pedig "Administrator" névvel. Ennek a jelszavát adhatjuk meg itt. Ha nem tesszük meg, nem rendelődik a fiókhoz jelszó (ez az alapértelmezett beállítás). Miután vége a teljes eltávolítási folyamatnak a válaszfájl törlődik, így nem lehet kiolvasni belőle a jelszót.
IsLastDCInDomain
Alapértelmezett érték: No
Ha a tartomány utolsó tartományvezérlőjét távolítjuk el, megszűnik a tartomány a benne lévő felhasználó fiókokkal, jelszavakkal, titkosítási kulcsokkal, stb. együtt. Amíg legalább egy gépen tárolódik az Active Directory adatbázisa, lehetőség van a többszörözésre. Ha ennek a paraméternek "Yes" értéket adunk, megszüntetjük a tartományt.
IsLastDCInDomain=Yes
Végül nézzünk egy példát egy lehetséges válaszfájlra:
[DCInstall]
AdministratorPassword=xyz
AutoConfigDNS=Yes
DomainNetBiosName="proba"
DNSOnNetwork=No
NewDomainDNSName="proba.hu"
RebootOnSuccess=Yes
ReplicaOrNewDomain=Domain
TreeOrChild=Tree
CreateOrJoin=Create
UserName=Administrator
Password=xyz
UserDomain=proba
--------------
Active Directory alapok
Az Active Directory címtár az adatbázisból és az azt futtató Active Directory szolgáltatásból áll. Fő célja a Windowst futtató számítógépek részére autentikációs és autorizációs szolgáltatások nyújtása, lehetővé téve a hálózat minden publikált erőforrásának (fájlok, megosztások, perifériák, kapcsolatok, adatbázisok, felhasználók, csoportok stb.) központosított adminisztrálását – vagy éppen a rendszergazdai jogosultságok delegálásával a decentralizált felügyeletét. Számos különböző erőforráshoz (megosztott mappák, nyomtatók, levelezés stb.) egyetlen felhasználónév/jelszó páros megadásával biztosít hozzáférést (Single Sign On, SSO). Lehetőséget nyújt a rendszergazdák számára házirendek kiosztására, szoftverek és szoftverfrissítések telepítésére a szervezeten belül. Az Active Directory az információkat és beállításokat egy központi adatbázisban tárolja, a tartományvezérlő számítógépe(ke)n. Ennek az adatbázisnak a mérete egy kisvállalat néhány száz objektumától egy több ezer szervert üzemeltető nemzetközi vállalat sok millió objektumáig terjedhet. Az Active Directory szükséges néhány Windows-összetevő, mint például az Exchange, az RRAS, az ISA Server vagy a Certificate Services működéséhez.
Egy Active Directory-címtár legmagasabb szintje az erdő (forest), ami egy vagy több bizalmi kapcsolatokkal (trust) összekötött tartományt (domain) magába foglaló egy vagy több fa (tree) összessége. A tartományokat DNS-beli névterük azonosítja. A címtár objektumait a Directory Information Tree (címtárinformációs fa, DIT) adatbázisa tárolja, ami három partícióra bomlik, ezek: az objektumok tulajdonságait leíró sémapartíció (schema partition), az erdő szerkezetét (tartományokat, fákat, helyeket) leíró konfigurációs partíció (configuration partition) és a tartomány objektumait tartalmazó tartományi partíció (domain partition). Ezeken kívül létezhetnek alkalmazáspartíciók (application partition) is.559 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Mit "tud" az AD? Milyen részei vannak? Milyen kiszolgálói szerepköröket különböztetünk meg egy Windows tartományban? Ezekre a kérdésekre kaphatunk választ most.
A tartományban lévő objektumok szervezeti egységekbe (Organizational Unit, OU) rendezhetők. Az OU-k adnak a tartománynak az adminisztrációt megkönnyítő hierarchiát, segítségükkel az Active Directory struktúrájára leképezhető a vállalat szervezeti felépítése vagy földrajzi elhelyezkedése. Egy OU tartalmazhat egy vagy több más OU-t is (ilyen értelemben a tartomány is tekinthető OU-nak), a többszörös egymásba ágyazás is megengedett. A Microsoft azt javasolja, hogy az Active Directoryt minél kevesebb tartományra bontsuk szét, és inkább szervezeti egységek létrehozásával tagoljuk a címtárat. A csoportházirendek (amik szintén AD objektumok, csoportházirend-objektum – Group Policy Object, röviden GPO néven) általában az OU szintjén fejtik ki hatásukat, bár tartomány és hely (site) szinten is alkalmazhatók. Többnyire az OU szintjén szokás a rendszergazdai jogosultságokat delegálni, bár a delegáció akár egyedi objektumok, sőt attribútumok szintjén is beállítható.
https://channel9.msdn.com/Events/DX-Hungary/Microsoft-TechDays-Roadshow-2015/Klasszikus-zemeltetsi-alapok-1-dem-3-Active-Directory-felgyeleti-eszkzk
Rövid áttekintés
Ha definiálni szeretnénk a címtár fogalmát, akkor frappánsan mondhatnánk így: a címtár a hálózat minden erőforrását azonosítja, és hierarchikus rendszerben tárolja. Kiegészíthetjük a definiciót továbbá azzal, hogy az azonosítás és tárolás mellett a hálózat fizikai felépítését és protokolljait átláthatóvá teszi, így a hálózat bármely erre feljogosított felhasználója elérheti a hálózat bármely erőforrását anélkül, hogy tudná hol találhatóak azok valójában, vagy hogyan is kapcsolódnak egymáshoz fizikailag. Ezek a fogalmak bármilyen címtárra, így a Windows Server 2003 címtárszolgáltatására az Active Directory-ra is igazak.
Windows Server 2003 címtára egy teljes egészében bővíthető és méretezhető szolgáltatás. Az Active Directory a hálózat minden egyes publikált erőforrásának egy helyben történő adminisztrálási lehetőségét nyújtja, amibe beleértendők a fájlok és megosztások, perifériák, gép kapcsolatok, adatbázisok, felhasználók, csoportok és egyéb tetszőleges objektumok és szolgáltatások.
Az Active Directory előnye a hálózati rendszergazdák, fejlesztők és felhasználók számára a különböző szolgáltatásokban áll, amelyek:
Lehetőséget adnak a hálózatba való bejelentkezés és a hálózati felügyelet egyetlen helyről történő megvalósítására.
Integrálják mind az internetes, mind az intranetes környezetet.
Méretezhetőek a kisebb cégektől a nagyobb vállalatokon keresztül a nemzetközi, több kontinensen is átivelő hálózatokig is.
Az Active Directory beépített biztonsági szolgáltatása kétrétegű: megoldja a bejelentkezési azonosítást, illetve szabályozza az objektumokhoz való hozzáférést. Az üzemeltetők egyetlen bejelentkezéssel kezelhetik a címtár adatait a teljes hálózaton, a megfelelően hitelesített felhasználók pedig a hálózaton bárhol hozzáférhetnek az erőforrásokhoz. A felügyeleti rendszer alapját képező, rendkívül összetett lehetőségekkel rendelkező Csoportos házirend megoldás megkönnyítheti a legbonyolultabb hálózat felügyeletét is.
Az Active Directory részei
A séma (Schema)
Olyan objektum tulajdonságokat leíró gyűjtemény, amely meghatározza a címtárban lévő összes objektum (pl. felhasználói fiókok, szervezeti egységek, nyomtatók stb.) és attribútumok osztályát, az ezekre vonatkozó szabályokat és korlátokat, valamint az elnevezés formátumát. Minden olyan esetben, amikor uj objektumtípusok kerülnek a címtárba, a sémát bővíítenünk kell a rájuk vonatkozó leírással és szabályokkal (pl. Exchange Server telepítése, Windows 2000 Server frissítése Windows Server 2003-ra, stb.). A sémabővítés lehetősége minden alkalmazás számára nyitott (természetesen megfelelő jogosultságok birtokában).
A globális katalógus (Global Catalog, GC)
Olyan tartományvezérlői szerep, amely hordozója a címtár összes objektumának alapadataival, elérhetőségeiknek információjával rendelkezik. A saját tartományából teljes, a további szorosan kapcsolódó tartományokból részleges méretű objekumokmásolatokat tartalmaz, így a globális katalógus segítségével kereshetőek a címtáradatok függetlenül attól, hogy valójában a címtár melyik tartománya tartalmazza azokat. Alapértelmezés szerint a frissítés előtti PDC, illetve az elsőnek telepített tartományvezérlő hordozza ezt a szerepet. Telephelyek esetén kötelező (bár ebben is van immár változás, lásd W2K3 AD I. cikk), de egyébként sem árthat, ha több globális katalógus kiszolgálónk van. Ezt az Active Directory Helyek és Szolgáltatások (Active Directory Sites and Services) MMC-ben, Helyek (Sites) faszerkezetet kibontva, az NTDS Settings tulajdonságait kibontva pipálhatjuk be.
Lekérdezési és indexelési rendszer
Ennek segítségével a felhasználók és alkalmazások objektumokat és azok tulajdonságait publikálhatják, illetve kereshetik meg.
A replikációs szolgáltatás
Nagyon fontos összetevő a replikációs szolgáltatás, amely a címtár adatait terjeszti a hálózaton. Mivel tartomány összes tartományvezérlőjén módosíthatóak a címtár adatai, ezért az összes tartományvezérlő automatikusan részt is vesz a replikációban, tehát a címtáradatok bármilyen módosítását a rendszer a tartomány összes tartományvezérlőjére replikálja. Ennek megfelelelően az összes tartományvezérlő tartalmazza a tartományra vonatkozó összes aktuális címtáradatot.
Kiszolgálói szerepkörök egy Windows tartományban
Milyen szerverszerepeket szánhatunk a kiszolgáló(k)nak? Amennyiben nem Windows 2000 tartományvezérlőt frissítünk, ezzel a dilemmával is ráérünk elvileg a telepítés után, hiszen a Windows 2000 Server óta a tartomány létrehozása és a szerver tartományvezérlővé való előléptetése az operációs rendszer telepítése után, ettől függetlenül következhet.
Háromféle szerepkört tölthet be egy Windows Server 2003 (vagy Windows 2000, mert ebben gyakorlatilag semmilyen változás nem történt) operációs rendszer, ebből az első kettő tartományi szerep:
Tartományvezérlő (Domain Controller): a funkcionalitás csúcsa, egy tartomány fő avagy tartalék vezérlője, a címtár esetleges létrehozója (az első tartományvezérlő) és tárolója (az összes tartományvezérlő), más kiszolgáló szoftverek háttérkörnyezete, néhány esetben célszerű a tartományvezérlőre telepíteni a szerverszolgáltatást, pl. a belső tartományt kiszolgáló DNS szerver.
Tagkiszolgáló (Member Server): a tartomány tagja, de nem tárolója a címtárnak, nem dolgoz fel a fiókbejelentkezéseket, nem vesz részt az Active Directory replikációjában. A tagkiszolgálók lehetnek fájlkiszolgálók, alkalmazás-kiszolgálók, adatbázis-kiszolgálók, webkiszolgálók, tanúsítvány-kiszolgálók (csak a stand-alone típus), tűzfal vagy távelérés-kiszolgálók. Néhány esetben kifejezetten célszerű a tagkiszolgálóra telepíteni a szerver szolgáltatást (pl. ISA Server Standard).
Különálló (Stand-alone Server): nem tagja a tartománynak, csak munkacsoportba beléptetett kiszolgáló, néhány speciális feladatra kihegyezve. Az ilyen típusú kiszolgáló csak a saját felhasználói adatbázisát tudja használni, ennek megfelelően saját maga is dolgozza fel a bejelentkezési kérelmeket. A fiókok adatait nem képes megosztani más gépekkel és nincs hozzáférése a tartományi fiókokhoz.
-------------
A telepítés után a kiszolgáló újraindul, majd grafikus verziónál bejelentkezés után elindul az új kiszolgálókezelő.
A kezdeti konfigurációs képernyőn a következő beállításokat tudjuk elvégezni: (lehetőleg
ebben a sorrendben)
Első feladat a PDC Emulator konfigurálása a tartományunkban. Mint az az ábrán is jól látszik a PDC Emulator szórja az idő adatokat a tartományon belül. Ez az ábrán külön gépként szerepel, de alapértelmezetten az elsődleges - vagy egyetlen - tartományvezérlőnk automatikusan PDC Emulator szerepkört kap. Ezt az alábbi helyen tudjuk ellenőrizni, miután beléptünk az elsődleges tartományvezérlőre: Active Directory Users and Computer - View - Advanced Features pipáljuk be, majd a domain-ünk nevén kattintsunk jobb gombbal, Operations Masters - PDC fül. Amelyik gépet itt látjuk, az a PDC Emulator.
https://www.youtube.com/watch?v=0WyBxwJD_c0
Server Core telepítése
Érintett kiadások: Windows Server (féléves csatorna) és Windows Server 2016
Amikor első alkalommal telepíti a Windows Server 2016 rendszert, akkor a következő telepítési lehetőségek közül választhat:
A következő listában az „Asztali élmény” kiegészítés nélküli kiadások maguk a Server Core telepítési lehetőségek
Windows Server Standard
Windows Server Standard Asztali élménnyel
Windows Server Datacenter
Windows Server Datacenter Asztali élménnyel
Amikor első alkalommal telepíti a Windows Server 1709-es verzióját, akkor a következő telepítési lehetőségek közül választhat:
Windows Server Standard
Windows Server Datacenter
Mivel a Server Core lehetőség csökkenti a szükséges lemezterületet és a potenciális támadási felületet, ezért javasolt ezt a telepítési módot használni, ha nincs kifejezetten szüksége a kiszolgáló Asztali élménnyel beállítás kiegészítő felhasználói felületi elemeire és grafikus felügyeleti eszközeire. Ha úgy érzi, hogy szüksége van a további felhasználói felületi elemekre, tekintse át a Kiszolgáló telepítése Asztali élménnyel című cikket.
A Server Core lehetőséggel a szabványos felhasználói felület (az asztali kezelőfelület) telepítése nem történik meg. A kiszolgálót a parancssorral, a Windows PowerShell használatával vagy távoli módszerekkel kezelheti.
A Windows Server egyes korábbi verzióival ellentétben a telepítést követően nem végezhet konvertálást a Server Core- és az Asztali kezelőfelülettel telepített példányok között. Ha a Server Core változatot telepíti, és később az Asztali kezelőfelülettel telepített példány használata mellett dönt, újra kell telepítenie a rendszert.
Felhasználói felület: parancssor
A kiszolgálói szerepkörök telepítése, konfigurálása, eltávolítása helyileg: Windows PowerShell funkcióval rendelkező parancssorban.
Kiszolgálói szerepkörök távoli telepítése, konfigurálása és eltávolítása a Windows ügyfélszámítógépről (vagy asztali kezelőfelülettel telepített kiszolgálóról: a Kiszolgálókezelővel, a Távoli kiszolgáló felügyeleti eszközökkel (RSAT), a Windows PowerShell-lel vagy a Project Honoluluval.
Nano Server telepítése
A Windows Server 1709-es verziójától kezdve a Nano Server csak tárolóalap operációsrendszer-lemezképként lesz elérhető. Olvassa el a Nano Server változásai című cikket, hogy megtudja, mit jelent ez.
A Windows Server 2016 egy új telepítési lehetőséget kínál, a Nano Servert. A Nano Server egy magánfelhőkre és adatközpontokra optimalizált, távolról felügyelhető kiszolgálói operációs rendszer. Hasonló a Windows Server Server Core módjához, de annál sokkal kisebb, nem rendelkezik bejelentkezési képességekkel, és csak 64 bites alkalmazásokat, eszközöket és ügynököket támogat. Jóval kevesebb lemezterületet igényel, gyorsabban telepíthető, és sokkal kevesebb frissítést és újraindítást igényel, mint a Windows Server. Amikor újraindítják, sokkal gyorsabban indul újra. A Nano Server telepítési lehetőség a Windows Server 2016 Standard és Datacenter kiadásához érhető el.
A Nano Server számos forgatókönyv esetén lehet ideális megoldás:
Fürtökben vagy önállóan elhelyezkedő Hyper-V-virtuálisgépek „számítási” gazdagépeként
Kibővíthető fájlkiszolgálók tárológazdagépeként
DNS-kiszolgálóként
Internet Information Services (IIS) szolgáltatást futtató webkiszolgálóként
Olyan alkalmazások gazdagépeként, amelyek felhőbeli alkalmazásmintákkal lettek kifejlesztve, és egy tárolóban vagy egy virtuális gép vendég operációs rendszerén futnak
Fontos különbségek a Nano Serverben
Mivel a Nano Server egy kis erőforrásigényű operációs rendszer, amelyet tárolókra és mikroszolgáltatásokra épülő, „natív felhőalapú” alkalmazások futtatására, valamint erőteljesen csökkentett erőforrásigényű, agilis és költséghatékony adatközpontot kiszolgáló gazdagép szerepre terveztek, lényeges különbségek vannak a Nano Server és a Server Core vagy az asztali kezelőfelülettel telepített szerverek között:
A Nano Server csak távfelügyelettel kezelhető: sem helyi bejelentkezési lehetőséggel, sem grafikus felhasználói felülettel nem rendelkezik.
Kizárólag 64 bites alkalmazásokat, eszközöket és ügynököket támogat.
A Nano Server nem használható Active Directory-tartományvezérlőként.
Csoportházirendeket nem támogat. Használható azonban a Célállapot-konfiguráló szolgáltatás a beállítások tömeges alkalmazásához.
A Nano Server nem konfigurálható úgy, hogy proxykiszolgálót használjon interneteléréshez.
A Hálózati adapterek összevonása (különösen a terhelésleosztáshoz és feladatátvételhez (LBFO)) nem támogatott. Helyette a kapcsoló-beágyazott összevonás (SET) használata támogatott.
A System Center Configuration Manager és a System Center Data Protection Manager nem támogatott.
Az Ajánlott eljárásokat elemző eszköz (BPA) parancsmagjai és a BPA integrációja a Kiszolgálókezelővel nem támogatott.
A Nano Server nem támogatja a virtuális gazdabuszadaptereket (HBA).
A Nano Servert nem kell termékkulccsal aktiválni. Ha a Nanon Server Hyper-V-gazdagépként működik, nem támogatja a Virtuális gépek automatikus aktiválása (AVMA) funkciót. A Nano Server-gazdagépen futó virtuális gépek a Kulcskezelő szolgáltatás (KMS) használatával aktiválhatók általános mennyiségi licenckulccsal, vagy az Active Directory-alapú aktiválás segítségével.
A Windows PowerShell Nano Serverhez elérhető verziójában fontos eltérések vannak. További információ: A Nano Serveren futó PowerShell különbségei.
A Nano Serverhez csak az Aktuális üzleti ág (CBB) modellben jár támogatás, Hosszú távú karbantartási ág (LTSB) jelenleg nem érhető el hozzá. Az alábbi alszakaszban további információkat talál.
---------------
az Active Directory tartományvezérlőinek telepítésével foglalkozunk, végighaladva az első, majd az ehhez kapcsolódó többi géppel végzendő lépéseken. Az előkészületek:
Ha még nincs a hálózaton Active Directory, alapvető feltétel az operációs rendszer feltelepítése után a TCP/IP protokoll megléte. Amennyiben a telepítés folyamán van hálózati kártya a kiszolgálóban, ennek telepítése meg is történik. Ha utólag helyezzük az eszközt a gépbe, a meghajtó programjának feltelepítése alkalmával adódik hozzá.
Az Active Directory az IP címek gépnevekre való konvertálását a DNS kiszolgáló segítségével oldja meg. Azonban ennek előtelepítése nem szükségszerű, mert a címtárat telepítő varázsló menet közben felrakja.
Nagyon fontos, hogy működő hálózati kapcsolatunk legyen. Ez elég, ha abból áll, hogy a gép hálózati kártyája egy bekapcsolt HUB-al van összekötve. Ennek hiányában két gép is összeköthető ún. Cross Over kábelen keresztül, viszont ilyenkor a másik gépnek is bekapcsolva kell lenni. Amennyiben nem teljesül ez a feltétel, a címtár telepítése az utolsó fázisában hibaüzenettel fog leállni.
Az Active Directory telepítő varázslójának elindításához kattintsunk a Start > Programok > Felügyeleti eszközök > Kiszolgáló konfigurálása (Start > Programs > Administrative Tools > Configure Your Server) menüpontra és a megjelenő ablak bal oldalán az Active Directory sorra. Ennek hatására megjelenik az ablak jobb felén egy rövid leírás, aminek a vége felé található egy "Indítsa el az Active Directory varázslót" ("Start the Active Directory wizard") felirat. Ebben az "Indítsa el" ("Start") szerepel aláhúzva, ha rákattintunk elindul a varázsló. Van egy rövidebb út is: a Start > Futtatás (Start > Run) mezőbe írjuk be: dcpromo. Mindkét esetben a %systemroot%\system32\dcpromo.exe programja indul el.
Az első tartományvezérlő telepítése:
Viszonylag egyszerű a helyzet, mert a varázsló úgy van beállítva, hogy feltételezze: az első tartományvezérlő telepítése zajlik. Nagyrészt csak a "Tovább" ("Next") gombokra kell kattintani, ezért címszavakban ismertetjük a lépéseket.
Példának vegyük az "animare.zp" tartománynevet:
Új tartomány új tartományvezérlője > Új tartományfa létrehozása > Tartományfák új erdőjének létrehozása > Az új tartomány teljes DNS-neve: animare.zp > Tartomány NetBIOS-neve: animare (Az adatbázis, logfájl és sysvol mappa helyén nem szükséges változtatni) > Következik egy hibaüzenet, ha nincs megfelelő DNS kiszolgáló, majd > Igen, telepítsen és állítson be DNS kiszolgálót ezen a számítógépen > Windows 2000 előtti kiszolgálókkal kompatibilis engedélyek
Angol nyelvű szerveren:
Domain controller for a new domain > Create a new domain tree > Create a new forest of domain trees > Full DNS name for new domain: animare.zp > Domain NetBIOS name: animare (Az adatbázis, logfájl és sysvol mappa helyén nem szükséges változtatni) > Yes, install and configure DNS on this computer > Permissions compatible with pre-Windows 2000 servers
Az összegzést követően további adatokat nem kell megadnunk a varázsló számára, most következik a telepítés. Ha nem létezik a fent említett aktív fizikai kapcsolat a hálózaton, ezen a ponton fog hibaüzenettel leállni a telepítés. A konfigurálás a gép hardverösszetevőitől függően néhány percig tart, de nem célszerű magára hagyni, mert kérheti a Windows 2000 telepítőlemezét (például amikor a DNS-t rakja fel).
Mindennek a végén következik az operációs rendszer újraindítása és használatba vehető a címtár.
További tartományvezérlők telepítése:
Adva van egy működő Active Directory tartomány egyetlen tartományvezérlővel. Ebbe a rendszerbe szeretnénk még egy tartományvezérlőt telepíteni (ha nem egyet, hanem többet, akkor mindegyiknél ugyanígy kell eljárni).
A kiszolgálóknak fix IP címet kell adni, példánkban az első szerveré legyen: 192.168.0.1, folytatva a sort, a következő tartományvezérlő kapja a 192.168.0.2-es IP címet és így tovább. Itt jön egy meghatározó dolog: az első szerver telepítésénél nem volt alapfeltétel a működő DNS, a továbbiaknál e nélkül nem megy. Ezért a leendő tartományvezérlő hálózati beállításai (Vezérlőpult > Hálózati és telefonos kapcsolatok > Helyi kapcsolat > Tulajdonságok > TCP/IP protokoll > Tulajdonságok (Control Panel > Network and Dial-up Connections > Local Area Connection > Properties > Internet Protocol (TCP/IP) > Properties)) a következőképpen alakulnak: IP cím = 192.168.0.2, Alhálózati maszk = 255.255.255.0, DNS kiszolgáló = 192.168.0.1 (ha esetleg különálló DNS kiszolgálót üzemeltetünk, akkor ennek a címét adjuk meg). Ha kimarad a DNS, a konfigurálás a későbbiekben egy hibaüzenettel megáll.
Van még egy gyakori probléma, ami megakadályozhatja a telepítést: az eltérő IP biztonsági (IPSec) beállítások. Gondoskodjunk ezek egyezéséről a csoportházirendben a
Felügyeleti eszközök > Active Directory - felhasználók és számítógépek > Domain Controllers > Tulajdonságok > Csoportházirend > Szerkesztés > Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > IP-biztonsági házirendek - Active Directory (Administrative Tools > Active Directory Users and Computers > Domain Controllers > Properties > Group Policy > Edit > Computer Configuration > Windows Settings > Security Settings > IP Security Policies on Active Directory)
vagy ennek hiányában a hálózati beállításoknál a
Vezérlőpult > Hálózati és telefonos kapcsolatok > Helyi kapcsolat > Tulajdonságok > TCP/IP protokoll > Tulajdonságok > Speciális > Beállítások > IP-biztonság > Tulajdonságok (Control Panel > Network and Dial-up Connections > Local Area Connection > Properties > Internet Protocol (TCP/IP) > Properties > Advanced > Options > IP-security > Properties)
oldalon.
Ezután következhet az Active Directory telepítése az új tartományvezérlőn a "dcpromo" nevű programmal:
További tartományvezérlő már meglévő tartományban (Additional domain controller for an existing domain) > Tartománynév: animare.zp > Az adatbázis, logfájl és sysvol mappa helyén nem szükséges változtatni > A tartományban érvényes rendszergazdai fiók nevének és jelszavának beírása következik, majd megkezdődik a telepítés - a meglévő séma és adatbázis átvitele ekkor zajlik le. A végén újra kell indítani a gépet és már használatba is vehető az új tartományvezérlő. Mindez eltérő nyelvi környezetet használó Windows 2000 operációs rendszerek esetén is működik: lehet például az egyik tartományvezérlőn magyar a másikon pedig angol.
Hogy ellenőrizhető legegyszerűbben, hogy sikeres volt a tartományvezérlő telepítése? Nézzük meg az Active Directory - Helyek és szolgáltatások (Active Directory Sites and Services) MMC konzol Sites > Default-first-site-name > Servers mappájában megjelent-e az új gép. Ha igen, a telepítésnek ez a szakasza sikeresen lezajlott. Ezenkívül megtalálhatók még a tartományvezérlők az Active Directory - felhasználók és számítógépek (Active Directory Users and Computers) konzol "Domain Controllers" nevű mappájában. Ha rákattintunk az egyik nevére a jobb oldali egérgombbal, majd utána a Tulajdonságok (Properties) menüsorra, a megjelenő ablakban a "Szerepkör" ("Role") mezőben a "Tartományvezérlő" ("Domain Controller") bejegyzésnek kell szerepelnie.
Új csoport létrehozása
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Új csoportfiók létrehozása
A Windows felhasználói felületéről
A parancssorból
Új csoportfiók létrehozása a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal arra a mappára, amelyben új csoportot kíván létrehozni.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\mappa
Mutasson az Új pontra, majd kattintson a Csoport parancsra.
Írja be az új csoport nevét.
Alapértelmezés szerint a beírt név az új csoport Windows 2000 rendszer előtti neveként is megjelenik.
A Csoport hatóköre területen kattintson az egyik lehetőségre.
További információt A csoportfiókok ismertetése című témakör „A csoporthatókör ismertetése” című fejezetében talál.
A Csoport típusa területen kattintson az egyik lehetőségre.
További információt A csoportfiókok ismertetése című témakör „A csoporttípusok ismertetése” című fejezetében talál.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Csoportot hozzáadhat úgy is, hogy kijelöli azt a mappát, amelyikbe fel szeretné venni azt, majd az eszköztáron az új csoport ikonjára kattint.
Ha a csoport létrehozására használt tartomány a Windows 2000 – vegyes tartományi működési szintre van állítva, akkor csak a Biztonsági csoporttípust választhatja a Tartományon belüli vagy a Globális hatókörökkel.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
A Windows PowerShell Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt az Új csoport létrehozása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138377). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
A csoportnevek nem egyezhetnek meg a tartományban lévő egyéb csoportnevekkel.
A csoportnevek legfeljebb 64 nagybetűs vagy kisbetűs karaktert tartalmazhatnak.
A csoportnevek nem állhatnak kizárólag szóközökből.
A csoportnevek (Windows 2000 előtti rendszer) (samAccountName objektumattribútum) legfeljebb 256 nagybetűs vagy kisbetűs karaktert tartalmazhatnak a következők kivételével:
" / \ [ ] : ; | = , + * ? <>
A csoportnevek (Windows 2000 előtti rendszer) (samAccountName objektumattribútum) nem állhatnak kizárólag pontokból vagy szóközökből.
Az Active Directory – felhasználók és számítógépek beépülő modulban és az Active Directory felügyeleti központban alapértelmezés szerint a beírt név lesz az új csoport Windows 2000 rendszer előtti neve is.
További források
Csoportok kezelése
Új csoportfiók létrehozása a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsadd group <GroupDN> -samid<SAMName> -secgrp {yes|no} -scope {l|g|u}
Új felhasználói fiók létrehozása
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Tartományi felhasználók kezeléséhez hozzon létre fiókokat az Active Directory tartományi szolgáltatásokban (AD DS). Ezzel ellentétben csak adott számítógépet használó felhasználók kezeléséhez az adott számítógépen hozzon létre helyi felhasználói fiókokat. További információt a Helyi felhasználói fiók létrehozása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138393).
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
----------------
Tag hozzáadása csoporthoz
Frissítve: 2010. január
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Tag hozzáadása egy csoporthoz
A Windows felhasználói felületéről
A parancssorból
Tag hozzáadása egy csoporthoz a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson arra mappára, amely tartalmazza a csoportot, amelyhez tagot szeretne adni.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\a csoportot tartalmazó mappa
A részleteket tartalmazó ablaktáblában kattintson a jobb gombbal a csoportra, és válassza a Tulajdonságok parancsot.
A Tagok lapon kattintson a Hozzáadás gombra.
Az Írja be a kijelölendő objektumok nevét mezőben adja meg a csoporthoz hozzáadni kívánt felhasználó, csoport vagy számítógép nevét, majd kattintson az OK gombra.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Az Active Directory – felhasználók és számítógépek beépülő modult úgy is megnyithatja, ha a Start menü Futtatás parancsára kattint, és beírja a dsa.msc parancsot.
Felhasználók és számítógépek mellett kapcsolattartók és más csoportok is lehetnek csoporttagok.
Tagokat felvehet egy csoportba úgy is, hogy kijelöli a kívánt objektumot, majd A kijelölt objektumok felvétele a megadott csoporthoz eszköztárikonra kattint. Tagobjektum csoporthoz való hozzáadását húzással, illetve a jobb gombbal az objektumra kattintva, majd a Hozzáadás csoporthoz parancsra kattintva is elvégezheti.
Tartományok felügyelete során a szülőtartomány vagy más megbízható tartományok rendszerbiztonsági tagjai nem láthatók a tartományi felhasználók tulajdonságainak Tagság lapján. Kizárólag a jelenlévő tartományi csoportokat adhatja hozzá vagy tekintheti meg. Csak olyan tartományi csoportok jelennek meg, amelyek a jelenlévő tartományban vannak, akkor is, ha a tag más megbízható tartománycsoportokhoz tartozik.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
A Windows PowerShell Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt a Tag hozzáadása csoporthoz című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138378). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Csoportok kezelése
Tag hozzáadása egy csoporthoz a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsmod group <GroupDN> -addmbr <MemberDN>
Paraméter Leírás
<CsoportMegkülönböztetőNeve>
Azon csoportobjektum megkülönböztető neve, amelyhez hozzá szeretné adni az objektumot.
-addmbr
A <TagMegkülönböztetőNeve> érték megadása.
<TagMegkülönböztetőNeve>
A csoporthoz hozzáadni kívánt objektum megkülönböztető neve.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsmod group /?
------------
Csoporthatókör módosítása
Frissítve: 2010. január
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Csoporthatókör módosítása
A Windows felhasználói felületéről
A parancssorból
Csoporthatókör módosítása a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a módosítandó csoporthatókörű csoportot tartalmazó mappára.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\a csoportot tartalmazó mappa
A részleteket tartalmazó ablaktáblában kattintson a jobb gombbal a csoportra, majd válassza a Tulajdonságok parancsot.
Az Általános lap Csoport hatóköre területén jelölje ki a csoporthatókört.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Az Active Directory – felhasználók és számítógépek beépülő modult úgy is megnyithatja, ha a Start menü Futtatás parancsára kattint, és beírja a dsa.msc parancsot.
A csoportok hatóköreit csak akkor módosíthatja, ha a tartomány működési szintje legalább Windows 2000 – natív beállítású.
Egy csoport hatókörének univerzálisról tartományon belüli csoportra való módosítását csak globáliskatalógus-kiszolgálón végezheti el. Ha a tartományvezérlő nem globáliskatalógus-kiszolgáló, hibaüzenet jelenik meg.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra. További információt a Csoporthatókör módosítása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=180675).
Az Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Csoportok kezelése
Csoporthatókör módosítása a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsmod group <GroupDN> -scope {L|G|U}
Paraméter Leírás
<CsoportMegkülönböztetőNeve>
Meghatározza azon csoportobjektum megkülönböztető neveit, amelyre a hatókör meg fog változni.
{L|G|U}
Meghatározza, hogy a csoporthatókör helyi (L), globális (G) vagy univerzális (U). Ha a tartomány működési szintje továbbra is Windows 2000 - vegyes beállítású, az univerzális hatókör nem támogatott. Ugyanígy nem lehetséges egy helyi csoportot globális csoporttá vagy egy globális csoportot helyi csoporttá alakítani.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsmod group /?
----------------
Új számítógépfiók létrehozása
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Új számítógépfiók létrehozása
A Windows felhasználói felületéről
A parancssorból
Új számítógépfiók létrehozása a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal a Számítógépek elemre.
Helye
Active Directory - felhasználók és számítógépek\tartomány csomópontja\Számítógépek
Ehelyett arra a mappára is kattinthat a jobb gombbal, amelyhez a számítógépet hozzá szeretné adni.
Mutasson az Új pontra, és kattintson a Számítógép parancsra.
Írja be a számítógépnevet.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Alapértelmezés szerint a Fiókfelelősök csoport tagjai hozhatnak létre számítógépfiókokat a Számítógépek tárolóban és az új szervezeti egységekben.
Alapértelmezés szerint a Munkaállomás hozzáadása a tartományhoz felhasználói jog hozzá van rendelve egy tartomány Hitelesített felhasználók csoportjához, amely tagjai legfeljebb 10 számítógépfiókot hozhatnak létre a tartományban.
Két további eljárással adhat engedélyt a felhasználóknak vagy csoportoknak arra, hogy számítógépet csatlakoztassanak a tartományhoz:
Csoportházirend-objektum használata a Számítógép/felhasználó hozzáadása felhasználói engedély hozzárendeléséhez
A számítógép-objektumok létrehozására vonatkozó jogosultság hozzárendelése a szervezeti egységben a felhasználóhoz vagy a csoporthoz
Ha a létrehozott fiókot használó számítógép Windows 2000 előtti rendszert futtat, jelölje be A számítógépfiók megjelölése Windows 2000 előtti rendszert futtató számítógépként jelölőnégyzetet.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
Az Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt az Új számítógépfiók létrehozása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138384). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Számítógépek kezelése
Új számítógépfiók létrehozása a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsadd computer <ComputerDN>
Paraméter Leírás
<SzámítógépMegkülönböztetőNeve>
A hozzáadni kívánt számítógép megkülönböztető neve. A megkülönböztető név a címtárbeli helyet határozza meg.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsadd computer /?
--------------------
Számítógépfiók hozzáadása csoporthoz
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Számítógépfiók hozzáadása csoporthoz
A Windows felhasználói felületéről
A parancssorból
Számítógépfiók hozzáadása egy csoporthoz a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a Számítógépek ikonra.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\Számítógépek
Ehelyett a számítógépet tartalmazó mappára is kattinthat.
A részleteket tartalmazó ablaktáblában kattintson a jobb gombbal a számítógépre, és válassza a Tulajdonságok parancsot.
A következő tagja lapon kattintson a Hozzáadás gombra.
Az Írja be a kijelölendő objektumok nevét területen írja be annak a csoportnak a nevét, amelybe tagként fel szeretné venni a számítógépet, és kattintson az OK gombra.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Felhasználók, számítógépek és csoportok tárolóként történő megtekintésekor egy csoportba felvehet számítógépet annak a csoportba húzásával is.
Számítógép csoporthoz adásával engedélyeket rendelhet azon csoport összes számítógépfiókjához, és a csoport összes fiókján szűrheti a csoportházirendek beállításait.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
Az Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt A Windows Server 2008 rendszerhez a jövőben elérhetővé váló források című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138385). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Számítógépek kezelése
Számítógépfiók hozzáadása csoporthoz a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsmod group <GroupDN> -addmbr <ComputerDN>
Paraméter Leírás
<CsoportMegkülönböztetőNeve>
Annak a csoportobjektumnak a megkülönböztető neve, amelyhez hozzá szeretné adni a számítógép-objektumot.
-addmbr
A <SzámítógépMegkülönböztetőNeve> érték megadása.
<SzámítógépMegkülönböztetőNeve>
A csoporthoz hozzáadni kívánt számítógép megkülönböztető neve. A megkülönböztető név a címtárbeli helyet határozza meg.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsmod group /?
---------------
Távoli számítógép kezelése
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Távoli számítógépek kezelése
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a Számítógépek ikonra.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\Számítógépek
Vagy kattintson arra mappára, amely tartalmazza a kezelni kívánt számítógépet.
A részleteket tartalmazó ablaktáblában kattintson a jobb gombbal a számítógépre, és válassza a Kezelés parancsot.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
A Kezelés parancsra kattintva elindul a távoli számítógépek felügyeletére használható Számítógép-kezelés eszköz. Rendszergazdai hitelesítő adatokkal kell rendelkeznie a helyi számítógépen bizonyos információk megtekintéséhez, vagy a számítógép tulajdonságainak a Számítógép-kezelés eszközzel történő módosításához.
--------------
-----------------
Új felhasználói fiók létrehozása
A Windows felhasználói felületéről
A parancssorból
Új felhasználói fiók létrehozása a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
Kattintson a konzolfában a jobb gombbal arra a mappára, amelyhez hozzá kívánja adni a felhasználói fiókot.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\mappa
Mutasson az Új elemre, majd kattintson a Felhasználó parancsra.
Más címtárakkal való együttműködéshez kattintson az InetOrgPerson elemre. Az InetOrgPerson osztályról bővebben A felhasználói fiókok ismertetése című témakörben olvashat.
Az Utónév mezőbe írja be a felhasználó utónevét.
A Monogram mezőbe írja be a felhasználó monogramját.
A Vezetéknév mezőbe írja be a felhasználó vezetéknevét.
Módosítsa a Teljes név mezőt, ha előtagot kíván a névhez adni, vagy meg kívánja cserélni a vezetéknév és az utónév sorrendjét.
A Bejelentkezési név mezőbe írja be a felhasználó bejelentkezési nevét, jelölje ki az egyszerű felhasználónév utótagját a legördülő listában, és kattintson a Tovább gombra.
Ha a felhasználó más nevet fog használni Microsoft® Windows® 95, Windows 98 vagy Windows NT® operációs rendszereket használó gépekre való bejelentkezéshez, a másik névre módosíthatja a Bejelentkezési név (Windows 2000 előtti rendszer) mezőben megjelenő felhasználónevet.
A Jelszó és a Jelszó megerősítése mezőbe írja be a felhasználó jelszavát, majd jelölje ki a megfelelő jelszóbeállításokat.
További szempontok
Az eljárást akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Egy korábban törölt felhasználói fiók nevével egyező nevű új fiók létrehozása nem feltételezi automatikusan a korábban törölt fiókhoz kapcsolt engedélyeket és csoport tagságokat, mert minden fiók biztonsági azonosítója (SID) egyedi. Ha egy törölt felhasználói fiókot kíván duplikálni, minden engedélyt és tagságot kézi úton újra létre kell hoznia.
Új felhasználói fiók létrehozásakor a teljes név attribútumot a program alapértelmezés szerint az UtónévVezetéknév formátumban hozza létre. A teljes név attribútum a megjelenítendő név formátumát is meghatározza a globális címlistában. A megjelenítendő név formátumát az ADSI-szerkesztővel módosíthatja. Ha módosítja a megjelenítendő név formátumát, azzal a teljes név formátuma változik. További információt a Microsoft Tudásbázis 250455-ös számú cikkében talál (http://go.microsoft.com/fwlink/?LinkId=131264).
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell™ környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
A Windows PowerShell Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt az Új felhasználói fiók létrehozása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138369). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Felhasználók kezelése
Új felhasználói fiók létrehozása parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsadd user <UserDN> [-samid<SAMName>] -pwd {<Password>|*}
Paraméter Leírás
<FelhasználóMegkülönböztetőNeve>
A hozzáadni kívánt felhasználói objektum megkülönböztető neve.
-samid
A <SAMNév> érték megadása.
<SAMNév>
Megadhat egy Biztonsági fiókkezelő (SAM-) nevet a felhasználóhoz, amely a felhasználó egyedi SAM-fiókneve lesz (például Linda). Ha a SAM-név nincs megadva, a dsadd parancs automatikusan megkísérli a SAM-fióknév létrehozását a FelhasználóMegkülönböztetőNeve köznapi név első 20 karakteréből.
-pwd
A <Jelszó> érték megadása.
<Jelszó>
A felhasználói fiókhoz használt jelszó. Ha ezt a paramétert * értékre állítja, akkor a program jelszó megadását kéri.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsadd user /?
Bejelentkezési idő megadása
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
A bejelentkezési idő beállítása a Windows felhasználói felületén
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
Kattintson a konzolfa Felhasználók elemére.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\Felhasználók
Kattintson a jobb gombbal a felhasználói fiókra, és válassza a Tulajdonságok parancsot.
A Fiók lapon kattintson a Bejelentkezési idő gombra, majd adja meg a felhasználó bejelentkezéséhez engedélyezett vagy letiltott időpontokat.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Az Active Directory – felhasználók és számítógépek beépülő modult úgy is megnyithatja, ha a Start menü Futtatás parancsára kattint, és beírja a dsa.msc parancsot.
Több felhasználó bejelentkezési idejének módosításához nyomja le és tartsa nyomva a CTRL billentyűt, majd kattintson az egyes felhasználókra. Kattintson a jobb gombbal a kijelölt felhasználókra, és válassza a Tulajdonságok parancsot. A Fiók lapon kattintson a Bejelentkezési idő gombra, majd adja meg a felhasználó bejelentkezéséhez engedélyezett vagy letiltott időpontokat.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
A Windows PowerShell Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
Felhasználói fiók engedélyezése vagy letiltása
Frissítve: 2010. január
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Bizonyos felhasználók bejelentkezésének biztonsági okokból való megakadályozásához letilthat felhasználói fiókokat azok törlése helyett.
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Felhasználói fiókok letiltása és engedélyezése
A Windows felhasználói felületéről
A parancssorból
Felhasználói fiókok letiltása és engedélyezése a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
Kattintson a konzolfa Felhasználók elemére.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\Felhasználók
Ehelyett a felhasználói fiókot tartalmazó mappára is kattinthat.
A részleteket tartalmazó ablaktáblán kattintson a jobb gombbal a felhasználóra.
A fiók állapotától függően hajtsa végre a következők egyikét:
A fiók letiltásához kattintson a Fiók tiltása parancsra.
A fiók engedélyezéséhez kattintson a Fiók engedélyezése parancsra.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Az Active Directory – felhasználók és számítógépek beépülő modult úgy is megnyithatja, ha a Start menü Futtatás parancsára kattint, és beírja a dsa.msc parancsot.
A közös csoporttagságokkal rendelkező letiltott felhasználói fiókok létrehozásával a letiltott felhasználói fiókokat fióksablonokként használhatja, ezzel leegyszerűsítve a felhasználói fiókok létrehozását.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
A Windows PowerShell Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt a Felhasználói fiók engedélyezése vagy letiltása című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138374). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Felhasználók kezelése
Felhasználói fiókok letiltása és engedélyezése a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsmod user <UserDN> -disabled {yes|no}
Paraméter Leírás
<FelhasználóMegkülönböztetőNeve>
A hozzáadni kívánt felhasználói objektum megkülönböztető neve.
-disabled
A userAccountControl UF_ACCTDISABLED értékét állítja be.
{yes|no}
Megadja, hogy a bejelentkezés a felhasználói fiókon keresztül letiltott-e (yes) vagy nem (no).
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsmod user /?
------------------
Másik tartomány kezelése
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Más tartomány kezelése
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal az Active Directory – felhasználók és számítógépek elemre, és válassza a Tartomány módosítása parancsot.
Adja meg a tartomány nevét.
Ehelyett a Tallózás gombra is kattinthat, majd kijelölhet egy tartományt a listában.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Ha bejelöli a Tartománybeállítás mentése az aktuális konzolba jelölőnégyzetet, az Active Directory – felhasználók és számítógépek eszköz megkísérel kapcsolódni az Active Directory – felhasználók és számítógépek megnyitásakor a Tartomány mezőben minden alkalommal megadott tartományhoz.
A tartomány neve tartalmazza a tartomány összes szülőtartományának nevét. Az „ertekesites” tartomány teljes neve lehet például ertekesites.kontraktor.hu.
---------------
Tartomány kezelése másik tartományvezérlővel
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Nem szükséges minimális csoporttagság ennek az eljárásnak az elvégzéséhez. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Tartomány kezelése másik tartományvezérlővel
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal az Active Directory – felhasználók és számítógépek elemre,és válassza a Tartományvezérlő váltása parancsot.
Kattintson a tartományvezérlőre a listában.
Ehelyett az <Írja ide a tartományvezérlő nevét vagy az IP-címet> mezőbe is kattinthat, majd beírhatja a tartományvezérlő nevét.
További szempontok
A feladat végrehajtásához nem szükséges rendszergazdai hitelesítő adatokkal rendelkeznie. Biztonsági szempontból ajánlott a feladatot rendszergazdai hitelesítő adatokkal nem rendelkező felhasználóként végrehajtani. A kijelölt tartomány kezeléséhez viszont megfelelő rendszergazdai hitelesítő adatokkal kell rendelkeznie.
Alapértelmezés szerint a tartományvezérlőket első alkalommal történő létrehozásukkor a Tartományvezérlők szervezeti egységben lehet konfigurálni.
Ha bejelölte az A beállítás mentése az aktuális konzolba jelölőnégyzetet az Active Directory – felhasználók és számítógépek eszköz megpróbál csatlakozni a tartományvezérlőhöz, amelyet az Active Directory – felhasználók és számítógépek minden megnyitásakor megad.
-------------
Új szervezeti egység létrehozása
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Új szervezeti egység létrehozása
A Windows felhasználói felületéről
A parancssorból
Új szervezeti egység létrehozása a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal a tartománynévre.
Mutasson az Új elemre, majd kattintson a Szervezeti egység parancsra.
Írja be a szervezeti egység nevét.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Szervezeti egység hozzáadásához kattintson a tartományra vagy mappára, amelyben a szervezeti egységet szeretné hozzáadni, majd kattintson az eszköztár Új szervezeti egység létrehozása az aktuális tárolóban ikonjára.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
Az Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
Erről bővebben az Új szervezeti egység létrehozása című témakörben olvashat (http://go.microsoft.com/fwlink/?LinkId=138390). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Szervezeti egységek kezelése
Új szervezeti egység létrehozása a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsadd ou <OrganizationalUnitDN>
--------------
Szervezeti egység törlése
Frissítve: 2008. december
Érvényes: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Az eljárás végrehajtásához legalább a Fiókfelelősök, a Tartománygazdák, a Vállalati rendszergazdák csoporthoz, illetve egy ezekkel egyenértékű csoporthoz kell tartoznia. Tudnivalók a megfelelő fiók- és csoporttagság-használatáról: http://go.microsoft.com/fwlink/?LinkId=83477.
Szervezeti egység törlése
A Windows felhasználói felületéről
A parancssorból
Szervezeti egység törlése a Windows felhasználói felületéről
Az Active Directory – felhasználók és számítógépek beépülő modul megnyitásához kattintson a Start menü Vezérlőpult parancsára, és kattintson duplán a Felügyeleti eszközök, majd az Active Directory – felhasználók és számítógépek ikonra.
Az Active Directory – felhasználók és számítógépek Windows Server® “8” Beta rendszerben történő megnyitása: Kattintson a Start gombra, és írja be a következőt: dsa.msc.
A konzolfán kattintson a jobb gombbal a törölni kívánt szervezeti egységre.
Helye
Active Directory – felhasználók és számítógépek\tartomány csomópontja\szervezeti egység
Kattintson a Törlés parancsra.
További szempontok
A műveletet akkor hajthatja végre, ha a Fiókfelelősök, a Tartománygazdák vagy a Vállalati rendszergazdák csoport tagja az Active Directory tartományi szolgáltatásokban, vagy delegálás útján megszerezte a megfelelő jogosultságokat. Biztonsági szempontból ezt a műveletet ajánlott a Futtatás mint parancs használatával végrehajtani.
Ha a kijelölt szervezeti egység egyéb objektumokat tartalmaz, az Active Directory – felhasználók és számítógépek eszköz arra kéri, hogy válasszon a törlés folytatása vagy megszakítása között. Ha folytatja a törlést, minden objektum törlődik a szervezeti egységben.
Az eljárásban leírt műveletet az Active Directory-modul a Windows PowerShell környezethez nevű modul használatával is végrehajthatja. Az Active Directory-modul megnyitásához mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory-modul a Windows PowerShell környezethez parancsra.
Az Active Directory-modul Windows Server “8” Beta rendszerben történő megnyitásához nyissa meg a Kiszolgálókezelőt, kattintson az Eszközök elemre, majd az Active Directory-modul a Windows PowerShell környezethez parancsikonra.
További információt a Szervezeti egység törlése című témakörben talál (http://go.microsoft.com/fwlink/?LinkId=138391). A Windows PowerShell környezetről a Scripting with Windows PowerShell (Parancsprogram-kezelés a Windows PowerShell környezetben) című cikkben olvashat bővebben (http://go.microsoft.com/fwlink/?LinkID=102372).
További források
Szervezeti egységek kezelése
Szervezeti egységek törlése a parancssorból
A parancssor megnyitásához kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, és kattintson az OK gombra.
A parancssor Windows Server “8” Beta rendszerben való megnyitása: Kattintson a Start gombra, és írja be a következőt: cmd. Kattintson az OK gombra.
Írja be az alábbi parancsot, majd nyomja le az ENTER billentyűt:
dsrm <OrganizationalUnitDN> [-subtree]
Paraméter Leírás
<SzervezetiEgységMegkülönböztetőNeve>
A törölni kívánt szervezeti egység megkülönböztető neve.
-subtree
Megadja, hogy minden, a kijelölt szervezeti egység által tartalmazott objektumot szintén törölni kell.
A parancs teljes szintaxisának megtekintéséhez és a felhasználói fiók adatainak megadására vonatkozó további információk eléréséhez írja be a parancssorba a következő parancsot, és nyomja le az ENTER billentyűt:
dsrm /?
-------------
https://technet.microsoft.com/hu-hu/library/cc742399(v=ws.11).aspx
---------------
Az Active Directory telepítésének megkezdése előtt több kérdést intéz hozzánk a telepítő varázsló. Sorban mindegyiket meg kell válaszolni és csak utána kezdődhet meg a címtár telepítése. Cikkünkben bemutatunk egy lehetőséget, amellyel előre megadhatók a válaszok és így automatizálható a folyamat. Mikor vesszük ennek hasznát? Például akkor, ha több tartományvezérlőt telepítünk vagy tesztelési céllal több telepítést és eltávolítást hajtunk végre. Akkor is hasznos lehet, ha egy esetleges rendszerösszeomlás miatt újra kell installálni mindent, ugyanis garantált, hogy másodszor is ugyanazok a beállítások fognak szerepelni.
Cikkünkhöz mellékeltünk egy elkészített válaszfájlt "unattend.txt" néven, ami az alábbiakban leírt módon felhasználható az Active Directory telepítésének automatizálására.
Az operációs rendszer felügyelet nélküli telepítéséről már több cikkben szóltunk. Ott egy előre elkészített úgynevezett válaszfájlt használtunk fel, amely tartalmazta a telepítés során felmerülő kérdésekre adandó válaszokat - így azok meg sem jelentek. Mindehhez természetesen a Windows támogatása szükséges. Az Active Directory esetében ugyanez a helyzet. Készítünk egy válaszfájlt és elindítjuk a telepítő varázslót paraméterként megadva a fájl elérési útját és nevét. A varázsló elindításának legegyszerűbb módja, ha futtatjuk a DCPROMO.EXE nevű programot a Start > Futtatás (Start > Run) menü segítségével.
Felügyelet nélküli futtatáshoz használjuk a "/answer:" kapcsolót utána megadva a válaszfájl elérési útját:
dcpromo /answer:c:\install\unattend.txt
Példánkban feltételeztük, hogy a "c:\install" mappában "unattend.txt" néven tárolódik a válaszfájl. Használhatunk más elérési utat és más nevet is.
Nézzük milyen tartalommal kell feltölteni:
Felépítését tekintve a szabványos Windows .INI fájlokhoz hasonlít. Egy szekciót tartalmaz, amit mindjárt az elején szögletes zárójelek között kell megadni.
[DCInstall]
Ezt követik a paraméterek, értékkel ellátva. A következők közül választhatunk, nem kell mindegyiket használni, de ha az adott körülmények között szükségeset kihagyunk, megszakad a felügyelet nélküli telepítés és a rendszer bekéri tőlünk.
AutoConfigDNS
Alapértelmezett érték: Yes
Az Active Directory igényeinek megfelelően automatikusan konfigurálja a DNS névfeloldó kiszolgálót. Javasolt a használata.
AutoConfigDNS=Yes
ChildName
Akkor van jelentősége, ha nem az első tartományvezérlő telepítését végezzük. A meglévő tartománynévhez fűz egy előtagot. Például tegyük fel, hogy eddig létezett egy "proba.hu" tartomány. Beírjuk a válaszfájlba, hogy:
ChildName="informatika"
És az új tartomány neve "informatika.proba.hu" lesz.
CreateOrJoin
Alapértelmezett érték: Join
Két beállítás közül választhatunk. Az egyik:
CreateOrJoin=Create
A tartomány első tartományvezérlőjének telepítésénél alkalmazzuk. Létrehoz egy új erdőt és egy fát. A másik lehetőség:
CreateOrJoin=Join
Új tartományt hoz létre a meglévő erdőben.
DatabasePath
Alapértelmezett érték: %systemroot%\NTDS
Az Active Directory adatbázisának tároló mappáját határozhatjuk meg, ha el akarunk térni az alapértelmezett helytől. Nem létező mappa megadása esetén a telepítő létrehozza.
LogPath
Alapértelmezett érték: %systemroot%\NTDS
Naplóállományok tárolási helye az előzőekkel megegyezően.
SysVolPath
Alapértelmezett érték: %systemroot%\sysvol
A beállításokat tároló "sysvol" mappa helye.
DNSOnNetwork
Alapértelmezett érték: No
Ha a tartomány első tartományvezérlőjének telepítését végezzük, akkor adjunk "Yes" értéket és a telepítő felrakja és bekonfigurálja a DNS-t.
DNSOnNetwork=Yes
Ha "No"-t adunk meg, akkor meglévő DNS kiszolgálóhoz próbál kapcsolódni.
DomainNetBiosName
Itt állíthatjuk be a tartomány NetBios szolgáltatás által is használható nevét. Például:
DomainNetBiosName="Proba"
NewDomainDNSName
Az új tartomány teljes DNS szintaxis szerinti neve. Például:
NewDomainDNSName="informatika.proba.hu"
ParentDomainDNSName
Akkor értelmezett, ha egy létező tartomány új tartományvezérlőjét telepítjük. Ekkor meg kell adni a meglévő Active Directory nevet. Például:
ParentDomainDNSName="proba2.hu"
RebootOnSuccess
Alapértelmezett érték: No
Ha értékét "Yes"-re állítjuk, akkor a telepítés végeztével automatikusan újraindítja a gépet, teljessé téve a kényelmet.
RebootOnSuccess=Yes
ReplicaDomainDNSName
Meglévő tartomány új biztonsági másolat készítő tartományvezérlőjének (Backup Domain Controller (BDC)) telepítésekor van értelmezve Meghatározza, annak a tartománynak a nevét (DNS szintaxis szerint), amelynek az adatbázisa többszörözve (replikálva) lesz. Például:
ReplicaDomainDNSName="proba2.hu"
ReplicaOrMember
Alapértelmezett érték: Member
Windows NT 3.51 vagy NT 4.0 biztonsági másolat készítő tartományvezérlőjének (BDC) Windows 2000-re való frissítésekor meghatározza, hogy BDC-ként fog az új tartományban működni (Replica) vagy vissza lesz minősítve "sima" tartományvezérlővé (Member).
ReplicaOrMember=Replica
ReplicaOrNewDomain
Alapértelmezett érték: Replica
Meghatározza, hogy a gép új tartomány tartományvezérlője (Domain) lesz vagy egy meglévőbe fog kapcsolódni (Replica).
ReplicaOrNewDomain=Domain
SiteName
Alapértelmezett érték: angol Windows-on: "Default-First-Site"
Az új tartományi hely elnevezése. Csak akkor használjuk, ha el akarunk térni az alapértelmezettől. Például:
SiteName="Proba telepites"
TreeOrChild
Alapértelmezett érték: Child
Meghatározza, hogy az új tartomány gyökere egy új fának (Tree) vagy egy meglévő fához kapcsolódik.
TreeOrChild=Tree
UserName
Annak a felhasználói fióknak a neve, ami megfelelő jogosultsággal rendelkezik az Active Directory telepítéséhez. A "Rendszergazdák" csoport tagjának kell lennie. Például:
UserName=Administrator
UserDomain
Az előbbi felhasználói fiókot tartalmazó tartomány neve. Például:
UserDomain=Proba2
Password
Végül meg kell adnunk a felhasználói fiókhoz tartozó jelszót. Például:
Password=xyz123
Nem csak telepítésnél, hanem az Active Directory eltávolításánál is lehet használni a válaszfájlt. Menete ugyanaz, mint az előbb és a következő paraméterek állnak rendelkezésre:
AdministratorPassword
Amíg működik az Active Directory, minden felhasználói fiókot és jelszót tárol. Eltávolítása után egy rendszergazdai jogokat tartalmazó fiók marad, magyar rendszereken "Rendszergazda", angolon pedig "Administrator" névvel. Ennek a jelszavát adhatjuk meg itt. Ha nem tesszük meg, nem rendelődik a fiókhoz jelszó (ez az alapértelmezett beállítás). Miután vége a teljes eltávolítási folyamatnak a válaszfájl törlődik, így nem lehet kiolvasni belőle a jelszót.
IsLastDCInDomain
Alapértelmezett érték: No
Ha a tartomány utolsó tartományvezérlőjét távolítjuk el, megszűnik a tartomány a benne lévő felhasználó fiókokkal, jelszavakkal, titkosítási kulcsokkal, stb. együtt. Amíg legalább egy gépen tárolódik az Active Directory adatbázisa, lehetőség van a többszörözésre. Ha ennek a paraméternek "Yes" értéket adunk, megszüntetjük a tartományt.
IsLastDCInDomain=Yes
Végül nézzünk egy példát egy lehetséges válaszfájlra:
[DCInstall]
AdministratorPassword=xyz
AutoConfigDNS=Yes
DomainNetBiosName="proba"
DNSOnNetwork=No
NewDomainDNSName="proba.hu"
RebootOnSuccess=Yes
ReplicaOrNewDomain=Domain
TreeOrChild=Tree
CreateOrJoin=Create
UserName=Administrator
Password=xyz
UserDomain=proba
--------------
Active Directory alapok
Az Active Directory címtár az adatbázisból és az azt futtató Active Directory szolgáltatásból áll. Fő célja a Windowst futtató számítógépek részére autentikációs és autorizációs szolgáltatások nyújtása, lehetővé téve a hálózat minden publikált erőforrásának (fájlok, megosztások, perifériák, kapcsolatok, adatbázisok, felhasználók, csoportok stb.) központosított adminisztrálását – vagy éppen a rendszergazdai jogosultságok delegálásával a decentralizált felügyeletét. Számos különböző erőforráshoz (megosztott mappák, nyomtatók, levelezés stb.) egyetlen felhasználónév/jelszó páros megadásával biztosít hozzáférést (Single Sign On, SSO). Lehetőséget nyújt a rendszergazdák számára házirendek kiosztására, szoftverek és szoftverfrissítések telepítésére a szervezeten belül. Az Active Directory az információkat és beállításokat egy központi adatbázisban tárolja, a tartományvezérlő számítógépe(ke)n. Ennek az adatbázisnak a mérete egy kisvállalat néhány száz objektumától egy több ezer szervert üzemeltető nemzetközi vállalat sok millió objektumáig terjedhet. Az Active Directory szükséges néhány Windows-összetevő, mint például az Exchange, az RRAS, az ISA Server vagy a Certificate Services működéséhez.
Egy Active Directory-címtár legmagasabb szintje az erdő (forest), ami egy vagy több bizalmi kapcsolatokkal (trust) összekötött tartományt (domain) magába foglaló egy vagy több fa (tree) összessége. A tartományokat DNS-beli névterük azonosítja. A címtár objektumait a Directory Information Tree (címtárinformációs fa, DIT) adatbázisa tárolja, ami három partícióra bomlik, ezek: az objektumok tulajdonságait leíró sémapartíció (schema partition), az erdő szerkezetét (tartományokat, fákat, helyeket) leíró konfigurációs partíció (configuration partition) és a tartomány objektumait tartalmazó tartományi partíció (domain partition). Ezeken kívül létezhetnek alkalmazáspartíciók (application partition) is.559 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Mit "tud" az AD? Milyen részei vannak? Milyen kiszolgálói szerepköröket különböztetünk meg egy Windows tartományban? Ezekre a kérdésekre kaphatunk választ most.
A tartományban lévő objektumok szervezeti egységekbe (Organizational Unit, OU) rendezhetők. Az OU-k adnak a tartománynak az adminisztrációt megkönnyítő hierarchiát, segítségükkel az Active Directory struktúrájára leképezhető a vállalat szervezeti felépítése vagy földrajzi elhelyezkedése. Egy OU tartalmazhat egy vagy több más OU-t is (ilyen értelemben a tartomány is tekinthető OU-nak), a többszörös egymásba ágyazás is megengedett. A Microsoft azt javasolja, hogy az Active Directoryt minél kevesebb tartományra bontsuk szét, és inkább szervezeti egységek létrehozásával tagoljuk a címtárat. A csoportházirendek (amik szintén AD objektumok, csoportházirend-objektum – Group Policy Object, röviden GPO néven) általában az OU szintjén fejtik ki hatásukat, bár tartomány és hely (site) szinten is alkalmazhatók. Többnyire az OU szintjén szokás a rendszergazdai jogosultságokat delegálni, bár a delegáció akár egyedi objektumok, sőt attribútumok szintjén is beállítható.
https://channel9.msdn.com/Events/DX-Hungary/Microsoft-TechDays-Roadshow-2015/Klasszikus-zemeltetsi-alapok-1-dem-3-Active-Directory-felgyeleti-eszkzk
Rövid áttekintés
Ha definiálni szeretnénk a címtár fogalmát, akkor frappánsan mondhatnánk így: a címtár a hálózat minden erőforrását azonosítja, és hierarchikus rendszerben tárolja. Kiegészíthetjük a definiciót továbbá azzal, hogy az azonosítás és tárolás mellett a hálózat fizikai felépítését és protokolljait átláthatóvá teszi, így a hálózat bármely erre feljogosított felhasználója elérheti a hálózat bármely erőforrását anélkül, hogy tudná hol találhatóak azok valójában, vagy hogyan is kapcsolódnak egymáshoz fizikailag. Ezek a fogalmak bármilyen címtárra, így a Windows Server 2003 címtárszolgáltatására az Active Directory-ra is igazak.
Windows Server 2003 címtára egy teljes egészében bővíthető és méretezhető szolgáltatás. Az Active Directory a hálózat minden egyes publikált erőforrásának egy helyben történő adminisztrálási lehetőségét nyújtja, amibe beleértendők a fájlok és megosztások, perifériák, gép kapcsolatok, adatbázisok, felhasználók, csoportok és egyéb tetszőleges objektumok és szolgáltatások.
Az Active Directory előnye a hálózati rendszergazdák, fejlesztők és felhasználók számára a különböző szolgáltatásokban áll, amelyek:
Lehetőséget adnak a hálózatba való bejelentkezés és a hálózati felügyelet egyetlen helyről történő megvalósítására.
Integrálják mind az internetes, mind az intranetes környezetet.
Méretezhetőek a kisebb cégektől a nagyobb vállalatokon keresztül a nemzetközi, több kontinensen is átivelő hálózatokig is.
Az Active Directory beépített biztonsági szolgáltatása kétrétegű: megoldja a bejelentkezési azonosítást, illetve szabályozza az objektumokhoz való hozzáférést. Az üzemeltetők egyetlen bejelentkezéssel kezelhetik a címtár adatait a teljes hálózaton, a megfelelően hitelesített felhasználók pedig a hálózaton bárhol hozzáférhetnek az erőforrásokhoz. A felügyeleti rendszer alapját képező, rendkívül összetett lehetőségekkel rendelkező Csoportos házirend megoldás megkönnyítheti a legbonyolultabb hálózat felügyeletét is.
Az Active Directory részei
A séma (Schema)
Olyan objektum tulajdonságokat leíró gyűjtemény, amely meghatározza a címtárban lévő összes objektum (pl. felhasználói fiókok, szervezeti egységek, nyomtatók stb.) és attribútumok osztályát, az ezekre vonatkozó szabályokat és korlátokat, valamint az elnevezés formátumát. Minden olyan esetben, amikor uj objektumtípusok kerülnek a címtárba, a sémát bővíítenünk kell a rájuk vonatkozó leírással és szabályokkal (pl. Exchange Server telepítése, Windows 2000 Server frissítése Windows Server 2003-ra, stb.). A sémabővítés lehetősége minden alkalmazás számára nyitott (természetesen megfelelő jogosultságok birtokában).
A globális katalógus (Global Catalog, GC)
Olyan tartományvezérlői szerep, amely hordozója a címtár összes objektumának alapadataival, elérhetőségeiknek információjával rendelkezik. A saját tartományából teljes, a további szorosan kapcsolódó tartományokból részleges méretű objekumokmásolatokat tartalmaz, így a globális katalógus segítségével kereshetőek a címtáradatok függetlenül attól, hogy valójában a címtár melyik tartománya tartalmazza azokat. Alapértelmezés szerint a frissítés előtti PDC, illetve az elsőnek telepített tartományvezérlő hordozza ezt a szerepet. Telephelyek esetén kötelező (bár ebben is van immár változás, lásd W2K3 AD I. cikk), de egyébként sem árthat, ha több globális katalógus kiszolgálónk van. Ezt az Active Directory Helyek és Szolgáltatások (Active Directory Sites and Services) MMC-ben, Helyek (Sites) faszerkezetet kibontva, az NTDS Settings tulajdonságait kibontva pipálhatjuk be.
Lekérdezési és indexelési rendszer
Ennek segítségével a felhasználók és alkalmazások objektumokat és azok tulajdonságait publikálhatják, illetve kereshetik meg.
A replikációs szolgáltatás
Nagyon fontos összetevő a replikációs szolgáltatás, amely a címtár adatait terjeszti a hálózaton. Mivel tartomány összes tartományvezérlőjén módosíthatóak a címtár adatai, ezért az összes tartományvezérlő automatikusan részt is vesz a replikációban, tehát a címtáradatok bármilyen módosítását a rendszer a tartomány összes tartományvezérlőjére replikálja. Ennek megfelelelően az összes tartományvezérlő tartalmazza a tartományra vonatkozó összes aktuális címtáradatot.
Kiszolgálói szerepkörök egy Windows tartományban
Milyen szerverszerepeket szánhatunk a kiszolgáló(k)nak? Amennyiben nem Windows 2000 tartományvezérlőt frissítünk, ezzel a dilemmával is ráérünk elvileg a telepítés után, hiszen a Windows 2000 Server óta a tartomány létrehozása és a szerver tartományvezérlővé való előléptetése az operációs rendszer telepítése után, ettől függetlenül következhet.
Háromféle szerepkört tölthet be egy Windows Server 2003 (vagy Windows 2000, mert ebben gyakorlatilag semmilyen változás nem történt) operációs rendszer, ebből az első kettő tartományi szerep:
Tartományvezérlő (Domain Controller): a funkcionalitás csúcsa, egy tartomány fő avagy tartalék vezérlője, a címtár esetleges létrehozója (az első tartományvezérlő) és tárolója (az összes tartományvezérlő), más kiszolgáló szoftverek háttérkörnyezete, néhány esetben célszerű a tartományvezérlőre telepíteni a szerverszolgáltatást, pl. a belső tartományt kiszolgáló DNS szerver.
Tagkiszolgáló (Member Server): a tartomány tagja, de nem tárolója a címtárnak, nem dolgoz fel a fiókbejelentkezéseket, nem vesz részt az Active Directory replikációjában. A tagkiszolgálók lehetnek fájlkiszolgálók, alkalmazás-kiszolgálók, adatbázis-kiszolgálók, webkiszolgálók, tanúsítvány-kiszolgálók (csak a stand-alone típus), tűzfal vagy távelérés-kiszolgálók. Néhány esetben kifejezetten célszerű a tagkiszolgálóra telepíteni a szerver szolgáltatást (pl. ISA Server Standard).
Különálló (Stand-alone Server): nem tagja a tartománynak, csak munkacsoportba beléptetett kiszolgáló, néhány speciális feladatra kihegyezve. Az ilyen típusú kiszolgáló csak a saját felhasználói adatbázisát tudja használni, ennek megfelelően saját maga is dolgozza fel a bejelentkezési kérelmeket. A fiókok adatait nem képes megosztani más gépekkel és nincs hozzáférése a tartományi fiókokhoz.
-------------
A telepítés után a kiszolgáló újraindul, majd grafikus verziónál bejelentkezés után elindul az új kiszolgálókezelő.
A kezdeti konfigurációs képernyőn a következő beállításokat tudjuk elvégezni: (lehetőleg
ebben a sorrendben)
- IP cím(ek) megadása
- Számítógépnév
- Csatlakozás tartományhoz
- Időzóna beállítása
- Automatikus frissítések engedélyezése
- Szerepkörök és szolgáltatások telepítése
- Távoli asztal engedélyezése
- Windows Tűzfal beállítása
Első feladat a PDC Emulator konfigurálása a tartományunkban. Mint az az ábrán is jól látszik a PDC Emulator szórja az idő adatokat a tartományon belül. Ez az ábrán külön gépként szerepel, de alapértelmezetten az elsődleges - vagy egyetlen - tartományvezérlőnk automatikusan PDC Emulator szerepkört kap. Ezt az alábbi helyen tudjuk ellenőrizni, miután beléptünk az elsődleges tartományvezérlőre: Active Directory Users and Computer - View - Advanced Features pipáljuk be, majd a domain-ünk nevén kattintsunk jobb gombbal, Operations Masters - PDC fül. Amelyik gépet itt látjuk, az a PDC Emulator.
Indítsunk egy Administrator jogú parancssort és kérjük le a PDC Emulator-unk jelenlegi beállítását az alábbi paranccsal: w32tm /query /source
Mivel
nálam az elsődleges tartományvezérlő egy virtuális gép, így más az
időkiszolgáló, mint ha fizikai gép lenne, abban az esetben valami CMOS
Clock-hoz hasonló eredményt kapnánk. Ez így nem jó, állítsunk be
valamilyen internetes időkiszolgálót, amihez tudjuk szinkronizálni a PDC
Emulator-unkat. Ehhez adjuk ki a következő parancsokat:
w32tm /config /manualpeerlist:time.windows.com,0x8 /syncfromflags:manual /reliable:yes /update
w32tm /resync /rediscover
net stop w32time
net start w32time
w32tm /query /configuration
w32tm /resync /rediscover
net stop w32time
net start w32time
w32tm /query /configuration
Eredményként láthatjuk, hogy az NtpServer mostantól a time.windows.com,
vagyis a PDC Emulator-unk megbízható időkiszolgálónak mondható. Innen
kezdődően az összes kliens gépünknek a PDC Emulator-t kell megadni, mint
időkiszolgáló, így biztosan szinkronban lesz az összes gép.
Amennyiben GPO-ból szeretnénk ez megvalósítani - és miért ne szeretnénk - akkor a következőt kell ehhez tennünk:
Group Policy Manager - Group Policy Objects - jobb gomb - New - Name: NTPConfigurationServer - Ok. Majd jobb gomb rajta Edit - Computer Configuration - Policies - Administration Templates - System - Windows Time Service - Time Providers - Enable Windows NTP Client - jobb gomb - Edit - Enable - Ok
Utána ugyanitt Configure Windows NTP Client - jobb gomb - Edit - Enable. Egyedül a Type-ot kell átállítani NTP-re, valamint megadni egy külső NTP szerver címét, például time.microsoft.com.
Group Policy Manager - Group Policy Objects - jobb gomb - New - Name: NTPConfigurationServer - Ok. Majd jobb gomb rajta Edit - Computer Configuration - Policies - Administration Templates - System - Windows Time Service - Time Providers - Enable Windows NTP Client - jobb gomb - Edit - Enable - Ok
Utána ugyanitt Configure Windows NTP Client - jobb gomb - Edit - Enable. Egyedül a Type-ot kell átállítani NTP-re, valamint megadni egy külső NTP szerver címét, például time.microsoft.com.
Fontos,
hogy ezek a beállítások csak a PDC Emulator-ra legyenek igazak. Ehhez
állítsuk be a bal oldali konfigurációs felületen a Security Filtering
résznél, hogy csak az elsődleges tartományvezérlő legyen a listában.
Ehhez töröljük ki az alapértelmezett bejegyzéseket, majd az Add gombot megnyomva írjuk be a gép nevét, Check Name gomb, végül Ok. Ha valamiért nem találná meg a gépünket, akkor a Select User, Computer or Group ablakban kattintsunk a felső Object Types gombra és pipáljuk ki a Computers választási lehetőséget. Így már fog keresni a számítógépek között is.
Ezzel kész is vagyunk, jöhet az összes többi tartományi gép beállítása.
2. Kliens gépek beállítása
A kliens gépek beállítása nagyban megegyezik az első pontban ismertetekkel, de mégis fontos különbségeket tartalmaz. Először nézzük a parancssoros megoldást:
A kliens gépek beállítása nagyban megegyezik az első pontban ismertetekkel, de mégis fontos különbségeket tartalmaz. Először nézzük a parancssoros megoldást:
w32tm /config /syncfromflags:domhier /reliable:no /update
w32tm /resync /rediscover
net stop w32time
net start w32time
w32tm /query /configuration
w32tm /resync /rediscover
net stop w32time
net start w32time
w32tm /query /configuration
A
kliens megkeresi a tartományunkban a PDC Emulator-t és beállítja
forrásnak. A többi parancs már a szokásos. A folyamat végén láthatjuk,
hogy a kliens gépünkön NT5DS időszinkronizáció van beállítva, és ez így
jó nekünk. Azonban mivel nem akarjuk ezt minden kliens gépünkön kiadni,
így nézzünk erre is csoportházirendet.
Group Policy Manager - Group Policy Objects - jobb gomb - New - Name: NTPConfigurationClient - Ok. Majd jobb gomb rajta Edit - Computer Configuration - Policies - Administration Templates - System - Windows Time Service - Time Providers - Enable Windows NTP Client - jobb gomb - Edit - Enable - Ok
Utána ugyanitt Configure Windows NTP CLient - jobb gomb - Edit - Enable. Egyedül a Type-ot kell átállítani NTD5S-re, NtpServer mező értelem szerűen üres.
Utána ugyanitt Configure Windows NTP CLient - jobb gomb - Edit - Enable. Egyedül a Type-ot kell átállítani NTD5S-re, NtpServer mező értelem szerűen üres.
Azonban
mielőtt ezt a GPO-t linkelnénk a teljes tartományunkhoz, előtte egy
fontos beállítást kell eszközölnünk. Mivel azt szeretnénk, hogy minden
tartományi gépre érvényes legyen a beállítás, ezért domain szintre kell
emelni a GPO-t, viszont biztosítanunk kell azt, hogy az elsődleges
tartománykiszolgálóra - ami a PDC Emulator - ne legyen érvényes. Ehhez
válasszuk ki a csoportházirendet, a jobb oldali menüben válasszuk ki a Delegation fület, itt kattintsunk az Add gombra, írjuk be az elsődleges tartományvezérlő nevét, ellenőrzés képen kattintsunk a Check Name gombra, végül az Ok-ra. Hasonlóan, mint az első esetben ha nem keresne alapértelmezetten, akkor kapcsoljuk be, hogy a Computer elemek között is kutakodjunk. Miután hozzáadtuk kattintsunk az Advanced gombra, keressük meg a kívánt gépet, vegyük ki az Allow oszlop Read attribútumánál a pipát, kicsit görgessünk lejjebb és pipáljuk be az Apply group policy lehetőség Deny oszlopában található rubrikát. Ez után nyugodtan hozzálinkelhetjük a GPO-t az egész tartományunkhoz.
3. DHCP beállítás
Lehetőségünk van arra is, hogy a DHCP szolgáltatással együtt a kliens gépeknek kiadjunk egy NTP szerver paramétert. Ez akkor lehet hasznos, ha nem tartományi gépről beszélünk, igaz ott nem annyira égető az idő szinkronban tartása, de tisztább, szárazabb érzés.
Lehetőségünk van arra is, hogy a DHCP szolgáltatással együtt a kliens gépeknek kiadjunk egy NTP szerver paramétert. Ez akkor lehet hasznos, ha nem tartományi gépről beszélünk, igaz ott nem annyira égető az idő szinkronban tartása, de tisztább, szárazabb érzés.
Windows Server 2012 R2 alatt kövessük az alábbi lépéseket. Nyissuk meg a DHCP-t, válasszuk ki a tartományunkat, IPv4 - IPv6 esetén értelem szerűen a másik -, kattintsunk a Scope-unkra, majd Scope Options, jobb gomb Configure Options, majd az Available Options alatt kikeresni a 042 NTP Servers lehetőséget. Tegyünk egy pipát majd adjuk meg a kívánt NTP szervert, jelen esetben én a tartományom PDC Emulator-át adom meg, Apply, Ok.
4. Időzóna beállítás
Ugyan elértük azt, hogy a pontos idő már biztosított, de van még egy apróság a teljes boldogsághoz. A szerver rendszerek nyelve az angol, így érdemes angol nyelvű operációs rendszert használni. Ennek folyományaként az alapértelmezett időzóna beállítása eltér a magyartól, ezért pontosan 9 órával korábbi, pontos időpontot láthatunk a frissen telepített rendszerünkön. Ha már itt vagyunk, állítsuk be ezt is a GPO-nkba.
Első körben keressük meg regedit-ben egy beállított gépen a TimeZoneInformation bejegyzéseit. Az esetemben ezek az alábbiak.
Ugyan elértük azt, hogy a pontos idő már biztosított, de van még egy apróság a teljes boldogsághoz. A szerver rendszerek nyelve az angol, így érdemes angol nyelvű operációs rendszert használni. Ennek folyományaként az alapértelmezett időzóna beállítása eltér a magyartól, ezért pontosan 9 órával korábbi, pontos időpontot láthatunk a frissen telepített rendszerünkön. Ha már itt vagyunk, állítsuk be ezt is a GPO-nkba.
Első körben keressük meg regedit-ben egy beállított gépen a TimeZoneInformation bejegyzéseit. Az esetemben ezek az alábbiak.
Ezeket
szépen, egyesével vigyük fel a keveredést elkerülendő, egy új GPO-ba.
Csak egy bejegyzés módját írom le, a többi hasonló módon, értelem
szerűen.
Group Policy Manager - Group Policy Objects - jobb gomb - New - Name: TimeZoneConfiguration - Ok. Majd jobb gomb rajta Edit - Computer Configuration - Preferencies - Windows Settings - Registry - jobb gomb - New - Registry Item. Töltsük ki az alábbiak szerint, majd Apply.
Group Policy Manager - Group Policy Objects - jobb gomb - New - Name: TimeZoneConfiguration - Ok. Majd jobb gomb rajta Edit - Computer Configuration - Preferencies - Windows Settings - Registry - jobb gomb - New - Registry Item. Töltsük ki az alábbiak szerint, majd Apply.
Ha szorgosan megcsináltunk mindent, akkor valami hasonlót kell látnunk:
Végezetül linkeljük a GPO-t az egész tartományunkhoz.
5. Probléma 1.
Előfordulhat az, hogy amennyiben az idő szinkronizációt beállításokat igénylő, "kliens" rendszer Hyper-V-ben fut, hiába végezzük el a fenti beállításokat, mégsem a PDC emulátorunkat fogjuk látni a w32tm /query /source parancs hatására, hanem a WM IC Time Sínchronization Provider-t. Ez gyakorlatilag a Hyper-V beépített Time Synchronization Integration Services, mely a host idejét átadja a rajta futó Hyper-V VM-nek, függetlenül attól, hogy milyen beállítást végeztünk el. Abba ne menjünk bele, hogy ez BUG vagy Feature. Elvileg ez nem jelenthet gondot, amennyiben a host-unk is a tartományunk része, mivel biztosan jó időt fog kapni, de a változatosság kedvéért - nomeg a tesztrendszerem is így van felépítve - mi van, ha a host nem része a tartománynak?
Előfordulhat az, hogy amennyiben az idő szinkronizációt beállításokat igénylő, "kliens" rendszer Hyper-V-ben fut, hiába végezzük el a fenti beállításokat, mégsem a PDC emulátorunkat fogjuk látni a w32tm /query /source parancs hatására, hanem a WM IC Time Sínchronization Provider-t. Ez gyakorlatilag a Hyper-V beépített Time Synchronization Integration Services, mely a host idejét átadja a rajta futó Hyper-V VM-nek, függetlenül attól, hogy milyen beállítást végeztünk el. Abba ne menjünk bele, hogy ez BUG vagy Feature. Elvileg ez nem jelenthet gondot, amennyiben a host-unk is a tartományunk része, mivel biztosan jó időt fog kapni, de a változatosság kedvéért - nomeg a tesztrendszerem is így van felépítve - mi van, ha a host nem része a tartománynak?
Az okosok azt mondják,
hogy nem szabad kikapcsolni a fenti szolgáltatást, így kerülő megoldást
kell találnunk, melyet a fenti linken meg is találunk. Az alábbi
registry bejegyzést kell Parancssorban futtatni, hogy a folyamatos
időszinkronizáció ki legyen kapcsolva a Hyper-V Time Synchronization
szolgáltatás esetében, mindazonáltal a problémás esetekben (bootolás,
Checkpoint visszaállítás, Save State indítás, stb.) működjön a
szolgáltatás.
reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0
Érdemes ezt is berakni a GPO-ba, a Client és a Server-be egyaránt. Nyissuk meg a Group Policy Manager - Group Policy Objects - NTPConfigurationClient/NTPConfigurationServer - jobb gomb - Edit - Computer Configuration - Preferencies - Windows Settings - Registry - jobb gomb - New - Registry Item. Töltsük ki az alábbiak szerint, majd Apply.
Hasznos parancsok:
netdom /query fsmo
w32tm /query /status
w32tm /unregister
w32tm /register
netdom /query fsmo
w32tm /query /status
w32tm /unregister
w32tm /register
Active directory címkéhez tartozó bejegyzések
Windows 2012 – Group Policy Management Console
A
Windows Server 2012 fejlesztésekor a Microsoft rengeteg új funkciót
épített be, olyan sokat, hogy néhány területen hajlamosak vagyunk
elsiklani a fejlesztések fölött. A Group policy tökéletes példa erre. Ez
nem új funkció, először a Windows 2000 rendszerekben találkozhattunk a
Group policy beállításokkal. Azóta sok víz lefolyt a Dunán, és több új
Windows verzió is megjelent, de a Group policy alapvető struktúrája és a
felügyeleti eszközei gyakorlatilag alig változtak.
Bár
a Group policy terén a Windows Server 2012-ben sincsenek forradalmian
új változások, azért a Microsoft tett néhány változtatást, amivel jó, ha
tisztában vagyunk. A változások egy része a Group Policy Management Console-t,
másik része pedig magukat a Group policy beállításokat érinti. Úgy
gondoltam, érdemes lenne közelebbről is szemügyre venni a legjobb Group
policy funkciókat, változásokat.
A Group Policy Management Console (GPMC) – Status
Az egyik hasznos bővítés a Microsoft a Group Policy Management Console-on a Status fül hozzáadása.
A testagr.local tartomány kiválasztása után a jobb oldali ablaktáblában megjelent néhány fül, amelyek közül az első a Status fül. A Status fül a Group Policy-hoz kapcsolódó Active Directory replikáció, és SYSVOL replikáció állapotát egyaránt mutatja.
Az egyik hasznos információ a baseline domain controller,
a kiválasztott tartományhoz tartozó alap tartományvezérlő. A Group
Policy beállítások részben az Active Directory-ban, részben pedig a
SYSVOL mappában tárolódik a tartományvezérlőkön.
Egy Group Policy objektum módosítása bármelyik írható tartományvezérlőn megtörténhet (RODC-n nem – ez logikus ).
Miután a módosítás kiíródott az egyik tartományvezérlőre, azt át kell
replikálni (szinkronizálni) a többi tartományvezérlőre is a
tartományban. Emiatt a Group Policy “egészségi állapota” közvetlenül a tartományvezérlők közötti replikáció egészségi állapotától függ.
A “egészségi állapot”
kézenfekvő módja, ha összehasonlítjuk az egyes tartományvezérlőkön lévő
Group Policy változatokat, és megnézzük, hogy mindegyik ugyanazokat a
módosításokat tartalmazza-e. Ehhez a GPMC-nek a vizsgálatkor az egyik
tartományvezérlőt referencia alapként kell kezelnie. Ez a baseline domain controller. Az ellenőrzés során ehhez az alap tartományvezérlőhöz viszonyított eltéréseket vizsgálja a Group Policy Management Console. A GPMC mutatja, hogy melyik tartományvezérlő a baseline DC. Ez megváltozatható, a jobb oldali Change hivatkozásra kattintva kijelölhető egy másik alap tartományvezérlő.
Az alap tartományvezérlő neve melletti ikonra kattintva további adatokat láthatók a baseline DC-ről a Status Details részben. Pl.: a DC-hez tartozó Site név, IP-cím és Group Policy objektumok száma.
A Status Details
információi alapvetően hasznosak, de pl. szerencsésebb lett volna az
IPv4 címet megjeleníteni a baseline DC IPv6 címe helyett. Ez okozhat
kellemetlenséget néhány esetben, de ettől eltekintve a megjelenített
információk hasznosak.
A Group Policy Management Console elindítása után a “No Infrastructure Status information exists for this domain” üzenet látható a Status Details részben.
Ennek magyarázata a GPO objektumok dinamikus jellegéből adódik. A Group
Policy objektumok (és az Active Directory egészében is) gyakran
frissül, változik ezért az állapot adatok is gyorsan elavulnak. Emiatt a
GPMC nem gyűjti automatikusan az állapotadatokat.
Szerencsére van egy “Detect Now”
gomb a jobb alsó sarokban, amelyre kattintva az információk
begyűjthetők a replikációs folyamatról, és jelentés készíthető. A
jelentésben
láthatók azok a tartományvezérlők, amelyeken a replikáció jelenleg folyamatban van, valamint a baseline DC-vel szinkronban lévő tartományvezérlők is.
láthatók azok a tartományvezérlők, amelyeken a replikáció jelenleg folyamatban van, valamint a baseline DC-vel szinkronban lévő tartományvezérlők is.
Nagyobb
AD tartomány esetén az adatgyűjtési folyamat hosszabb ideig is
eltarthat. A Status fülön lévő információk értéktelenek, ha csak
egyetlen tartományvezérlőnk van, mert ekkor nincs replikáció. Mondjuk,
ez ellentétes a Microsoft által ajánlott legjobb gyakorlattal is, hogy
legalább két tartományvezérlőnk legyen.
A
Group Policy Management Console kisebb hiányossága, hogy nem lehet a
gyűjtött adatokat exportálni. Az egyetlen lehetőség a konzolon való
megtekintés. A konzol bezárása, majd újbóli megnyitásakor újra be kell
gyűjteni a szinkronizációs adatokat. Kissé meglepő módon, a Microsoft
nem ad PowerShell parancsok sem a Group Policy állapot információ
begyűjtésére.
A
GPMC Status fül használatához NINCS szükség Windows Server 2012
tartományvezérlőre. Az is elegendő, ha a tartományban van legalább egy
Windows Server 2012 Member Server, amelyen telepítve van a Group Policy
Management Console. A Status fül Windows Server 2003 vagy újabb
tartományvezérlőkön működik. Az erdő és tartomány működési szintjét is
be kell állítani, hogy az legalább Windows Server 2003-as legyen.
A
Status fül különösen a Group Policy-val (vagy Active Directory
replikációval) kapcsolatos problémák vizsgálatakor, hibakereséskor
hasznos. Ez azonban csak az egyik a Group Policy-vel kapcsolatos
fejlesztések közül a Windows Server 2012-ben.
A Group Policy frissítés kikényszerítése
Egy
Group Policy objektum frissítése időbe telik, ugyanis a Group policy
módosításnak szét kell terjednie az AD hierarchiában, végül pedig a
változásoknak érvényesülnie kell a Group Policy objektum hatálya alá eső
felhasználókra, illetve számítógépekre.
Általában
ez a késedelem nem probléma, de vannak kivételek. Pl.: ha egy
biztonsági fenyegetésre kell egy Group policy módosítással azonnal
válaszolni. Ilyen esetben ki kell kényszeríteni a változások azonnali
érvényesülését, amit eddig parancssorból, a GPUpdate /Force paranccsal lehetett megtenni.
A
Windows Server 2012-ben ez a parancssor használata nélkül is megtehető!
Egyszerűen a Group Policy Management Console-ban kell egy jobb klikk
azon az Active Directory szinten, ahol azonnal alkalmazni kell a Group
Policy frissítést, és ki kell választani a Group Policy Update parancsot a helyi menüben.
A Group Policy Update
a parancs kiválasztása után megjelenik egy panel, amely mutatja, hogy
hány felhasználó és számítógép található a kiválasztott konténerben. Itt
adható meg az is, hogy a felhasználó és/vagy a számítógép Group Policy
ágat kell frissíteni.
Ahogy
halad előre a Group Policy Update folyamat, a panel mutatja, hogy hány
frissítés sikerült, és hány nem. Nagyon szuper, hogy a panel tartalmaz
egy “Save” gombot, amellyel CSV fájlba exportálható a
felhasználó vagy a számítógép lista. A CSV fájlokból pedig mutatós Excel
jelentéseket lehet készíteni! .
Fontos,
hogy ez a kikényszerített frissítés csak Windows Server 2008 (vagy
Windows Vista) illetve újabb OS-t futtató számítógépeken működik. Azt is
érdemes megjegyezni, hogy a frissítés akár tíz percet is igénybe vehet a
kiválasztott számítógépeken. A frissítések végrehajtása ugyanis a 0
perc – 10 perc intervallumban véletlenszerűen elosztott időpontokban
kezdődik. Ezzel a Windows a rendszer túlterhelését, “lefagyását”
akadályozza meg, amit a túl sok egyidejű frissítés okozhat.
Group Policy Modeling és Group Policy Results
Ezek
a funkciók ilyen vagy olyan formában már korábban is léteztek a Windows
Server 2003-ban, és kiteljesedtek a Windows Server 2012-ben. A Group Policy Modeling funkció egy “mi történne, ha…”
vizsgálatot tesz lehetővé. Megnézhető, mi történne, ha a Policy-t
alkalmaznánk egy adott felhasználóra és/vagy számítógépre. A Group Policy Results
funkció pedig egy hasznos diagnosztikai eszköz, amellyel
meghatározható, honnét származik egy váratlan policy beállítás. A
Microsoft a Group Policy Modeling és a Group Policy Results eszközöket is továbbfejlesztette a Windows Server 2012-ben.
Általában
könnyű kinyomozni, hogy miért az adott Policy-beállítások érvényesültek
egy felhasználóra vagy számítógépre. A Group Policy objektumok
hierarchikusak, és meghatározott sorrendben kerülnek alkalmazásra. A
felhasználóra és/vagy a számítógépre alkalmazott policy együttes
eredménye alkotja az effektív policy-t. Abban az esetben, ha két Policy beállítás ellentmond egymásnak, akkor a később alkalmazott Policy jut érvényre.
Bár az effektív policy meghatározására vonatkozó szabályok egyszerűek,
de van néhány olyan opció, aminek hatására teljesen más módon,
sorrendben kell alkalmazni a Group Policy beállításokat. Például, ha az
öröklődés blokkolása (Block Inheritance) opcióval
megakadályozható a felsőbb szintű konténerekhez kapcsolt Group
Policy-objektumok öröklődése az alsóbb konténerek szintjére.
Értelemszerűen az öröklődés blokkolása megváltoztatja az effektív policy kiszámítását is.
Másik mechanizmus, amely megváltoztathatja az effektív policy kiszámítását, az Enforced Settings.
Amikor egy GPO-t kikényszerítünk (Enforce), akkor az adott GPO-ban lévő
beállításokat nem írhatja felül másik GPO a hierarchián belül.
A Group Policy objektumok a következő sorrendben kerülnek alkalmazásra:
-
local computer policy,
-
domain policy,
-
site policy,
-
OU policy.
Ha
a cél az, hogy a domain szintű policy beállítások jussanak érvényre, és
azokat ne tudják felülírni a Site vagy az OU szintű GPO beállítások,
akkor a domain policy-t Enforced policy-ak kell megjelölni.
A harmadik tényező, ami módosíthatja a GPO objektumok feldolgozási sorrendjét, az a slow link detection
(a lassú kapcsolat észlelési mechanizmusa). Ez a Windows 2000 óta
létezik, és az vizsgálja, hogy a felhasználó olyan számítógépen
dolgozik-e, amely lassú vonalon kapcsolódik a tartományvezérlőhöz. Ha
lassú kapcsolatot észlel, akkor bizonyos csoportházirend-beállítások nem
kerülnek alkalmazásra. Alapértelmezés szerint ekkor a Windows nem
alkalmazza a szoftvertelepítési beállításokat, a szkripteket vagy mappa átirányítási GPO-beállításokat. Ha nem vagyunk tisztában a slow link detection
mechanizmussal, és az effektív policy-re gyakorolt hatásával, akkor
bizony meglepetések érhetnek, csodálkozni fogunk, hogy egyes policy
beállítások, miért hiányoznak az effektív policy-ből.
Nos, látható hogy néhány dolog, mint Block Inheritance, az Enforced Policy Settings, és a Slow Link Detection
megváltoztatják a GPO beállítások alkalmazási sorrendjét. Ezek a
mechanizmusok arról váltak közismertté, hogy “komolyan” megnehezítik a
Group Policy hibaelhárítást. Emiatt tervezte újra a Microsoft a Group
Policy Management Console Modelling és Results funkcióit úgy, hogy figyelmeztessen ilyen típusú mechanizmusokat használatára.
A Modelling és Results funkciók automatikusan figyelmeztetnek a Block Inheritance, és az Enforced Policy Settings használatára. Azt is mutatják, hogy a Slow Link vagy a Fast Link feldolgozási mód szerint kerültek kiszámításra a beállítások.
Ahogy az ábrán látható, a Fast Link Detection üzenet tartalmaz egy “More Information”
hivatkozást. Erre kattintva arra a TechNet cikkre juthatunk el, amely
részletesen ismerteti a Link sebesség szerinti feldolgozást, valamint a
hatását az effektív policy-re.
A
Microsoft egy sor hasznos fejlesztést hajtott végre a Group Policy
Management Console-on a Windows Server 2012-ben. De nem a GMPC az
egyetlen terület, ahol Group policy fejlesztések történtek.https://www.youtube.com/watch?v=0WyBxwJD_c0
Nincsenek megjegyzések:
Megjegyzés küldése