Создание групп в Active Direcotry

PowerShell: системное администрирование и программирование

В этой статье мы рассмотрим функции PowerShell для управления группами домена Active Directory. Мы увидим, как создать новую группу в AD, добавить в неё пользователей и удалить их, отобразить список пользователей группы и некоторые другие полезные действия с группами домена, которые чрезвычайно полезны для повседневного администрирования. Для управления группами AD в модуле Active Directory для Windows PowerShell доступны следующие базовые командлеты:

  • New-ADGroup – для создания новой группы AD
  • Add-AdGroupMember – добавление пользователя в группу AD
  • Remove-ADGroupMember – удаление пользователей из группы AD
  • Get-ADGroup – получение информации о группе AD
  • Get-ADGroupMember – отображение списка пользователей в группе AD

Чтобы использовать эти командлеты, у вас должен быть специальный модуль для взаимодействия с AD — модуль Active Directory для Windows PowerShell. Этот модуль был представлен в Windows Server 2008 R2. В Windows Server 2012/2012R2/2016/2019/2022 он включён по умолчанию на контроллерах домена. Вы можете установить и включить его на клиентских компьютерах (Windows 11, 10, 8.1 и 7) как один из компонентов RSAT: «Как установить и использовать модуль Active Directory PowerShell». На рабочих станциях данный модуль вы можете установить следующей командой:

Убедиться в доступности модуля можно следующим образом:

Как видите, модуль ActiveDirectory загружен.

Вы можете получить полный список команд модуля, выполнив следующее:

В модуле доступно 147 командлетов, 11 из которых относятся к управлению группами AD.

Обратите внимание: в последующих командах имя группы, если оно состоит из одного слова, необязательно заключать в одинарные или двойные кавычки. Тем не менее, если имя группы состоит из более чем одного слова, то его обязательно заключать в кавычки.

Типы групп

В доменных службах Active Directory Windows Server 2008 можно отметить два типа групп: безопасности и распространения. При создании новой группы в диалоговом окне «Новый объект — группа» оснастки «Active Directory – пользователи и компьютеры» вы можете выбрать одну из этих двух групп. Группы безопасности относятся к принципалам безопасности с SID-идентификаторами. В связи с этим данный тип группы считается самым распространенным и группы такого типа можно использовать для управления безопасностью и назначения разрешений доступа к сетевым ресурсам в списках ACL. В общем, группу безопасности стоит использовать в том случае, если они будут использоваться для управления безопасностью.

В свою очередь, группа распространения изначально используется приложениями электронной почты, и она не может быть принципалом безопасности. Другими словами, этот тип группы не является субъектом безопасности. Так как эту группу нельзя использовать для назначения доступа к ресурсам, она чаще всего используется при установке Microsoft Exchange Server в том случае, когда пользователей необходимо объединить в группу с целью отправки электронной почты сразу всей группе.

Ввиду того, что именно группы безопасности вы можете использовать как с целью назначения доступа к ресурсам, так и с целью распространения электронной почты, многие организации используют только этот тип группы. В домене с функциональным уровнем не ниже Windows 2000 вы можете преобразовывать группы безопасности в группы распространения и наоборот.

Добавление подразделения в домене

1. Для добавления подразделения в домене нажимаем правой клавишей мыши на домен, в появившемся меню «Создать» — «Подразделение«.

create del user group object11

2. Задаём имя подразделения, далее «ОК«.

create del user group object12

3. Если необходимо, в созданном подразделении создаём вложенные подразделения. Далее в созданные подразделения можно перенести или создать различные объекты (пользователи, компьютеры, группы).

create del user group object13

Как создать группу

Существует несколько методов создания группы.

Создание группы в ADUC

Откройте ADUC (dsa.msc). Найдите OU или контейнер, где вы хотите создать группу. Щелкните правой кнопкой мыши на эту OU и выберите New->Group.

Как управлять группами в AD. Часть 1: Создание и удаление групп.

В окне «New Object — Group» укажите следующие значения:

  • Имя группы.
  • Область действия группы или примите значение по умолчанию — Глобальная группа.
  • Тип группы или примите значение по умолчанию — группа безопасности.

Нажмите OK, чтобы создать группу.

Создаем группу с помощью оснастки ADUC

Самый простой способ создать группу – воспользоваться графической консолью Active Directory — Пользователи и компьютеры (dsa.msc). Перейдите в OU, в котором вы хотите создать группу, щелкните по нему ПКМ и выберите Создать -> Группа.

создать группу в домене ad

Укажите имя группы и выберите необходимый тип и область действия. И нажмите Ок.

имя новой группе безопасности в ad

Чтобы добавить пользователя в группу, найдите ее в консоли ADUC и дважды щелкните. В окне свойств групп перейдите на вкладку «Члены групп» и с помощью кнопки «Добавить» добавьте в группу пользователей, компьютеры или другие группы.

список членов группы ad

Также можно добавить пользователя в группу правым кликом по нему и выбрать пункт добавить в группу. Это довольно удобно при массовом добавлении.

массово добавить объекты в группу ad

Изменить имя рабочей группы Windows

В заключение давайте посмотрим, как изменить название рабочей группы Windows.

  1. Открываем окно Свойства системы.
  2. На вкладке Имя компьютера нажимаем Изменить.
  3. В поле Рабочая группа: мы вводим имя, которое мы хотим использовать.

Важно: имя Рабочей группы может быть длиной до 15 символов и не должно содержать символов * () = + _ [] <> | /; : ‘», <>?

Типы групп в Active Directory и как создать группу

Давайте начнем с рассмотрения вопросов, какие типы групп есть и как создать группу. Для создания группы откройте оснастку «Пользователи и компьютеры» и на любом контейнере (организационной единице) кликните правой кнопкой мыши, выберите создать -> группу. Откроется окно создания группы.

Скриншот 1

Затем Вам нужно написать название Вашей будущей группы, выбрать область действия и выбрать какой тип группы у Вас будет, сразу скажу что «Группа распространения» Вам потребуется достаточно редко, а «Группа безопасности» напротив, будет требоваться очень часто, так как является основной и часто используемой группой в Active Directory.

Группа Безопасности – как видно из названия эта группа относится к безопасности, т.е. она управляет безопасностью. Она может дать права или разрешение на доступ к объектам в AD.

Группа распространения – отличается от группы безопасности тем, что находящимся в этой группе объектам нельзя дать права, а эта группа чаще всего служит для распространения электронных писем, часто используется при установке Microsoft Exchange Server.

Установка параметров безопасности

Установка параметров безопасности — завершающий этап настройка домена и групповых политик в Windows Server.

Ограничения парольной защиты

Редактор управления групповыми политиками

Ограничение на параметры парольной системы защиты задаются в контексте «Конфигурация компьютера». Выберите Конфигурация Windows –> Параметры безопасности –> Политики учетных записей –> Политика паролей.

В данном разделе объекта групповой политики определяются следующие параметры:

  1. «Минимальный срок действия пароля» задает периодичность смены пароля.
  2. «Минимальная длина пароля» определяет минимальное количество знаков пароля.
  3. «Максимальный срок действия пароля» определяет интервал времени, через который разрешается менять пароль.
  4. «Пароль должен отвечать требованиям сложности» определяет требования к составу групп знаков, которые должен включать пароль.
  5. «Хранить пароли, используя обратимое шифрование» задает способ хранения пароля в базе данных учетных записей.
  6. «Вести журнал паролей» определяет количество хранимых устаревших паролей пользователя.

Тут нужно указать необходимые параметры (определите самостоятельно).

Политика ограниченного использования программ

Объекты групповой политики позволяют запретить запуск определенных программ на всех компьютерах, на которые распространяется действие политики. Для этого необходимо в объекте групповой политики создать политику ограниченного использования программ и создать необходимые правила. Как это сделать.

Выберите раздел Конфигурация пользователя –> Политики –> Конфигурация Windows –> Параметры безопасности –> Политики ограниченного использования программ. Нажмите правой кнопкой на «Политики ограниченного использования программ», далее заходим в «Дополнительные правила» и жмем правой кнопкой мыши, затем выбираем «Создать правило для пути».

После обновления объекта групповой политики на рабочей станции, политика ограниченного использования программ вступит в действие и запуск программ, соответствующих правилам, будет невозможен.

Давайте запретим использовать командную строку на клиентском компьютере.

Запрет запуска командной строки (cmd.exe).

На этом все. Если у вас остались вопросы, обязательно задайте их в комментариях.

При попытке запустить командную строку на клиентской машине вы получите сообщение.

Запрет запуска командной строки

Анатолий Бузов

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

Adblock
detector