Одним из реально полезных нововведений в Windows Server 2019 является возможность вводить серверы, не делая Sysprep или чистую установку. Развернуть инфраструктуру на виртуальных серверах с Windows Server никогда еще не было так просто.
![](https://habrastorage.org/getpro/habr/post_images/832/bb5/ece/832bb5eceeb41372149067c20c1e4961.png)
Сегодня поговорим о том, насколько же, оказывается, просто устанавливать и управлять Active Directory через Powershell.
RSAT или локальный сервер с GUI:
![](https://habrastorage.org/getpro/habr/post_images/6b8/87e/6fa/6b887e6fa363eca9beb473dc1f992526.png)
Сначала нужно добавить сервер в RSAT. Добавляется он на главной странице с помощью доменного имени или ip адреса. Убедитесь, что вы вводите логин в формате
![](https://habrastorage.org/getpro/habr/post_images/c0e/5b7/e62/c0e5b7e627ac9f0ff9c2da7c0cd7fc2c.png)
Переходим в добавление компонентов и выбираем AD DS.
Powershell:
![](https://habrastorage.org/getpro/habr/post_images/cd6/a61/300/cd6a61300f8bf4a746faee1922d99fda.png)
Если вы не знаете, как называется компонент системы, можно выполнить команду и получить список доступных компонентов, их зависимостей и их имена.
![](https://habrastorage.org/getpro/habr/post_images/1cd/253/2df/1cd2532dfd27b952e5a8ca2592bd8577.png)
Копируем имя компонента и приступаем к установке.
Windows Admin Center:
![](https://habrastorage.org/getpro/habr/post_images/bbe/5f0/0b2/bbe5f00b224a5590bed0a70959e1e433.png)
Переходим в «Роли и компоненты» и выбираем ADDS (Active Directory Domain Services).
И это буквально всё. Управлять Active Directory через Windows Admin Center на текущий момент невозможно. Его упоминание не более чем напоминание о том, насколько он пока что бесполезен.
А для этого создаем новый лес.
RSAT или локальный серверс GUI:
![](https://habrastorage.org/getpro/habr/post_images/960/6ab/cb7/9606abcb74f747172d941f011fbec085.png)
![](https://habrastorage.org/getpro/habr/post_images/7c3/803/f19/7c3803f19052f098ee5755b9ec476326.png)
Очень рекомендуем оставлять все по умолчанию, все компоненты из коробки прекрасно работают и их не нужно трогать без особой на то необходимости.
Powershell:
Сначала нужно создать лес и установить пароль от него. В Powershell для паролей есть отдельный тип переменной – SecureString, он используется для безопасного хранения пароля в оперативной памяти и безопасной его передачи по сети.
![](https://habrastorage.org/getpro/habr/post_images/a8d/7b6/6e1/a8d7b66e1f1487312d192a673b693d11.png)
Любой командлет который использует чей угодно пароль нужно вводит таким образом. Сначала записываем пароль в SecureString, а затем указываем эту переменную в командлет.
![](https://habrastorage.org/getpro/habr/post_images/f37/51c/ea7/f3751cea704deceb2ae284068a3aac11.png)
Как и в установке через GUI, даже вывод в консоль один и тот же. В отличие от сервера с GUI, как установка роли, так и установка сервера в качестве контроллера домена не требует перезагрузки.
Установка контроллера с помощью RSAT занимает больше времени, чем через Powershell.
Теперь, чтобы понять насколько сильно различается управление Active Directory через Powershell и AD AC (Active Directory Administrative Center), рассмотрим пару рабочих примеров.
Скажем, мы хотим создать пользователя в группе Users и хотим чтобы он сам установил себе пароль. Через AD AC это выглядит так:
![](https://habrastorage.org/getpro/habr/post_images/5bf/f47/caa/5bff47caa8da4678423ccdda37efce15.png)
![](https://habrastorage.org/getpro/habr/post_images/f06/58a/b3b/f0658ab3b0c95aa5f64f11d489f3a5cf.png)
Отличий между AD DC и Powershell никаких.
RSAT или локальный серверс GUI:
![](https://habrastorage.org/getpro/habr/post_images/d43/a7d/a27/d43a7da2706e395f85ff16a2168c628a.png)
Через GUI пользователю нужно сначала задать пароль отвечающий GPO и только после этого его можно будет включить.
Powershell:
Через Powershell почти то же самое, только пользователя можно сделать активным даже без пароля.
RSAT или локальный сервер с GUI:
![](https://habrastorage.org/getpro/habr/post_images/b16/f8e/f11/b16f8ef1141004fd838325c7c14d12d8.png)
С помощью AD DC нужно перейти в свойства пользователя, найти графу с членством пользователя в группах, найти группу в которую мы хотим его поместить и добавить его наконец, а затем кликнуть OK.
Powershell:
![](https://habrastorage.org/getpro/habr/post_images/599/613/f38/599613f383d7dc2b5c5dac19bbebf025.png)
Если мы не знаем как называется нужная нам группа, получить их список мы можем с помощью:
Получить группу со всеми свойствами можно так:
![](https://habrastorage.org/getpro/habr/post_images/246/ed0/7bb/246ed07bb8d7d5e695627b98b337b568.png)
Ну и наконец добавляем пользователя в группу:
![](https://habrastorage.org/getpro/habr/post_images/9cf/28c/752/9cf28c7525a9d5b527530b4778d3d52a.png)
Далее, из-за того, что в Powershell все является объектами, мы как и через AD DC должны сначала получить группу пользователя, а затем добавить его в неё.
Затем добавляем этот объект в группу:
И проверяем:
Как видим, отличий в управлении AD через AD AC и Powershell почти нет.
Если вы уже сталкивались с развертыванием AD и других служб, то вы, возможно подмечали сходство развертывания через RSAT и Powershell, и насколько на самом деле все похоже. GUI в ядре, как никак.
Надеемся, статья была полезна или интересна.
Ну и напоследок пару дельных советов:
Предлагаем также прочитать наши прошлые посты: рассказ как мы готовим клиентские виртуальные машины на примере нашего тарифа VDS Ultralight с Server Core за 99 рублей, как работать с Windows Server 2019 Core и как установить на него GUI, а также как управлять сервером с помощью Windows Admin Center, как установить Exchange 2019 на Windows Server Core 2019
![](https://habrastorage.org/getpro/habr/post_images/832/bb5/ece/832bb5eceeb41372149067c20c1e4961.png)
Сегодня поговорим о том, насколько же, оказывается, просто устанавливать и управлять Active Directory через Powershell.
Устанавливаем роль
RSAT или локальный сервер с GUI:
![](https://habrastorage.org/getpro/habr/post_images/6b8/87e/6fa/6b887e6fa363eca9beb473dc1f992526.png)
Сначала нужно добавить сервер в RSAT. Добавляется он на главной странице с помощью доменного имени или ip адреса. Убедитесь, что вы вводите логин в формате
local\Administrator
, иначе сервер не примет пароль.![](https://habrastorage.org/getpro/habr/post_images/c0e/5b7/e62/c0e5b7e627ac9f0ff9c2da7c0cd7fc2c.png)
Переходим в добавление компонентов и выбираем AD DS.
Powershell:
![](https://habrastorage.org/getpro/habr/post_images/cd6/a61/300/cd6a61300f8bf4a746faee1922d99fda.png)
Если вы не знаете, как называется компонент системы, можно выполнить команду и получить список доступных компонентов, их зависимостей и их имена.
Get-WindowsFeature
![](https://habrastorage.org/getpro/habr/post_images/1cd/253/2df/1cd2532dfd27b952e5a8ca2592bd8577.png)
Копируем имя компонента и приступаем к установке.
Install-WindowsFeature -Name AD-Domain-Services
Windows Admin Center:
![](https://habrastorage.org/getpro/habr/post_images/bbe/5f0/0b2/bbe5f00b224a5590bed0a70959e1e433.png)
Переходим в «Роли и компоненты» и выбираем ADDS (Active Directory Domain Services).
И это буквально всё. Управлять Active Directory через Windows Admin Center на текущий момент невозможно. Его упоминание не более чем напоминание о том, насколько он пока что бесполезен.
Повышаем сервер до контроллера домена
А для этого создаем новый лес.
RSAT или локальный серверс GUI:
![](https://habrastorage.org/getpro/habr/post_images/960/6ab/cb7/9606abcb74f747172d941f011fbec085.png)
![](https://habrastorage.org/getpro/habr/post_images/7c3/803/f19/7c3803f19052f098ee5755b9ec476326.png)
Очень рекомендуем оставлять все по умолчанию, все компоненты из коробки прекрасно работают и их не нужно трогать без особой на то необходимости.
Powershell:
Сначала нужно создать лес и установить пароль от него. В Powershell для паролей есть отдельный тип переменной – SecureString, он используется для безопасного хранения пароля в оперативной памяти и безопасной его передачи по сети.
![](https://habrastorage.org/getpro/habr/post_images/a8d/7b6/6e1/a8d7b66e1f1487312d192a673b693d11.png)
$pass = Read-Host -AsSecureString
Любой командлет который использует чей угодно пароль нужно вводит таким образом. Сначала записываем пароль в SecureString, а затем указываем эту переменную в командлет.
![](https://habrastorage.org/getpro/habr/post_images/f37/51c/ea7/f3751cea704deceb2ae284068a3aac11.png)
Install-ADDSForest -DomainName test.domain -SafeModeAdministratorPassword $pass
Как и в установке через GUI, даже вывод в консоль один и тот же. В отличие от сервера с GUI, как установка роли, так и установка сервера в качестве контроллера домена не требует перезагрузки.
Установка контроллера с помощью RSAT занимает больше времени, чем через Powershell.
Управляем доменом
Теперь, чтобы понять насколько сильно различается управление Active Directory через Powershell и AD AC (Active Directory Administrative Center), рассмотрим пару рабочих примеров.
Создание нового пользователя
Скажем, мы хотим создать пользователя в группе Users и хотим чтобы он сам установил себе пароль. Через AD AC это выглядит так:
![](https://habrastorage.org/getpro/habr/post_images/5bf/f47/caa/5bff47caa8da4678423ccdda37efce15.png)
![](https://habrastorage.org/getpro/habr/post_images/f06/58a/b3b/f0658ab3b0c95aa5f64f11d489f3a5cf.png)
New-ADUser -Name BackdoorAdmin -UserPrincipalName BackdoorAdmin@test
Get-ADUser BackdoorAdmin
Отличий между AD DC и Powershell никаких.
Включить пользователя
RSAT или локальный серверс GUI:
![](https://habrastorage.org/getpro/habr/post_images/d43/a7d/a27/d43a7da2706e395f85ff16a2168c628a.png)
Через GUI пользователю нужно сначала задать пароль отвечающий GPO и только после этого его можно будет включить.
Powershell:
![](https://habrastorage.org/getpro/habr/post_images/dca/557/ecc/dca557ecc71b1232c88740da553cefa3.png)
Через Powershell почти то же самое, только пользователя можно сделать активным даже без пароля.
Set-ADUser -Identity BackdoorAdmin -Enabled $true -PasswordNotRequired $true
Добавляем пользователя в группу
RSAT или локальный сервер с GUI:
![](https://habrastorage.org/getpro/habr/post_images/b16/f8e/f11/b16f8ef1141004fd838325c7c14d12d8.png)
С помощью AD DC нужно перейти в свойства пользователя, найти графу с членством пользователя в группах, найти группу в которую мы хотим его поместить и добавить его наконец, а затем кликнуть OK.
Powershell:
![](https://habrastorage.org/getpro/habr/post_images/599/613/f38/599613f383d7dc2b5c5dac19bbebf025.png)
Если мы не знаем как называется нужная нам группа, получить их список мы можем с помощью:
(Get-ADGroup -Server localhost -Filter *).name
Получить группу со всеми свойствами можно так:
![](https://habrastorage.org/getpro/habr/post_images/246/ed0/7bb/246ed07bb8d7d5e695627b98b337b568.png)
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"}
Ну и наконец добавляем пользователя в группу:
![](https://habrastorage.org/getpro/habr/post_images/9cf/28c/752/9cf28c7525a9d5b527530b4778d3d52a.png)
Далее, из-за того, что в Powershell все является объектами, мы как и через AD DC должны сначала получить группу пользователя, а затем добавить его в неё.
$user = Get-ADUser BackdoorAdmin
Затем добавляем этот объект в группу:
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"} | Add-ADGroupMember -Members $user
И проверяем:
Get-ADGroupMember -Identity Administrators
Как видим, отличий в управлении AD через AD AC и Powershell почти нет.
Вывод:
Если вы уже сталкивались с развертыванием AD и других служб, то вы, возможно подмечали сходство развертывания через RSAT и Powershell, и насколько на самом деле все похоже. GUI в ядре, как никак.
Надеемся, статья была полезна или интересна.
Ну и напоследок пару дельных советов:
- Не устанавливайте других ролей на контроллер домена.
- Используйте BPA (Best practice analyzer), чтобы чуточку ускорить контроллер
- Не используйте встроенного Enterprice Admin’а, всегда используйте свою собственную учетную запись.
- При развертывании сервера на белом IP адресе, с проброшенными портами или на VSD обязательно закройте 389 порт, иначе вы станете точкой амплификации DDoS атак.
Предлагаем также прочитать наши прошлые посты: рассказ как мы готовим клиентские виртуальные машины на примере нашего тарифа VDS Ultralight с Server Core за 99 рублей, как работать с Windows Server 2019 Core и как установить на него GUI, а также как управлять сервером с помощью Windows Admin Center, как установить Exchange 2019 на Windows Server Core 2019
![](https://habrastorage.org/webt/fy/_y/ga/fy_ygawz3qa9h28otrjzuvit7uw.jpeg)
Комментарии (2)
mvv-rus
19.12.2019 03:41Одним из реально полезных нововведений в Windows Server 2019 является возможность вводить серверы, не делая Sysprep или чистую установку.
А в чем реальная польза? Обработать Sysprep'ом шаблон, из которого развертывается сервер — операция весьма быстрая. И даже если не обработать, то реально это может помешать только в одном случае — поднятие первого контроллера домена: тогда SID виртуального сервера, на котором поднимается контроллер (который в таком случае будет одинаков для всех виртуальных серверов) станет SID домена, и это создаст реальные проблемы. А в отсальных случаях SID сервера нигде за пределами этого сервера не используется, а потому никому не мешает.
Mem0
Заголовок не отражает содержания статьи и написана ради того, чтобы написать статью.