Установка и первоначальная настройка Active Directory на Windows Server 2012
Первоначальная настройка
1. Отключить межсетевой экран в ОС Windows 7 и Windows Server 2012
Открываем Пуск – Панель управления– Центр управления сетями и общим доступом – Изменить параметры адаптера. После нажатия правой кнопкой на подключении выбираем пункт Свойства из контекстного меню. На вкладке Сеть выделяем Протокол интернета версии 4 (TCP/IPv4) и жмем Свойства.
Задаем:
IP-адрес: 192.168.10.20
Маска подсети: 255.255.255.0
Основной шлюз:192.168.10.1
Проверка
2. Изменить имя компьютера, например PKServer
Изменить параметры, ввести описание «Server M2»и новое имя «PKServer»
Осуществить перезагрузку ОС
!!! Пароль KC29server
Установка AD
Службы AD CS предоставляют настраиваемые услуги по выдаче цифровых сертификатов, которые используются в системах безопасности ПО, применяющих технологии открытых ключей, и по управлению этими сертификатами.
Цифровые сертификаты, предоставляемые AD CS, можно использовать для шифрования и цифрового подписывания электронных документов и сообщений.Эти цифровые сертификаты можно использовать для проверки в сети подлинности учетных записей компьютеров, пользователей и устройств.Цифровые сертификаты используются для обеспечения:
1. конфиденциальности с помощью шифрования;
2. целостности с помощью цифровых подписей;
3. проверки подлинности с помощью привязывания ключей сертификата к учетным записям компьютеров, пользователей и устройств в сети.
AD CS можно использовать для повышения безопасности путем привязки удостоверения пользователя, устройства или службы к соответствующему закрытому ключу. AD CS – это экономичный, эффективный и безопасный способ управления распределением и использованием сертификатов.
В число применений, поддерживаемых AD CS, входят безопасные многоцелевые расширения стандарта почты Интернета (S/MIME), защищенные беспроводные сети, виртуальные частные сети (VPN), протокол IPsec, шифрованная файловая система (EFS), вход с помощью смарт-карт, протокол безопасности передачи данных и протокол безопасности транспортного уровня (SSL/TLS) и цифровые подписи.
Для установки роли AD на компьютер откроем Пуск – Диспетчер сервера. Выберем «Добавить роли и компоненты».
Выбирать «Установка ролей и компонентов» и «Далее».
Выбрать компьютер для установки AD и «Далее».
Выбрать роль «Доменные службы Active Directory» и будет предложено установить необходимые компоненты и службы ролей для роли AD – «Добавить компоненты» – «Далее».
…
4. Настройка доменных служб Active Directory
Настройка доменной службы через запуск «Мастер настройки доменных служб Active Directory» (жмем на иконку «Уведомления» (флажок) в «Диспетчере сервера» и после этого выбираем Повысить роль этого сервера до уровня контроллера домена).
Выбрать «Добавить новый лес» и вписываем наш домен в поле «Имя корневого домена» (m2.local) и «Далее»
В появившемся меню можно задать совместимость режима работы леса и корневого домена. Поскольку все с нуля, то оставляем по умолчанию (в режиме работы «Windows Server 2012»). Можно отключить DNS-сервер, но в дальнейшим будем настраивать локальный DNS-сервер. Задать пароль DSRM (Directory Service Restore Mode — режим восстановления службы каталога) и «Далее».
На данном этапе мастер настройки предупреждает, что домен m2.local не делегирован и будет существовать только в нашей сети и «Далее».
Можно изменить NetBIOS имя, которое было автоматически присвоено, но не обязательно – «Далее».
Можно изменить пути к каталогам базы данных AD DS (Active Directory Domain Services – доменная служба AD), файлам журнала, а так же каталогу SYSVOL, что необязательно – «Далее».
Можно просмотреть основные настройки, выбранные нами
Мастер проверит соблюдены ли предварительные требования, видим несколько замечаний, на данном моменте они не критичны – «Установить»
Добавление учетной записи пользователя
На компьютере с ОС Win7 отключить межсетевой экран!
Настройка сервера:
Для упрощения администрирования желательно пользователей развести по их обязанностям, создавая соответствующие подразделения, например, «Бухгалтерия»
Создание учетной записи Иванова И.И.
Добавление пароля
| | При создании пароля необходимо учитывать, что все пароли учетных записей пользователей должны удовлетворять следующим требованиям: — Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков. — Иметь длину не менее 6 знаков. — Содержать знаки трех из четырех перечисленных ниже категорий: 1. Латинские заглавные буквы (от A до Z). 2. Латинские строчные буквы (от a до z). 3. Цифры (от 0 до 9). 4. Отличающиеся от букв и цифр знаки (например, !, $, #, %). |
Для изменения политики учетных записей необходимо работать с настройками домена:
Только в данных параметрах можно изменить длину и сложность пароля для пользователей.
Не забудьте перезагрузить сервер!!!
Это позволит пользователю заходить в систему используя простой пароль, первоначально задаваемый одинаково для всех, например «1234», но с условием его смены при первом подключении.
Пароль «1234», что было бы невозможно при первоначальных настройки политики безопасности.
| В этом случаи, при входе в систему появится – |  ВАЖНО: новый пароль должен отличаться от старого |
Без требования смены пароля, пользователь, даже предупрежденный о необходимости сменить пароль, может пренебречь советом, тем самым сделать свои документы и всю сеть более уязвимыми.
Добавление компьютера
Изменить имя рабочей станции.
Настроить сетевой адаптер рабочей станции, следующим образом:
Добавление компьютера позволит администратору сети
— Управлять доступом пользователей к определенным ресурсам в сети.
— Управлять компьютерами удаленно.
— Осуществлять и контролировать: установка ПО, разрешить или запретить запуск программ, управлять возможностью вносить какие-либо изменения в компьютере пользователем.
— и т.д.
Заполняем имя ПК, предварительно переименовав компьютер на рабочей станции.
Задание: Создать 2 подразделения, в каждом по 3 пользователя
