Windows Server 2019

---

12.02.2021

Проектирование базовых сервисов на основе Windows Server 2019

 

Часть 3. Рабочая станция администратора.

 

Я снова всех приветствую. Продолжаем поднимать инфраструктуру на нашем воображаемом предприятии. В прошлой статье мы настроили репликации базовых сервисов AD DС, DNS, DHCP. У нас теперь есть отказоустойчивость в виде двух аппаратных серверов со статическими сетевыми настройками. Рабочие станции у нас конечно будут получать сетевые настройки автоматом от DHCP. Можно идти до пользователей и переводить рабочие станции из рабочей группы в домен brn.mrstudio22.ru. Но сначала давайте вернёмся в наш первый DC. То что мы заходим на контроллеры под учёткой “BRN\Administrator” - не есть хорошо. Мы конечно не будем отключать эту учётную запись - это делается на рабочих станциях но не на контроллерах домена. Нам нужно создать свою учётную запись, с которой мы будем работать на своей рабочей станции. Например itmaster@brn.mrstudio22.ru. Затем создать энтерпрайс/доменного администратора itmaster-adm@brn.mrstudio22.ru с помощью которого мы будем рулить серверами по RDP со своей рабочей станции. Сделать ещё нужно отдельную OU для доменных администраторов и отдельную OU для групп. 

После создания пользователя itmaster-adm добавляем его в группы “Domain Admins” и “Enterprise Admins”

 

Теперь можно выйти из сеанса учётки “BRN\Administrator” и начать привыкать заходить на сервера через учётку “BRN\itmaster-adm”.

 

На этом этапе можно выйти из серверной и пойти в свой кабинет - вводить свою машину в домен и настроить удаленное управление серверами. Но давайте немного задержимся - дело в том что прежде чем вводить рабочую станцию в домен крайне желательно сначала создать объект компьютера  в домене. Давайте сделаем это. Заходим в привычную нам оснастку “Active Directory Users and Computers” - и в подразделении, она же “OU” - “Barnaul\Computers” создадим 3 объекта компьютера, у нас ведь пока что только три пользователя в домене - это мы сами “itmaster”, ещё есть Елисеева Анна Петровна и некая Лазарева Светлана Юрьевна. Соответственно создаем для этих учёток объекты “WKS-BRN01”, “WKS-BRN02” и “WKS-BRN03”. Где WKS - это сокращение от WORKSTATION ну и BRN - указывает на филиал в городе Барнаул.

 

Обратите внимание - при создании объекта компьютера мы видим путь расположения. То есть - Домен brn.mrstudio22.ru - затем подразделение Barnaul - затем подразделение Computers (А можно было назвать это подразделение Workstations):

Ну вот теперь идём к себе в кабинет и вводим наш компьютер в домен. При этом держим в голове что имя компьютера мы переделываем на “WKS-BRN01”, доменный пользователь будет “itmaster@brn.mrstudio22.ru” и когда мастер нас спросит - какая учётка авторизует ввод в домен, мы укажем конечно “itmaster-adm@brn.mrstudio22.ru”. В истории о том что обычный доменный пользователь может 10 раз ввести машину в домен я не особо верю, хотя если использовать полное UserPrincipalName то есть полное имя доменной учётки, то оно работает. Но сначала, пока не ввели машину в домен, сделаем важную вещь - а именно создать локального пользователя с правами ЛОКАЛЬНОГО администратора. Так как изначальный локальный администратор, который так и называется “Администратор”, отключен - нам всё равно нужны пути отхода назад - например в рабочую группу, или например, для того чтобы подключить расшаренный принтер. То есть если мы впоследствии выведем эту машину из домена мы не сможем зайти под доменными учетными записями, поэтому всегда должна быть локальная учётная запись и крайне желательно с правами локального администратора. Вы тут можете спросить - А зачем её создавать если при установке Windows мы её уже создали и с помощью неё и сейчас зашли на компьютер? Верно - более того я так и делаю на работе - изначально ставлю windows указывая пользователя soft с паролем который использую для всех машин. Таким образом я, как администратор, знаю параметры локального администратора на каждой машине.   

 

И так заходим в свойства компьютера - жмём кнопку “Изменить параметры”:

 

Далее жмём “Изменить”:

Имя компьютера разумеется меняем на WKS-BRN01 и переключаемся с рабочей группы на домен. Имя домена “brn.mrstudio22.ru”:

 

Вводим данные своей доменной учётки:

 

И я словил ошибку:

 

Пробуем через доменного администратора “itmaster-adm@brn.mrstudio22.ru” - и таки да всё удачно:

 

Далее перезагружаемся - и мы в домене. Выбираем другого пользователя:

 

 

Обратите внимание на параметр входа “Вход в:” изменился на “BRN” - что говорит о том что система ждёт именно доменных авторизационных данных.

 

На всякий случай покажу, чтобы вы знали такую возможность, - как вернуться в локального пользователя если вы не знаете имя машины, на которой авторизуетесь - просто в поле пользователя сначала пишем точку - “.\soft”.

 

Отлично! Мы ввели первую рабочую станцию в домен. Давайте посмотрим как это событие отразилось на серверах. Ныряем в DHCP и видим в разделе “Address Leases” наш компьютер и дату истечения аренды IP адреса:

Теперь взглянем на DNS службу и видим что “A” запись для нашего “WKS-BRN01” красуется в списке зоны. Отлично!:

А теперь вернемся на нашу рабочую станцию и в командной строке набирём команду “ipconfig /all”

 

И видим тут много интересного. В том числе адрес DHCP сервера, адреса DNS серверов. итд. Отлично! Порядок ввода в домен для других рабочих станций будет такой - же. Только  у них будет своё имя для компьютера и свой доменный пользователь. Можно идти по пользователям и вводить машины в домен чтобы люди начали работать. Предположим мы так и сделали, всех обошли и теперь вернулись в свой кабинет заварить чаю и немного отдохнуть. Заодно давайте сделаем так чтобы мы могли работать с пользователями не подключаясь к удаленному рабочему столу сервера. Как это сделать? Ну во-первых доменный пользователь под которым мы зашли в компьютер не имеет административных прав на этой машине. Давайте это исправим - ведь мы не рядовой пользователь а администратор и нам можно у нужно это позволить. Мы просто дадим нашей доменной учётке “itmaster@brn.mrstudio22.ru” права локального администратора. То есть просто включим его в локальную группу “Администраторы” этой машины. там же кстати и прибывает пользователь “soft”. Жмём правой кнопкой по “Пуск” и выбираем “Управление компьютером”.  

 

 

Далее “Локальные пользователи и группы” - “Группы” - “Администраторы”:

 

Жмём кнопку “Добавить” - затем пишем имя “itmaster” - затем “Проверить имена” - где возможно нужно выбрать среди похожих учёток нужную. Затем “ОК”:

 

И ловим такую ошибку:

 

Давайте запустим оснастку “Управление компьютером” через доменного администратора. Как это сделать? В пуске выходим на “Средства администрирования”:

 

Далее выходим на оснастку:

 

Жмём правой кнопкой и через “Дополнительно” запускаем от имени администратора: 

 

 

Система запросит авторизацию. Вводим доменного администратора.

 

После чего проделываем те же шаги для включения доменного пользователя “itmaster@brn.mrstudio22.ru” в ЛОКАЛЬНУЮ группу “Админстраторы” компьютера “WKS-BRN01.brn.mrstudio22.ru”. Перезагрузим компьютер. Теперь у нас есть права администратора, но только в рамках этой рабочей станции. Теперь мы можем устанавливать программы и выполнять команды в PowerShell от имени администратора.

 

 Давайте запустим PowerShell от имени администратора:

 

Далее установим на нашу рабочую станцию RSAT компоненты. Вбиваем вот эту команду:

Get-WindowsCapability -Online | ? {$_.Name -match "Rsat"} | % {Add-WindowsCapability -Online -Name $_.Name}

 

Тем самым мы установим все необходимые оснастки для управления сервером со своей рабочей станции.

 

 

Теперь, когда мы пройдём в пуске в раздел “Средства администрирования” мы увидим дополнительные средства управления:

 

 

Запускаем “Пользователи и компьютеры Active Directory” от имени доменного администратора. Жмём правой кнопкой по значку и выходим на “Перейти к расположению файла” :

 

Либо просто в проводнике вбиваем этот путь “C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools”. Затем копируем нужный ярлык оснастки на рабочий стол.

Далее зажимая shift жмём правой кнопкой по ярлыку “Пользователи и компьютеры Active Directory” - и выбираем “Запуск от имени другого пользователя”:

 

Авторизируемся под доменным администратором “itmaster-adm@brn.mrstudio22.ru”. После чего оснастка откроется со всеми возможностями, которые нужны для работы с доменными учётками.