Установка и настройка Active Directory на 2019 сервере

Active directory установка программ windows

Добрый день! Уважаемый читатель, рад что ты вновь на страницах компьютерного блога Pyatilistnik.org. Несколько лет назад я выкладывал у себя на сайте пост, о том как развернуть у себя домен на Windows Server 2008 R2. Идет время и на дворе уже 2019 год со своим флагманским серверным продуктом. В сегодняшней статье я бы хотел рассмотреть вопрос установки Active Directory на Windows Server 2019. Мы рассмотрим все методы и нюанса, а так же проведем настройку.

Перед тем как я покажу процесс установки AD в Windows Server 2019, я бы хотел вам напомнить, что ASctive Directory — это по сути создание централизованной базы данных в которой будут хранится и управляться компьютеры, пользователи, принтеры. Более подробно, что такое Active Directory читайте по ссылке слева.

Подготовительный этап

Что я сделал на начальном этапе, произвел установку Windows Server 2019 Standard на виртуальной машине VMware ESXI 6.5. Сделал начальную настройку сервера, так сказать оптимизировал, это включаем настройку IP-адреса, имени и еще некоторых моментов. Когда вы все это произвели, то можете приступать.

Установка и настройка Active Directory на 2019 сервере

Существует два метода выполнения нашей задачи:

1. Классический метод с использованием оснастки «Диспетчер серверов»
2. Использование утилиты Windows Admin Center
3. Второй метод, это использование Power Shell

Установка AD через сервер менеджеров

Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».

Тип установки оставьте «Установка ролей и компонентов».

Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.

Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.

Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.

Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.

Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:

Нажимаем «Установить». Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory.

Выгруженная конфигурация, это XML файл с таким вот содержанием.

Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.

Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».

То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.

Вот теперь по сути и начинается установка и настройка службы Active Directory. Так как у нас, еще нет окружения AD, то мы выбираем пункт «Добавить новый лес», если у вас он уже есть, то вам нужно либо добавлять контроллер домена в существующий лес или добавить новый домен в существующий лес. В соответствующем поле указываем имя корневого домена, в моем примере, это partner.pyatilistnik.info.

На следующем окне вы должны выбрать параметры:

, определяет какие функции и возможности есть на уровне леса.
• Режим работы домена, так же определяет какие функции будут доступны на уровне домена.

, лучше всегда совмещать эти роли
• Глобальный каталог, на начальной установке доменных служб Active Directory обязателен, когда вы ставите второй контроллер домена, то вы можете не выставлять, но я вам не советую.
• Контроллер домена только для чтения (RODC), активна не будет при первой установке. Подробнее про использование RODC читайте по ссылке.
• Далее вы задаете пароль восстановления DSRM (Режим восстановления служб каталогов), он может потребоваться, когда у вас будут проблемы с активным каталогом или вам нужно будет сбросить пароль доменного администратора

Далее будет момент с делегированием DNS, но так как, это у нас новый лес и домен, то мы этот пункт просто пропускаем, если интересно то читайте про делегирование DNS зон по ссылке слева.

Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.

Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:

• Папка базы данных — C:\Windows\NTDS
• Папка файлов журналов — C:\Windows\NTDS
• Папка SYSVOL — C:\Windows\SYSVOL

Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.

Выглядит сценарий вот так:

Еще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.

В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.

После установки вам сообщат:

Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.

Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,

В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.

Установка контроллера домена Windows Server 2019 с помощью Powershell

Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.

Когда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.

Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.

Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.

Полезные команды при установке доменных служб

• Переименовать сайт AD по умолчанию (Default-First-Site-Name) — Get-ADReplicationSite | Rename-ADObject -NewName “Новое имя сайта
• Добавление новой подсети в сайт AD — New-ADReplicationSubnet -Name “100.100.100.0/24″ -Site «Имя сайта»
• Просмотр подсетей — Get-ADReplicationSubnet -Filter * — Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘partner.pyatilistnik.info’-confirm:$false
• Для удаления леса и домена можно использовать — Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions

Полезные командлеты в модуле ADDSDeployment

• Установка RODC — Add-ADDSReadOnlyDomainControllerAccount
• Установка контроллера в дочернем домене или дереве — Install-ADDSDomain
• Установка дополнительного контроллера домена — Install-ADDSDomainController
• Необходимые условия для установки дополнительного контроллера домена — Test-ADDSDomainControllerInstallation Verify
• Проверка необходимых условий для установки контроллера только для чтения — Test-ADDSReadOnlyDomainControllerAccountCreation

Установка и настройка Active Directory Windows Admin Center

Windows Admin Center так же может помочь в установке роли AD DS, для этого в веб интерфейсе зайдите в пункт «Роли и компоненты», выбираем роль и нажимаем установить.

Появится мастер установки, если все верно, то нажмите да.

В правом верхнем углу у вас будет область уведомления, где вы увидите, что запустилось ваше задание.

Процесс установки доменных служб.

Все роль установлена, к сожалению далее вы не сможете из интерфейса Windows Admin Center в виде графического мастера настроить домен, но тут есть слева от колокольчика окно PowerShell, где можно закончить начатое.

Источник

Использование групповой политики для удаленной установки программного обеспечения

В этой статье описывается использование групповой политики для автоматического распространения программ на клиентские компьютеры или пользователей.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 816102

Сводка

Для распространения компьютерных программ с помощью групповой политики можно использовать следующие методы:

Назначение программного обеспечения

Вы можете назначить рассылку программы пользователям или компьютерам. Если назначить программу пользователю, она устанавливается при входе пользователя на компьютер. Когда пользователь впервые запускает программу, установка выполняется. Если назначить программу компьютеру, она устанавливается после его начала, и она доступна всем пользователям, входивших на компьютер. Когда пользователь впервые запускает программу, установка выполняется.

Программное обеспечение для публикации

Вы можете опубликовать распространение программы для пользователей. Когда пользователь входит в компьютер, опубликованная программа отображается в диалоговом окне Добавить или Удалить программы, и ее можно установить оттуда.

Windows Автоматическая установка групповой политики Server 2003 требует клиентских компьютеров с Windows microsoft 2000 или более поздней версии.

Создание точки рассылки

Чтобы опубликовать или назначить компьютерную программу, создайте точку распространения на сервере публикации, следуя следующим шагам:

1. Войдите на сервер в качестве администратора.
2. Создайте общую папку сети, в которую вы Windows пакет установки (.msi файл), который необходимо распространить.
3. Установите разрешения на долю, чтобы разрешить доступ к пакету рассылки.
4. Скопируйте или установите пакет в точку распространения. Например, чтобы распространить файл .msi, запустите административную установку () для копирования файлов setup.exe /a в точку распространения.

Создание объекта групповой политики

Чтобы создать объект групповой политики (GPO) для распространения пакета программного обеспечения, выполните следующие действия:

1. Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.
2. В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.
3. Щелкните вкладку Групповой политики и нажмите кнопку New.
4. Введите имя для этой новой политики и нажмите кнопку Ввод.
5. Щелкните Свойства, а затем нажмите вкладку Безопасность.
6. Зачистка контрольного окна Apply Group Policy для групп безопасности, к которые не нужно применять эту политику.
7. Выберите поле Применить групповую политику для групп, к которые необходимо применить эту политику.
8. После этого нажмите кнопку ОК.

Назначение пакета

Чтобы назначить программу компьютерам с Windows Server 2003, Windows 2000 или Windows XP Professional или пользователям, входивших на одну из этих рабочих станций, выполните следующие действия:

Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.

В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.

Щелкните вкладку Групповой политики, выберите политику, которую вы хотите, и нажмите кнопку Изменить.

В соответствии с конфигурацией компьютера расширим Параметры.

Правой кнопкой мыши установка программного обеспечения, указать на Новый, а затем нажмите пакет.

В диалоговом окне Open введите полный путь универсальной конвенции имен (UNC) общего пакета установщика, который вам нужен. Например, \\<file server>\<share>\<file name>.msi .

Не используйте кнопку Просмотр для доступа к расположению. Убедитесь, что вы используете путь UNC общего пакета установщика.

Нажмите кнопку Open (Открыть).

Щелкните назначенное, а затем нажмите кнопку ОК. Пакет указан в правой области окна групповой политики.

Закрой привязку групповой политики, нажмите кнопку ОК, а затем закрой привязку пользователей и компьютеров Active Directory.

Когда клиентский компьютер запускается, управляемый пакет программного обеспечения устанавливается автоматически.

Публикация пакета

Чтобы опубликовать пакет для пользователей компьютеров и сделать его доступным для установки из списка Добавить или Удалить программы в панели управления, выполните следующие действия:

Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.

В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.

Щелкните вкладку Групповой политики, щелкните политику, которую вы хотите, и нажмите кнопку Изменить.

В соответствии с конфигурацией пользователей расширяем Параметры.

Правой кнопкой мыши установка программного обеспечения, указать на Новый, а затем нажмите пакет.

В диалоговом окне Open введите полный путь UNC общего пакета установщика, который вам нужен. Например, \\file server\share\file name.msi .

Не используйте кнопку Просмотр для доступа к расположению. Убедитесь, что вы используете путь UNC общего пакета установщика.

Нажмите кнопку Open (Открыть).

Нажмите кнопку Опубликовать, а затем нажмите кнопку ОК.

Пакет указан в правой области окна групповой политики.

Закрой привязку групповой политики, нажмите кнопку ОК, а затем закрой привязку пользователей и компьютеров Active Directory.

Поскольку существует несколько версий Windows, на вашем компьютере могут быть другие действия. Если они есть, см. документацию по продуктам для выполнения этих действий.

1. Войдите на работу на Windows 2000 Professional или Windows XP Professional с помощью учетной записи, на которую вы опубликовали пакет.
2. В Windows XP нажмите кнопку Начните, а затем нажмите панель управления.
3. Дважды щелкните Добавить или Удалить программы, а затем нажмите кнопку Добавить новые программы.
4. В списке Добавить программы из списка сети щелкните опубликованную программу и нажмите кнопку Добавить. Установлена программа.
5. Нажмите кнопку ОК, а затем нажмите кнопку Закрыть.

Переделока пакета

В некоторых случаях может потребоваться передиплоять пакет программного обеспечения (например, при обновлении или изменении пакета). Чтобы перенаполнить пакет, выполните следующие действия:

Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.

В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.

Щелкните вкладку Групповой политики, щелкните объект групповой политики, который использовался для развертывания пакета, а затем нажмите кнопку Изменить.

Разместим контейнер Параметры программного обеспечения, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.

Щелкните контейнер установки программного обеспечения, содержащий пакет.

В правой области окна групповой политики щелкните правой кнопкой мыши программу, указать все задачи, а затем нажмите приложение Redeploy. Вы получите следующее сообщение:

Повторное удаление этого приложения будет переустановить приложение везде, где оно уже установлено. Вы хотите продолжить?

Нажмите кнопку Да.

Выйти из оснастки групповой политики, нажмите кнопку ОК, а затем закроем привязку пользователей и компьютеров Active Directory.

Удаление пакета

Чтобы удалить опубликованный или заданный пакет, выполните следующие действия:

1. Запустите оснастку пользователей и компьютеров Active Directory, нажав кнопку Начните, указав на административные средства, а затем нажав кнопку Active Directory Users and Computers.
2. В дереве консоли щелкните правой кнопкой мыши домен и нажмите кнопку Свойства.
3. Щелкните вкладку Групповой политики, щелкните объект групповой политики, который использовался для развертывания пакета, а затем нажмите кнопку Изменить.
4. Разместим контейнер Параметры программного обеспечения, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.
5. Щелкните контейнер установки программного обеспечения, содержащий пакет.
6. В правой области окна групповой политики щелкните правой кнопкой мыши программу, указать все задачи, а затем нажмите кнопку Удалить.
7. Выполните одно из следующих действий:
   • Нажмите кнопку Немедленно удалить программное обеспечение с пользователей и компьютеров, а затем нажмите кнопку ОК.
   • Нажмите Кнопку Разрешить пользователям продолжать использовать программное обеспечение, но предотвратить новые установки, а затем нажмите кнопку ОК.
8. Закрой привязку групповой политики, нажмите кнопку ОК, а затем закрой привязку пользователей и компьютеров Active Directory.

Устранение неполадок

Опубликованные пакеты отображаются на клиентских компьютерах после их удаления с помощью групповой политики.

Такая ситуация может возникнуть, когда пользователь установил программу, но не использовал ее. Когда пользователь впервые запускает опубликованную программу, установка завершается. После этого group Policy удаляет программу.

Источник

Способ 3. Установка через Active Directory

С помощью службы Microsoft Active Directory можно произвести автоматическую удаленную установку клиентской части на группу компьютеров. Для выполнения процедуры установки необходимо обладать правами администратора домена, на компьютеры которого необходимо установить клиента. Также необходимо иметь доступный на чтение сетевой ресурс (Shared Folder).

Запустите установщик, выбрав режим «Удаленная установка клиента». В мастере удаленной установки перейдите к способу 3.

Далее на примере будет показано создание GPO («Test GPO»), установка в этом объекте msi-пакетов и adm-шаблона, а также линкование этого GPO к OU («TestOU») с компьютерами, для которых требуется первоначально развернуть клиентов.

Создаем новый объект GPO («Test GPO»):

Редактируем созданный объект:

Для Computer Configuration добавляем msi-пакет:

Выбираем путь к msi (x86) обязательно через сетевой путь.
В эту сетевую папку нужно предварительно скопировать msi-пакеты и клиентские машины должны иметь доступ к этому пути:

Выбор типа развертывания:

Запускаем расширенные опции:

Все тоже самое для x64-пакета:

Добавляем шаблон из прилагаемого adm-файла:

Редактируем добавленный шаблон:

Устанавливаем IP/имя сервера для подключения клиентов:

Линкуем созданный GPO к OU с компьютерами:

При следующей перезагрузке компьютеров, внесенных в организационную единицу, на них будет установлена и настроена клиентская часть комплекса.

Примечание: данный .msi-пакет не содержит информацию про обновления и uninstall, потому удаление и обновление осуществляйте только средствами комплекса, а не ActiveDirectory!

Если после перезагрузки ничего не произошло:
1) Попробуйте перезагрузить клиентскую машину еще раз.
2) Попробуйте увеличить время загрузки до 30 сек:

Источник



Active directory установка программ windows

Kaspersky Security Center позволяет устанавливать программы "Лаборатории Касперского" на управляемые устройства с помощью групповых политик Active Directory.

Установка программ с помощью групповых политик Active Directory возможна только из инсталляционных пакетов, в состав которых входит Агент администрирования.

Чтобы установить программу с помощью групповых политик Active Directory, выполните следующие действия:

1. Начните настройку установки программы с помощью мастера удаленной установки.
2. В окне мастера удаленной установки Определение параметров задачи удаленной установки установите флажок Назначить установку инсталляционного пакета в групповых политиках Active Directory .
3. В окне мастера удаленной установки Выбор учетных записей для доступа к устройствам выберите параметр Учетная запись требуется (Агент администрирования не используется) .
4. Добавьте учетную запись с правами администратора на устройство, на котором установлен Kaspersky Security Center, или учетную запись, входящую в доменную группу Владельцы-создатели групповой политики.
5. Предоставьте разрешения выбранной учетной записи:
   1. Перейдите в Панель управления → Администрирование и откройте Управление групповой политикой .
   2. Нажмите на узел с нужным доменом.
   3. Нажмите на раздел Делегирование .
   4. В раскрывающемся списке Права доступа выберите Связанные объекты GPO .
   5. Нажмите на кнопку Добавить .
   6. В открывшемся окне Выбор пользователя, компьютера или группы выберите необходимую учетную запись.
   7. Нажмите на кнопку OK чтобы закрыть окно Выбор пользователя, компьютера или группы .
   8. В списке Группы и пользователи выберите только что добавленную учетную запись и нажмите на Дополнительно → Дополнительно .
   9. В списке записей разрешений дважды нажмите на только что добавленную учетную запись.
   10. Предоставьте следующие разрешения:
       • создание объектов группы;
       • удаление объектов группы;
       • создание объектов groupPolicyContainer;
       • удаление объектов groupPolicyContainer.
   11. Нажмите на кнопку ОК , чтобы сохранить изменения.

   В результате будет запущен следующий механизм удаленной установки:

   1. После запуска задачи в каждом домене, которому принадлежат клиентские устройства из набора, будут созданы следующие объекты:
      • Объект групповой политики (Group policy object, GPO) с именем Kaspersky_AK .
      • Группа безопасности содержит клиентские устройства, на которые распространяется задача. Эта группа безопасности содержит клиентские устройства, на которые распространяется задача. Состав группы безопасности определяет область объект групповой политики (GPO).
   2. Kaspersky Security Center устанавливает выбранные программы «Лаборатории Касперского» на клиентские устройства осуществляется непосредственно из сетевой папки общего доступа программы Share. При этом в папке установки Kaspersky Security Center будет создана вложенная вспомогательная папка, содержащая файл с расширением msi для устанавливаемой программы.
   3. При добавлении новых устройств в область действия задачи они будут добавлены в группу безопасности после следующего запуска задачи. Если в расписании задачи установлен флажок Запускать пропущенные задачи , устройства будут добавлены в группу безопасности сразу.
   4. При удалении устройств из области действия задачи их удаление из группы безопасности произойдет при следующем запуске задачи.
   5. При удалении задачи из Active Directory будут удалены объект групповой политики (GPO), ссылка на объект групповой политики (GPO) и группа безопасности, связанная с задачей.

   Если вы хотите использовать другую схему установки через Active Directory, вы можете настроить параметры установки вручную. Это может потребоваться, например, в следующих случаях:

   • при отсутствии у администратора антивирусной безопасности прав на внесение изменений в Active Directory некоторых доменов;
   • при необходимости размещения исходного дистрибутива на отдельном сетевом ресурсе;
   • для привязки групповой политики к конкретным подразделениям Active Directory.

   Доступны следующие варианты использования другой схемы установки через Active Directory:

   Источник