Настройка Active Directory Domain Services

Избегайте перегрузки сетевого адаптера

Как и в случае с процессорами, чрезмерное использование сетевого адаптера приведет к длительному времени ожидания для передачи исходящего трафика в сеть.Just like with processors, excessive network adapter utilization will cause long wait times for the outbound traffic to get on to the network. Active Directory, как правило, имеют небольшие входящие запросы и относительно значительно большие объемы данных, возвращаемых в клиентские системы.Active Directory tends to have small inbound requests and relatively to significantly larger amounts of data returned to the client systems. Объем отправленных данных намного превышает принятые данные.Sent data far exceeds received data. Во многих средах философией является обеспечение достаточного количества головных помещений для размещения скачков или пиков нагрузки.Across many environments, the philosophy is to ensure that there is enough head room to accommodate surges or spikes in load. Это пороговое значение представляет собой порог предупреждения, при котором головное место для размещения всплесков или пиковых нагрузок становится ограниченным и снижает скорость реагирования клиента.This threshold is a warning threshold where the head room to accommodate surges or spikes in load becomes constrained and client responsiveness degrades. Коротко говоря, превышение этих пороговых значений не является допустимым в течение короткого срока (от 5 до 15 минут в несколько раз в день), однако система, работающая с этими сортами статистических данных, находится над обработкой и должна быть исследована.In short, exceeding these thresholds is not bad in the short term (5 to 15 minutes a few times a day), however a system running sustained with these sorts of statistics is over taxed and should be investigated.

  • Дополнительные сведения о настройке сетевой подсистемы см. в разделе Настройка производительности для сетевых подсистем.For more info on how to tune the network subsystem, see Performance Tuning for Network Subsystems.
  • Используйте счетчик производительности «сравнить NetworkInterface ( * ) \ Отправлено байт/с) с NetworkInterface ( * ) \ текущей пропускной способностью.Use the Compare NetworkInterface(*)\Bytes Sent/Sec with NetworkInterface(*)\Current Bandwidth performance counter. Коэффициент должен быть менее 60% использования.The ratio should be less than 60% utilized.

Начните с планирования ресурсовStart with capacity planning

Правильное развертывание достаточного количества контроллеров домена в соответствующем домене, с соответствующими языковыми стандартами и избыточностью является критически важным для своевременного обслуживания запросов клиентов.Properly deploying a sufficient number of domain controllers, in the right domain, in the right locales, and to accommodate redundancy is critical to ensuring servicing client requests in a timely fashion. Это обширная тема, которая выходит за рамки данного руководства.This is an in-depth topic and outside of the scope of this guide. Читателям рекомендуется начинать оптимизацию производительности Active Directory после ознакомления с рекомендациями по планированию ресурсов для доменных служб Active Directory.Readers are encouraged start to their Active Directory performance tuning by reading and understanding the recommendations and guidance found in Capacity planning for Active Directory Domain Services.

Важно!

Правильная настройка и выбор размера Active Directory могут значительно влиять на общую производительность системы и рабочих нагрузок.Proper configuration and sizing of Active Directory has a significant potential impact on overall system and workload performance. Читателям настоятельно рекомендуется сначала ознакомиться с разделом Capacity Planning for Active Directory Domain Services (Планирование ресурсов для доменных служб Active Directory).Readers are highly encouraged to start by reading Capacity planning for Active Directory Domain Services.

Планирование делегированияDelegation planning

Непросто разработать модель делегирования, которая соответствует вашим потребностям.It’s work to develop a delegation model that fits your needs. Разработку модели делегирования следует выполнять поэтапно. Мы рекомендуем разбить процесс на следующие этапы:Developing a delegation model is an iterative design process, and we suggest you follow these steps:

  • определение необходимых ролей;Define the roles you need
  • Делегирование прав на администрирование приложенийDelegate app administration
  • предоставление прав на регистрацию приложений;Grant the ability to register applications
  • Делегирование прав владения приложениямиDelegate app ownership
  • разработка плана безопасности;Develop a security plan
  • создание учетных записей для экстренных ситуаций;Establish emergency accounts
  • защита ролей администраторов;Secure your administrator roles
  • применение схемы временного повышения привилегий.Make privileged elevation temporary

Установка средств управления групповая политикаInstall Group Policy Management tools

Для создания и настройки групповая политика объектов (GPO) необходимо установить средства управления групповая политика.To create and configure Group Policy Object (GPOs), you need to install the Group Policy Management tools. Эти средства можно установить в качестве компонента Windows Server.These tools can be installed as a feature in Windows Server. Дополнительные сведения об установке средств администрирования на клиенте Windows см. в разделе Install .For more information on how to install the administrative tools on a Windows client, see install .

  1. Войдите на виртуальную машину управления.Sign in to your management VM. Инструкции по подключению с помощью портал Azure см. в разделе .For steps on how to connect using the Azure portal, see .
  2. При входе в виртуальную машину по умолчанию должен открываться диспетчер сервера.Server Manager should open by default when you sign in to the VM. Если это не произойдет, откройте меню Пуск и выберите Диспетчер сервера.If not, on the Start menu, select Server Manager.
  3. На панели управления в окне диспетчера серверов щелкните Добавить роли и компоненты.In the Dashboard pane of the Server Manager window, select Add Roles and Features.
  4. На странице Перед началом работы в мастере добавления ролей и компонентов щелкните Далее.On the Before You Begin page of the Add Roles and Features Wizard, select Next.
  5. В разделе Тип установки оставьте флажок Установка ролей или компонентов и щелкните Далее.For the Installation Type, leave the Role-based or feature-based installation option checked and select Next.
  6. На странице Выбор сервера выберите из пула серверов текущую виртуальную машину, например myvm.aaddscontoso.com, и щелкните Далее.On the Server Selection page, choose the current VM from the server pool, such as myvm.aaddscontoso.com, then select Next.
  7. На странице Роли сервера нажмите кнопку Далее.On the Server Roles page, click Next.
  8. На странице Функции выберите Управление групповой политикой.On the Features page, select the Group Policy Management feature.
  9. На странице Подтверждение щелкните Установить.On the Confirmation page, select Install. Установка средств управления групповая политика может занять одну или две минуты.It may take a minute or two to install the Group Policy Management tools.
  10. Когда установка компонента завершится, нажмите кнопку Закрыть, чтобы выйти из мастера добавления ролей и компонентов.When feature installation is complete, select Close to exit the Add Roles and Features wizard.

Обнаружение отката USNDetecting a USN rollback

Так как откат USN довольно трудно обнаружить, контроллер домена регистрирует событие 2095, когда исходный контроллер домена отправляет ранее подтвержденное значение USN на целевой контроллер домена без соответствующего изменения в invocationID.Because a USN rollback is difficult to detect, a domain controller logs event 2095 when a source domain controller sends a previously acknowledged USN number to a destination domain controller without a corresponding change in the invocation ID.

Чтобы предотвратить создание уникальных исходящих обновлений Active Directory на неправильно восстановленном контроллере домена, приостанавливается работа службы сетевого входа в систему.To prevent unique originating updates to Active Directory from being created on the incorrectly restored domain controller, the Net Logon service is paused. Когда служба сетевого входа в систему приостановлена, учетные записи пользователей и компьютеров не могут изменять пароль на том контроллере домена, который не выполняет репликацию таких изменений.When the Net Logon service is paused, user and computer accounts cannot change the password on a domain controller that will not outbound-replicate such changes. Аналогичным образом, при обновлении объектов в Active Directory средства администрирования Active Directory будут предпочитать работоспособный контроллер домена.Similarly, Active Directory administration tools will favor a healthy domain controller when they make updates to objects in Active Directory.

В контроллере домена создаются сообщения о событиях, которые представлены ниже, когда соблюдаются следующие условия:On a domain controller, event messages that resemble the following are recorded if the following conditions are true:

  • исходный контроллер домена отправляет ранее подтвержденное значение USN в целевой контроллер домена;A source domain controller sends a previously acknowledged USN number to a destination domain controller.
  • отсутствуют соответствующие изменения в значении InvocationID.There is no corresponding change in the invocation ID.

Такие события могут регистрироваться в журнале событий службы каталогов.These events may be captured in the Directory Service event log. Но они могут быть перезаписаны до того, как их заметит администратор.However, they may be overwritten before they are observed by an administrator.

Если вы подозреваете, что произошел откат USN, но не видите в журналах соответствующих событий, проверьте в реестре наличие записи DSA Not Writable (Запись DSA невозможна).If you suspect a USN rollback has occurred but do not see a corresponding event in the event logs, check for the DSA Not Writable entry in the registry. Эта запись служит доказательством того, что случился откат USN.This entry provides forensic evidence that a USN rollback has occurred.

Предупреждение

Если вы вручную удалите или измените запись реестра DSA Not Writable (Запись DSA невозможна), контроллер домена перейдет в невосстановимое и неподдерживаемое состояние.Deleting or manually changing the Dsa Not Writable registry entry value puts the rollback domain controller in a permanently unsupported state. Такие изменения считаются неподдерживаемыми.Therefore, such changes are not supported. В частности, изменение этого значения отменяет состояние карантина, которое создается по коду обнаружения отката USN.Specifically, modifying the value removes the quarantine behavior added by the USN rollback detection code. Разделы Active Directory на восстановленном контроллере домена будут невосстановимо рассогласованными с прямыми и транзитивными партнерами репликации в лесу Active Directory.The Active Directory partitions on the rollback domain controller will be permanently inconsistent with direct and transitive replication partners in the same Active Directory forest.

См. сведения об этом разделе реестра и действиях по устранению этой проблемы в описании ошибок репликации 8456 и 8457, когда исходный или конечный сервер отклоняет запросы на репликацию.More information on this registry key and resolution steps can be found in the support article Active Directory Replication Error 8456 or 8457: «The source | destination server is currently rejecting replication requests».

Утилиты командной строки Active Directory

Репликация Active Directory средствами Windows PowerShellAD Replication Windows PowerShell

В Windows Server 2012 добавлены дополнительные командлеты для репликации Active Directory в модуль Active Directory для Windows PowerShell.Windows Server 2012 adds additional Active Directory replication cmdlets to the Active Directory Windows PowerShell module. Они позволяют настраивать новые и существующие сайты, подсети, подключения, связи сайтов и мосты.These allow configuration of new or existing sites, subnets, connections, site links, and bridges. Они также возвращают метаданные репликации Active Directory, состояние репликации, а также актуальные данные об очередях и векторе синхронизации версий.They also return Active Directory replication metadata, replication status, queuing, and up-to-dateness version vector information. Командлеты репликации в сочетании с другими командлетами модуля Active Directory позволяют администрировать весь лес, используя только Windows PowerShell.The introduction of the replication cmdlets — combined with the deployment and other existing AD DS cmdlets — makes it possible to administer a forest using Windows PowerShell alone. Все это дает новые возможности администраторам, желающим предоставлять ресурсы и управлять системой Windows Server 2012 без использования графического интерфейса, что сокращает уязвимость операционной системы к атакам и требования к обслуживанию.This creates new opportunities for administrators wishing to provision and manage Windows Server 2012 without a graphical interface, which then reduces the operating system’s attack surface and servicing requirements. Это приобретает особое значение, если серверы необходимо развернуть в сетях с высоким уровнем защиты, таких как сети SIPR и корпоративные сети периметра.This is especially important when deploying servers into high security networks such as Secret Internet Protocol Router (SIPR) and corporate DMZs.

Подробнее о топологии сайтов и репликации доменных служб Active Directory см. в разделе Технический справочник по Windows Server.For more information about AD DS site topology and replication, see the Windows Server Technical Reference.

Подключение консоли ADUC к домену из рабочей группы

Как работают активные директории

Управление привилегиями администратора с помощью групп Azure AD (Предварительная версия)Manage administrator privileges using Azure AD groups (preview)

Примечание

Эта функция в настоящее время находится на стадии предварительной версии.This feature is currently in preview.

Начиная с обновления Windows 10 2004, вы можете использовать группы Azure AD для управления правами администратора на устройствах, присоединенных к Azure AD, с политикой MDM с ограниченным доступом к группам .Starting with Windows 10 2004 update, you can use Azure AD groups to manage administrator privileges on Azure AD joined devices with the Restricted Groups MDM policy. Эта политика позволяет назначать отдельных пользователей или группы Azure AD локальной группе администраторов на устройстве, присоединенном к Azure AD, что обеспечивает детализацию для настройки отдельных администраторов для различных групп устройств.This policy allows you to assign individual users or Azure AD groups to the local administrators group on an Azure AD joined device, providing you the granularity to configure distinct administrators for different groups of devices.

Примечание

При запуске обновления Windows 10 20H2 рекомендуется использовать политику » Локальные пользователи и группы «, а не политику ограниченных групп.Starting Windows 10 20H2 update, we recommend using Local Users and Groups policy instead of the Restricted Groups policy

В настоящее время в Intune нет пользовательского интерфейса для управления этими политиками, и их необходимо настроить с помощью настраиваемых параметров OMA-URI.Currently, there’s no UI in Intune to manage these policies and they need to be configured using Custom OMA-URI Settings. Некоторые рекомендации по использованию любой из этих политик:A few considerations for using either of these policies:

  • Для добавления групп Azure AD с помощью политики требуется идентификатор безопасности группы, который можно получить, выполнив API Microsoft Graph для групп.Adding Azure AD groups through the policy requires the group’s SID that can be obtained by executing the Microsoft Graph API for Groups. Идентификатор безопасности определяется свойством в ответе API.The SID is defined by the property in the API response.
  • Если политика групп с ограниченным доступом применяется, все текущие члены группы, не входящие в список членов, удаляются.When Restricted Groups policy is enforced, any current member of the group that is not on the Members list is removed. Поэтому применение этой политики с новыми членами или группами приведет к удалению существующих администраторов с именем пользователь, который присоединил устройство, роль администратора устройства и роль глобального администратора на устройстве.So enforcing this policy with new members or groups will remove the existing administrators namely user who joined the device, the Device administrator role and Global administrator role from the device. Чтобы избежать удаления существующих членов, необходимо настроить их как часть списка членов в политике групп с ограниченным доступом.To avoid removing existing members, you need to configure them as part of the Members list in the Restricted Groups policy. Это ограничение устраняется при использовании политики локальных пользователей и групп, которая разрешает добавочные обновления для членства в группах.This limitation is addressed if you use the Local Users and Groups policy that allows incremental updates to group membership
  • Права администратора, использующие обе политики, оцениваются только для следующих хорошо известных групп на устройстве Windows 10 — администраторы, пользователи, гости, опытные пользователи, удаленный рабочий стол пользователей и пользователей удаленного управления.Administrator privileges using both policies are evaluated only for the following well-known groups on a Windows 10 device — Administrators, Users, Guests, Power Users, Remote Desktop Users and Remote Management Users.
  • Управление локальными администраторами с помощью групп Azure AD неприменимо к гибридному присоединению Azure AD или зарегистрированным устройствам Azure AD.Managing local administrators using Azure AD groups is not applicable to Hybrid Azure AD joined or Azure AD Registered devices.
  • Хотя политика ограниченных групп существовала до обновления Windows 10 2004, она не поддерживала группы Azure AD в качестве членов локальной группы администраторов устройства.While the Restricted Groups policy existed prior to Windows 10 2004 update, it did not support Azure AD groups as members of a device’s local administrators group.

Связь сайтовSite link

Связи сайтов — это Active Directory объекты, которые представляют логические пути, используемые КСС для установления соединения для репликации Active Directory.Site links are Active Directory objects that represent logical paths that the KCC uses to establish a connection for Active Directory replication. Объект связи сайтов представляет собой набор сайтов, которые могут обмениваться данными с одинаковыми затратами через указанный межсайтовый транспорт.A site link object represents a set of sites that can communicate at uniform cost through a specified intersite transport.

Все сайты, содержащиеся в связи сайтов, считаются подключенными посредством одного типа сети.All sites contained within the site link are considered to be connected by means of the same network type. Сайты должны быть связаны с другими сайтами вручную с помощью связей сайтов, чтобы контроллеры домена на одном сайте могли реплицировать изменения каталога с контроллеров домена на другом сайте.Sites must be manually linked to other sites by using site links so that domain controllers in one site can replicate directory changes from domain controllers in another site. Поскольку связи сайтов не соответствуют фактическому пути, принятому сетевыми пакетами в физической сети во время репликации, вам не нужно создавать избыточные связи сайтов для повышения эффективности репликации Active Directory.Because site links do not correspond to the actual path taken by network packets on the physical network during replication, you do not need to create redundant site links to improve Active Directory replication efficiency.

При соединении двух сайтов с помощью связи сайтов система репликации автоматически создает подключения между конкретными контроллерами домена на каждом сайте, который называется серверами-плацдармами.When two sites are connected by a site link, the replication system automatically creates connections between specific domain controllers in each site that are called bridgehead servers. В Windows Server 2008 все контроллеры домена в сайте, на котором размещен один и тот же раздел каталога, являются кандидатами для выбора в качестве серверов-плацдармов.In Windows Server 2008 , all domain controllers in a site that host the same directory partition are candidates for being selected as bridgehead servers. Подключения репликации, созданные KCC, случайным образом распределяются между всеми потенциальными серверами-плацдармами на сайте для совместного использования рабочей нагрузки репликации.The replication connections created by the KCC are randomly distributed among all candidate bridgehead servers in a site to share the replication workload. По умолчанию процесс случайного выбора выполняется только один раз, когда объекты соединения впервые добавляются на сайт.By default, the randomized selection process takes place only once, when connection objects are first added to the site.

Что такое делегирование AD

Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.

Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.

Способы удаления корзины с рабочего стола

Установка доверительных отношений

В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не наоборот, соответственно первый имеет доступ к ресурсам второго, а второй не имеет доступа. Во втором виде доверие “взаимное”. Также существуют «исходящие» и «входящие» отношения. В исходящих – первый домен доверяет второму, таким образом разрешая пользователям второго использовать ресурсы первого.

При установке следует провести такие процедуры:

  • Проверить сетевые связи между котроллерами.
  • Проверить настройки.
  • Настроить разрешения имен для внешних доменов.
  • Создать связь со стороны доверяющего домена.
  • Создать связь со стороны контроллера, к которому адресовано доверие.
  • Проверить созданные односторонние отношения.
  • Если возникает небходимость в установлении двусторонних отношений – произвести установку.

Решаем проблему «Доменные службы Active Directory сейчас недоступны»

Существует несколько причин, которые вызывают данную ошибку. Чаще всего они связаны с тем, службы не могут быть включены или им не предоставляется доступ из-за определенных обстоятельств. Решается неполадка разными вариантами, каждый из которых имеет собственный алгоритм действий и отличается по сложности. Давайте начнем с самого простого.

Способ 2: Использование принтера по умолчанию

Как уже было сказано выше, подобная ошибка появляется у тех юзеров, которые подключены к домашней или рабочей сети. Из-за того, что одновременно может задействоваться сразу несколько устройств, возникает проблема с доступом к Active Directory. Вам следует назначить оборудование по умолчанию и снова повторить процедуру печати. Для этого нужно лишь перейти в «Устройства и принтеры» через «Панель управления», нажать правой кнопкой мыши на устройстве и выбрать пункт «Использовать по умолчанию».

Подробнее:

Способ 4: Диагностика неполадок

Как видите, первые два метода требовали от вас выполнения всего нескольких манипуляций и не занимали много времени. Начиная с пятого метода, процедура немного усложняется, поэтому перед переходом к дальнейшим инструкциям мы советуем проверить принтер на наличие ошибок с помощью встроенного средства Windows. Они будут автоматически исправлены. Вам нужно сделать следующее:

  1. Откройте меню «Пуск» и перейдите в «Панель управления».

Выберите категорию «Центр управления сетями и общим доступом».

Внизу нажмите на инструмент «Устранение неполадок».

В разделе «Печать» укажите категорию «Принтер».

Кликните на «Дополнительно».

Запустите средство от имени администратора.

Переходите к запуску сканирования нажатием на «Далее».

Дождитесь завершения анализа оборудования.

Из предоставленного списка выберите принтер, который не работает.

Осталось только подождать, пока средство выполнит поиск ошибок и устранит их, если они будут найдены. После этого следуйте инструкциям, отобразившимся в окне диагностики.

Способ 5: Проверка конфигурации WINS

Служба сопоставления WINS отвечает за определение IP-адресов, и ее неправильная работа может вызывать рассматриваемую ошибку при попытке печати через сетевое оборудование. Решить эту проблему можно следующим образом:

  1. Выполните первые два пункта предыдущей инструкции.
  2. Перейдите в раздел «Изменение параметров адаптера».

Кликните ПКМ на активном подключении и выберите «Свойства».

Отыщите строку «Протокол Интернета версии 4», выделите ее и переместитесь в «Свойства».

Во вкладке «Общие» нажмите на «Дополнительно».

Проверьте параметры WINS. Маркер должен стоять возле пункта «По умолчанию», однако в некоторых рабочих сетях конфигурацию устанавливает системный администратор, поэтому нужно обратиться к нему за помощью.

Способ 6: Переустановка драйверов и добавление принтера

Подробнее: Удаление старого драйвера принтера

Подробнее: Установка драйверов для принтера

Выше мы развернуто рассказали о шести методах исправления недоступности доменных директорий AD при попытке отправить документ в печать. Как видите, все они отличаются по сложности и подходят в разных ситуациях. Мы рекомендуем начать с самого простого, постепенно переходя к сложным, пока не найдется правильное решение.

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Управление группами

В следующих разделах приводится подробное описание действий по управлению группами.

Создание группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.
  2. В поле Открыть введите cmd.
  3. Введите следующую команду:

    В этой команде используются следующие значения:

    • group_dn обозначает различающееся имя объекта группы, который требуется добавить.
    • sam_name указывает имя SAM, которое является уникальным именем учетной записи SAM для этой группы (например, Operators).
    • Да | нет указывает, следует ли добавить группу безопасности (YES) или группу рассылки (нет).
    • l | g | u указывает область группы, которую требуется добавить (локальная Доменная , Глобальная или универсальная ).

Если домен, в котором создается группа, настроен на режим работы домена смешанного режима Windows 2000, можно выбирать только группы безопасности с локальными областями домена или глобальными областями.

Чтобы просмотреть полный синтаксис этой команды, а также получить дополнительные сведения о вводе дополнительных сведений о группе, введите в командной строки .

Добавление участника в группу

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.
  2. В поле Открыть введите cmd.
  3. Введите следующую команду:

    В этой команде используются следующие значения:

    • group_dn обозначает различающееся имя объекта группы, который требуется добавить.
    • member_dn обозначает различающееся имя объекта, который требуется добавить в группу.

Кроме пользователей и компьютеров, группа может содержать контакты и другие группы.

Чтобы просмотреть полный синтаксис этой команды и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя и группе, введите в командной строки .

Преобразование группы в группу другого типа

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.
  2. В поле Открыть введите cmd.
  3. Введите следующую команду:

    В этой команде используются следующие значения:

    • group_dn обозначает различающееся имя объекта группы, тип которой требуется изменить.
    • {Yes | No} указывает, что для типа группы задано значение «Группа безопасности» (да) или «группа рассылки» (нет).

Чтобы преобразовать группу, необходимо установить для домена функциональную возможность Windows 2000 Native или более поздней версии. Вы не можете преобразовать группы, если в качестве функциональных возможностей домена задано значение Windows 2000 Mixed.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной строку .

Изменение области действия группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.
  2. В поле Открыть введите cmd.
  3. Введите следующую команду:

    В этой команде используются следующие значения:

    • group_dn обозначает различающееся имя объекта группы, область которой будет изменена.
    • l | g | u указывает область, к которой необходимо присвоить группу (локальная, глобальная или универсальная). Если для домена по-прежнему установлена смешанная среда Windows 2000, универсальная область не поддерживается. Кроме того, невозможно преобразовать локальную группу домена в глобальную или наоборот.

Примечание

Изменять области группы можно только в том случае, если для режима работы домена установлено значение Windows 2000 Native или выше.

Удаление группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.
  2. В поле Открыть введите cmd.
  3. В командной строки введите команду .

    В group_dn задается различающееся имя удаляемого объекта группы.

Примечание

Если удалить группу, она будет удалена без возможности восстановления.

По умолчанию локальные группы, которые автоматически предоставляются на контроллерах домена под управлением Windows Server 2003, таких как администраторы и операторы учетных записей, находятся в папке Builtin. По умолчанию общие глобальные группы, например «Администраторы домена» и «Пользователи домена», находятся в папке «Пользователи». Вы можете добавлять и перемещать новые группы в любую папку. Корпорация Майкрософт рекомендует хранить группы в папке подразделений.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной строку .

Поиск групп, членом которых является пользователь

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.
  2. В поле Открыть введите cmd.
  3. Введите следующую команду:

    В user_dn задается различающееся имя объекта пользователя, для которого требуется отобразить сведения о членстве в группах.

Чтобы просмотреть полный синтаксис этой команды, введите в командной командной строку .

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий