Настройки Active Directory¶

Настройки Active Directory¶

Эта страница позволяет задать параметры для авторизации на удалённом AD-сервере. Так же здесь можно задать группы пользователей AD, пользователи которых смогут авторизоваться в веб-интерфейсе Staffcop Enterprise с помощью авторизационных данных заданных в AD. Параметры авторизации на удалённом AD-сервере позволяют решить две задачи:

авторизацию на удалённом AD-сервере для назначения конфигурации для агента на основе группы пользователей в Active Directory

разрешить доступ к веб-интерфейсу Staffcop Enterprise на основе заданной группы пользователей в AD

Принудительная репликация контроллера домена через графический интерфейс

Windows-серверы часто используют GUI, что хорошо для начинающих системных администраторов. Его легче учить, а иногда помогает визуализировать, что на самом деле происходит.

1. Войдите в один из своих контроллеров домена и откройте сайты и службы Active Directory.

1. Перейдите на сайт, для которого вы хотите скопировать контроллеры домена. Разверните его, нажав стрелку рядом с именем сайта. Разверните Серверы. Разверните DC, который вы хотели бы скопировать. Нажмите на настройки NTDS.

1. На правой панели щелкните правой кнопкой мыши сервер и выберите «Реплицировать сейчас».

1. В зависимости от количества контроллеров домена это может занять от секунды до нескольких минут. По завершении вы увидите уведомление: «Доменные службы Active Directory реплицировали соединения». Нажмите OK, чтобы закончить.

Настройка модуля ADSync

Модуль ADSync используется для синхронизации учетных записей и атрибутов пользователей между лесами Active Directory (облачное AD и AD клиента). Синхронизация выполняется в одностороннем режиме и позволяет поддерживать аккаунты, находящиеся в облаке в актуальном состоянии.

С помощью модуля ADSуnc возможно синхронизировать следующие типы объектов Active Directory:

1. Учетные записи пользователей
2. Атрибуты пользователей, синхронизируемые модулем ADSync:

• Address
• BusinessPhone
• City
• Company
• Country
• Department
• Description
• DirectManager
• DisplayName
• Fax
• Email
• FirstName
• HomePhone
• Initials
• JobTitle
• LastName
• MobilePhone
• Notes
• OfficeLocation
• Pager
• proxyAddresses ‘[EUM addresses Only]’
• sAMAccountName
• State
• UserPrincipalName
• wWWHomePage
• ZipCode
• Password

Синхронизация происходит в одностороннем порядке из AD клиента в облачное AD.

Обратная синхронизация не выполняется. В связи с этим для облачных пользователей с включенной синхронизацией отключено редактирование атрибутов через веб-интерфейс панели управления.
​

Ограничения при использовании модуля ADSync

Модуль для синхронизации каталога Active Directory Заказчика с облачным каталогом имеет следующие ограничения:

• Агент ADSync устанавливается только на локальные контроллеры домена Заказчика.
• Для работы синхронизации агент ADSync необходимо установить на все контроллеры домена
• После установки агента необходима перезагрузка контроллера домена
• Синхронизация происходит в одностороннем порядке из каталога Заказчика в Облако Softline
• После включения синхронизации для выбранных пользователей, редактирование атрибутов возможно только из каталога Заказчика, с помощью стандартной оснастки “Active Directory – пользователи и компьютеры”. В панели управление Machsol, после включения синхронизации, изменение атрибутов пользователей становится не доступно.
• Перед началом синхронизации необходимо сбросить все пароли пользователей (пользователи должны заново ввести пароли)
• Для работы ADSync необходимо установленное программное обеспечение «Microsoft Visual C++ 2010»
• Не поддерживается создание пользователей с помощью копирования в локальном (клиентском) каталоге Active Directory
  ​

Установка модуля ADSync

1. Установить на все контроллеры домена программное обеспечение «Microsoft Visual C++ 2010» в зависимости от разрядности системы (x64;x86)
   https://www.microsoft.com/en-US/Download/confirmation.aspx?id=14632

• При установке на первый контроллер домена необходимо выбрать пункт «Installation for Primary Domain Controller». При этом будет установлена служба ADSync.
• При установке на остальные контроллеры домена необходимо выбрать пункт «Installation for Additional Domain Controller».

Выбрать путь для установки:

Проверить настройки введеные на прошлых шагах:

Подтвердить завершение установки:

​

Конфигурация модуля ADSync

После установки, на контролере домена (Installation for Primary Domain Controller) появится ярлык AD Sync Configuration Studio. Необходимо запустить ее и заполнить поля согласно следующей инструкции:

Заполните предложенные поля:

Web Service Url: Адрес для подключения к панели управления https://panel.slcloud.ru/webservices/adsyncsvc.asmx

Admin Login: Административная учетная запись в локальном каталоге Active Directory

Для работы ADSync должна обладать следующими правами. Administrators, Domain Admins, Domain Users, Enterprise Admins, Organization Management.

Admin Password: Пароль администратора

Domain Netbios Name: Netbios имя локального каталоге Active Directory

Sync Interval: Промежуток между синхронизациями данных

Log Folder: Путь к папке для хранения логов ADSync

Enable Logging: Включение/Отключение логирования событий

Service User Name: Логин пользователя для доступа к панели управления

Service Password: Пароль пользователя

Select Hosted Organization: Название организации

Local OU LDAP: Путь к синхронизируемой OU в локальном каталоге Active Directory

Enable Auto Mapping: Включение/Отключение возможности автоматического прикрепления локальных пользователей к облачным

Auto create new Users: Включение/Отключение возможности автоматического создания пользователей в облаке провайдера. На основании UPN или Display Name локального пользователя

Add Profile: Сохранение текущей конфигурации

После сохранения изменений необходимо скопировать файл C:Program FilesADSyncSyncConfigurations.xml в папку $WindirSystem32 на все контролеры домена.

Далее необходимо убедиться, что политики паролей в локальном Active Directory соответствует политики в облачном AD

Требования к паролю в облачном AD:

• Длина пароля должна быть не меньше 7 символов
• Пароль должен содержать минимум одну заглавную буквы и одну маленькую букву
• Пароль должен содержать минимум одну цифру

После завершения настроек необходимо перезагрузить все контроллеры домена.
​

Выбор пользователей для синхронизации

Для настройки синхронизации пользователей с облаком провайдера необходимо перейти во вкладку «Configure Mapping»

Далее для включения синхронизации с облаком провайдера необходимо установить галку «Enable Sync», напротив необходимого пользователя. И сделать сопоставление между пользователем из Active Directory провайдера и Active Directory клиента.

Заполните предложенные поля:

Local User: Пользователь для синхронизации в локальном Active Directory

Hosted User: Пользователь для синхронизации в облаке провайдера

Enable Sync: Включение/Отключение синхронизации для выбранного пользователя с облаком провайдера

После изменения настроек необходимо выполнить следующие действия: Все пользователи, выбранные для синхронизации с облаком провайдера, должны обязательно изменить пароль. Рекомендуется перед перезагрузкой контроллеров домена установить галку «User must change password at next logon»

Поиск и устранение возможных проблем

В случае неработоспособности синхронизации, необходимо, что выполнены следующие пункты:

Настройка домена Active Directory.¶

Создайте на доменном DNS-сервере нужные ресурсные записи для узла TING.

Проверьте правильность введенных данных, выполнив следующие команды в терминале Windows:

Создайте учетную запись пользователя с правами, достаточными для выполнения LDAP запросов.

Задайте даной учетной записи пароль и установите флажок Срок действия пароля неограничен.

Примечание

Данная учетная запись нам понадобится для настройки LDAP коннектора на устройстве TING.

Настройка статических устройств и компьютеров под другими ОС

Большинство устройств NAS и SAN имеют возможность ввода информации о сервере-поставщике настроек времени.

Чтобы настроить синхронизацию времени с контроллером домена на устройствах Cisco IOS, в командной строке введите:

ntp server 192.168.25.5

IP-адрес следует заменить на фактический IP сервера, служащего источником времени.

Чтобы настроить синхронизацию времени на компьютере под операционной системой, отличной от Windows, обратитесь к документации операционной системы. Впрочем, для других ОС корректные настройки времени не так важны, как для Windows, поэтому от синхронизации можно даже отказаться.

Установка Active Directory

Установка производится через Server Manager и в ней нет ничего сложного, подробно все этапы установки вы можете увидеть ниже:

Сам процесс установки претерпел некоторые изменения 6 по сравнению с предыдущими версиями ОС:

Развертывание доменных служб Active Directory (AD DS) в Windows Server 2012 стало проще и быстрее по сравнению с предыдущими версиями Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory.

Необходимо выбрать только роль Доменные службы Active Directory, никакие дополнительные компоненты устанавливать не нужно. Процесс установки занимает незначительно время и можно сразу переходить к настройке.

Настройка синхронизации времени по NTP с помощью групповых политик

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.

В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте . В нашем примере мы будем использовать NTP сервера из пула :

Изменить время на доменном компьютере … Как настроить NTP сервер и … Установка Active Directory Domain … PC360 — Настройка контроллера домена на …

Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:

1) Создание GPO для контроллера домена с ролью PDC2) Создание GPO для клиентов (опционально)