Kservistorg.ru

Все о бытовой технике
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройки Active Directory¶

Настройки Active Directory¶

Эта страница позволяет задать параметры для авторизации на удалённом AD-сервере. Так же здесь можно задать группы пользователей AD, пользователи которых смогут авторизоваться в веб-интерфейсе Staffcop Enterprise с помощью авторизационных данных заданных в AD. Параметры авторизации на удалённом AD-сервере позволяют решить две задачи:

авторизацию на удалённом AD-сервере для назначения конфигурации для агента на основе группы пользователей в Active Directory

разрешить доступ к веб-интерфейсу Staffcop Enterprise на основе заданной группы пользователей в AD

Принудительная репликация контроллера домена через графический интерфейс

Windows-серверы часто используют GUI, что хорошо для начинающих системных администраторов. Его легче учить, а иногда помогает визуализировать, что на самом деле происходит.

  1. Войдите в один из своих контроллеров домена и откройте сайты и службы Active Directory.

  1. Перейдите на сайт, для которого вы хотите скопировать контроллеры домена. Разверните его, нажав стрелку рядом с именем сайта. Разверните Серверы. Разверните DC, который вы хотели бы скопировать. Нажмите на настройки NTDS.

  1. На правой панели щелкните правой кнопкой мыши сервер и выберите «Реплицировать сейчас».

  1. В зависимости от количества контроллеров домена это может занять от секунды до нескольких минут. По завершении вы увидите уведомление: «Доменные службы Active Directory реплицировали соединения». Нажмите OK, чтобы закончить.

Настройка модуля ADSync

Модуль ADSync используется для синхронизации учетных записей и атрибутов пользователей между лесами Active Directory (облачное AD и AD клиента). Синхронизация выполняется в одностороннем режиме и позволяет поддерживать аккаунты, находящиеся в облаке в актуальном состоянии.

С помощью модуля ADSуnc возможно синхронизировать следующие типы объектов Active Directory:

  1. Учетные записи пользователей
  2. Атрибуты пользователей, синхронизируемые модулем ADSync:
  • Address
  • BusinessPhone
  • City
  • Company
  • Country
  • Department
  • Description
  • DirectManager
  • DisplayName
  • Fax
  • Email
  • FirstName
  • HomePhone
  • Initials
  • JobTitle
  • LastName
  • MobilePhone
  • Notes
  • OfficeLocation
  • Pager
  • proxyAddresses ‘[EUM addresses Only]’
  • sAMAccountName
  • State
  • UserPrincipalName
  • wWWHomePage
  • ZipCode
  • Password
Читайте так же:
Регулировка креплений шкафов купе

Синхронизация происходит в одностороннем порядке из AD клиента в облачное AD.

Обратная синхронизация не выполняется. В связи с этим для облачных пользователей с включенной синхронизацией отключено редактирование атрибутов через веб-интерфейс панели управления.

Ограничения при использовании модуля ADSync

Модуль для синхронизации каталога Active Directory Заказчика с облачным каталогом имеет следующие ограничения:

  • Агент ADSync устанавливается только на локальные контроллеры домена Заказчика.
  • Для работы синхронизации агент ADSync необходимо установить на все контроллеры домена
  • После установки агента необходима перезагрузка контроллера домена
  • Синхронизация происходит в одностороннем порядке из каталога Заказчика в Облако Softline
  • После включения синхронизации для выбранных пользователей, редактирование атрибутов возможно только из каталога Заказчика, с помощью стандартной оснастки “Active Directory – пользователи и компьютеры”. В панели управление Machsol, после включения синхронизации, изменение атрибутов пользователей становится не доступно.
  • Перед началом синхронизации необходимо сбросить все пароли пользователей (пользователи должны заново ввести пароли)
  • Для работы ADSync необходимо установленное программное обеспечение «Microsoft Visual C++ 2010»
  • Не поддерживается создание пользователей с помощью копирования в локальном (клиентском) каталоге Active Directory

Установка модуля ADSync

  1. Установить на все контроллеры домена программное обеспечение «Microsoft Visual C++ 2010» в зависимости от разрядности системы (x64;x86)
    https://www.microsoft.com/en-US/Download/confirmation.aspx?id=14632

  • При установке на первый контроллер домена необходимо выбрать пункт «Installation for Primary Domain Controller». При этом будет установлена служба ADSync.
  • При установке на остальные контроллеры домена необходимо выбрать пункт «Installation for Additional Domain Controller».

Выбрать путь для установки:

Проверить настройки введеные на прошлых шагах:

Подтвердить завершение установки:

Конфигурация модуля ADSync

После установки, на контролере домена (Installation for Primary Domain Controller) появится ярлык AD Sync Configuration Studio. Необходимо запустить ее и заполнить поля согласно следующей инструкции:

Читайте так же:
Пластиковые окна балкон регулировка на зиму

Заполните предложенные поля:

Web Service Url: Адрес для подключения к панели управления https://panel.slcloud.ru/webservices/adsyncsvc.asmx

Admin Login: Административная учетная запись в локальном каталоге Active Directory

Для работы ADSync должна обладать следующими правами. Administrators, Domain Admins, Domain Users, Enterprise Admins, Organization Management.

Admin Password: Пароль администратора

Domain Netbios Name: Netbios имя локального каталоге Active Directory

Sync Interval: Промежуток между синхронизациями данных

Log Folder: Путь к папке для хранения логов ADSync

Enable Logging: Включение/Отключение логирования событий

Service User Name: Логин пользователя для доступа к панели управления

Service Password: Пароль пользователя

Select Hosted Organization: Название организации

Local OU LDAP: Путь к синхронизируемой OU в локальном каталоге Active Directory

Enable Auto Mapping: Включение/Отключение возможности автоматического прикрепления локальных пользователей к облачным

Auto create new Users: Включение/Отключение возможности автоматического создания пользователей в облаке провайдера. На основании UPN или Display Name локального пользователя

Add Profile: Сохранение текущей конфигурации

После сохранения изменений необходимо скопировать файл C:Program FilesADSyncSyncConfigurations.xml в папку $WindirSystem32 на все контролеры домена.

Далее необходимо убедиться, что политики паролей в локальном Active Directory соответствует политики в облачном AD

Требования к паролю в облачном AD:

  • Длина пароля должна быть не меньше 7 символов
  • Пароль должен содержать минимум одну заглавную буквы и одну маленькую букву
  • Пароль должен содержать минимум одну цифру

После завершения настроек необходимо перезагрузить все контроллеры домена.

Выбор пользователей для синхронизации

Для настройки синхронизации пользователей с облаком провайдера необходимо перейти во вкладку «Configure Mapping»

Далее для включения синхронизации с облаком провайдера необходимо установить галку «Enable Sync», напротив необходимого пользователя. И сделать сопоставление между пользователем из Active Directory провайдера и Active Directory клиента.

Читайте так же:
Регулировка окон пвх своими силами

Заполните предложенные поля:

Local User: Пользователь для синхронизации в локальном Active Directory

Hosted User: Пользователь для синхронизации в облаке провайдера

Enable Sync: Включение/Отключение синхронизации для выбранного пользователя с облаком провайдера

После изменения настроек необходимо выполнить следующие действия: Все пользователи, выбранные для синхронизации с облаком провайдера, должны обязательно изменить пароль. Рекомендуется перед перезагрузкой контроллеров домена установить галку «User must change password at next logon»

Поиск и устранение возможных проблем

В случае неработоспособности синхронизации, необходимо, что выполнены следующие пункты:

Настройка домена Active Directory.¶

Создайте на доменном DNS-сервере нужные ресурсные записи для узла TING.

Проверьте правильность введенных данных, выполнив следующие команды в терминале Windows:

Создайте учетную запись пользователя с правами, достаточными для выполнения LDAP запросов.

Задайте даной учетной записи пароль и установите флажок Срок действия пароля неограничен.

Примечание

Данная учетная запись нам понадобится для настройки LDAP коннектора на устройстве TING.

Настройка статических устройств и компьютеров под другими ОС

Большинство устройств NAS и SAN имеют возможность ввода информации о сервере-поставщике настроек времени.

Чтобы настроить синхронизацию времени с контроллером домена на устройствах Cisco IOS, в командной строке введите:

ntp server 192.168.25.5

IP-адрес следует заменить на фактический IP сервера, служащего источником времени.

Чтобы настроить синхронизацию времени на компьютере под операционной системой, отличной от Windows, обратитесь к документации операционной системы. Впрочем, для других ОС корректные настройки времени не так важны, как для Windows, поэтому от синхронизации можно даже отказаться.

Установка Active Directory

Установка производится через Server Manager и в ней нет ничего сложного, подробно все этапы установки вы можете увидеть ниже:

ad ds configuring 03 60% ad ds configuring 04 60%

Сам процесс установки претерпел некоторые изменения 6 по сравнению с предыдущими версиями ОС:

Развертывание доменных служб Active Directory (AD DS) в Windows Server 2012 стало проще и быстрее по сравнению с предыдущими версиями Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory.

Необходимо выбрать только роль Доменные службы Active Directory, никакие дополнительные компоненты устанавливать не нужно. Процесс установки занимает незначительно время и можно сразу переходить к настройке.

Читайте так же:
Регулировка морозильной камеры свияга

Настройка синхронизации времени по NTP с помощью групповых политик

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.

В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте . В нашем примере мы будем использовать NTP сервера из пула :

Изменить время на доменном компьютере … Как настроить NTP сервер и … Установка Active Directory Domain … PC360 — Настройка контроллера домена на …

Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:

1) Создание GPO для контроллера домена с ролью PDC2) Создание GPO для клиентов (опционально)

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector