Active Directory (AD DS)

Teoria

• Active Directory Domain Services (AD DS) – usługa katalogowa Microsoft oparta na protokole LDAP
• Domena – logiczna jednostka grupująca zasoby (komputery, użytkownicy, drukarki) pod wspólną polityką
• Kontroler domeny (DC) – serwer przechowujący bazę AD i uwierzytelniający użytkowników
• Las (Forest) – zbiór domen powiązanych relacjami zaufania; dzieli schemat i katalog globalny
• Drzewo (Tree) – hierarchia domen o wspólnym sufiksie DNS (np. domena.local, odd.domena.local)
• OU (Organizational Unit) – kontener na obiekty AD; do OU przypisuje się GPO
• GPO (Group Policy Object) – zestaw ustawień stosowanych do użytkowników/komputerów w OU
• SYSVOL – udostępniony katalog replikowany między DC; przechowuje skrypty i GPO
• FSMO – 5 ról operacji pojedynczego wzorca (Schema Master, Domain Naming Master, PDC Emulator, RID Master, Infrastructure Master)
• Protokół uwierzytelniania: Kerberos (domyślnie) lub NTLM (legacy)
• Baza AD przechowywana w pliku ntds.dit

Instalacja roli AD DS i promocja do DC

• Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools – instalacja roli
• Install-ADDSForest -DomainName "domena.local" -SafeModeAdministratorPassword (Read-Host -AsSecureString) -Force – tworzy nowy las i promuje serwer do DC
• Install-ADDSDomain -NewDomainName "oddzial" -ParentDomainName "domena.local" -Credential (Get-Credential) – dodaje subdomenę do istniejącego lasu
• Install-ADDSDomainController -DomainName "domena.local" -Credential (Get-Credential) – dodaje dodatkowy DC do istniejącej domeny

Użytkownicy (PowerShell)

• New-ADUser -Name "Jan Kowalski" -SamAccountName "jkowalski" -UserPrincipalName "jkowalski@domena.local" -AccountPassword (Read-Host -AsSecureString) -Enabled $true – tworzy użytkownika
• Set-ADAccountPassword -Identity "jkowalski" -NewPassword (Read-Host -AsSecureString) -Reset – resetuje hasło
• Enable-ADAccount -Identity "jkowalski" – odblokowuje/aktywuje konto
• Disable-ADAccount -Identity "jkowalski" – wyłącza konto
• Remove-ADUser -Identity "jkowalski" – usuwa użytkownika
• Get-ADUser -Filter * -Properties * – lista wszystkich użytkowników z atrybutami
• Move-ADObject -Identity "CN=Jan Kowalski,CN=Users,DC=domena,DC=local" -TargetPath "OU=Pracownicy,DC=domena,DC=local" – przenosi użytkownika do OU

Grupy (PowerShell)

• New-ADGroup -Name "Ksiegowosc" -GroupScope Global -GroupCategory Security – tworzy grupę zabezpieczeń o zasięgu globalnym
• Add-ADGroupMember -Identity "Ksiegowosc" -Members "jkowalski","akowalska" – dodaje użytkowników do grupy
• Remove-ADGroupMember -Identity "Ksiegowosc" -Members "jkowalski" – usuwa z grupy
• Get-ADGroupMember -Identity "Ksiegowosc" – lista członków grupy
• Zasięgi grup: Local Domain (zasoby lokalne DC), Global (członkowie z tej domeny), Universal (wiele domen w lesie)
• Typy grup: Security (uprawnienia), Distribution (listy mailingowe)

Jednostki organizacyjne – OU (PowerShell)

• New-ADOrganizationalUnit -Name "Pracownicy" -Path "DC=domena,DC=local" – tworzy OU
• New-ADOrganizationalUnit -Name "IT" -Path "OU=Pracownicy,DC=domena,DC=local" – tworzy zagnieżdżoną OU
• Remove-ADOrganizationalUnit -Identity "OU=Pracownicy,DC=domena,DC=local" -Recursive – usuwa OU z zawartością
• Get-ADOrganizationalUnit -Filter * – lista OU

Komputery w domenie

• Dołączenie komputera: Panel sterowania → System → Zmień ustawienia → Domena lub PowerShell:
• Add-Computer -DomainName "domena.local" -Credential (Get-Credential) -Restart
• Get-ADComputer -Filter * – lista komputerów w domenie
• Remove-ADComputer -Identity "STACJA01" – usuwa obiekt komputera z AD

Zasady grupy – GPO

• New-GPO -Name "PolitykaBezpieczenstwa" – tworzy nowy obiekt GPO
• New-GPLink -Name "PolitykaBezpieczenstwa" -Target "OU=Pracownicy,DC=domena,DC=local" – łączy GPO z OU
• gpupdate /force – wymusza natychmiastowe zastosowanie GPO na kliencie
• gpresult /R – pokazuje zastosowane GPO dla bieżącego użytkownika i komputera
• Get-GPO -All – lista wszystkich GPO w domenie
• Narzędzie graficzne: Group Policy Management Console (GPMC) – gpmc.msc

Przydatne narzędzia graficzne

• dsa.msc – Active Directory Users and Computers (użytkownicy, grupy, OU, komputery)
• gpmc.msc – Group Policy Management Console
• dssite.msc – Active Directory Sites and Services (replikacja, lokalizacje)
• dnsmgmt.msc – DNS Manager
• dcpromo – kreator promocji do kontrolera domeny (starsze systemy)