Давно собирался написать несколько статей по работе с Active Directory. Недавно в комментариях попросили помочь с данным вопросом и я решил что время пришло :))
Говорю сразу, особо глубоких познаний в этой теме у меня нет, поэтому, ничего нового вы здесь не увидите. Но для начинающих админов-виндузятников данная статья может послужить хорошим отправительным «пинком» для начала изучения данной системы каталогов.
Сам я давно отошел от администрирования винды, но по долгу службы (а занимаюсь я в основном виртуализацией) приходится часто настраивать много всяких вспомогательных сервисов от Microsoft (всякие там AD, DNS, MSSQL и т.п..).
В общем хорош болтать, перейдем к делу.
Рассматривать будем службы каталогов Active Directory на основе Windows 2008 R2 как наиболее распространенную в наше время.
Итак для установки роли лезем в Server Manager -> Add Roles:
Собсна выбираем интересующую нас роль — Active Directory Domain Services:
Добавляем .NET Framework, если нужен:
Начинаем установку:
Процесс пошел:
Установка завершена успешно, видим только предупреждение о том, что отключены обновления, (кому это важно — можем включить), а так ничего критического — нажимаем «Close«:
далее идем в меню «Пуск» и напускаем утилитку dcpromo, как нарисовано на картинке:
Отметим галочку «Use advanced mode installation» мы же профессионалы 😎
Читаем важное уведомление по поводу нового алгоритма шифрования и нажимаем «Next«:
Предлагаются варианты: подключить наш контроллер домена к существующему домену, создать новый домен в существующем лесу, или создать новый лес и новый домен. Я выбираю последнее, т.к. ни леса, ни домена у меня еще нет:
Вводим имя домена. Если ваш контроллер домена не будет смотреть «наружу» и привязываться к внешней доменной зоне, то здесь можно написать какую-то бредовую зону типа «.local» или «.lab», что я собственно и сделал:
Нет времени объяснять, просто пишем имя домена без зоны :))
Выбираем функциональность нашего домена. У меня домен новый, поэтому я выбрал самую новую версию что бы насладиться всеми замечательными возможностями 2008 R2:
Какой же домен без DNS сервера:
Матюки по поводу отсутствия родительской зоны. В нашем случае это нормально, т.к. мы не интегрируемся с внешним DNS-сервером:
Пути оставляем стандартные:
Вводим пароль администратора домена, который лучше всего не забыть и сохранить в тайне:
Еще раз все проверяем и жмем «Next«:
Процесс пошел:
Установка завершена жмем «Finish«:
Далее будет предложено перезагрузиться и после перезагрузки мы получим контроллер домена, готовый к употреблению.
Если на данном сервере работают пользователи (не администраторы) посредством удаленных рабочих столов (RDP), то после перезагрузки вас будет ожидать сюрприз — на контроллер домена, по-умолчанию имеют право подключаться только пользователи группы локальных администраторов и доменные админы.
О том, как это изменить я писал ранее.
