Как управлять группами в AD. Часть 1: Создание и удаление групп.
В типичных лесах Active Directory группы необходимы для авторизации прав пользователей. Они могут использоваться для распространения информации через почту или предоставлять доступ к файловым ресурсам, службам или даже делегации прав в AD. Группы бывают встроенными, это те группы, которые доступны сразу после установки, к примеру Domain Admins или Account Operators.
Active Directory Users and Computers (ADUC) и Active Directory Administrative Center (ADAC) - это инструменты, которые предоставляют вам графический пользовательский интерфейс для взаимодействия с группами и управления ими. ADAC отличается от ADUC тем, что в нем есть история команд PowerShell, которая дает возможность видеть PowerShell команды выполняемые за графическим интерфейсом.
Для управления группами необходимо войти на доменный контроллер, сервер в домене или устройство с установленными средствами удаленного администрирования сервера (RSAT). Говоря о необходимых правах доступа, нам нужно состоять в группе Domain Admins, Account Operators или иметь делегированную учетную запись, на создание групп в домене или в конкретной OU.
Область применения групп
Таких существует три вида:
- Глобальные группы
- Универсальные группы
- Локальные группы домена
Решая, какую группу создать, необходимо знать, какие существуют типы и чем они отличаются. Глобальные и универсальные группы могут состоять в локальных группах, а глобальные группы могут состоять в универсальных. Поэтому очень часто можно увидеть, что глобальные группы создаются для отделов, универсальные группы - для групп распространения, а локальные группы домена - для доступа к различным ресурсам.
Типы групп
Существует два типа групп:
- Группы распределения
- Группы безопасности
Группы распределения не имеют секьюрити идентификатора (SID) и, следовательно, не могут быть использованы для предоставления прав доступа к ресурсам, за исключением Microsoft Exchange Server. А группы безопасности имеют SID и следовательно используются для назначения доступов. Так же возможно преобразовать группу распределения в группу безопасности, и наоборот.
Как создать группу
Существует несколько методов создания группы.
Создание группы в ADUC
Откройте ADUC (dsa.msc). Найдите OU или контейнер, где вы хотите создать группу. Щелкните правой кнопкой мыши на эту OU и выберите New->Group.
В окне "New Object - Group" укажите следующие значения:
- Имя группы.
- Область действия группы или примите значение по умолчанию - Глобальная группа.
- Тип группы или примите значение по умолчанию - группа безопасности.
Нажмите OK, чтобы создать группу.
Создание группы с помощью ADAC
Откройте ADAC (dsac.exe). Щелкните правой кнопкой мыши на имени домена и выберите в меню пункт New->Group.
В окне "Создание группы" укажите следующие значения:
- Имя группы
- Область действия группы или примите значение по умолчанию - Глобальная группа.
- Тип группы или примите значение по умолчанию - группа безопасности.
Нажмите OK, чтобы создать группу.
Создание группы в cmd.exe
Используйте следующий скрипт cmd.exe для создания группы в AD:
dsadd.exe group "CN=IT,OU=OfficeCorp,DC=office,DC=local".
Создание группы через Windows PowerShell
Import-Module ActiveDirectory
New-ADGroup -GroupCategory Security -GroupScope Global -Name "ITGroup" -Path "OU=OfficeCorp,DC=office,DC=local" -SamAccountName "ITGroup"
Как удалить группу в AD
Вот несколько методов, как это сделать.
Удаление пользователя с помощью ADAC
Откройте ADUC (dsa.msc). Найдите OU или контейнер, где находится группа, которую вы собираетесь удалить.
В меню Action выберите Find... В поле Name введите имя группы, которую вы собираетесь удалить, а затем нажмите Find Now. В списке результатов поиска выберите нужную вам группу.
Щелкните правой кнопкой мыши по группе и выберите Delete. Нажмите Yes в окне подтверждения.
Удаление группы с помощью ADAC
Откройте программу ADAC (dsac.exe). Найдите OU или контейнер, где находится группа, которую вы собираетесь удалить. На панели главного меню в разделе Global Search введите имя группы, которую вы собираетесь удалить, и нажмите Enter.
В списке результатов глобального поиска выберите группу, щелкните по ней правой кнопкой мыши и выберите Delete. Нажмите Yes во всплывающем окне подтверждения.
Удаление группы в cmd.exe
Используйте следующую команду в cmd для удаления группы:
dsrm.exe "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local".
Введите "y" для подтверждения и нажмите Enter.
Удаление группы с помощью Windows PowerShell
Используйте следующий код PowerShell:
Import-Module ActiveDirectory
Remove-ADObject -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"
Введите "y" для подтверждения и нажмите Enter.