ИТ-архитектура от А до Я: Комплексное решение. Первое издание - стр. 37

Роли и ответственности

•Административная роль «Adm_ADDS_Administrators» корневого домена леса необходима для конфигурирования серверов, изменений схемы леса, добавления DNS зон, администрирования активного каталога на серверах.

•Административная роль «Adm_ADDS_Administrators» домена дерева леса необходима для конфигурирования серверов, администрирования активного каталога в пределах дерева и домена.

Состав ролей:

Administrator (Forest) – Администратор леса и корневого домена. Входит в состав встроенных групп: Enterprise Admins, Schema Admins, Administrators, Domain Admins, Group Policy Creator Owners и Domain Users;

Administrator (Domain) – Администратор домена дерева. Входит в состав встроенных групп: Administrators, Domain Admins, Group Policy Creator Owners и Domain Users;

Сервисная роль для запуска серверов не предусмотрена. Возможно наличие учетной записи с правами оператора резервного копирования. За работу сервиса отвечает «системный администратор». Кроме этого можно выделить роль «Adm_GPO_Administrators» – отвечающие за создание и изменение групповых политик.

Установка

Первоначальная установка серверов происходит вручную.

Дальнейшая установка при сопровождении происходит из образа с использование скрипта.

Установка роли Active Directory Domain Service и DNS

•Выбираем Promote this server to Domain Controller

•Новый лес, новый домен (New Forest, New Domain)

•Необходимы права администратора схемы леса (Schema Admins)

•Для обоих серверов отмечаем Global Catalog (GC)

•Дальнейшие настройки по умолчанию.

Конфигурирование

Доступ к конфигурации серверов доступен через сервер управления в соответствии с процессом «Управления изменениями».

Настройка портов и протоколов

Настройка службы DNS

Создание DNS Reverse Zone «192.168.0.0». Дополнительные зоны.

Настройка Key Distribution Service (KDS) и генерация KDS ключа

Генерация KDS ключа необходима для создания Групповых Управляемых Служебных Записей (Group Managed Service Accounts gMSA). Управляемые сервисные служебные записи необходимы для запуска служб и ИТ сервисов. Также могут использоваться для запуска «планировщика задач», но только через оснастку PowerShell. Преимущества:

•Пароль длинной 240 символов

•Генерируется каждые 30 дней.

•Не хранится на локальной системе

Для их использования необходимо соблюдать следующие условия

Уровень схемы не ниже Windows 2012, контроллеры Windows 2012 и выше с включенной и настроенной службой Key Distribution Service (KDS), наличие оснастки PowerShell. Генерация ключа происходит вручную и раз через оболочку PowerShell на контроллере домена с правами Enterprise Admins. Ключ доступен через 10 часов после генерации, чтобы все контролеры домена реплицировали данные. Порядок выполнения:

•Входим на контроллер ADDS-PDC-DC01 с учетной записью HOLDING\Administrator и запускаем оснастку PowerShell.

•Запускаем команду Add-KDSRootKey —EffectiveImmediatly

Для тестовой среды можно активировать немедленно командой

•Add-KDSRootKey —EffectiveTime ((get-date).addhours (-10))

Проверяем готовность: Get-KDSRootKey

Создание gMSA (Group Managed Service Accounts)

Следующий этап сопровождение Групповых Управляемых Служебных Записей (Group Managed Service Accounts gMSA. Порядок выполнения:

•Входим на контроллер ADDS-PDC-DC01 с учетной записью MyCompany\Administrator и запускаем оснастку PowerShell. Запускаем команду: