1.2 Active Directory-gebruikers en computers maken en beheren

Nadat u uw domeincontrollers hebt geïnstalleerd en geïmplementeerd, kunt u beginnen met het vullen van AD DS met objecten, waaronder gebruikers en computers. U kunt verschillende grafische hulpprogramma’s gebruiken die toegankelijk zijn vanuit Serverbeheer om deze beheertaken uit te voeren, of u kunt Windows PowerShell gebruiken om deze taken te helpen automatiseren.

1.2.1 Gebruikers en computers maken, kopiëren, configureren en verwijderen

Voor elke gebruiker in uw organisatie moet u een gebruikersaccount maken in AD DS. Dit identificeert hen als een individu wanneer ze proberen taken uit te voeren (rechten) of toegang te krijgen tot bronnen (permissies).

U kunt deze gebruikersaccount vullen met eigenschappen (kenmerken) die de gebruiker beschrijven.

Dit kunnen hun volledige naam, contactgegevens, hun rol in uw organisatie, hun afdeling en vele instellingen zijn die de reikwijdte van hun mogelijkheden binnen uw netwerk bepalen.

Het is belangrijk dat u, voordat u met dit proces begint, even nadenkt over een naamgevingsstandaard voor uw gebruikersaccounts. De naam van het gebruikersaccount moet de gebruiker duidelijk identificeren en moet uniek zijn binnen uw organisatie. Meestal gebruiken organisaties een combinatie van de achternaam en initialen van een gebruiker om een unieke naam te verkrijgen. Als uw organisatie groot is, kan dit een zorgvuldige overweging vergen, omdat veel gebruikers een achternaam kunnen delen en sommige zowel voornaam als achternaam.

In AD DS moeten niet alleen gebruikers een account hebben. Computers die verbinding maken met de netwerkbronnen van uw organisatie moeten ook worden geïdentificeerd. In sommige opzichten is dit eenvoudiger omdat u de beslissing neemt over de computeraccountnaam wanneer u de computer implementeert en deze een naam geeft tijdens het installatieproces. Daarom is het van cruciaal belang dat wanneer u de computers van uw gebruikers implementeert, u de apparaatnaam zorgvuldig overweegt.

1.2.1.1 Gebruikersaccounts toevoegen

Er zijn verschillende hulpprogramma’s die u kunt gebruiken om gebruikersaccounts aan te maken en te beheren, waaronder Windows PowerShell, het opdrachtregelprogramma dsadd.exe, Active Directory: gebruikers en computers, weergegeven in de volgende  afbeelding, en het Active Directory-beheercentrum, weergegeven in de onderstaande afbeelding. Voor de procedures in dit hoofdstuk gebruiken we Active Directory: gebruikers en computers en Windows PowerShell.

Nadat u de naamgevingsstandaard voor uw gebruikersaccount hebt gedefinieerd, gebruikt u de volgende procedure om een gebruikersaccount toe te voegen:

  1. Meld u aan als lid van de algemene beveiligingsgroep Domain Admins.
  2. Open de console Active Directory: gebruikers en computers en selecteer vervolgens de OU waarin u uw gebruikersaccount wilt maken.
  3. Klik met de rechtermuisknop op de OE, wijs Nieuw aan en klik vervolgens op Gebruiker.
  4. Voer in het dialoogvenster Nieuw object – Gebruiker, weergegeven in de volgende afbeelding, de volgende informatie in en klik op Volgende:

    1. Voornaam, initialen en achternaam Deze moeten de gebruiker uniek identificeren. Deze elementen vormen samen de volledige naam van de gebruiker, die uniek moet zijn binnen de AD DS-container waarin u deze maakt. Het is echter raadzaam om te proberen ervoor te zorgen dat de naam uniek is binnen het bos.
    1. Gebruikersaanmeldingsnaam Deze naam wordt gecombineerd met het naast weergegeven achtervoegsel (@ Adatum.com in de voorgaande afbeelding) om een User Principal Name (UPN) te creëren; bijvoorbeeld BurkeB@Adatum.com. Deze UPN moet uniek zijn binnen het AD DS-forest. Het UPN-achtervoegsel is over het algemeen de domeinnaam waaraan u het account toevoegt. U kunt echter aanvullende UPN-achtervoegsels definiëren met behulp van de Active Directory Domains and Trusts-console.
    1. Aanmeldingsnaam gebruiker (pre-Windows 2000) Deze naam wordt ook wel de SAM-accountnaam genoemd. Het moet uniek zijn binnen het huidige domein.
  5. Voer vervolgens een wachtwoord in en bevestig het wachtwoord, zoals weergegeven in de volgende afbeelding. Wat u ook invoert, het moet voldoen aan de huidige regels voor wachtwoordcomplexiteit in uw domein. Configureer de resterende instellingen en klik op Volgende:

    1. Gebruiker moet wachtwoord wijzigen bij volgende aanmelding – Het is een goede gewoonte om een gebruiker te forceren een nieuw wachtwoord te kiezen wanneer ze zich voor het eerst aanmelden.
    1. Gebruiker kan wachtwoord niet wijzigen – Selecteer deze optie als de gebruikersaccount een specialistische account is, zoals een account die wordt gebruikt door een app of service in plaats van door een persoon. Deze optie sluit elkaar uit met Gebruiker moet wachtwoord wijzigen bij volgende aanmelding.
    1. Wachtwoord verloopt nooit – Kies deze optie ook als het gebruikersaccount een specialistisch account is, zoals een account dat wordt gebruikt door een app of dienst. Deze optie sluit elkaar ook uit met Gebruiker moet wachtwoord wijzigen bij volgende aanmelding.
    1. Account is uitgeschakeld – Het is een goede gewoonte om alle gebruikersaccounts uit te schakelen totdat de gebruiker klaar is om zich voor de eerste keer aan te melden. Veel organisaties voegen vóór de eerste werkdag van de nieuwe werknemer gebruikersaccounts toe en maken e-mailaccounts aan voor nieuwe medewerkers. Het is echter niet veilig om een gebruikersaccount ingeschakeld en ongebruikt te laten, met het initiële wachtwoord.
  6. Klik op Voltooien wanneer daarom wordt gevraagd.

Examentip

U kunt zich zelfs aanmelden als lid van de groep Accountoperators. Leden van deze groep hebben voldoende bevoegdheden om accountbeheertaken uit te voeren.

Examentip

U kunt ook gebruikersaccounts maken in de containers Builtin, Computers en Users, maar het is best practice om uw gebruikers te consolideren in OU’s voor beheerdoeleinden.

Nadat u de account hebt gemaakt, moet u de eigenschappen wijzigen zodat u groepslidmaatschappen, organisatiedetails en meer geavanceerde accounteigenschappen kunt configureren. Gebruik hiervoor de volgende procedure:

  1. Zoek in Active Directory: gebruikers en computers de OE die uw nieuwe gebruikersaccount bevat.
  2. Klik met de rechtermuisknop op het account en klik vervolgens op Eigenschappen. Er zijn een groot aantal configureerbare eigenschappen van gebruikersaccounts, maar de volgende zijn de meest kritieke.
  3. Klik in het dialoogvenster Gebruikerseigenschappen op het tabblad Account, weergegeven in de volgende afbeelding, en configureer vervolgens de volgende instellingen:

    1. Aanmeldingsuren – Geef de dagen en tijden van de week op waarop de account kan worden gebruikt. De standaardwaarde is Altijd.
    1. Aanmelden bij – Definieer op welke computers de gebruikersaccount kan worden aangemeld. De standaard is Alle computers.
    1. Account ontgrendelen – Deze optie kan alleen worden geselecteerd als de account is vergrendeld. Dit gebeurt wanneer een gebruiker probeert in te loggen met een onjuist wachtwoord en de drempel van onjuiste wachtwoorden overschrijdt.
    1. Accountopties – Naast de opties die u hebt gedefinieerd toen u de account aanmaakte (gebruiker moet wachtwoord wijzigen bij volgende aanmelding, enzovoort), kunt u enkele meer geavanceerde opties inschakelen voor accounts die worden gebruikt in gevoelige situaties die meer beveiliging vereisen. De instellingen omvatten: smartcard is vereist voor interactieve aanmelding, account is gevoelig en kan niet worden gedelegeerd, en dit account ondersteunt Kerberos AES 256-bits versleuteling.
    1. Account verloopt – U kunt een vervaldatum voor een account configureren. Dit is vaak handig voor accounts die gebruikt worden door stagiaires of uitzendkrachten. Nadat het account is verlopen, kunt u het account opnieuw toewijzen aan de volgende stagiair en de vervalinstelling opnieuw configureren.
  4. Op het tabblad Profiel, weergegeven in de volgende afbeelding, de volgende instellingen.

    1. Profielpad – Als u een profielpad op een gedeelde map definieert, zwerven de bureaublad- en app-instellingen van de gebruiker met het gebruikersaccount. Wanneer een gebruiker uitlogt, worden haar bureaublad- en app-instellingen op deze locatie opgeslagen. Definieer een UNC-naam en gebruik de variabele %username% om een submap van de gedeelde map te definiëren. Zoals weergegeven in de voorgaandce afbeelding verwijst de UNC-naam bijvoorbeeld naar de gedeelde map Gebruikers op de server LON-DC1. Er wordt automatisch een submap voor deze gebruiker gemaakt, genoemd naar het gebruikersaccount, wanneer u op Toepassen klikt, zoals weergegeven in de volgende afbeelding. Daaronder wordt automatisch een submap voor het profiel van de gebruiker gemaakt.

    1. Aanmeldingsscript – Geef de naam op van een batchbestand dat moet worden gebruikt als aanmeldingsscript voor deze gebruiker. U mag het pad naar dit bestand niet specificeren; alle scripts moeten worden opgeslagen in de gedeelde map NETLOGON (onderdeel van SYSVOL) zodat ze kunnen worden gerepliceerd naar alle domeincontrollers. Over het algemeen wordt dit veld zelden gebruikt. De meeste beheerders geven er de voorkeur aan aanmeldingsscripts toe te passen met behulp van GPO’s.
    1. Thuismap – Het is een goede gewoonte om voor elke gebruiker een persoonlijke opslagruimte op uw netwerk te maken. Dit wordt een thuismap genoemd. Als je de variabele gebruikt %gebruikersnaam% om een submap van een geldige gedeelde map te definiëren, wordt de gebruikersnaam toegepast wanneer de thuismap van de gebruiker automatisch wordt aangemaakt. Geef een stationsletter op die moet worden gebruikt om naar de thuismap van de gebruiker te verwijzen.
  5. Voeg op het tabblad Lid van, weergegeven in de volgende afbeelding, de gebruiker toe aan de vereiste groepen en klik op OK. Groepen worden besproken in de volgende vaardigheid.

Examentip

Zorg ervoor dat u de vereiste gedeelde mappen maakt voordat u uw eerste gebruikersaccounts aanmaakt. Op die manier kan Windows Server automatisch de vereiste gebruikerssubmappen maken en automatisch machtigingen toewijzen. Het gebruik van de variabele %gebruikersnaam% betekent ook dat als u deze account kopieert, de variabele wordt vervangen door de details van de account die u aanmaakt als kopie.

1.2.1.2 Sjablonen configureren

Als u veel, grotendeels vergelijkbare gebruikersaccounts wilt toevoegen, kunt u overwegen om sjablonen te gebruiken om het proces te versnellen. Een sjabloongebruikersaccount is een gewoon gebruikersaccount met algemene eigenschappen en instellingen. U kopieert het account in Active Directory: gebruikers en computers en configureert vervolgens alleen de unieke individuele instellingen:

  • Voornaam en achternaam
  • Volledige naam
  • Aanmeldingsnaam gebruiker
  • Wachtwoord

Examentip

Het is een heel goed idee om een sjabloonaccount uit te schakelen en de instelling Gebruiker kan wachtwoord niet wijzigen te configureren; dit helpt het gebruik van het account te voorkomen.

De volgende gebruikersaccounteigenschappen worden gekopieerd wanneer u een sjabloonaccount maakt en kopieert:

  • Groepslidmaatschappen
  • Home-directories
  • Profielinstellingen
  • Aanmeldingsscripts
  • Aanmeldingsuren
  • Wachtwoordinstellingen
  • Afdelingsnaam
  • Beheerder

Examentip

Hoewel het idee van een sjabloonaccount aantrekkelijk lijkt, zijn er eenvoudigere en snellere manieren om gebruikersaccounts in bulk te beheren. De meeste beheerders gebruiken Windows PowerShell-scripts om meerdere accounts aan te maken.

1.2.1.3 Gebruikersaccounts beheren

Wanneer uw gebruikersaccounts zijn aangemaakt, moet u bereid zijn om deze accounts te beheren. U kunt Active Directory: gebruikers en computers of Windows PowerShell gebruiken om de volgende typische beheertaken uit te voeren:

  • Wachtwoorden opnieuw instellen – Klik met de rechtermuisknop op de relevante gebruikersaccount en klik vervolgens op Wachtwoord opnieuw instellen. Gebruik in Windows PowerShell de cmdlet Set-ADAccountPassword. Om bijvoorbeeld het wachtwoord van Beth Burke opnieuw in te stellen, gebruikt u de volgende opdracht:
    Set-ADAccountPassword ‘CN=Beth Burke,OU=IT,DC=Adatum,DC=com’ -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “Pa55w.rd” -Force)
  • Accounts ontgrendelen – Klik met de rechtermuisknop op de relevante gebruikersaccount en klik vervolgens op Ontgrendelen. Gebruik in Windows PowerShell de cmdlet Unlock-ADAccount.
  • Accounts hernoemen – Klik met de rechtermuisknop op de relevante gebruikersaccount en klik vervolgens op Naam wijzigen. Typ de nieuwe volledige naam en druk op Enter. Typ in het dialoogvenster Gebruiker hernoemen, weergegeven in de volgende afbeelding , de relevante informatie en klik op OK. Gebruik in Windows PowerShell de cmdlet Rename-ADObject.

  • Gebruikers verplaatsen – Klik met de rechtermuisknop op de relevante gebruikersaccount en klik vervolgens op Verplaatsen. Klik in het dialoogvenster Verplaatsen op de nieuwe locatie en klik vervolgens op OK. Gebruik in Windows PowerShell de cmdlet Move-ADObject. Om bijvoorbeeld Beth Burke te verplaatsen van IT naar Marketing in het domein Adatum.com, gebruikt u de volgende opdracht:
    Move-ADObject -Identity ‘CN=Beth Burke,OU=IT,DC=Adatum,DC=com’ -TargetPath ‘OU=Marketing,DC=Adatum,DC=com’

Examentip

U kunt ook het opdrachtregelprogramma Dsmod.exe gebruiken om veel van deze taken uit te voeren.

U kunt Windows PowerShell-cmdlets gebruiken om alle algemene gebruikersbeheertaken uit te voeren. Tabel 1-2 geeft een overzicht van de belangrijke cmdlets en legt het gebruik ervan uit.

OpdrachtGebruik
New-ADUserCreëert gebruikersaccounts.
Set-ADUserWijzigt de eigenschappen van gebruikersaccounts.
Remove-ADUserVerwijdert gebruikersaccounts.
Set-ADAccountPasswordReset het wachtwoord van een gebruikersaccount.
Set-ADAccountExpirationWijzigt de vervaldatum van een gebruikersaccount.
Unlock-ADAccountOntgrendelt een gebruikersaccount.
Enable-ADAccountSchakelt een gebruikersaccount in.
Disable-ADAccountSchakelt een gebruikersaccount uit.

1.2.1.4 Beheer inactieve en uitgeschakelde accounts

Er zijn veel redenen waarom accounts inactief kunnen worden, waaronder:

  • Een medewerker verlaat uw organisatie
  • Een stagiaire of tijdelijke medewerker vertrekt
  • Een medewerker is wegens sabbatical afwezig of langdurig ziek
  • Een medewerker is met ouderschapsverlof

Wat de reden ook is, het is een goede gewoonte om accounts die inactief zijn uit te schakelen om de veiligheid van uw netwerk te waarborgen. Om een ongebruikt account uit te schakelen, klikt u in Active Directory: gebruikers en computers met de rechtermuisknop op het gebruikersaccount en klikt u vervolgens op Account uitschakelen. Om een uitgeschakeld account in te schakelen, zoekt u het gebruikersaccount, klikt u er met de rechtermuisknop op en klikt u vervolgens op Account inschakelen.

1.2.1.5 Computeraccounts toevoegen en beheren

Voor computerapparaten die uw organisatie bezit, moet u een AD DS-account voor de computer maken. Dit helpt de netwerkinfrastructuur van uw organisatie te beveiligen, omdat de computer zichzelf kan identificeren bij het AD DS-domein waarvan hij lid is.

Computeraccounts worden standaard gemaakt en opgeslagen in de standaardcontainer Computers. Dit is geen OU en daarom kunt u er geen beheer over delegeren, noch er GPO’s op toepassen. Overweeg in grotere organisaties om uw computers in OE’s te plaatsen in plaats van in de container Computers.

Om een computer aan het domein toe te voegen, moet u zich aanmelden met een account dat voldoende rechten heeft. U hebt zelfs machtigingen nodig om een computerobject binnen het domein toe te voegen. U hebt ook lokale beheerdersrechten op de computer zelf nodig. Standaard hebben de volgende groepen de machtigingen om computerobjecten te maken in elke OU:

■ Enterprise-beheerders

■ Domeinbeheerders

■ Beheerders

■ Rekeningexploitanten

Examentip

Standaardgebruikers kunnen maximaal 10 computers toevoegen aan een domein. Gebruik de Active Directory Services Interfaces Editor (ADSI Edit)-console om het quotum van het computeraccount te verhogen als 10 onvoldoende is.

U kunt vervolgens het computeraccount toevoegen met behulp van een van de volgende twee strategieën:

  • De computeraccount in één stap toevoegen – Wanneer u een computer aan een domein toevoegt, kunt u referenties opgeven om de vereiste computeraccount te maken terwijl u de instellingen van de clientcomputer wijzigt. Dit is een eenvoudig proces in één stap.
  • De computeraccount vooraf maken – U kunt de computeraccount eerst in AD DS maken en vervolgens vanaf de clientcomputer de computer aan uw domein toevoegen. Met deze aanpak in twee stappen kunt u de administratieve taken van het toevoegen van computers aan het domein en het beheren van computeraccounts scheiden. Ook worden alle groepsbeleidsobjecten die zijn geconfigureerd in de AD DS-container van de computer sneller toegepast.

Gebruik de volgende procedure om een Windows 10-computer in één stap aan een domein toe te voegen:

  1. Meld u aan bij de Windows 10-computer als lokale beheerder.
  2. Klik met de rechtermuisknop op Start en klik vervolgens op Systeem.
  3. Klik in Systeem op Geavanceerde systeeminstellingen.
  4. Klik in het dialoogvenster Systeemeigenschappen op het tabblad Computernaam op Wijzigen.
  5. In het dialoogvenster Computer Name/Domain Changes, weergegeven in de volgende, selecteert u Domain en typt u de domeinnaam.

  6. Klik op OK en voer in het dialoogvenster Windows-beveiliging de gebruikersnaam en het wachtwoord in van een gebruikersaccount in het domein dat voldoende rechten heeft om een computeraccount toe te voegen en klik vervolgens op OK.
  7. Klik in het pop-upvenster Computernaam/Domeinwijzigingen, weergegeven in de volgende afbeelding, op OK.

  8. Klik op OK bij de waarschuwing dat u uw computer opnieuw moet opstarten.
  9. Klik in het dialoogvenster Systeemeigenschappen op Sluiten en klik vervolgens op Nu opnieuw opstarten wanneer daarom wordt gevraagd.
  10. Meld u aan met een domeinaccount op uw computer.
  11. Open Active Directory: gebruikers en computers op uw domeincontroller.
  12. Navigeer naar de container Computers en zoek het nieuwe computeraccount.
  13. Klik indien nodig met de rechtermuisknop op het nieuwe account en klik vervolgens op Verplaatsen, zoals weergegeven in de volgende afbeelding.

  14. Selecteer de nieuwe OU-locatie voor de computer en klik op OK.

Over het algemeen vereisen computeraccounts niet veel beheer. Mogelijk moet u een computer toevoegen aan een beveiligingsgroep, wat vrijwel identiek is aan het toevoegen van een gebruiker aan een groep. U kunt Active Directory: gebruikers en computers of het Active Directory-beheercentrum gebruiken om computerbeheer uit te voeren.

U kunt ook Windows PowerShell gebruiken. De onderstaande tabel geeft een overzicht van de algemene cmdlets voor Windows PowerShell-computerbeheer.

OpdrachtGebruik
New-ADComputerMaakt een nieuw computeraccount aan.
Get-ADComputerToont de eigenschappen van een computeraccount.
Set-ADComputerWijzigt de eigenschappen van een computeraccount.
Remove-ADComputerVerwijdert een computeraccount.
Test-ComputerSecureChannelVerifieert of herstelt de vertrouwensrelatie tussen een computer en het domein.
Reset-ComputerMachinePasswordReset het wachtwoord voor een computeraccount.

1.2.1.6 Reset het beveiligde kanaal

Af en toe moet u mogelijk het beveiligde kanaal van de computer resetten. Wanneer een computer zich aanmeldt bij het AD DS-domein, brengt deze een beveiligd kanaal tot stand met de domeincontroller; het beveiligde kanaal wordt soms een trust genoemd. Onder bepaalde omstandigheden is deze vertrouwensrelatie niet meer beschikbaar en kan de computer het beveiligde kanaal niet tot stand brengen. Dit kan ertoe leiden dat gebruikers zich niet kunnen aanmelden bij de computer en dat de toepassing van groepsbeleidsobjecten op de computer mislukt.

Wanneer een beveiligd kanaal is mislukt, ontvangen gebruikers vaak het volgende bericht wanneer ze proberen in te loggen:

“De vertrouwensrelatie tussen het werkstation en het primaire domein is mislukt.”

Sommige beheerders verwijderen de computer uit het domein, voegen deze tijdelijk toe aan een werkgroep en voegen de computer na het herstarten weer toe aan het domein. Dit is meestal succesvol. Hierdoor wordt het computerobject in AD DS echter verwijderd en wordt een nieuw object gemaakt, zij het met dezelfde naam. Omdat het object nieuw is en een nieuwe beveiligingsidentiteit (SID) heeft, gaan alle groepslidmaatschappen voor de computer verloren; dit is misschien geen probleem.

Als u echter veelvuldig gebruikmaakt van groepslidmaatschappen, is het beter om het beveiligde kanaal opnieuw in te stellen in plaats van de computer uit het domein te verwijderen. U kunt het kanaal opnieuw instellen met behulp van Active Directory: gebruikers en computers, Windows PowerShell of het opdrachtregelprogramma Dsmod.exe. Het resetten van het kanaal zorgt ervoor dat de SID van de computer hetzelfde blijft, en dit betekent dat groepslidmaatschappen behouden blijven.

Examentip

U kunt ook de opdrachtregelprogramma’s Netdom.exe of Nltest.exe gebruiken.

In Active Directory: gebruikers en computers, om het beveiligde kanaal opnieuw in te stellen.

  1. Klik met de rechtermuisknop op de computer, klik op Account opnieuw instellen en klik vervolgens op Ja, zoals weergegeven in Afbeelding 1-50.

  2. Sluit de computer opnieuw aan bij het domein en start de computer opnieuw op.

Om Windows PowerShell te gebruiken, voert u op de computer de volgende opdracht uit in een verhoogde Windows PowerShell-opdrachtprompt: Test-ComputerSecureChannel -Repair

Om het opdrachtregelprogramma Dsmod.exe te gebruiken, gebruikt u de volgende opdracht op de computer en voegt u de computer vervolgens weer toe aan het domein: dsmod computer “ComputerDN” -reset

1.2.2 Offline domein lidmaatschap implementeren

Wanneer u een computer aan een AD DS-domein toevoegt, zijn de domeincontrollers van het domein gewoonlijk online en toegankelijk vanaf de computer die u wilt toevoegen. Soms is het echter niet mogelijk om een online domeindeelname uit te voeren, bijvoorbeeld wanneer de toe te voegen computer is verbonden met een domeincontroller via een intermitterende externe verbinding.

In Windows Server 2016 kunt u voor clientcomputers met Windows 7 of nieuwer een functie gebruiken die bekend staat als offline domeindeelname om dit probleem te omzeilen. Om een offline domeindeelname uit te voeren, gebruikt u het opdrachtregelprogramma Djoin.exe. Djoin.exe genereert een metadata-blob, vergelijkbaar met een configuratiebestand, dat op de clientcomputer wordt gebruikt om het deelnameproces te voltooien.

Wanneer u Djoin.exe uitvoert, moet u de domeinnaam opgeven waarmee u lid wilt worden, de naam van de computer die aan het domein moet worden toegevoegd en de naam en locatie van het bestand waarin deze informatie wordt opgeslagen.

Gebruik de volgende procedure om een offline domeindeelname uit te voeren:

  1. Open op een domeincontroller een opdrachtprompt met verhoogde bevoegdheid en voer djoin.exe /provision uit. Het formaat voor deze opdracht is:
    djoin.exe /Provision /Domain <Domeinnaam> /Machine <Machinenaam> /SaveFile bestandspad
    Om bijvoorbeeld LON-CL4 toe te voegen aan het domein Adatum.com, gebruikt u de volgende opdracht:
    djoin.exe /provision /domain adatum.com /machine LON-CL4 /savefile c:\cl4.txt
  2. Kopieer vervolgens het join-bestand naar de doelcomputer en gebruik vervolgens de opdracht djoin.exe /request-ODJ. Het opdrachtformaat is:
    djoin.exe /requestODJ /LoadFile <bestandspad> /WindowsPath %systemroot% /Localos
    Om bijvoorbeeld LON-CL4 toe te voegen, voert u de volgende opdracht uit:
    djoin.exe /requestODJ /loadfile c:\LON-CL4.txt /windowspath C:\Windows /Localos
  3. Start de doelcomputer opnieuw op.

1.2.3 Gebruikersrechten configureren

Gebruikersrechten zijn iets anders dan machtigingen. Machtigingen geven de mogelijkheid om iets te openen, zoals een map of printer, terwijl rechten de mogelijkheid zijn om iets te doen, zoals het beheren van een printer.

Rechten worden soms omschreven als de toekenning van managementcapaciteiten; dit is vaak waar, omdat veel rechten gebruikers in staat stellen beheertaken uit te voeren. Niet alle rechten zijn echter administratief. Sommige zijn voor eenvoudige, gebruikersgerichte taken, zoals het recht om lokaal inloggen toe te staan of de systeemtijd te wijzigen.

Het is gebruikelijk om rechten toe te wijzen door gebruikers toe te voegen aan groepen waaraan dat recht al is toegewezen.

Leden van de lokale groep Beheerders kunnen bijvoorbeeld veel beheertaken uitvoeren door rechten aan die groep toe te wijzen. Door een gebruiker toe te voegen aan de groep Administrators, geniet die gebruiker van die rechten.

Als u een gebruiker echter direct een recht wilt toekennen, of juist een recht aan een groep wilt toekennen, is het belangrijk dat u weet hoe u dat moet doen. De meest gebruikte tool om rechten toe te kennen in een niet-domeinomgeving is het lokale beveiligingsbeleid. In een AD DS-forest gebruiken beheerders GPO’s om deze rechten toe te wijzen.

Gebruik de volgende procedure om gebruikersrechten te wijzigen:

  1. Open de groepsbeleidsbeheerconsole.
  2. Navigeer naar de container Groepsbeleidsobjecten.
  3. Klik in het detailvenster met de rechtermuisknop op Standaarddomeinbeleid en klik vervolgens op Bewerken.
  4. Vouw in de Groepsbeleidsbeheer-editor in het navigatievenster Computerconfiguratie uit, vouw Beleid uit, vouw Windows-instellingen uit, vouw Beveiligingsinstellingen uit, vouw Lokaal beleid uit en klik vervolgens, zoals weergegeven in de volgende afbeelding, op Toewijzing van gebruikersrechten.

  5. Selecteer in het detailvenster het recht dat u wilt toekennen door erop te dubbelklikken.
  6. Selecteer in het dialoogvenster Right Properties, weergegeven in de volgende afbeelding, de optie Deze beleidsinstellingen definiëren, klik op Gebruiker of groep toevoegen, selecteer de juiste gebruiker of groep en klik op OK.

  7. Klik in het dialoogvenster Eigenschappen rechts op OK.

1.2.4 Bulk Active Directory-bewerkingen uitvoeren

Bulkbewerkingen zijn wanneer een beheerder een enkele taak uitvoert om meerdere activiteiten te voltooien, en kunnen de volgende algemene beheertaken omvatten:

  • Automatiseer het aanmaken van Active Directory-accounts
  • Automatiseer het ontgrendelen van uitgeschakelde accounts met behulp van Windows PowerShell
  • Automatiseer het opnieuw instellen van wachtwoorden met Windows PowerShell
  • Wijzig in één stap de eigenschappen van veel gebruikers, zoals afdelingsnaam of adres

In een kleine organisatie is de vereiste om bulkbewerkingen uit te voeren minder waarschijnlijk. In grote organisaties bestaat echter waarschijnlijk de behoefte om regelmatig gebruikersblokken toe te voegen en te configureren. Dit kan de vorm aannemen van het aanmaken van bulkaccounts of van bulkbeheer van accounts, zoals het wijzigen van de eigenschappen van de accounts.

Er zijn verschillende methoden die u kunt gebruiken om bulkaccountbeheer uit te voeren, waaronder het gebruik van bestanden met door komma’s gescheiden waarden (CSV) en Windows PowerShell-scripts. Het gebruik van CSV-bestanden kan het werken met meerdere AD DS-objecten sneller en gemakkelijker maken.

Een voorbeeld van een CSV-bestand kan er als volgt uitzien:

Volledige naam, afdeling

Abbie Parsons, verkoop

Allan Yoo, verkoop

Erin Bull, Verkoop

Nadat u een correct geformatteerd CSV-bestand hebt gemaakt, kunt u dit gebruiken met een Windows PowerShell-script om uw bulkbewerking uit te voeren.

Examentip

U gebruikt de cmdlet Windows PowerShell Import-csv om de inhoud van een CSV-bestand in te lezen in een variabele in het geheugen voor gebruik door een script.

Als u bijvoorbeeld nieuwe accounts wilt maken met Windows PowerShell en een CSV-bestand, kunt u het volgende basisscript gebruiken.

$users=Import-CSV –LiteralPath “C:\new-users.csv” foreach ($user in $users)

{

                New-ADUser $user.FullName -AccountPassword (Read-Host -AsSecureString “Enter password”) -Department $user.Department

}

1.2.4.1 Windows PowerShell gebruiken om AD DS-objecten te wijzigen

Om bulkbewerkingen uit te voeren op gebruikers- of computerobjecten, of groepsobjecten, moet u een lijst met de gewenste objecten doorgeven aan een Windows PowerShell-cmdlet die vervolgens de vereiste wijziging uitvoert. Vaak is de cmdlet die deze wijziging uitvoert een van de volgende:

  • Set-ADUser
  • Set-ADComputer
  • Set-ADGroup
  • Set-ADOrganizationalUnit

Als u bijvoorbeeld de bedrijfsnaam van alle gebruikers wilt wijzigen na een fusie, kunt u de volgende opdracht gebruiken:

Get-ADUser -Filter {company -like “A Datum”} | Set-ADUser -Company “Contoso”

Om alle gebruikersaccounts in de verkoopafdeling uit te schakelen, kunt u het volgende commando gebruiken:

Get-ADUser -Filter {Department -like “Sales”} | Disable-ADAccount

Om het wachtwoord voor alle gebruikers van de marketingafdeling opnieuw in te stellen, kunt u de volgende opdracht gebruiken:

Get-ADUser -Filter {Department -like “Marketing”} | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “Pa55w.rd” -Force)