1.3 Maak en beheer Active Directory-groepen en organisatorische eenheden.

Naast gebruikers en computers bevatten alle AD DS-forests groepen en OE’s. U kunt grafische hulpmiddelen gebruiken om groepen en organisatie-eenheden te maken en te beheren, of u kunt Windows PowerShell-cmdlets gebruiken.

In sommige opzichten lijken groepen en OU’s op elkaar; ze bevatten allebei objecten, zoals gebruikers, computers of zelfs andere groepen of OU’s. Strikt genomen hebben groepen echter leden en bevatten OE’s objecten.

OU’s en groepen worden ook op verschillende manieren gebruikt. Doorgaans implementeert u groepen in AD DS om rechten of machtigingen toe te wijzen, terwijl u OE’s gebruikt om het beheer te stroomlijnen via de toepassing van groepsbeleidsobjecten of via beheerdelegatie.

Een Windows Server 2016-domeincontroller bevat standaard verschillende ingebouwde groepsaccounts, waaronder de accounts die worden vermeld in Tabel 1-4.

NaamBeschrijving
Server OperatorsEen lokale domeingroep die is gemaakt met de standaardcapaciteiten om software op de server te installeren en te delen, schijven te beheren en een back-up van de server te maken.
Account OperatorsEen lokale domeingroep met de mogelijkheid om gebruikers- en groepsaccounts aan te maken en te beheren. Leden kunnen ook accounts verwijderen die ze hebben aangemaakt.
Print OperatorsEen lokale domeingroep die printers en afdrukwachtrijen kan installeren, delen en beheren.
AdministratorsDeze lokale domeingroep heeft rechten om elke functie op een Windows Server 2016-servercomputer uit te voeren. Leden kunnen nieuwe accounts aanmaken, accounts verwijderen, schijven en printers beheren, beveiligings- en controlebeleid instellen, enzovoort.
UsersEen lokale domeingroep die de machtigingen voor het gebruik van bronnen overneemt. Meestal leesmachtigingen voor schijven en de machtigingen om afdruktaken in te dienen. Deze accounts kunnen een profiel en een thuismap hebben.
GuestsEen lokale domeingroep met beperkte toegang tot de server. Deze accounts kunnen geen profielen of basismappen hebben.
Backup OperatorsEen lokale domeingroep die de rechten heeft om een back-up van de server te maken. Leden hebben ook het recht om dezelfde gegevens te herstellen.
Network Configuration OperatorsLeden hebben bepaalde rechten voor netwerkbeheer.
Remote Desktop usersGebruikers van extern bureaublad Leden kunnen zich op afstand aanmelden bij deze server (gebruikt voor externe bureaubladservices).
Domain ComputersEen globale groep die alle werkstations en servers in het domein bevat.
Domain ControllersEen globale groep die alle domeincontrollers in het domein bevat.
Domain GuestsEen globale groep die automatisch wordt toegevoegd aan alle lokale gastengroepen.
Domain AdminsEen globale groep die automatisch wordt toegevoegd aan alle lokale beheerdersgroepen.
Domain UsersEen globale groep die automatisch wordt toegevoegd aan alle lokale gebruikersgroepen.
Enterprise AdminsEen universele groep (alleen in het forest-hoofddomein) die volledige administratieve controle heeft over alle objecten in het forest.
TABEL 1-4 Standaard AD DS Windows Server 2016-groepen

Naast deze groepen ondersteunt Windows Server ook de notie van speciale identiteiten. Deze worden behandeld als groepen binnen het besturingssysteem voor zover u ze machtigingen en rechten kunt verlenen, net als elke andere groep. De ledenlijst kan echter niet worden bewerkt; dat wil zeggen dat u een gebruiker (of een andere groep) niet kunt toewijzen aan een speciale identiteit. Integendeel, het lidmaatschap wordt geïmpliceerd op basis van de kenmerken van een gebruiker in een bepaalde situatie. Deze speciale identiteiten zijn:

  • Iedereen – Deze identiteit vertegenwoordigt iedereen en omvat zowel gebruikers met een account als gasten zonder account, ervan uitgaande dat het gastaccount is ingeschakeld.
  • Geverifieerde gebruikers – Deze identiteit is specifieker en omvat iedereen behalve gasten.
  • Anonieme aanmelding – Deze identiteit wordt gebruikt door bronnen die geen gebruikersnaam of wachtwoord nodig hebben om toegang te krijgen. Het omvat geen gasten.
  • Interactief – Een gebruiker die toegang probeert te krijgen tot een bron op de lokale computer, behoort tot de Interactieve identiteit.
  • Netwerk – Een gebruiker die probeert toegang te krijgen tot een bron op een externe computer, behoort tot de netwerkidentiteit.
  • Eigenaar Maker – Elke persoon die een object maakt, zoals een bestand, behoort tot de identiteit van de eigenaar van de maker voor dat object. Een gebruiker die bij deze identiteit hoort, heeft volledige controle over het object.

1.3.1 Groepen maken en beheren

Bij het overwegen van groepen is het belangrijk om te bepalen wanneer het gepast is om de ingebouwde standaardgroepen of de speciale identiteiten te gebruiken, en wanneer het nodig is om extra groepen aan te maken en te configureren om aan de specifieke behoeften van uw organisatie te voldoen.

1.3.1.1 Groepsnesting configureren

In Windows Server 2016 is het mogelijk om groepsnesting te configureren. Dit is het proces van het toevoegen van een groep als lid van een andere groep. Het doel achter het nesten van groepen is schaalvergroting. Als het soms logisch is om gebruikers samen te groeperen en de groepspermissies (of rechten) toe te wijzen in plaats van de individuen waaruit de groep bestaat, is het soms logisch om groepen te groeperen. Dit is met name relevant in grote AD DS-forests met meerdere domeinen.

Om het nesten van groepen te vergemakkelijken, ondersteunt AD DS in Windows Server 2016 drie groepsbereiken en twee groepstypen. Dit zijn:

  • Bereiken Definieer het bereik (of bereik) van vaardigheden:
  • Domein Lokaal – Kan alleen rechten en machtigingen krijgen binnen de lokale beveiligingsautoriteit. Dat wil zeggen, aan een lokale domeinaccount kunnen alleen rechten en machtigingen worden verleend voor bronnen in het lokale domein. Een lokale domeingroep kan het volgende bevatten:
    • Gebruikers van elk domein in het forest
    • Wereldwijde groepen van elk domein in het forest
    • Universele groepen van elk domein in het forest
  • Globaal – Kan rechten en machtigingen krijgen voor elke bron in elk domein in het forest. Een globale groep kan het volgende bevatten:
    • Gebruikers van overal in het forest
    • Wereldwijde groepen uit hetzelfde domein
  • Universeel – Wordt gebruikt voor bosbrede bewerkingen en maakt de toewijzing van machtigingen en rechten in elk domein in het bos mogelijk. Universele groepen kunnen het volgende bevatten:
    • Gebruikersaccounts, globale groepen en andere universele groepen van elk domein in het hele forest
  • Soorten – Definieer het doel van de groep:
    • Beveiliging Wordt gebruikt om machtigingen of rechten toe te wijzen. Kan ook worden gebruikt voor e-maildistributielijsten.
    • Distributie Alleen gebruikt voor e-maildistributielijsten.

EXAMEN TIP

Universele groepslidmaatschapslijsten worden bijgehouden in de Global Catalog, terwijl andere groepslidmaatschappen dat niet zijn.

In Windows Server 2016 is er een aanbevolen strategie voor het nesten van groepen die IGDLA wordt genoemd, wat een afkorting is voor het volgende:

  • Identiteiten – Gebruikers- en computeraccounts die zakelijke functies binnen uw organisatie vertegenwoordigen.
  • Globale groepen – Bevatten identiteiten en behoren tot lokale domeingroepen. Over het algemeen worden deze genoemd naar de objecten die lid zijn. Bijvoorbeeld verkoop, marketing, Europese gebruikers.
  • Domein lokale groepen – Verleende machtigingen en rechten op objecten. Over het algemeen genoemd naar de functies die leden vervullen. Bijvoorbeeld beheerders, printoperators.
  • Toegang – De toegang die u op een bron verleent aan de lokale domeingroep.

In een groot multidomeinforest kunt u ook universele groepen gebruiken om het nesten te helpen beheren. Dit wordt IGUDLA genoemd:

  • Identiteiten – Gebruikers- en computeraccounts.
  • Globale groepen – Bevatten identiteiten en behoren tot universele groepen.
  • Universal – Consolideert meerdere globale groepen van andere domeinen tot één entiteit.
  • Lokale domeingroepen – Bevat universele groepen en verleende machtigingen en rechten op objecten.
  • Toegang – De toegang die u verleent op een bron.

U hoeft geen van deze strategieën te implementeren. In feite is er in een forest met een enkel domein weinig verschil tussen de groepen, aangezien de reikwijdte voor alle groepen dan hetzelfde is, evenals het potentiële lidmaatschap van een groep. Het wordt echter aanbevolen om in ieder geval te overwegen om IGDLA in een forest met één domein te gebruiken voor het geval u later extra domeinen toevoegt.

1.3.1.2 Converteer groepen, inclusief beveiliging, distributie, universeel, domein lokaal en domein global

Als u een groep maakt en de scope en het type definieert, en u wilt later de scope en/of het type wijzigen, dan is dit onder bepaalde omstandigheden toegestaan, zoals samengevat in de volgende lijst:

  • Globaal naar universeel – Alleen toegestaan als de groep waarvan u het bereik wilt wijzigen, geen lid is van een andere globale groep. Dit komt omdat een universele groep niet tot een globale groep kan behoren.
  • Domein lokaal naar universeel – Alleen toegestaan als de groep waarvan u het bereik wilt wijzigen, geen andere domein lokale groep bevat. Dit komt omdat een universele groep geen lokale domeingroep kan bevatten.
  • Universeel naar globaal – Alleen toegestaan als de groep waarvan u het bereik wilt wijzigen, geen andere universele groep als lid heeft. Dit komt omdat een universele groep niet tot een globale groep kan behoren.
  • Universeel naar domein lokaal – Altijd toegestaan.

Als u het type van de groep wilt wijzigen, is dit altijd toegestaan, maar met de volgende kanttekeningen:

  • Distributie aan beveiliging – Altijd toegestaan.
  • Beveiliging voor distributie – Altijd toegestaan, maar alle rechten en machtigingen die aan de groep zijn toegewezen, gaan verloren omdat distributiegroepen geen machtigingen of rechten kunnen krijgen.

1.3.1.3      Groepen maken, configureren en verwijderen

Het proces van het maken en beheren van groepen is eenvoudig. Net als bij gebruikers en computers kunt u Active Directory: gebruikers en computers, het Active Directory-beheercentrum of Windows PowerShell gebruiken om alle taken voor groepsbeheer uit te voeren.

Gebruik de volgende procedure om een groep te maken in Active Directory: gebruikers en computers:

  1. Zoek de juiste OU. Klik met de rechtermuisknop op de organisatie-eenheid, wijs Nieuw aan en klik vervolgens op Groeperen.
  2. Typ in het dialoogvenster Nieuw object – Groep, weergegeven in de volgende afbeelding; de groepsnaam. De groepsnaam (pre-Windows 2000) wordt automatisch aangevuld.
  3. Geef het groepsbereik en het type op. De standaard is wereldwijde beveiliging. Klik OK.

Nadat u de groep hebt toegevoegd, dubbelklikt u in het detailvenster in Active Directory: gebruikers en computers op de groep om de eigenschappen, inclusief leden, te configureren. Om een lid toe te voegen, klikt u op het tabblad Leden, zoals weergegeven in de volgende afbeelding, klikt u op Toevoegen, bladert en selecteert u uw gebruiker of groep en klikt u vervolgens op OK.

U kunt groepsbeheerders configureren. Hierdoor kun je de verantwoordelijkheid voor het beheer van de groep delegeren, zoals weergegeven in de volgende afbeelding.

U kunt eenvoudig een groep verwijderen uit Active Directory: gebruikers en computers. Klik met de rechtermuisknop op de groep en klik vervolgens op Verwijderen. Klik bij de bevestigingsvraag op Ja.

U kunt alle groepsbeheertaken uitvoeren met behulp van Windows PowerShell. De volgende tabel toont de cmdlets voor groepsbeheer.

OpdrachtGebruik
OpdrachtGebruik
New-ADGroupCreëert nieuwe groepen
Set-ADGroupWijzigt eigenschappen van groepen
Get-ADGroupToont eigenschappen van groepen
Remove-ADGroupVerwijdert groepen
Add-ADGroupMemberVoegt leden toe aan groepen
Get-ADGroupMemberToont leden van groepen
Remove-ADGroupMemberVerwijdert leden uit een groep
Add-ADPrincipalGroupMembershipVoegt groepslidmaatschap toe aan objecten
Get-ADPrincipalGroupMembershipGeeft groepslidmaatschap van objecten weer
Remove-ADPrincipalGroupMembershipVerwijdert groepslidmaatschap van een object

Om bijvoorbeeld een nieuwe groep met de naam IT-managers te maken in de IT OU in het Adatum.com-domein, kunt u de volgende opdracht gebruiken:

New-ADGroup -Name “IT Managers” -SamAccountName ITManagers -GroupCategory Security -GroupScope Global -DisplayName “ IT Managers” -Path “OU=IT,DC=Adatum,Dc=Com” -Description “Members of this group are RODC Administrators”

Om leden toe te voegen, kunt u de volgende opdracht gebruiken:

Add-ADGroupMember “IT Managers” “Beth”, “Ida”

Gebruik de volgende opdracht om de huidige groepsleden op te sommen:

Get-ADGroupMember “IT Managers”

1.3.1.4 Beheer groepslidmaatschap met Groepsbeleid

Hoewel u groepslidmaatschappen handmatig kunt onderhouden met behulp van Windows PowerShell of de grafische hulpprogramma’s, zoals Active Directory: gebruikers en computers, kan dit tijdrovend zijn, vooral in een grote organisatie.

In Windows Server 2016 AD DS kunt u groepsbeleidsobjecten gebruiken om groepslidmaatschap te behouden. Dit betekent dat u het groepslidmaatschap automatisch vanaf één punt kunt beheren. Dit worden beperkte groepen genoemd.

Met Beperkte groepen kunt u het lidmaatschap van een specifieke groep configureren en u kunt ook configureren dat een specifieke groep lid moet zijn van een andere groep. Of u kunt beide configureren om groepsnesting te maken. Om beperkte groepen te implementeren, opent u op uw domeincontroller de groepsbeleidsbeheerconsole.

  1. Navigeer naar de container Groepsbeleidsobjecten.
  2. Klik in het detailvenster met de rechtermuisknop op Standaarddomeinbeleid en klik vervolgens op Bewerken. U kunt natuurlijk uw eigen GPO maken en deze koppelen aan de juiste OU
  3. Vouw in het navigatievenster in de Groepsbeleidsbeheer-editor Computerconfiguratie uit, vouw Beleid uit, vouw Windows-instellingen uit, vouw Beveiligingsinstellingen uit en klik vervolgens op het knooppunt Beperkte groepen.
  4. Klik met de rechtermuisknop op Beperkte groepen en klik vervolgens op Groep toevoegen.
  5. Blader in het dialoogvenster Groep toevoegen naar de groep die u wilt beperken en klik op OK.
  6. Klik vervolgens in het dialoogvenster Groepseigenschappen, weergegeven in de volgende afbeelding, om het lidmaatschap van de groep te beperken, onder de kop Lidmaatschap configureren voor groep op Toevoegen en voeg vervolgens alle gebruikers of groepen toe die tot de groep moeten behoren. groep.

  7. Blader optioneel onder de kop Deze groep is lid van en zoek naar groepen waarvan deze groep lid moet zijn. Klik OK.

Examentip

U kunt de functie Beperkte groepen alleen implementeren in GPO’s op domeinniveau. U kunt geen lokaal groepsbeleid gebruiken op Windows-client- of Windows Server-besturingssystemen.

1.3.2 Ou’s maken en beheren

Met OU’s kunt u uw AD DS-domein eenvoudiger beheren door gebruikers, groepen en computers samen te groeperen in een container en vervolgens configuratie-instellingen op die container toe te passen met behulp van groepsbeleidsobjecten. Bovendien kunt u beveiligingsinstellingen op uw OE’s configureren, zodat een subset van beheermachtigingen wordt toegewezen aan een gebruiker of groep op die OE, en dus objecten binnen die OE; dit staat bekend als delegatie.

Voordat u begint met het maken van OE’s en deze vult met gebruikers, groepen en computers, is het de moeite waard om even na te denken over wat u ermee wilt bereiken. De meeste organisaties consolideren hun AD DS-objecten in OE’s op basis van een van de volgende strategieën:

  • Business units – Dit kan de afdeling vertegenwoordigen, zoals Sales of Research. Het kan een productlijn vertegenwoordigen, zoals Aviation of Paints.
  • Geografische locatie – Afhankelijk van de grootte van uw organisatie kan dit een kantoorlocatie, een stadslocatie of zelfs een land of continent zijn. Onthoud dat u AD DS-site-objecten kunt gebruiken om fysiek netwerkgedrag te regelen, dus het gebruik van geografische OE’s moet iets betekenen in termen van delegatie of configuratie.
  • Hybride – Een combinatie van beide strategieën. Het is waarschijnlijk dat dit alleen geschikt is voor de grootste

organisaties. Het is ook waarschijnlijk dat uw OE’s genest zullen zijn, misschien eerst per regio en dan per afdeling, of andersom, afhankelijk van de managementstructuur van uw organisatie.

Nadat u hebt overwogen hoe u OE’s het beste kunt implementeren, kunt u ze gaan maken en vervolgens objecten, zoals gebruikers en computers, erin verplaatsen. Over het algemeen wordt het meeste OU-beheer uitgevoerd met behulp van grafische hulpmiddelen, zoals Active Directory: gebruikers en computers. U kunt echter Windows PowerShell gebruiken. Tabel 1-6 geeft een overzicht van de algemene Windows PowerShell OU-beheer-cmdlets.

OpdrachtGebruik
New-ADOrganizationalUnitMaakt OU’s
Set-ADOrganizationalUnitWijzigt eigenschappen van organisatie-eenheden
Get-ADOrganizationalUnitGeeft eigenschappen van organisatie-eenheden weer
Remove-ADOrganizationalUnitVerwijdert organisatie-eenheden

Om een OE in AD DS te maken, opent u de Active Directory-console Gebruikers en computers. Navigeer naar het domeinobject en gebruik de volgende procedure:

  1. Klik met de rechtermuisknop op het domein (of OE, als u geneste OE’s maakt), wijs Nieuw aan en klik vervolgens op Organisatie-eenheid.
  2. In het dialoogvenster Nieuw object – organisatie-eenheid, weergegeven in de volgende afbeelding, in het Naam veld en Typ de naam voor uw organisatie-eenheid en klik vervolgens op OK.

Nadat u uw OU hebt gemaakt, kunt u beginnen met het maken of verplaatsen van objecten naar de OU. Zodra deze taak is voltooid, kunt u GPO’s maken en koppelen aan de OU’s om gebruikers- en computerinstellingen te configureren voor objecten binnen de OU. Groepsbeleidsobjecten worden verderop in meer detail besproken in hoofdstuk 3: Groepsbeleid maken en beheren.

1.3.3 Beheer van Active Directory delegeren met groepen en Ou’s

Nadat u uw OE’s hebt gemaakt en deze hebt gevuld met de vereiste objecten, kunt u het beheer ervan optioneel delegeren aan groepen binnen AD DS.

Opmerking Delegatie niet scheiding

Onthoud dat hoewel u de administratieve verantwoordelijkheid voor bepaalde taken kunt delegeren aan specifieke gebruikers of groepen op een aangewezen OE, u de administratie niet kunt scheiden. Leden van de groep Domeinadministrators kunnen alle beheertaken uitvoeren op zelfs gedelegeerde OE’s in het huidige domein. Leden van de Enterprise Admins-groep kunnen alle OE’s in alle domeinen in het forest beheren. De enige manier om administratieve scheiding te bereiken, is door meerdere AD DS-forests te implementeren, elk met een afzonderlijke Enterprise Admins-groep.

U kunt taken delegeren met behulp van de wizard Delegatie van besturing in Active Directory: gebruikers en computers. U kunt ook handmatig specifieke AD DS-machtigingen op objectniveau toewijzen met behulp van het tabblad Beveiliging op AD DS-objecten; dit kan echter een tijdrovend en lastig proces zijn.

Gebruik de volgende procedure om de besturing te delegeren met behulp van de wizard Delegatie van besturing:

  1. Zoek in Active Directory: gebruikers en computers uw OE, klik er met de rechtermuisknop op en klik vervolgens op Beheer delegeren.
  2. Klik in de wizard Delegatie van beheer op de welkomstpagina op Volgende.
  3. Klik op de pagina Gebruikers of groepen op Toevoegen en zoek de gebruiker of groep waaraan u de specifieke taak die u aan het configureren bent, wilt delegeren. Klik op OK en klik vervolgens op Volgende.
  4. Schakel op de pagina Te delegeren taken, weergegeven in de volgende afbeelding, in de lijst Delegeer de volgende algemene taken het selectievakje in voor de taak(en) die u wilt delegeren en klik op Volgende.

  5. AD DS-machtigingen zijn geconfigureerd. Klik op Voltooien.

Examentip

Zelfs als u van plan bent om te delegeren naar een enkele gebruiker, is het nog steeds de beste praktijk om te delegeren naar een groep waarvan de enkele gebruiker het enige lid is. Dit maakt het gemakkelijker als u later moet delegeren aan een andere gebruiker. In plaats van opnieuw te moeten beginnen, kunt u eenvoudig de oude gebruiker verwijderen en de nieuwe gebruiker aan de groep toevoegen.

Examentip

Veelvoorkomende taken zijn: gebruikersbeheer, groepsbeheer, beperkt GPO-beheer en inetOrgPerson-beheer.

U kunt de wizard Delegatie van beheer zo vaak uitvoeren als nodig is om de benodigde machtigingen toe te wijzen. Voor meer geavanceerde taken of specialistische machtigingen moet u echter aangepaste taken gebruiken. Als u bijvoorbeeld de mogelijkheid wilt delegeren om computerobjecten te maken en te verwijderen, moet u de aangepaste taakoptie gebruiken.

  1. Start de wizard Delegatie van besturing, specificeer de gebruiker of groep aan wie u uw aangepaste taak wilt delegeren en klik vervolgens op de pagina Taken om te delegeren op Een aangepaste taak maken om te delegeren en klik op Volgende.
  2. Op de pagina Active Directory-objecttype, weergegeven in de volgende afbeelding, selecteert u Deze map, Bestaande objecten in deze map en Aanmaken van nieuwe objecten in deze map. Met deze optie kan de gedelegeerde beheerder alle aspecten van de geselecteerde objecttypen beheren. Klik volgende.

  3. Selecteer op de pagina Machtigingen het maken/verwijderen van specifieke onderliggende objecten, zoals weergegeven in de volgende afbeelding, en schakel vervolgens de selectievakjes Computerobjecten maken en Computerobjecten verwijderen in. Klik volgende.

  4. Klik op Voltooien. AD DS-machtigingen zijn geconfigureerd.

Er komt een moment dat het gebruik van de Delegation Of Control Wizard zelf te tijdrovend is. Hoewel het relatief eenvoudig is, zou het meer tijd kosten om herhaaldelijk door de wizard te moeten stappen om nog een aangepaste taak toe te wijzen, en dan nog een andere, dan alleen het rechtstreeks configureren van de AD DS-machtigingen. Gebruik de volgende procedure om de AD DS-machtigingen voor een object weer te geven en te bewerken.

  1. Klik in Active Directory: gebruikers en computers op het menu Beeld en klik vervolgens op geavanceerde functies. Hierdoor wordt het tabblad Beveiliging voor alle objecten ingeschakeld.
  2. Klik met de rechtermuisknop op uw OE en klik vervolgens op Eigenschappen.
  3. In het dialoogvenster OU-eigenschappen, op het tabblad Beveiliging, weergegeven in de volgende afbeelding, kunt u de machtigingen voor de OE zien. Dit omvat alle taken die u onlangs hebt gedelegeerd.

  4. Als u de specifieke gedelegeerde machtigingen wilt bekijken, klikt u op Geavanceerd, zoals weergegeven in de volgende afbeelding. U kunt de machtigingen zien die zijn gedelegeerd.

  5. U kunt nu de knop Toevoegen gebruiken om specifieke machtigingen te configureren zonder dat u de wizard Delegatie van beheer hoeft te gebruiken, zoals weergegeven in de volgende afbeelding.

  6. Klik drie keer op OK om het proces te voltooien.