консоль администрирования active directory windows 10
Установка оснастки Active Directory в Windows 10
Одной из наиболее часто используемых консолей управления объектами в домене Active Directory – MMC оснастка Active Directory Users and Computers (или ADUC). Чтобы пользоваться этой оснастку с клиентского компьютера с Windows 10, необходимо установить компонент Microsoft Remote Server Administration Tools (RSAT). RSAT представляет собой набор различных инструментов и утилит для управления серверами Windows Servers, доменом Active Directory и другими ролями и функциями Windows.
Скачать RSAT для Windows 10
По умолчанию комплект RSAT в Windows 10 не установлен. Скачать последнюю версию Remote Server Administration Tools для Windows 10 (версия 1.2 от 6.27.2016) можно по ссылке: https://www.microsoft.com/en-us/download/details.aspx?id=45520
Выберите язык своей Windows 10 и нажмите кнопку Download button. В зависимости от разрядности вашей системы, вам нужно скачать один из файлов:
Установка RSAT в Windows 10
Установите скачанный файл, дважды щелкнув по нему 
Или установите msu файл RSAT из командной строки в «тихом» режиме:
wusa.exe c:\Install\WindowsTH-RSAT_TP5_Update-x64.msu /quiet /norestart
После окончания установки RSAT нужно перезагрузить компьютер.
Осталось активировать необходимый функционал RSAT. Для этого:
Установка оснастки ADUC также может быть выполнена из командой строки. Последовательно выполните 3 команды:
dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns
После установки оснасток управления, в разделе Administrative Tools панели управления появится ссылка на консоль Active Directory Users and Computers.
Теперь можно запустить оснастку ADUC и подключится к любому контроллеру домена. Если данный компьютер состоит в домене Active Directory, консоль подключится к контролеру домена, на основании текущего Logon сервера.
Подключение консоли ADUC к домену из рабочей группы
Если вы хотите подключится консолью ADUC к контроллеру домена с машины, которая не включена в домен (состоит в рабочей группе, или стоит домашняя версия Windows), воспользуйтесь таким методом:
В результате консоль ADUC подключится к контроллеру домена, получит и отобразит структуру контейнеров (OU) данного домена Active Directory.
Средства удаленного администрирования Active Directory в Windows 10
В помощь системным администраторам, компания Microsoft разработала средства удаленного администрирования серверов — Microsoft Remote Server Administration Tools (RSAT).
RSAT содержит ряд инструментов, среди которых самым частым в использовании является — Active Directory Users and Computers (ADUC). В этой статье описана установка RSAT и добавление инструмента по управлению пользователями и рабочими станциями Active Directory в консоль управления Microsoft (MMC) на рабочую станцию c ОС Windows 10.
Следует учесть, что RSAT вы можете поставить только в полную версию Windows 10 Professional или Windows 10 Enterprise. И на системы, на которых не стоит Microsoft Remote Server Administration Tools, например, RSAT предыдущей версии.
Установка Microsoft Remote Server Administration Tools
В центре загрузок Microsoft по ссылки — https://www.microsoft.com/en-us/download/details.aspx?id=45520 скачиваем «средства удаленного администрирования сервера для Windows 10». После того, как нажмете «Скачать», необходимо будет выбрать пакет RSAT под нужную версию Windows 10 и её разрядность.
После скачивания и установки, в консоли MMC уже становиться доступна ADUC и её функционал. Но сама консоль управления Active Directory будет отсутствовать в разделе средств администрирования Windows. Чтобы добавить компоненты RSAT, необходимо:
Добавление в консоль MMC оснастки Active Directory Users and Computers
Желательно, после всех операций, произвести сохранение файла консоли управления MMC на рабочий стол.
Подключение оснастки ADUC к AD через компьютер не присоединенный к домену
Основная задача подключиться к ADUC, либо к консоли MMC от имени другого пользователя.
В windows 10 c этим могут возникнуть трудности. Чтобы их решить, советую прочитать про способы запуска программ от имени другого пользователя в windows 10.
Для таких операций, соответственно необходимо добавить права в «локальные пользователи и группы» пользователю, через которого хотите открыть консоль MMC, так как компьютер находится не в домене и скептически относится к незнакомцам.
Установка средств администрирования RSAT в Windows 10 и 11
Установка RSAT из графического интерфейса Windows 10 через Features on Demand (FoD)
До версии Windows 10 1809 пакет удаленного администрирования серверов RSAT (Remote Server Administration Tools) устанавливался в виде MSU обновления, которое нужно было вручную скачивать с серверов Microsoft и устанавливать на компьютерах. При каждом обновлении билда Windows 10 нужно было устанавливать новую версию RSAT. Сейчас на странице загрузки RSAT сайте Microsoft висит следующая надпись:
Дело в том, что в современных билдах Windows 10 пакет Remote Server Administration Tools не нужно скачивать вручную. Средства его установки уже встроены в образ Windows 10 и доступны через опцию Функции по требованию / Features on Demand.
Выберите нужные компоненты RSAT и нажмите Install.
Для Windows 10 доступны следующие инструменты администрирования RSAT:
После установки, графические mmc оснастки RSAT доступны в панели управления в секции Administrative Tools (Control Panel\System and Security\Administrative Tools).
Установка RSAT в Windows 10 с помощью PowerShell
Вы можете установить компоненты администрирования RSAT с помощью PowerShell. В этом примере мы покажем, как управлять компонентами RSAT в Windows 10 20H2.
С помощью следующей PowerShell команды можно вывести список компонентов RSAT, установленных на вашем компьютере:
Можно представить статус установленных компонентов RSAT в более удобной таблице:
В нашем примере инструменты управления DHCP и DNS установлены ( Installed ), а все остальные модуль RSAT отсутствуют ( NotPresent ).
Для установки RSAT в Windows используется PowerShell командлет Add-WindowsCapability.
Чтобы установить конкретный инструмент RSAT, например инструменты управления AD (в том числе консоль ADUC из модуль Active Directory для Windows Powershell), выполните команду:
Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools
Для установки консоли управления DNS и модуля PowerShell DNSServer, выполните:
Add-WindowsCapability –online –Name Rsat.Dns.Tools
Чтобы установить сразу все доступные инструменты RSAT, выполните:
DISM.exe /Online /add-capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools
Чтобы установить только отсутствующие компоненты RSAT, выполните:
Теперь убедитесь, что инструменты RSAT установлены (статус Installed);
После этого установленные инструменты RSAT отобразятся в панели Manage Optional Features.
Установка RSAT в Windows 11
Наберите RSAT в поисковой строке и выберите компоненты для установки.
Также вы можете использовать PowerShell для установки RSAT в Windows 11:
Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools
Как установить Remote Server Administration Tools в Windows Server 2022,2019,2016?
Для установки RSAT в Windows Server используется командлет установки компонентов и ролей — Install-WindowsFeature. Вывести список доступных компонентов RSAT в Windows Server 2022, 2019 и 2016:
Для установки выбранного компонента RSAT, укажите его имя. Например, установим консоль диагностики лицензирования RDS:
Установленные графические консоли RSAT доступны из Server Manager или через панель управления.
Ошибка 0x800f0954 при установке RSAT в Windows 10
Если ваш компьютер Windows 10 с помощью групповой политики настроен на получение обновлений с локального сервера обновлений WSUS или SCCM SUP, то при установке RSAT через Add-WindowsCapability или DISM вы получите ошибку 0x800f0954.
Для корректной установки компонентов RSAT в Windows 10 вы можете временно отключить обновление со WSUS сервера в реестре (HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU параметр UseWUServer= 0) и перезапустить службу обновления. Воспользуйтесь таким скриптом PowerShell:
Либо вы можете настроить новый параметр GPO, который позволяет настраивать параметры установки дополнительных компонентов Windows и Feature On Demand (в том числе RSAT).
Теперь установка RSAT через PowerShell или Dism должна выполняться без ошибок.
Установка RSAT в Windows 10 в офлайн режиме
Если при установке RSAT вы столкнетесь с ошибкой Add-WindowsCapability failed. Error code = 0x800f0954, или в списке дополнительных компонентов вы не видите RSAT (Компоненты для установки отсутствуют), скорее всего ваш компьютер настроен на получение обновлений со внутреннего WSUS/SCCM SUP сервера. Если вы не можете открыть прямой доступ с рабочей станции к серверам Windows Update, вы можете воспользоваться офлайн установкой RSAT (рекомендуется для корпоративных сетей без прямого доступа в Интернет).
Для офлайн установки RSAT нужно скачать ISO образ диска с компонентами FoD для вашей версии Windows 10 из вашего личного кабинета на сайте лицензирования Microsoft — Volume Licensing Service Center (VLSC). Образ называется примерно так: Windows 10 Features on Demand, version 1903.
Например, для Windows 10 1903 x64 нужно скачать образ SW_DVD9_NTRL_Win_10_1903_64Bit_MultiLang_FOD_.ISO (около 5 Гб). Распакуйте образ в сетевую папку. У вас получится набор из множества *.cab файлов, среди которых есть компоненты RSAT.
Теперь для установки компонентов RSAT на десктопе Windows 10 нужно указывать путь к данному сетевому каталогу с FoD. Например:
Также вы можете указать путь к каталогу с компонентами FoD с помощью рассмотренной выше групповой политики. Для этого в параметре Alternative source file path нужно указать UNC путь к каталогу.
Или можете задать этот параметр через реестр отдельной политикой, указав путь к каталогу в параметр LocalSourcePath (тип REG_Expand_SZ) в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Servicing.
После этого, пользователи смогут самостоятельно устанавливать компоненты RSAT через графический интерфейс добавления компонент Windows 10.
Частые ошибки установки Remote Server Administration Tools в Windows
Средства удаленного администрирования Active Directory в Windows 10
Windows 10 — это гораздо больше, чем простая ОС, созданная для домашних компьютеров. Несмотря на то, что он может работать исключительно хорошо в этой роли, его выпуски Enterprise и Professional являются полноценными наборами управления предприятием.
Чтобы задействовать всю мощь Window 10 и начать удаленное управление другими компьютерами в сети, вам потребуется использовать функцию «Active Directory — пользователи и компьютеры» (ADUC). Давайте покопаемся и посмотрим, как это включить.
Версии Windows 10
Чтобы включить Active Directory-пользователи и компьютеры на ПК с Windows 10, сначала необходимо установить RSAT — средства удаленного администрирования сервера. Если вы используете более старую версию Windows 10, то есть 1803 или ниже, вам нужно будет загрузить файлы RSAT из центра загрузки Microsoft.
С другой стороны, во всех версиях Windows 10, начиная с выпуска 10 октября 2020 года, RSAT включен как «Функция по требованию». Вам не нужно загружать инструменты, а только устанавливать и включать их. Обратите внимание, что только выпуски Enterprise и Professional поддерживают RSAT и Active Directory.
Как включить службы Active Directory в Windows 10?
Остается активировать необходимую функцию RSAT.
Однако вы можете установить функцию AD из командной строки только с помощью этих трех команд:
Установите RSAT для версий 1809 и выше
Выполните следующие действия, чтобы включить RSAT в Windows 10.
Подключение оснастки ADUC к AD через компьютер не присоединенный к домену
Основная задача подключиться к ADUC, либо к консоли MMC от имени другого пользователя.
В windows 10 c этим могут возникнуть трудности. Чтобы их решить, советую прочитать про способы запуска программ от имени другого пользователя в windows 10.
Для таких операций, соответственно необходимо добавить права в «локальные пользователи и группы» пользователю, через которого хотите открыть консоль MMC, так как компьютер находится не в домене и скептически относится к незнакомцам.
Установите RSAT для версий 1803 и ниже
Установка RSAT и включение Active Directory в более старой версии Windows 10 занимает немного больше времени. Имейте в виду, что ограничение для редакций Enterprise и Professional по-прежнему действует. Давайте посмотрим, как включить Active Directory в версиях 1803 и ниже.
Параметр «Администрирование» теперь должен появиться в меню «Пуск». Вы должны найти там все инструменты Active Directory, и вы можете использовать и изменять их через это меню.
Устанавливаем роль
RSAT или локальный сервер с GUI:
Сначала нужно добавить сервер в RSAT. Добавляется он на главной странице с помощью доменного имени или ip адреса. Убедитесь, что вы вводите логин в формате local\Administrator, иначе сервер не примет пароль.
Переходим в добавление компонентов и выбираем AD DS.
Если вы не знаете, как называется компонент системы, можно выполнить команду и получить список доступных компонентов, их зависимостей и их имена. Get-WindowsFeature
Переходим в «Роли и компоненты» и выбираем ADDS (Active Directory Domain Services).
И это буквально всё. Управлять Active Directory через Windows Admin Center на текущий момент невозможно. Его упоминание не более чем напоминание о том, насколько он пока что бесполезен.
Поиск проблемы
В большинстве случаев установка RSAT проходит без проблем. Однако есть две проблемы, с которыми вы можете столкнуться.
Первый — невозможность установить RSAT. Если это произойдет, убедитесь, что брандмауэр Windows включен. RSAT использует стандартный бэкэнд Windows Update и требует, чтобы брандмауэр был запущен и работал. Если он выключен, включите его и попробуйте снова установить RSAT.
Вторая проблема может возникнуть после установки. Некоторые пользователи пропускают вкладки или испытывают другие проблемы. Единственное решение проблем после установки — удалить и установить RSAT заново.
Если у вас есть проблемы с ADUC, вы должны проверить, правильно ли подключен его ярлык. Это должно привести к% SystemRoot% \ system32 \ dsa.msc. Если это не так, переустановите программу.
How to Install Active Directory Users and Computers in Windows 10?
By default, RSAT is not installed in Windows 10 (and other Windows desktop operating systems). Remote Server Administration Tools (RSAT) allows IT administrators to remotely manage roles and components on Windows Server 2020, 2020, 2012 R2, 2012, 2008 R2 from user’s workstations running Windows 10, 8.1, 8 and Windows 7. The RSAT resembles Windows Server 2003 Administration Tools Pack (adminpak.msi) that was installed on clients running Windows 2003 or Windows XP and was used for remote server management. RSAT can’t be installed on computers with the Home editions of Windows. To install RSAT, you must have Professional or Enterprise edition of Windows 10.
Depending on the Windows 10 build, the ADUC console is installed differently.
Installing ADUC in Windows 10 Version 1803 and Below
Tip. As you can see, the RSAT package is available for the latest version of Windows 10 1803. WindowsTH-RSAT_WS_1709 and WindowsTH-RSAT_WS_1803 are used to manage Windows Server 2020 1709 and 1803 respectively. If you are using a previous version of Windows Server 2020 or Windows Server 2012 R2 / 2012/2008 R2, you need to use the WindowsTH-RSAT_WS2016 package.
Для чего вы можете использовать Active Directory — пользователи и компьютеры?
Надстройка «Active Directory — пользователи и компьютеры» может покрыть большинство задач и обязанностей администратора AD. У него есть свои ограничения — например, он не может управлять объектами групповой политики.
Но вы можете использовать его для сброса паролей, редактирования членства в группах, разблокировки пользователей и многого другого. Вот некоторые основные инструменты в вашем распоряжении, когда вы включаете ADUC на вашем компьютере.
Повышаем сервер до контроллера домена
А для этого создаем новый лес.
RSAT или локальный серверс GUI:
Очень рекомендуем оставлять все по умолчанию, все компоненты из коробки прекрасно работают и их не нужно трогать без особой на то необходимости.
Сначала нужно создать лес и установить пароль от него. В Powershell для паролей есть отдельный тип переменной – SecureString, он используется для безопасного хранения пароля в оперативной памяти и безопасной его передачи по сети.
Установка контроллера с помощью RSAT занимает больше времени, чем через Powershell.
Автоматическая очистка DNS сервера Active Directory
В Active Directory не редко происходит замена одного компьютера другим, которые при этом используют один и тот же IP адрес, но имена у них разные. Как результат — на одном и том же адресе может зависнуть несколько имен. Или другой пример — определенный компьютер уже давно не активен, но все еще висит среди DNS записей. Добиться автоматизации подобного процесса можно настроив автоматическое удаление устаревших […]
Способы создания компьютера в AD.
Всем известно, после установки операционной системы, компьютер изначально включен в рабочую группу (по умолчанию в WORKGROUP). В рабочей группе каждый компьютер это независимая автономная система в которой существует база данных диспетчера безопасности учетных записей SAM (Security Accounts Manager). При входе человека на компьютер выполняется проверка наличия учетной записи в SAM и в соответствии с этими записями даются определенные права. Компьютер который введен в домен продолжает поддерживать свою базу данных SAM, но если пользователь заходит под доменной учетной записью то о проходит проверку на уже на контроллер домена, т.е. компьютер доверяет контроллеру домена идентификацию пользователя.
Ввести компьютер в домен можно различными способами, но перед тем как это делать вы должны убедиться, что данный компьютер соответствует следующим требованиям:
— у вас есть право на присоединение компьютера к домену (по умолчанию это право имеют Администраторы предприятия (Enterperise Admins), Администраторы домена ( Domain Admins), Администраторы (Administrators), Операторы Учета (Account Admins));
— объект компьютера создан в домене;
— вы должны войти в присоединяемый компьютер как локальный администратор.
У многих администраторов второй пункт может вызвать негодование, — зачем создавать компьютер в AD, если он появиться в контейнере Computers после ввода компьютера в домен. Все дело в том, что в контейнере Computers нельзя создать подразделения, но еще хуже, что к контейнеру нельзя привязать объекты групповой политики. Именно поэтому рекомендуется создать объект компьютер в необходимом подразделении, а не довольствоваться автоматически созданной учетной записью компьютера. Конечно можно переместить автоматически созданный компьютер в необходимое подразделение, но зачастую подобные вещи администраторы забывают делать.
Теперь разберем способы создания компьютера (компьютеров) в AD:
Создание компьютеров при помощи оснастки «Active Directory – пользователи и компьютеры».
Для этого способа нам понадобится запустить оснастку «Active Directory – пользователи и компьютеры», у себя на компьютере с помощью Admin Pack или на контроллере домена. Для этого необходимо нажать «Пуск- Панель управления- Система и безопасность- Администрирование- Active Directory – пользователи и компьютеры» выберите необходимое подразделение, нажмите на нем правой кнопкой мыши, в контекстном меню выберите «Создать- Компьютер«.
Впишите имя компьютера.
Создание учетной записи компьютера с помощью команды DSADD.
-uc Задает форматирование ввода из канала или вывода в канал в Юникоде. -uco Задает форматирование вывода в канал или файл в Юникоде. -uci Задает форматирование ввода из канала или файла в Юникоде.
Пример использования команды Dsadd:
Dsadd computer “CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com” –desc “Компьютер отдела IT”
Создание учетной записи рабочей станции или сервера с помощью команды Netdom.
Общий вид команды Netdom:
NETDOM ADD [/Domain:домен] [/UserD:пользователь] [/PasswordD:[пароль | *]] [/Server:сервер] [/OU:путь к подразделению] [/DC] [/SecurePasswordPrompt] это имя добавляемого компьютера /Domain указывает домен, в котором требуется создать учетную запись компьютера /UserD учетная запись пользователя, используемая при подключении к домену, заданному аргументом /Domain /PasswordD пароль учетной записи пользователя, заданной аргументом /UserD. Знак * означает приглашение на ввод пароля /Server имя контроллера домена, используемого для добавления. Этот параметр нельзя использовать одновременно с параметром /OU. /OU подразделение, в котором необходимо создать учетную запись компьютера. Требуется полное различающееся доменное имя RFC 1779 для подразделения. При использовании этого аргумента необходимо работать непосредственно на контроллере указанного домена. Если этот аргумент не задан, учетная запись будет создана в подразделении по умолчанию для объектов компьютеров этого домена. /DC указывает, что требуется создать учетную запись компьютера контроллера домена. Этот параметр нельзя использовать одновременно с параметром /OU. /SecurePasswordPrompt Использовать для указания учетных данных безопасное всплывающее окно. Этот параметр следует использовать при необходимости указания учетных данных смарт-карты. Этот параметр действует только в случае задания пароля в виде *.
Создание объекта Компьютер с помощью Ldifde (ссылка на подробную информацию) и Csvde (ссылка на подробную информацию).
Администрирование учетной записи компьютеров в Active Directory.
Переименование компьютера в AD.
Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:
Netdom renamecomputer /Newname:
Пример: Netdom renamecomputer COMP01 /Newname: COMP02
Удаление учетных записей компьютера.
1 Удалить учетную запись компьютера с помощью оснастки «Active Directory – пользователи и компьютеры«. Запускаете оснастку «Active Directory – пользователи и компьютеры» находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете «Удалить«, подтверждаете удаление
2 Удалить компьютер можно с помощью команды DSRM:
DSRM
Устранение ошибки «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом».
Иногда при попыдке войти в компьютер пользователь получает сообщение «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом«. Это ошибка возникает при отказе в работе безопасного канала между машиной и контроллером домена. Что бы это устранить необходимо сбросить безопасный канал. Можно воспользоваться одним из методов:
1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать «Переустановить учетную запись» (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.
2 С помощью команды Netdom:
Netdom reset /domain /User0 /Password0 без кавычек <>
Пример: Netdom reset COMP01 /domain pk-help.com /User0 Ivanov /Password ***** Перезагрузка компьютера не нужна.
3 С помощью команды Nltest:
Nltest /server: /sc_reset: \
Пример:Nltest /server:Comp01 /sc_reset:pk-help.com\ad1 Перезагрузка компьютера не нужна.
Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:
Проверка сети
Самое простое, что могло случиться, это обычный обрыв связи компьютера или ноутбука с используемым принтером. Первым делом стоит проверить наличие питания в обоих устройств. Если с ПК понятно в этом вопросе, то для печатающего устройства должны гореть лампочки готовности. В большинстве случаев это индикатор зеленого цвета на корпусе. Обратите внимание на экран, если аппарат им оборудован, чтобы на нем не было ошибок.
Дальше стоит перейти непосредственно к проверке самой сети. Если подключение произведено в сетевую розетку через патч-корд, то попробуйте заменить последний, а также воспользоваться другой точкой входа в сеть. При использовании Wi-Hi соединения, возможны обрывы связи. Попробуйте подключиться к сети со своего смартфона и что-то скачать на телефон. Обратите внимание на скорость, она должна быть высокой, а скачивание проходить без обрывов.
Еще можно попробовать перезагрузить всю сеть выключением модема или роутера на несколько минут и перезагрузкой самого ПК и печатающего устройства.
Вспомните, не меняли ли Вы в последнее время сетевые имена компьютера или самого принтера. Если это было, то исправьте название на всех клиентах. Возможно меняли название рабочей сети или запретили сетевое обнаружение. Сейчас нужно сверить: имя ПК (назовем его главным), к которому подключен принтер, с именем на клиентах (те ПК, с которых используется устройство печати), рабочей группы и перепроверить сетевые настройки.
В открывшемся окне для текущего профиля включите сетевое обнаружение и общий доступ к принтерам.
Смена сетевого имени самого принтера тоже может привести к ошибке. В такой случае необходимо заново к нему подключиться.
Обновление офисного пакета и операционной системы
Обновления программ для печати, таких как «Ворд» и «Ексель» не будет лишним в нашей ситуации. А установка последних обновлений для ОС должна стать привычным делом пользователя. Но ее можно настроить и на автоматическую работу. Как показывает практика, отсутствие критических пакетов обновлений часто бывает причиной недоступности службы «Актив Директори».