Deel dit bericht op facebook!

    Active Directory Users and Computers

Active Directory Users and Computers is een MMC snap-in die je kunt gebruiken om objecten aan te maken binnen Active Direcory.

We laten in onderstaande stappen zien hoe we het volgende aan kunnen beheren:

  1. Het aanmaken/verwijderen van een Organizational Units (OU)
  2. Het aanmaken van een User account
  3. Het aanmaken van een Security Group
  4. Delegate Control
  5. De zoekfunctie gebruiken

 

1.1      Het aanmaken/verwijderen van een Organizational Units (OU)

 

Active Directory User and Computers kunnen we gebruiken voor het aanmaken en beheren van Organizational Units (OU’s).

Membership in Account Operators , Domain Admins , or Enterprise Admins e.d. zijn minimaal nodig om een OU aan te kunnen maken binnen Active Directory. Doorgaans wordt dit gedaan met een of het administrator account van het domein.

Je kunt een OU op twee manieren toevoegen, namelijk;

  • d.m.v. Windows interface
  • d.m.v. Command Line

1.1.1    Aanmaken OU d.m.v. de Windows interface

 

 

 

Stap 1:

Open Active Directory Users and Computers (Server Manager -> Tools -> Active Directory Users and Computers)

 

01adusersandcomputers

 

 

 

 

 

 

 

 

 

 

 

Stap 2:

De MMC snap-in Active Directory Users and Computers is ingedeeld in een linker en rechterdeel. In het linker gedeelte zie je de AD structuur met bovenaan de naam van de MMC, gevolgd door Saved Querries en de domeinnaam.

Onderstaande afbeelding laat de standaard objecten zien binnen een Windows Server 2012 omgeving.

  • Built-in: standaard container voor verschillende Security Groups waaronder: administrators, Account Operators en Guests.
  • Computers: standaard container voor het beheren van computers binnen het domein.
  • Domain Controllers: standaard container voor het beheren van Domain Controllers.
  • ForeignSecurityPrincipals: standaard container voor het beheren van Security Identifiers (SIDs) van externe objecten en vertrouwde domeinen.
  • Managed Service Accounts: standaard container voor het beheren van Service Accounts.
  • Users: standaard container voor het beheren van Users en Security Groups.

Als administrator wil je de objecten van het domein gestructureerd beheren om zo overzicht te krijgen en om policies eraan te kunnen koppelen.

02adusersandcomputers

 

 

 

Stap 3:

Klik met de rechtermuisknop op het domein -> New -> Organizational Unit om een nieuwe OU toe te voegen. De OU komt nu onder het domein te staan.

03adusersandcomputers

 

 

 

 

Stap 4:

Geef de OU een naam en klik op OK.

Opmerking: Protect container from accidental deletion staat standaard aan. Dit zorgt ervoor dat de OU beveiligd is tegen verwijderen van het object. We leggen later uit hoe je deze toch kunt verwijderen.

04adusersandcomputers

 

Stap 5:

Zoals je in onderstaande afbeelding kunt zien hebben we een aantal OU’s aangemaakt.

De OU onder het domein is YourhowtoUsers met daaronder de vier OU’s: Beheerders, Directie, Verkoop en Administratie. Om een OU binnen een andere OU te maken klik je op de bovenliggende OU en maak je daarin op bovenstaande manier een nieuwe OU aan.

05adusersandcomputers

 

Stap 6:

Om een OU te verwijderen klik je met de rechtermuisknop op de betreffende OU en ga je naar Delete. Aangezien het object nog beveiligd is tegen accidental deletion kan deze nog niet verwijderd worden.

06adusersandcomputers

De volgende melding verschijnt nadat een object wordt verwijderd als Protected from accidental deletion aan staat.

07adusersandcomputers

 

Stap 7:

Om Protected from accidental deletion uit te schakelen gaan we naar View en zetten we Advanced Features aan.

09adusersandcomputers

 

Stap 8:

Binnen Active Directory Users and Computers verschijnen nu extra containers. Hieronder is een voorbeeld te zien van deze extra containers. Naast de extra containers heeft elk object nu ook meerdere tabbladen.

10adusersandcomputers

 

Stap 9:

Ga naar de betreffende OU die verwijderd moet worden en ga vervolgens naar Properties.

11adusersandcomputers

 

Stap 10:

Zoals je ziet zijn er een aantal extra tabbladen bijgekomen waaronder het tabblad Object. Onder het tabblad Object kan je informatie vinden over het betreffende object zoals de locatie of wanneer deze is aangemaakt.

Om de OU te kunnen verwijderen vink je Protect object from accidental deletion uit en vervolgens op OK.

12adusersandcomputers

 

Stap 11:

Hierna kan de OU verwijderd worden. Zet vervolgens kan Advanced Features weer uitgezet worden.

13adusersandcomputers

 

 

Aanmaken OU d.m.v. Command Line

 

Om een OU aan te maken d.m.v. Command Line openen we Windows PowerShell vanuit het startmenu. In onderstaand voorbeeld gaan we de OU Applicatiebeheer toevoegen.

Stap 1:

Open Windows Powershell en type: NEW-ADOrganizationalUnit “Applicatiebeheer” en druk op Enter. De OU wordt onder het domein aangemaakt.

01dsaddOU

Stap 2:

Om een OU onder een bestaande OU aan te maken gebruiken we het volgende commando:

Open Windows Powershell en type: NEW-ADOrganizationalUnit “Applicatiebeheer” –path “OU=Beheerders,OU=YourhowtoUsers,DC=Yourhowto,DC=local” en druk op Enter. De OU wordt onder de bestaande OU YourhowtoUsers en Beheerders aangemaakt.

02dsaddOU

 

 

 

 

 

 

 

 

2.1    Het aanmaken van een User account

 

Active Directory User and Computers kunnen we gebruiken voor het aanmaken en beheren van User accounts.

Je kunt een User op twee manieren toevoegen, namelijk;

  • d.m.v. Windows interface
  • d.m.v. Command Line

 

Het aanmaken van een User d.m.v. Windows interface

Stap 1:

Open Active Directory Users and Computers (Server Manager -> Tools -> Active Directory Users and Computers)

In het voorbeeld gaan we een user aanmaken onder de OU YourhowtoUsers\Administratie.

Ga naar deze locatie en klik met de rechtermuis op Administratie -> New -> User

01adduser

 

Stap 2:

Geef de volgende gegevens op: Firstname, Lastname en User logon name. Als voorbeeld hebben we Henk de Groot aangemaakt met als username hdegroot. Klik op Next.

02adduser

 

Stap 3:

In het volgende venster voer je twee keer een wachtwoord in. Er kunnen nog een aantal opties meegegeven worden:

  • User must change password at next logon: Gebruiker dient het wachtwoord aan te passen na de eerste keer aanmelden.
  • User cannot change password: Gebruiker kan zelf niet het wachtwoord aanpassen.
  • Password never expires: Wachtwoord verloopt niet.
  • Account is disabled: Account uitgeschakeld.

In ons voorbeeld vinken we alleen het onderdeel Password never expires aan zodat we na enkele weken of maanden niet het wachtwoord moeten resetten.

03adduser

 

Stap 4:

In het laatste venster krijg je een overzicht te zien van het object wat wordt aangemaakt.

04adduser

 

 

2.2      Aanmaken User d.m.v. Command Line

 

Om een User aan te maken d.m.v. Command Line openen we Windows PowerShell vanuit het startmenu.

Er zijn twee commando’s die belangrijk zijn voor het aanmaken van users in PowerShell:

  • Get-Help New-ADUser –ShowWindow

 

Bij bovenstaand commando verschijnt er een venster waarbij gezocht kan worden naar verschillende commands die gebruikt kunnen worden bij het aanmaken van een useraccount.

  • Show-Command New-ADUser

 

Bij bovenstaand commando verschijnt er een venster waar we een user op een eenvoudige manier kunnen aanmaken.

In onderstaand voorbeeld gaan we de gebruiker Hendrik Jansen toevoegen.

Stap 1:

Open Windows Powershell en type: Show-Command New-ADUser

Het volgende venster verschijnt:

01aduser

Stap 2:

Als voorbeeld geven we deze gebruiker het volgende mee: Name, ChangePasswordAtLogon, City en Company. Uiteraard kan je deze uitbreiden door de andere velden ook in te vullen. Klik op Run om de user aan te maken.

02aduser

Stap 3:

Indien je alleen gebruik wilt maken van commando’s kan je het volgende in PowerShell opgeven:

New-ADUser –Name hjansen –ChangePasswordAtLogon $false –City Assen –Company Yourhowto

03aduser

3.      Het aanmaken van een Security Group

Active Directory gebruikt groepen om user accounts, computer account en andere groepen aan elkaar te koppelen.

We kennen twee type groepen binnen Active Directory:

  • Distribution groups: wordt gebruikt voor het maken van een e-mail distributielijst
  • Security groups: wordt gebruikt voor het toekennen van permissies op gedeelde resources.

Distribution groups

Distribution groups kunnen alleen toegepast worden indien er een e-mail server (b.v. Exchange) aanwezig is binnen het domein om zo e-mail te versturen naar meerdere users tegelijk.

Security groups

Een Security Group kan toegepast worden op het beveiligingen van resources binnen het netwerk. Een Security Group kan toegepast worden op bijvoorbeeld:

Een useraccount wat aangeeft wat een user wel en niet mag binnen een groep op het netwerk. Als Active Directory is geïnstalleerd worden er al een aantal groepen standaard ingesteld. Elke user die aangemaakt wordt is bijvoorbeeld lid van de groep Domain Users. Ook is er een groep voor administrators die meteen de juiste rechten krijgen binnen het domein.

Elke Security Group is gekoppeld aan een Group scope. De scope van de groep geeft aan op welk niveau de Security Group van toepassing is. Er zijn drie verschillende Group Scopes namelijk;

  • Universal Security Groups: Accounts van het domein in hetzelfde forest
  • Global Security Groups: Accounts van het domein
  • Domain Local Security Groups: Accounts van elk domein of elk vertrouwd domein.

Onderstaand tabel geeft meer informatie over de Group Scopes.

 

 

Scope Mogelijke leden Bereik conversie Kunnen machtigingen Mogelijke lid zijn van
Universele

 

Accounts van elk domein in hetzelfde forest Globale groepen uit elk domein in hetzelfde forest Andere universele groepen uit elk domein in hetzelfde forest Kan worden geconverteerd naar domein bereik Globale bereik kan worden geconverteerd als de groep bevat geen andere universele groepen In elk domein in de dezelfde of vertrouwende forests Andere universele groepen in hetzelfde forest Lokale groepen in de dezelfde of vertrouwende forests Lokale groepen op computers in de dezelfde of vertrouwende forests
Globale Accounts van hetzelfde domein Andere globale groepen uit hetzelfde domein Kan worden geconverteerd naar een universeel bereik als de groep geen lid van een andere globale groep is In elk domein in de dezelfde, of vertrouwende domeinen of forests Universele groepen uit elk domein in hetzelfde forest Andere globale groepen uit hetzelfde domein Lokale groepen van elk domein in hetzelfde forest of van eventuele vertrouwende domein
Lokale domein Accounts van een domein of een vertrouwd domein Globale groepen van een domein of een vertrouwd domein Universele groepen uit elk domein in hetzelfde forest Andere domein lokale groepen van hetzelfde domein Accounts, globale groepen en universele groepen uit andere forests en externe domeinen Kan worden geconverteerd naar een universeel bereik als de groep bevat geen andere domein lokale groepen Binnen hetzelfde domein Andere domein lokale groepen van hetzelfde domein Lokale groepen op computers in hetzelfde domein bevinden, met uitzondering van de ingebouwde groepen met bekende SID ‘s

 

Bron: https://technet.microsoft.com/nl-nl/library/dn579255(v=ws.11).aspx

 

Voorbeeld:

Stap 1:

In onderstaand voorbeeld gaan we een Global Security Group aanmaken voor de afdeling Administratie. Ga onder de OU Administratie naar New -> Group.

01addgroup

 

 

Stap 2:

Geef de naam van de groep op en selecteer de betreffende Group scope en type. In het voorbeeld gaan we uit van een Global Security Group. Klik op OK om af te ronden.

02addgroup

 

4. Delegate of Control

 

Met Delegate of Control worden er specifieke permissies voor users en groepen aangegeven op een betreffende Organizational Unit (OU). Deze optie wordt o.a. gebruikt als een gebruiker informatie moet wijzigen van een useraccount in Active Directory. Denk hierbij aan het aanmaken van useraccounts, het resetten van wachtwoorden, inzage hebben in useraccounts, het aanmaken/wijzigen van security groepen en dat binnen een aangegeven OU.

Delegate of Control kan erg handig zijn als een persoon of afdeling binnen een organisatie specifieke permissies moet hebben om gegevens van gebruikers te kunnen aanpassen zonder dat men meteen administrator rechten krijgt.

In onderstaand voorbeeld laten we zien hoe de afdeling Administratie permissies krijgt om wachten te kunnen resetten.

 

 

 

Stap 1:

Open Active Directory Users and Computers (Server Manager -> Tools -> Active Directory Users and Computers) en klik op de betreffende OU, in ons geval is dat de OU YourhowtoUsers. Ga vervolgens naar Action -> Delegate Control. Andere optie is: Rechtermuis op de OU -> Delegate Control.

01delegatecontrol

 

Stap 2:

Het welkom venster mag doorgelezen worden en klik op Next,

02delegatecontrol

 

Stap 3:

Klik op Add en selecteer de user of groep waarvoor je de Delegate of Control voor in wilt stellen. Om de afdeling administratie permissies te geven voegen wij de Security Group Administratie toe en klikken op Next.

03delegatecontrol

 

Stap 4:

Vervolgens moet er een taak of taken gekozen worden voor Delegate. Je kunt hierbij kiezen uit:

Delegate the follow common tasks: Selecteer één of meerdere taken of;

Create a custom task to delegate: Geef specifieke toegang tot bepaalde objecten binnen een folder. Bijvoorbeeld: Users die alleen bij computer objecten kunnen komen en deze alleen kunnen lezen om zo de computers te kunnen bekijken binnen het netwerk.

In het voorbeeld kiezen we voor de eerste optie en selecteren: Reset user passwords and force password change at next logon.

04delegatecontrol

 

Stap 5:

Als laatst nog even een samenvatting van de instellingen en we klikken op Finish.

05delegatecontrol
View Delegate of Control permissions

Stap 6:

Om te controleren wat er ingesteld is, ga je in Active Directory Users and Computers, naar View en zet je Advanced Features aan.

VirtualBox_Windows Server 2012 R2 - Yourhowto_20_05_2016_14_19_52

 

 

Stap 7:

Open de Properties van de betreffende OU waar de Delegate of Control is ingesteld. Ga naar het tabblad Security -> Advanced.

VirtualBox_Windows Server 2012 R2 - Yourhowto_20_05_2016_14_20_32

 

 

Stap 8:

Hier kan je zien welke specifieke permissies er is zijn gesteld met Delegate of Control. In het voorbeeld is te zien dat de Security Group Administratie permissies heeft om wachtwoorden te resetten. Door op de betreffende regel te klikken kan deze ook aangepast worden. Ook kunnen er hier nieuwe regels toegevoegd worden d.m.v. de knop Add.

VirtualBox_Windows Server 2012 R2 - Yourhowto_20_05_2016_14_21_03