Доверительные отношения доменов - права администратора в другом домене

Итак, затронем тему доверительных отношений доменов Active Directory и покопаемся в теме - как для администратора одного домена дать права доменного админа другого домена.

Имеем:

Домен 1 (Domain1).

Домен 2 (Domain2).

Настроенные транзитивные доверительные отношения между этими двумя доменами.

Наша задача - будучи администраторами в одном домене (Domain1) получить права доменных администраторов во втором домене (Domain2). Таким образом, работая на компьютере, находящимся в домене Domain1, под учеткой домена Domain1, Вы сможете рулить серверами и компьютерами домена Domain2, заходить на их административную шару, получать безоговорочный доступ по RDP как администратор и автоматически иметь права локального администратора машинок из домена Domain2. Причем не имея учетки в Domain2.

Таким образом, если Вы являетесь администратором некоего холдинга с несколькими доменами (в начальном случае - двух доменов) Вы сможете ходить на компьютеры других доменов и рулить ими так же, как и компьютерами собственного домена.


Начнем.

1) Создадим в Domain1 группу безопасности, в которую включим все учетные записи, которые следует считать доменными администраторами в Domain2. Назовем ее "Администраторы из Domain1".

Как частный случай: если мы хотим, чтобы все доменные администраторы Domain1 имели права доменных администраторов в Domain2: создаем группу "Администраторы из Domain1" и включаем в нее группу "Domain admins" (или "Администраторы домена", если домен создан на русском языке).

2) Даем группе "Domain1\Администраторы из Domain1" права в Domain2.

Для этого открываем оснастку "Active Directory Пользователи и компьютеры" на контроллере домена Domain2, переходим в раздел "Builtin" и находим группу "Administrator" (Администраторы). Открываем ее и добавляем в нее группу "Domain1\Администраторы из Domain1". Таким образом мы говорим контроллерами домена Domain2 о том, что наши перцы из Domain1 являются администраторами.

ЗЫ. Добавить группу "Domain1\Администраторы из Domain1" сразу в группу "Domain2\Domain admins" (Domain2\Администраторы домена) НЕЛЬЗЯ! Потому и танцуем с бубном.

3) В домене Domain2 создаем группу безопасности (локальную, не глобальную), в которую включим группу "Domain1\Администраторы из Domain1". Назовем ее "Администраторы Domain2".

В будущем, кстати, если нужно давать права на управление сразу из нескольких доменов, то достаточно будет изменить только эту группу - и автоматически все случится.

Помимо группы "Domain1\Администраторы из Domain1" в данную созданную группу можно так-же внести и свою собственную "Domain2\Domain admins" (или "Domain2\Администраторы домена" в русской версии).

4) Создаем групповую политику

Дело в том, что мало прописать группу "Domain1\Администраторы из Domain1" в "Builtin\Администраторы" - это даст только права на самих контроллерах домена. Нужно еще объяснить обычным компам и серверам, что мы хотим их админить.

Чтобы замутить такое - нужно открыть редактор групповых политик домена Domain2 и создать новую политику. Расположим ее в домене Domain2 и в качестве фильтра оставим по-умолчанию "Прошедшие проверку" - тогда политика будет распространяться на все компьютеры и сервера в домене Domain2.

4а) Открываем редактор групповых политик Domain2 (как именно он открывается зависит от версии Windows Server - для 2008 - это Пуск->Администрирование->Управление групповой политикой; для 2003 - это отдельное, скачиваемое с Microsoft приложение с названием вроде "Group Policy Editor" или типа того, уже не помню).
4б) Создаем новую политику и размещаем в контейнере Domain2.
4в) Открываем ее на редактирование и идем в:
Конфигурация компьютера -> Настройка -> Параметры панели управления -> Локальные пользователи и группы
4г) Создаем новый элемент, в котором указываем:
Действие: Обновить
Имя группы: Администраторы (втроенная учетная запись)
Жмете на "Добавить" и добавляем группу "Domain2\Администраторы Domain2".

Закрываем все через ОК - и все, с групповой политикой мы закончили.


5) Теперь придется подождать - пока все компьютеры и серверы обновят групповую политику. После этого в их локальной политике безопасности появится запись о том, что группу "Domain2\Администраторы Domain2" нужно считать локальными администраторами, а в данной группе находятся пользователи из группы "Domain1\Администраторы из Domain1", и, соответственно, администраторы Domain1 получают административный доступ как к машинкам из домена Domain2, так и к управлению учетными записями Domain2.


ЗЫ. Но вот групповыми политиками у себя по данной схеме оно рулить не дает. Вероятно, но еще в какую-то Builtin группу включать по примеру п.2. Я пока не выяснял - мне оно не горит. Выясню - допишу.

Синхронизация времени в Windows Server 2008 с внешним NTP (домен Active Directory)

Актуально для: Windows Server 2008, 2008R2; домен Active Directory

Задача: настроить сихнронизацию времени в домене на базе серверов Windows Server 2008 со внешним источником.

Сначала нужно понять один момент - все сервера (даже другие контроллеры домена) и копьютеры в домене Active Directory пляшут свое время от контроллера, который несет на себе роль PDC. Соответственно, клиента NTP нужно настраивать на стороне контроллера домена, несущего роль PDC.

Решение

1) Если не знаете - кто именно несет на себе роль PDC, то тогда залазим на любой контроллер домена и выполняем в коммандной строке:

C:\> netdom /query fsmo

В ответ Вы получите список соответствия: роль и кто ее несет.

2) Логинимся на контроллер домена, несущий роль PDC;

3) Останавливаем службу времени на этом контроллере:

C:\> net stop w32time

4) Прописываем внешние NTP сервера для синхронизации:

C:\> w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org"

в наше примере служба времени будет слушать 0.pool.ntp.org, 1.pool.ntp.org и 2.pool.ntp.org.

5) Устанавливаем данный контроллер авторитетным сервером времени для всех остальных машин (да-да, все равно проходим данный шаг):

C:\> w32tm /config /reliable:yes

6) Запускаем службу времени обратно:

C:\> net start w32time

7) Ждем некоторое время для синхронизации. Проверить можно командой:

C:\> w32tm /query /configuration

Коли не случится чуда - лезем в журнал событий (система) и глядим ошибки.

Как узнать версию схемы домена Windows (Active Directory)

Актуально для: Windows Server 2003/2008/R2

Для того, чтобы узнать текущую версию схемы домена - необходимо зайти на контроллер домена и выполнить в консоли (CMD) следующую команду:

C:\> dsquery * cn=schema,cn=configuration,dc=domainname,dc=local -scope base -attr objectVersion

где вместо dc=domainname,dc=local указать имя вашего домена,

например:

dc=mydomain,dc=ru

или второй пример:

dc=mydomain

Active Directory: как отобрать (найти) старые, неактивные компьютеры и пользователей в домене

Актуально для: Active Directory уровня Server 2003 и выше

Со временем Active Directory предприятия, особенно крупного, засоряется объектами, которые давно не используются. Это могут быть отключенные учетные записи, учетные записи компьютеров, потерянных из доменов, группы безопасности, уже не нужные и не использующиеся и т.д.

Вручную просмотреть объекты Active Directory и найти среди них старые, давно не использующиеся (не активные) элементы - работа затратная по времени, а для предприятия в несколько сотен, а то и тысяч пользователей - просто нереальная.

В этом топике я покажу - как найти все устаревшие записи в домене.

Нам понадобится утилита dsquery, которая поставляется в комплекте набора утилит Windows Server 2003 Support Tools. Этот набор идет вместе с Service Pack 2 для Windows Server (т.е. Windows Server 2003 SP2 уже имеет его встроенным, как и Windows Server 2003 R2 и Windows Server 2008, в т.ч. R2).

Все команды нужно вводить в окне CMD (Пуск -> Выполнить -> CMD). Запускайте утилиту на одном из Ваших контроллеров домена.

Неактивные компьютеры

dsquery computer -inactive 24 -limit 10000

Данная команда выведет список всех компьютеров, учетные записи которых не использовались 24 недели или более. Параметр -inactive принимает значение в виде числа недель, которое простаивает учетная запись.

-limit 10000 переопределяет количество объектов, выводимых утилитой. По-умолчанию это 100.

А следующий вывод будет выполнен в текстовый файл, который Вы можете просмотреть в любое время:

dsquery computer -inactive 24 -limit 10000 > C:\result.txt

Неактивные пользователи

dsquery user -inactive 12 -limit 10000

Эта команда найдет всех пользователей, неактивных последние 12 недель (т.е. пользователей, не входивших в систему за это время).

Автоматически удалить неактиывные компьютеры или пользователей

Удаляем компьютеры, учетные записи которых не использовали дольше 24 недель:

dsquery computer -inactive 24 -limit 10000 | dsrm -noprompt

Удаляем пользователей, учетные записи которых не использовали дольше 48 недель:

dsquery user -inactive 48 -limit 10000 | dsrm -noprompt

ВНИМАНИЕ! Очень аккуратно с автоматическим удалением - не ставьте слишком короткое время поиска, иначе можете получить ситуацию, когда человек отсутствует продолжительное время, но выйдет, а вы посчитали, что раз пару месяцев активности нет - то не должно быть и учетки.

Больше

А больше - по команде

dsquery /?

Она умеет показывать много больше, чем просто устаревшие записи.

Windows: невозможно добавить компьютер в домен - если контроллер домена находится в другой подсети

Актуально для: Windows XP/Vista/7, Windows Server 2003/2008

Если Вы не можете добавить компьютер в домен Windows (Active Directory), при этом известно, что в подсети, в которой находится компьютер, нет ни одного контроллера домена, то эта заметка может Вам помочь.

Итак, у нас есть:

а) Компьютер из подсети А

б) Контроллеры домена, которые НЕ находятся в подсети А

в) Ошибка при добавлении компьютера в домен вида "невозможно найти домен" или "невозможно подключиться к контроллеру домена".

Например, компьютер находится в подсети 10.0.1.0/24 и имеет IP 10.0.1.100, а контроллеры домена находятся в подсети 10.0.0.0/24 и имеют IP 10.0.0.1, 10.0.0.2.

Наши действия:

1) Проверяем, что в свойствах TCP/IP сетевого адаптера указаны DNS наших контроллеров домена. Главный и второстепенный DNS нужно указать именно контроллеров (в нашем примере - DNS1=10.0.0.1, DNS2=10.0.0.2).

2) Проверяем, что контроллеры домена доступны и отвечают на DNS-запросы:

ping 10.0.0.1

ping 10.0.0.2

nslookup YOURDOMAIN 10.0.0.1

nslookup YOURDOMAIN 10.0.0.2

Где вместо 10.0.0.1 и 10.0.0.2 подставьте IP адреса Ваших контроллеров домена.

Вместо YOURDOMAIN введите имя Вашего домена.

3) В свойствах TCP/IP сетевой карты указываем WINS на наших контроллеров. Даже если WINS на контроллерах не поднята!

Например, в нашем примере указываем WINS с IP 10.0.0.1 и 10.0.0.2

Сохраняем, закрываем все окна настроек и снова пробуем подключить компьютер к домену. Наличие указанного WINS с большой долей вероятности решит Вашу проблему (если затык в ней, а не в контроллерах домена или еще чем).

Групповая политика Windows - как принудительно обновить

Актуально для: Windows XP, Vista, 7, Server 2003, 2008 все редакции

Подходит для:

Windows XP

Windows Vista

Windows 7

Windows Server 2003

Windows Server 2008

Для принудительного (здесь и сейчас) обновления групповой политики (набора политик) на компьютере под управлением Windows или Windows Server необходимо:

а) Убедиться, что сама групповая политика применилась на контроллере домена, с которым в данный момент связан этот компьютер (т.е. реплицировать контроллеры между собой).

б) Выполнить с правами администратора на целевом компьютере команду:

> gpupdate /force

Ключик /force затребует у Windows не только немедленного обновления политики, но и полной ее загрузки.

Нет пункта "Контроллер домена" в списке ролей диспетчера сервера - как понизить уровень сервера

Актуально для: Windows Server 2003 (может быть 2008)

Итак, у Вас в работе находится сервер - контроллер домена Active Directory, который уже не требуется и с которого роль контроллера Вы хотите снять. Обычно для этого привыкшие к GUI администраторы лезут в диспетчер сервера и нажимают на кнопку "Добавить или удалить роль".

Вот только в списке ролей для добавления или удаления диспетчера сервера почему-то нет пункта "Контроллер домена". При этом, например, на соседнем сервере такой пункт может и быть.

Почему? И что делать?

Попробуйте выполнить команду "dcpromo" (Пуск -> Выполнить -> "dcpromo" -> Enter) и, скорее всего, вы увидите сообщение, что нельзя удалить контроллер домена до тех пор, пока на нем болтается служба сертификации.

Если так - то достаточно удалить данную службу и снова попытаться понизить роль этого сервера. Если мешалась только она - то, во-первых, появится наконец пункт "Контроллер домена" в списке диспетчера сервера (в окна добавления или удаления ролей), и, во-вторых, dcpromo не будет ругаться, а просто позволит снести роль "Контроллер домена" с данного сервера.

Windows Server: Как удалить службу сертификации

Актуально для: Windows Server 2003

Для того, чтобы удалить службу сертификации на сервере Windows Server 2003, выполните следующие действия:

1) Входим в систему с учетной записью администратора.

2) Открываем панель управления.

3) Открываем "Установка и удаление программ".

4) Переходим в "Компоненты Windows".

5) Снимаем флажок с "Служба сертификации".

6) Продолжаем работу мастера и, в случае, если установлен IIS, отвечаем утвердительно на вопрос "Перезапустить службу IIS?"

Все, служба сертификации удалена.

Как узнать версию схемы домена Windows (Active Directory)

Актуально для: Windows Server 2003/2008/R2

Для того, чтобы узнать текущую версию схемы домена - необходимо зайти на контроллер домена и выполнить в консоли (CMD) следующую команду:

C:\> dsquery * cn=schema,cn=configuration,dc=domainname,dc=local -scope base -attr objectVersion

где вместо dc=domainname,dc=local указать имя вашего домена,

например:

dc=mydomain,dc=ru

или второй пример:

dc=mydomain

Установка MySQL 5.1 в Windows Server

Актуально для: MySQL 5.1 + Windows Server 2003/2008

Традиционно в Windows, в особенности в Windows Server, используется продукт того-же прозиводителя - Microsoft - называемый SQL Server. Различные его версии предоставляют нам различные ограничения и возможности. Есть даже бесплатная версия под названием Microsoft SQL Server Express, ограничивающая администраторов и разработчиков размером базы данных, потребляемого ОЗУ, процессорных ядер, а в редакции MSDE2000 - еще и количеством одновременных подключений. Есть и более "способные" продукты, за которые нужно выложить уже ооочень немаленькие (для России - просто дикие) деньги.

Однако MS SQL многого не может. Как минимум - он просто не совместим с MySQL, используемом на подавляющем большинстве хостингов. Простенькие запросы будут работать и там, и там, а вот запросы посложнее - тут уже эти два сервера откажутся понимать друг друга.

Я не буду здесь разглагольствовать - что лучше, что хуже - это отдельная статья для отдельных писателей, требующая тщательного и детального подхода. Для себя я сделал выбор, оглашать здесь который не собираюсь (по долгу службы я администрирую как MS SQL, так и MySQL) - каждый выбирает серверное ПО по своим потребностям, способностям, умениям, желаниям и целям. А на Windows-платформе, наверное, даже уместнее использовать MS-решения (далекооо не всегда, конечно, но иначе для чего Windows вообще тогда нужна?)

Но задача у нас стоит вполне определенная - нам нужен MySQL на платформе Windows Server (неважно какой - будь это 2003 Web Edition или 2008 Enterprise). Для чего - не особо важно (хоть и потребуется это понимание в процессе установки).

Скачиваем

Заходим на сайт www.mysql.com, идем во вкладку "Downloads", под надписью "MySQL Community Server" тыкаем в ссылку "Download". Открывается страница закачки, откуда мы можем скачать текущую версию или справа нажать на "Looking for previous GA versions?" и попасть на такую-же страницу закачки версии 5.1.

Здесь я опишу установку на основе MySQL 5.1.57, т.е. как раз "устаревшей", но максимально совместимой с используемыми на хостинг-серверах.

Итак, скачиваем и ложим, например, на рабочий стол.

Установка

Запускаем установщик. На вопрос "как ставить" выбираем "Typical".

После установки инсталлер нас спросит - настроить ли сервер сейчас ("Configure MySQL Server now"). Ставим галочку и идем дальше.

Начальная конфигурация

Выбираем пункт "Detailed configuration" и двигаемся дальше.

1) Тип сервера. Нас спрашивают - что это за компьютер:

1а) Developer machine: машина разработчика ПО, работающего с базами данных MySQL. Выбирайте этот вариант в том случае, если это не сервер, а просто локальная инсталляция MySQL для работы программиста.

1б) Server machine: обычно выбираем этот вариант - это сервер, на котором будет стоять MySQL вместе с какими-то другими службами (например, с веб-сервером).

1в) Dedicated server machine: если на этой машине ничего, кроме MySQL, стоять не будет. Т.е. это сервер исключительно под базы данных MySQL.

2) Преимущественный тип БД.

2а) Multifunctional database. Сбалансированный вариант для использования как с базами данных InnoDB, так и MyISAM. Рекомендую выбирать его.

2б) Transactional database. Вариант, если подавляющее количество баз данных у Вас будет в формате InnoDB.

2в) NOn-transactional database. Вариант на случай, если большинство баз - в формате MyISAM.

3) Выбираем каталог, в котором MySQL сервер будет хранить базы данных.

4) Количество одновременных соединений (coucurrent connections). Сильно зависит от цели установки сервера MySQL.

4а) Decision Support DSS (OLAP). Небольшое количество одновременных соединений (будет установлена настройка на 20 одновременных соединений).

4б) Online Transaction Processing (OLTP). Больше подходит для популярных веб-серверов и клиент-серверного ПО в виде толстых клиентов - будет установлена настройка на 500 одновременных соединений.

4в) Manual. Вы сами можете выбрать в поле "Concurrent connections" значение, которое нужно установить.

Выбирайте аккуратно - если сервер готов принять больше соединений одновременно - то он будет больше кушать памяти, пуская большое количество ПО к себе. Если соединений не хватит - сервер ответит отказом очередному клиенту на соединение на время занятости. Что Вам важнее - тормоза при превышении расчетной нагрузки из-за активного своппинга или просто "откидывание" клиентов - решайте сами. Старайтесь прикинуть реальную нагрузку, которую может получить этот сервер.

5) Сетевая настройка.

5а) Enable TCP/IP Networking. Если поставить галочку - сервер будет доступен по TCP/IP. Крайне рекомендуется оставить этот пункт даже в том случае, если все ПО, использующее MySQL, находится на этом же сервере - какие-то клиенты могут не понимать ничего, кроме TCP/IP.

5б) Port number. По-умолчанию 3306. Лучше оставить по-умолчанию, иначе придется у всего ПО и сайтов исправлять настройки и указывать новый порт. Какой-то софт может банально не уметь ломиться не по стандартному порту.

5в) Add firewall exception for this port. Лучше включить, даже если брендмауер выключен - на будущее, если вдруг его включите. Эта опция добавляет автоматически исключение в файервол Windows для того, чтобы этот порт был открыт.

5г) Enable strict mode. Рекомендуют этот параметр оставить включенным. Оставляем.

6) Далее - выбор кодировки по-умолчанию.

6а) Standard character set. Установит Latin1 в качестве кодировки по-умолчанию.

6б) Best support for Multilingualism. Поставить UTF-8 в качетсве кодировки по-умолчанию. В данный момент большинство софта и сайтов пишутся под UTF-8, потому это рекомендованное значение для России.

6в) Manual selected character set. Если Вы хотите указать кодировку самостоятельно (например, KOI8-R или CP1251).

7) Сервис.

7а) Install as Windows service. Установить как сервис (службу) в Windows. Рекомендую так и делать - сервис запускает сразу после старта ОС, еще до логина любого пользователя. Для Windows Server - галочку обязательно установить!

7б) Launch MySQL Server automatically. Запускать автоматически. Ну а зачем нам, интересно, иначе его как службу ставить? Оставляем галочку установленной.

7в) Include BIN directory in Windows PATH. Поставив эту галочку, Вы проиструктируете инсталлер автоматически добавить путь до бинарников MySQL в переменную окружения PATH. Рекомендую галочку установить.

8) Безопасность.

8а) Пароль root. Здесь введите рутовый пароль (аналог sa в MS SQL).

8б) Enable root access from remote machines. Если поставить галочку - то можно будет зайти на сервер под root по сети - не только с этой машины локально. Например, если Вы устанавливаете к себе на другую машину (не на сервер) утилиту по управлению MySQL серверами, то эту галочку придется поставить. Если же Вы управляете MySQL этого сервера только с самого сервера - то снимаем галочку (так безопаснее).

8в) Create an anonymous account. Создать ли анонимного пользователя. По соображениям безопасности эту опцию очень рекомендовано выключить (по многим причинам - сейчас здесь описывать не буду).

9) Все, видим окно с кнопкой "Execute". Нажимаем на нее.

Проверка

В меню "Пуск" у нас появился пункт "MySQL Command Line Client". Нажимаем на него и вводим root-пароль (надеюсь, Вы не забыли его).

Перед нам возникает знакомая текстовая консоль управления MySQL сервером (знакомая для тех, кто MySQL админит в Unix, конечно).

Проверям:

> show databases;

+--------------------+

| Database           |

+--------------------+

| information_schema |

| mysql              |

| test               |

+--------------------+

3 rows in set (0.00 sec)

MySQL работает :)

Графический интерфейс

Пользователям Windows близок и роден графический интерфейс (GUI). Не чужд, правда, он и пользователям *nix-систем, но сервера мы привыкли все-же видеть в виде тексовых консолей (core-установка Windows Server 2008, кстати, аналогом текстовой консоли Unix не является - это всего-лишь GUI с натянутым CMD, по большому счету).

Несмотря на то, что многие администраторы MySQL прекрасно рулят этим сервером из командной строки, а если даже нет - то через phpmyadmin, в Windows Вам, вероятно, захочется увидеть некое подобие SQL Server Management Studio или Enterprise Manager.

MySQL разработали такую утилиту и предоставляют ее для пользователей Windows (и не только). Конечно, бесплатно.

Итак, открываем сайт www.mysql.com, идем в раздел "Downloads" и тыкам на ссылку "Download" под надписью "MySQL Workbench (GUI Tool)". На открывшейся странице выбираем необходимый нам вариант (я рекомендую MSI) и загружаем.

Да, оно доступно только в виде x86-32 (32-бит), однако работоспособность этой утилиты проверена на Windows Server 2008 R2 (как известно - нативно 64-битной) - все работает.

Установка

Для установки этой утилиты требуется .NET Framework 4 Client Profile. Не пугайтесь - это не весь .Net Framework 4 - полностью это чудо ставить не придется. Обходится утилита Framework 3.5

Скачать и установить Client Profile можно отсюда:

http://www.microsoft.com/downloads/ru-ru/details.aspx?FamilyID=e5ad0459-cbcc-4b4f-97b6-fb17111cf544

После устнаовки Client Profile - запускаем установку Workbench. Установка максимально проста - пара вопросов, один из которых - куда, собственно, ставиться, и мы имеем рабочую утилиты для управления MySQL.

Первые шаги

Если Вы работали с Enterprise Manager в SQL Server 2000 или SQL Management Studio в SQL Server 2005/2008+, то суть работы для Вас будет более-менее ясной.

После запуска у Вас будет виден сразу подсоединенный локальный MySQL сервер. Вход осуществляется под пользователем root. Естественно, Вам необходимо знать пароль этого пользователя (аналог sa в MS SQL).

Вы видите три больших области - слева направо:

а) Управление базами данных сервера

б) EER-моделирование

в) Администрирование (запуск/останов/состояние, пользователи и т.д.)

Для подсоединения к необходимой консоли - кликните на названии сервера в этой консоле и введите пароль пользоватя, под которым Вы заходите.

Сноска. В консоли управления базами данных Вы не увидите системных баз. Они скрыты. Будут видны только пользовательские базы данных.

В верхней части Вы можете видеть панель с табами. На них будут отображаться открытые окна (т.е. можно открыть несколько окон за раз, например, работать с несколькими консолями баз данных с разных серверов).

Для подключения к другим (не локальным, например) серверам баз данных Вам необходимо создавать "подключения" через "New connection" для консоли управления БД или "New server instance" для консоли администрирования.

Управлять существующими подключениями (например, поменять адрес, порт, пользователя и т.д.) можно через "Manage Connections" или "Manage server instances" соответственно.

Администрирование

Покликав на нужный сервер (начнем, конечно, с "localhost") в 3й панели на "домашней" вкладке и введя пароль для root мы попадаем в панель администрирования сервера.

На странице "Server Status" мы видим текущий статус сервера: потребляемые ресурсы, статус (хотел сказать "демона"...) службы, текущие подключения к серверу и т.д.

Startup/Shutdown: Соответственно, на этой старнице мы можем остановить сервер или снова его запустить.

Status and system variables: Тут мы можем посмотреть во внутренности состояния сервера в реал-тайме.

Server logs: Если логи сконфигурированы для отображения в таблице (table), то они будут видны здесь. Если же логи ведутся в файл - фигу, консоль отображать их не будет.

Options file: Не залазя в дебри файла my.cnf или его заменяющего на этой установке MySQL, мы можем легко и просто рулить опциями прямо отсюда - из графического интерфейса. Для записи изменения служит кнопка "Apply" внизу справа. Не забывайте, что сервер требует перезагрузки (MySQL-сервер, а не Windows Server) для применения изменений.

Users and privileges: Отсюда мы рулим пользователями данного сервера. Отсюда мы их создаем, разрешаем работать с той или иной базой данных, создавать других пользователей, удаляем и назначаем пароли.

Data export and restore: По сути - это инструмент резервного копирования или переноса баз данных. Отсюда мы можем выгрузить или загрузить выбранные базы данных в файл.

Управление базами данных (SQL Editor)

Выбрав нужным нам сервер в самой левой панели мы попадаем в консоль управления базами данных.

Отсюда мы можем создавать, изменять и удалять базы данных, таблицы, записи в таблицах, хранимые процедуры и представления.

Чем-то напоминает SQL Management Studio от Microsoft, не так ли?

Базы данных в Workbench называются Schema. Изначально список схем пуст - системые базы данных не показываются администраторам графической утилиты (в отличие от текстовой консоли управления, где системными базами можно рулить так-же, как и обычными... что бывает чревато неприятностями, конечно).

Для создания базы данных служит пункт "Add schema". Нажав на него, Вы попадете в окно создания базы, где будут заданы стандартные вопросы - имя базы, collation (сравнение), кодировка.

После создания, схема появится в списке схем. Для ее выбора - дважды кликните на ней. Треугольник слева от названия позволяет "раскрыть" схему, увидев ее содержание.

Пункт "Add table" служит для добавления таблицы. При этом схема уже должна быть выбрана. Кликнув на него перед Вами откроется окно создания таблицы. Оно значительно более наполнено опциями, чем окно создания базы. Здесь Вам предлагается задать имя таблицы, ее структуру, ключевые поля, индексы и т.д.

Через "Add view" мы, соответственно, можем создать представление таблицы.

"Add routine" предоставлят нам возможность создать хранимую процедуру для данной базы данных.

Все элементы базы видны после того, как нажать на треугольник слева от ее названия с списке. Отсюда мы можем видеть таблицы, представления и хранимые процедуры (Tables, View и Routines соответственно). По правому клику на элементе можно получить список действий, которые можно осуществлять с этим элементом. Например, у таблицы можно выбрать для просмотра первые 1000 записей (Select rows - Limit 1000), Вызвать редактор таблицы для изменения данных в ней (Edit table rows), Скопировать в буфер обмена те или иные данные таблицы (Copy to clipboard), Открыть те или иные данные во внутреннем SQL-редакторе (Send to SQL Editor), ну или создать новую таблицу, изменить эту или удалить.

Изучаем, пользуемся

Этот топик не предназначен быть мануалом по Workbench - здесь всего-лишь написан ответ на вопрос "А есть ли GUI для MySQL и что это за утилита". Работа с Workbench довольно проста и интуитивно понятна (для того, кто знаком с техническим английским и MySQL в целом, конечно). Поэтому - эстафету я Вам передаю. Утилита, как я уже сказал, проста в освоении.