IT2web

Системному администратору Windows Server

Главная --> Active Directory

Сетевые сервисы | Active Directory



Адресная книга из AD в виде веб-страницы

Адресная книга из AD в виде вебстраницы.
Больше от скуки подумалось запилить адресную книгу. Варианты из инета требовали хоть какого-то понимания PHP и допила.
Алгоритм мне виделся такой:
1. Скрипт вытаскивает нужные данные из AD и загоняет в какой-то файл.
2. Второй скрипт вытаскивает из этого файлика данные и размещает на странице.
Пункт первый мне показалось логичным выполнить на PS. И родилось вот это:

 

Как обновить членство в группе без логон, логофф, рестарта

*чуть позже переведу :)

This might be very useful for certain situations where you want to update a user’s or computer’s group membership without the need to re-logon / restart. The whole magic is behind the issued kerberos tickets after you logged on to a machine or a machine has been started. The tool “klist.exe” cannot only be used for troubleshooting to display the current issued TGT / TGS, it is also capable to purge all current tickets. The purge command results in a re-issuance of the tickets, as soon as the next auth or service request is taking place. Keep in mind that this method only works for services which authenticate via Kerberos. NTLM based authentication still requires a fresh logon with updated group membership token.


 

Windows Server Technical Preview - первый взгляд

Несколько дней назад вместе с Windows 10 Technical Preview for Enterprise стала доступна для загрузки и предварительная версия нового сервера – Windows Server Technical Preview. На фоне «десятки» последнее событие оказалось менее заметным, но отнюдь не менее значимым. Даже в этой довольно ранней сборке можно найти много новых возможностей. И далее мы поговорим о наиболее интересных из них с моей субъективной точки зрения.

Начнем с гипервизора.

 

Windows XP и переход на зимнее время

26 октября 2014 года в 2 часа ночи страна (точнее почти вся) переведет стрелки на один час назад, перейдя таким образом на постоянное зимнее время. Ранее мы уже подробно разобрались в грядущих изменениях и обновлениях Windows, необходимых для корректного перехода на зимнее время. В той же статье было указано, что для Windows XP и других неподдерживаемых систем Microsoft не будет выпускать обновлений для перехода на зимнее время. К счастью выход есть, и пользователям XP не придется навечно остаться в «летнем времени».


 

USN Rollback

USN RollbackЛюбовь некоторых администраторов к ПО Acronis откровенно удивляет. Это ПО полезно, но без оглядки применять его везде и всюду не стоит…

Как правило “веселые ребята” которые упорно бэкапят контроллеры, после восстановления сильно удивляются тому что останавливается репликация и ничего кроме проблем (я называю эту ситуацию – резюме генерэйшн эвент :) ) это восстановление не приносит.

При большой любви к Acronis-у и прочим ничто не мешает выполнять сначала резервирование состояния системы (system State Backup) а потом уже снапшот диска. И коли есть желание восстановиться то можно восстановить снапшот а потом System State.


 

Оффлайн подключение к домену

В Windows Server 2008 R2 теперь появилась возможность включить ПК клиента в домен Windows даже тогда, когда домен AD недоступен, кроме того, эта процедура не предполагает введение или хранения пароля доменного администратора (или любой другой учетной записи с правами включения ПК в домен). Кстати, в этой статье описана стандартная процедура включения Windows 7  в домен.


 

Как организовать AD

Дерево орг. подразделений(OU) – это, прежде всего, рабочий инструмент администратора сети, поэтому структура должна быть понятной и удобной именно администратору для выполнения ежедневных операций. Организационное подразделение в Active Directory, как и обычная папка-контейнер, может содержать различные объекты: пользователей, группы, компьютеры, другие папки и организационные подразделения.
 

RODC - контроллер "только для чтения"

В отсутствие физической безопасности становится жизненно важным сконцентрироваться на безопасности данных. Windows Server 2008 и R2 предоставляют новые способы обеспечить безопасность, которые кажутся специально адаптированными для удаленных офисов, где физическая безопасность может быть не очень надежной. Контроллеры домена только для чтения (RODC) – новая функция доменных служб Active Directory в системах Windows Server. Они представляют собой фундаментальное изменение по сравнению с прежнем использованием контроллеров домена.

 

Внезапная блокировка учетной записи

Иногда возникают ситуации когда, при попытке входа в компьютер, пользователь получает сообщение Unable to log you on because your account has been locked out, please contact your administrator.

Это уведомление, говорит о том, что акаунт заблокирован (locked). Это не тоже самое, что «отключен» (disabled). В первом случае учетная запись нейтрализуется на некоторое время, и это происходит автоматически, без участия администратора. А во втором отключается системным администратором вручную.

 

Дополнительная информация об учетной записи пользователя

Как известно учетная запись пользователя – это объект User в Active Directory. Как и любой объект он имеет свойства, которым присвоены значения. Например name, displayName и многие другие. Часть свойств пользователя мы можем увидеть открыв оснастку Active Directory Users and Computers (ADUC), которой пользуются все системные администраторы.
 

Синхронизация времени Windows 7 и Windows 2008


В последнее время мне часто задают вопросы о синхронизации времени в ОС нового поколения Windows Vista и Server 2008. Что ж, попробую в этом посте максимально подробно рассказать об этом процессе. Неправильно выставленное время на компьютерах членах домена может привести к массе неприятных инцидентов для системных администраторов, которыми удобнее управлять при помощи системы управления инцидентами. Проблем может быть несколько: здесь я расскажу о двух популярных и одной малоизвестной, но очень мерзкой.
1. Вы устанавливаете Vista/Server 2008 и не вводите этот компьютер в домен. В этом случае у вас будет доступна вкладка Internet Time при правом щелчке на часы в трее и выборе Adjust Time/Date или выборе Date and Time из панели управления.
 

Синхронизируем время в Windows

В доменном окружении Active Directory служба синхронизации времени не менее важна, чем служба разрешения доменных имен DNS.

Пользователи домена проходят процедуру аутентификации на контроллерах домена посредством протокола Kerberos (если быть точнее, его пятой версии). В свою очередь Kerberos использует так называемые сеансовые билеты, неотъемлемой частью которых является штамп текущего времени системы. И если разница во времени сервера, обслуживающего запрашиваемый ресурс, и компьютера, с которого пользователь запрашивает доступ, будет больше 5 минут (значение по умолчанию), в доступе будет отказано.
Продолжая мысль, если системное время компьютеров пользователей будет отличаться от времени на контроллере домена, пользователи не смогут успешно пройти процедуру аутентификации, а значит не смогут получить доступ к ресурсам домена.

 

Active Directory Domain Services: делаем restart

В Windows Server 2008 появилась новая функция – возможность перезапуска Active Directory, это означает, что администратор может остановить  и запустить/перезапустить службу «Active Directory Domain Services» с помощью оснастки «Службы» (services.msc) или с помощью командной строки. Эта функция может применяться с целью выполнения  задач обслуживания контроллера домена, таких как применение обновлений или выполнения дефрагментации в автономном режиме без перезагрузки сервера.
Также эта фича позволяет улучшить общую доступность других служб, запущенных на контроллере домена, оставляя их работоспособными даже при остановке  Active Directory.
 

Ввод в домен Windows 2008 r2 при недоступности контроллера.

djoin windows7 в домен Active Directory

           
В Windows Server 2008 R2 теперь появилась возможность включить ПК клиента в домен Windows даже тогда, когда домен AD недоступен, кроме того, эта процедура не предполагает введение или хранения пароля доменного администратора (или любой другой учетной записи с правами включения ПК в домен).
 

Политика репликации паролей в RODC. Windows 2008

Продолжая цикл статей о новой технологии Active DirectoryRODC (Read-Only Domain Controllers), хотелось бы затронуть подробнее тему политики репликации паролей – Password Replication Policy (PRP).   По умолчанию на RODC не хранятся ни пароли пользователей ни компьютеров (за исключением его собственной учетной записи компьютера и специального учетной записи krbtgt). Цель этого усложнения – повышение уровня безопасности, так как если RODC будет скомпрометирован, вы не будете волноваться о том, что ценная информация попадет в руки к злоумышленнику.
 

Переименование домена с установленным Exchange 2003

У меня изначально стоял Windows 2000 Server Russian, поэтому я делал так.
1. Расширяем AD для того чтобы он принял в себя Windows 2003 как DC.
2. Поднимаем на отдельной машине W2k3.
3. Туда же ставит Exchange 2003. (если надо)
 

Настройка доверительных отношений в Windows

Целью данной статьи является создание пошаговых инструкций для создания внешних доверительных отношений между двумя доменами Windows 2000. Казалось бы, всё необходимое для настройки доверительных отношений есть, есть права, известны инструменты создания доверия, однако на практике простые инструкции не всегда срабатывают. Давайте попытаемся разобраться вместе.

Если говорить сухим языком терминов, то вспоминаем, что доверительными отношениями называют логическую связь между доменами, обеспечивающую сквозную проверку подлинности, при которой домен-доверитель принимает проверку подлинности, выполненную в доверенном домене. В этом случае учетные записи пользователей и глобальные группы, определенные в доверенном домене, могут получить права и разрешения на ресурсы в домене-доверителе даже в тех случаях, когда эти учетные записи не существуют в справочной базе данных домена-доверителя.

 

 

Квота добавления учетных записей компьютеров в Active Directory

Иногда пробегаешь мимо чего-то, в голове мелькает интересный вопрос, но ответ искать недосуг: в этот момент времени нет, а позже мысль ускользает, потому что это же вопрос, а не проблема требующая решения. И так продолжается долго. И как всегда в поисках одного вдруг попадается ответ на давний вопрос.

Для рядового пользователя существует ограничение на количество компьютеров, которые он может добавить в домен. По умолчанию оно равно 10. Обычная проблема, которая возникает и которую надо решить администратору домена: пользователь получил сообщение об ошибке при добавлении компьютера в домен, что превышена квота:

 

 

Определение количества доменов AD

В  то  время  как  большинство  компаний  развертывает  единственный  лес,  некоторые  крупные компании  развертывают  несколько  доменов  в  пределах  этого  леса.  Проще  всего  управлять единственным  доменом,  он  обеспечивает  пользователей  наименее  сложной  средой.  Однако имеется ряд причин для развертывания несколько доменов.

 

Модель репликации Active Directory

Вспомним, что Active Directory  состоит  из  нескольких  логических  разделов. Репликация информации между контроллерами домена с репликами всех разделов осуществляется одинаково  для  всех  разделов.  Когда  изменяется  атрибут  в  разделе  конфигурации  каталога,  он реплицируется так же, как и в случае изменения атрибута любого другого раздела. Единственное отличие  состоит  в  списке  контроллеров  домена,  которые  получат  копию  реплицируемого изменения.  Репликация  между  контроллерами  домена  в  одном  и  том  же  сайте  обрабатывается иначе, чем между контроллерами домена различных сайтов, но основная модель не изменяется. В этом разделе описывается модель репликации, которая используется в Active Directory.

 

Как клиент определяет, какому сайту он принадлежит


DNS и Active Directory

Active Directory не сможет функционировать без надежной конфигурации DNS. Контроллеры домена не смогут находить друг друга для репликации доменной информации, клиенты с системами Windows 2000 и Windows XP Professional будут очень медленно искать контроллеры домена для входа в систему. Без надежной DNS любые другие службы, которым требуется Active Directory, не смогут работать. Например, Exchange Server 2000 хранит всю свою конфигурационную информацию в Active Directory, поэтому если серверы, на которых выполняется Exchange server 2000, не смогут найти контроллер домена при запуске, они не смогут запустить большинство служб Exchange Server 2000.

Совет. Клиенты, на которых выполняются системы Windows 95, Windows 98, Windows Me и Windows NT не полагаются на DNS в поиске контроллеров домена с Windows Server 2003. Они используют для поиска имена NetBIOS, а службу имен интернета для Windows (WINS - Windows Internet Naming Service) - для разрешения имен NetBIOS к IP-адресам. По умолчанию Windows Server 2003 поддерживает низкоуровневых клиентов, регистрируя необходимые имена NetBIOS с помощью WINS.

 

Серверы глобального каталога. Что это такое?


На  сервере  глобального  каталога  находится  глобальный  каталог (GC).  Он  является  частичной, предназначенной  только  для  чтения  копией  всех  контекстов  именования  домена (NC - Naming Context)  в  лесу.  Каталог GC  содержит  основной,  но  неполный набор  атрибутов  для  каждого объекта  леса  в  каждом  домене NC.  Данные  каталога GC  получают  из  всех  разделов  каталога доменов  в  лесу,  они  копируются  с  использованием  стандартного  процесса  репликации  службы Active Directory.

 

Изменения в парольной политике Windows 2008

Политики паролей доменов Windows.

Если вы занимаетесь администрированием домена Windows, то слишком хорошо знаете все ограничения, связанные с политиками паролей для учетных записей пользователей домена. Однако в Windows Server 2008 некоторые из этих ограничений будут упразднены. Давайте посмотрим, как в новой операционной системе решена одна проблема: невозможность использования нескольких политик паролей.
 

Делегирование прав на атрибуты в Active Directory

Часто возникает ситуация когда необходимо делегировать определенные права пользователям в Active Directory. Один из самых распространенных примеров это делегирование прав сотрудникам отдела кадров на редактирование свойств пользователей в определенном подразделение.

 

Active Directory - делегируем права

С момента выпуска компанией Microsoft Windows 2003, стали доступными некоторые возможности по делегированию. Концепции делегирования могут быть немного запутанными, но в своей основе делегирование - является залогом эффективности работы. Без использования делегирования вы сможете использовать лишь группы по умолчанию, которые обладают административными правами на определенные объекты и задачи.

 

Авторизация ресурсов DMZ в Active Directory


Одна из распространенных задач — предоставление авторизованным пользователям предприятия доступа к ресурсам из Интернета. Подчеркну: речь идет именно об авторизованных пользователях, т. е. тех, кто со своего рабочего места имеет доступ к почте, серверам Web и другим приложениям. Задача в том, чтобы предоставить им доступ к тем же ресурсам извне и сделать это так. чтобы не нарушить безопасность сети и не усложнить процедуру доступа.

 

Роли FSMO. Глобальный каталог


Рекомендации по расположению серверов ГК (Глобальный каталог) несколько различны для одно- и многодоменной структур.
Когда в лесу только один домен, то надобности в ГК вообще-то нет. Все контроллеры домена имеют информацию обо всех объектах в
лесу. Может, и отказаться от него? Не стоит.

 

Роли FSMO. Мастер схемы

Мастер схемы (Schema master) - это единственный во всем лесу мастер операций, ответственный за внесение изменений в схему. Изменять схему может администратор с правами группы Schema Admins. Так как эта группа располагается только в корневом домене леса, то целесообразно и мастер схемы держать там же. Если используется пустой корневой домен, именно он — идеальное место для мастера схемы.

 

Роли FSMO. Мастер доменных имен

Мастер доменных имен (Domain naming master) один на весь лес и отвечает за добавление в лес новых доменов, кроме существующих доменов из леса, и за добавление/удаление объектов перекрестных ссылок на внешние каталоги. Эти операции может выполнять только администратор с правами Enterprise Admins.

 


Страница 1 из 2
kompiu-pomosch.ru

   
Забыли пароль? Забыли логин? Регистрация

Яндекс.Метрика