Active Directory
06 ноябрь 2023, Понедельник
Как сбросить пароль DSRM?
Для восстановления службы каталогов Active Direсtory из резервной копии или после других сбоев, существует специальный режим восстановления службы каталогов или Directory Services Restore Mode (DSRM). Это специальный режим безопасной загрузки (safe boot) Windows (в который обычно можно войти нажимая F8 при запуске операционной систем Windows) на контроллере домена, именно для восстановления службы каталогов. Чтобы войти в режим DSRM требуется специальный пароль, который устанавливается вместе с установкой службы каталогов. Часто бывает, что этот пароль утерян\забыт\скомпрометирован, на этот случай есть отдельный механизм его изменения, об этом и пойдет речь ниже....
Категория: Active Directory
Комментариев: 0
29 октябрь 2023, Воскресенье
Как зарегистрировать оснастку Active Directory Schema
По умолчанию, MMC оснастка Active Directory Schema может регистрироваться только на контроллере домена с FSMO ролью Schema Master. На всех остальных контроллерах домена или машинах на которых установлен RSAT (Remote Server Administration Tools) - эта MMC оснастка автоматически не регистрируется. Чтобы ее использовать на не контроллере домена с ролью мастер схемы, надо вручную зарегистрировать MMC оснастку расположенную в DLL библиотеке schmmgmt.dll и использую утилиту регистрации компонентов regsvr32....
Категория: Active Directory
Комментариев: 0
18 май 2022, Среда
Что такое FSMO роли, их назначение и можно ли без них жить
Многие системные администраторы, работая с Microsoft Active Directory Domain Services не знают или не до конца понимают, что такое FSMO роли и для чего они нужны. Те кто о них знает, не всегда понимает важность этих ролей, в каких случаях владелец ролей обязательно должен быть доступен, а в каких случаях их отсутствие практически никак не отразится на работе службы каталогов. В статье ниже, будет в кратце рассказано про Flexible single-master operations «операции с одним исполнителем». А также можно ли без них жить....
Категория: Active Directory
Комментариев: 0
25 апрель 2022, Понедельник
Использование extensionAttribute в Active Directory
При работе с объектами Active Directory, иногда требуется использовать определенные значения в свойстах объекта: пользователя, компьютера или группы, котроые бы позволили дополнительно идентифицировать, группировать объекты или указывать специальные параметры (которых нет в штатных атрибутах). При этом без необходимости вносить изменения в схему Active Directory и не использовать члентво в группах. Например, указать определенные параметры, для выдачи квот в third-party приложениях, создание детальной адресных листов, в компаниях со сложной структурой подразделений, специальные "пометки" для средств информационной безопасности и другие сценарии, в которых нет возможности (или нежелательно) использовать готовые атрибуты и нехотелось бы...
Категория: Active Directory
Комментариев: 0
01 сентябрь 2021, Среда
Как включить корзину Active Directory и восстановить из нее?
До Windows Server 2008 R2, восстановление удаленных из базы AD объектов, требовало выполнение авторитативного восстановления всей базы AD, либо приходилось использовать third-party software, которое по факту восстанавливало из специального контейнера объект, с перезаписью части атрибутов, либо создавало новый объект, с атрибутами старого. Начиная с версии Windows Server 2008 R2, в службе каталогов Active Directory появилась давно ожидаемая функция корзины (Recycle Bin) Active Directory, после ее включения, удаленные объекты помечаются как удаленные, но при этом сохраняют значения всех своих атрибутов. Для восстановления такого объекта, требуется лишь изменить атрибут, помечающий объект для удаления, что намного упрощает процесс...
Категория: Active Directory
Комментариев: 0
21 февраль 2020, Пятница
Изменение принципов применения GPO с Security Filtering
Некоторые обновления безопасности приводят к изменению механизма функционирования подсистемы, при этом эти изменения не всегда очевидны и могут идти в разрез с теоритическими знаниями, полученными ранее. Итак, 14 июня 2016 компания Microsoft выпустила бюллютень безопасности MS16-072, в котором объявила о закрытии уязвимости несанкционированного получение прав, если злоумышленник запускает man-in-the-middle (MiTM) атаку на трафик, проходящий между контроллером домена и на целевым компьютером.Закрытие этой уязвимости привело к изменению применения групповых политик (GPO), в случаях, когда использовался механизм Security Filtering для пользователей....
Категория: Active Directory
Комментариев: 0
26 март 2019, Вторник
Как определить/повысить функциональный уровень домена/леса Active Directory?
Функциональный уровень домена или леса определяет функциональные возможности доступные для использования. Более высокий функциональный уровень домена или леса позволяет использовать дополнительные возможности, которые появились в свежих версиях Active Directory. При этом, даже если вы используете свежие версии контроллеров домена, но при этом вы не повышали уровень домена, то новые функциональные возможности домена AD будут недоступны. Например, у вас установлены контроллеры домена Windows Server 2012 или Windows Server 2016, но при этом функциональный уровень домена Windows Server 2003, то такая возможность, как использование корзины Active Directory будет недоступна, так как возможность ее включить появляется только при функциональном...
Категория: Active Directory / PowerShell
Комментариев: 3
27 апрель 2018, Пятница
Определение даты последней резервной копии Active Directory
О необходимости регулярно выполнения резервного копирования серверов сказано не мало, но одной настройки заданий резервного копирования недостаточно, необходимо также следить, чтобы эти задания корректно и успешно выполнялись. Ниже перечислены какими способами можно определить когда было выполнено успешно последнее резервное копирование Microsoft Active Directory (AD). Некоторыми удобно пользоваться для быстрого определения даты последнего резервного копирования, другие удобно использовать для автоматизации в системе мониторинга....
Категория: Active Directory
Комментариев: 0