Active directory tools free: Best Active Directory Tools (FREE) for AD Management & Administration
Новая утилита от Microsoft для определения статуса репликации AD / Блог компании Netwrix / Хабр
Шон Дьюби, MVP в Directory Services, сделал обзор новой утилиты от Microsoft ADREPLSTATUS, предназначенной для определения статуса репликации. Как новая утилита работает и почему Вам все равно придется пользоваться старым-добрым REPADMIN — об этом Вы можете узнать подробнее под катом.
Active Directory Replication Status Tool (ADREPLSTATUS) проверяет статус репликации на всех контроллерах доменов в лесе, выдает информацию об ошибках и дает четкие и понятные рекомендации как их исправить.
Требования ADREPLSTATUS
ADREPLSTATUS может быть установлена и запущена на любой поддерживаемой версии Windows Server или клиенте с установленным .NET framework 4.0. Утилита может только анализировать репликацию в лесе или домене, к которому клиент присоединился. Возможен запуск с обычной учетной записи доменного пользователя, для этого никаких особых прав не требуется.
Как утилита работает?
1. Исследование
Когда Вы в первый раз запускаете утилиту, ADREPLSTATUS может проверить статус репликации для всего леса, отдельного домена в лесе или ряда контроллеров доменов в домене (возможна проверка одного КД). Например, я запустил ADREPLSTATUS в своем домашнем домене, в котором имеется три КД. Вы можете видеть, какие ошибки были обнаружены, на рисунке 1, — неполная очистка данных в Контроллере домена на чтение (RODC), которая до этого была сделана через /FORCEREMOVAL
2. Просмотрщик статуса репликации (Replication Status Viewer)
Если в ходе исследования не было найдено ошибок, Вы будете перенаправлены на Replication Status Viewer (рис. 2). Вы также можете запустить его через кнопку в секции Replication Status.
Replication Status Viewer автоматически осуществляет группировку по Конечному контроллеру домена (Destination DC) (так как репликация всегда является входящей), затем по Исходному контроллеру домена (Source DC). Вы можете увидеть эту группировку выше в заголовках столбцов. Группировку можно менять, столбцы можно добавлять.
3. Обзор и устранение ошибок
Нас, конечно, в первую очередь интересует применение этой утилиты для целей устранения ошибок. Допустим, я деактивируют исходящую репликация с RENSHI-DC. Replication Status Viewer красным цветом обозначает тот КД, которые должен получить репликацию от RENSHI-DC (рис. 4). В описании ошибки (внизу окна) цветом обозначается, «возраст» ошибки, чем темнее цвет – тем «старше» ошибка, и ее необходимо решить как можно скорее.
Вы также можете переключиться на просмотр только ошибок (кнопка Errors Only) в секции Data.
Поле Last Sync Message показывает саму ошибку, но обратите внимание, что здесь слева есть кнопка для каждой строки раздела директории. Она показывает специфический номер ошибки, и когда Вы выбираете ее, утилита отправляет Вас TechNet и показывает Вам описание ошибки и как ее исправить (рис. 5). Всего ошибок репликации чуть больше 70, и ADREPLSTATUS упрощает процесс их поиска.
В версии 1.0, ADREPLSTATUS утилита позволяет только просматривать ошибки. Вы не можете запустить задачу или каким-либо иным образом повлиять на репликацию из нее. Поэтому Вам все равно придется использовать REPADMIN или Active Directory Sites and Services, чтобы исправить ошибки, которые обнаружены утилитой ADREPLSTATUS.
Несмотря на это, Active Directory Replication Status Tool – хорошее добавление в наборе инструментов любого администратора, имеющего дело с AD. Это, конечно, не полноценное решение, но даже в версии 1.0 уже много полезного.
Источник
P.S. Больше бесплатных утилит для мониторинга здоровья AD от Microsoft — в нашем предыдущем посте.
Создание системы сайтов и настройка расписания репликации
Прочитано:
756
В данной заметке я покажу, как создать в существующем лесу второй сайт, поместить в него второй контроллер домена (dc2.polygon.local) и настрою расписание репликации между сайтами по образу, что оно будет выполняться в промежуток с 02:00 ночи до 03:00 ночи.
Заходим на первый домен контроллер (dc1.polygon.local) под учётной записью ekzorchik — Domain Admins (Администратор домена) , далее открываем консоль Active Directory Sites and Services:
Start – Control Panel – Administrative Tools – Active Directory Sites and Services и правой кнопкой мыши по контейнеру Sites и в выпадающем меню выбираем New Site:
Вводим имя создаваемого сайта – в моем случае это будет – Site2 и в списке соединений — Site Link выбираем единственное имеющееся соединение — DEFAULTSITELINK и нажмите OK.
Подтверждаем, что будет создан сайт:
После раскрываем узел Sites – Default—First—Site—Name – Servers, щелкаем правой кнопкой мыши по второму контроллеру домена (dc2) и в ниспадающем меню, выбираем Move…
в списке Site Name выберите Site2 и нажмите OK.
Теперь раскрываем узел «Inter-Site Transport», узел IP и щёлкаем правой кнопкой мыши по объекту DEFAULTIPSITELINK и открываем Properties (Свойства)
Теперь на вкладке General свойств DEFAULTSITELINK выбираем сайт Default—First—Site—Name и нажимаем на кнопку ChangeSchedule:
Устанавливаем переключатель в положение Replication Note Available и выделяем весь прямоугольник:
Затем выделяем для временного промежутка времени с 02:00 до 03:00 ночи и переключатель переводим в положение Replication Available:
Сохраняем внесённые изменения нажатием кнопок OK, Apply ,OK и закрываем консоль Active Directory Sites and Services.
Вот собственно и всё, в итоге я показал, как создать второй сайт, с именованием Site2 и поместил в него второй контроллер домен. Также настроил расписание репликации между сайтами по образу, чтобы репликация выполнялась только в промежуток с 02:00 ночи до 03:00 ночи. В заключение хочу сказать, — читайте блог www.ekzorchik.ru, а лучше подпишитесь на RSS-ленту чтобы быть в курсе основных моментов.
Резервное копирование и восстановление AD
Резервное копирование выполняется с целью облегчить восстановление данных в случае аппаратной неисправности, повреждения программного обеспечения, случайного удаления…
Active Directory (AD) содержит следующие файлы:
Ntds.dit — база данных Active Directory в которой хранится схема, объекты и атрибуты домена (расположение по умолчанию — %systemroot%\NTDS\Ntds.dit)
Edb*.log — файл журнала транзакций Любое изменение сначала заносится в журнал транзакций и только потом записывается в базу AD, обеспечивая ее целостность. Файл Edb.log имеет размер 10Mб. Если файл журнала транзакций переполняется, AD создает новый EdbX.log, где X — число начинающееся с 1.
Edb.chk — файл контрольной точки используемый для отслеживания изменений, записываемых в базу данных AD, он указывает на информацию которая в случае сбоя должна быть восстановлена (записана в дальнейшем)
Res1.log и Res2.log — резервные файлы журнала транзакций, позволяющие AD вести журнал в случае отсутствия свободного места на жестком диске.
С целью повысить быстродействие системы Microsoft рекомендует размещать файлы журналов и базу данных на разных дисках. Для перемещения базы данных и файлов журнала транзакций используется утилита Ntdsutil в режиме Directory Services Restore Mode:
Ntdsutil — files — move DB to drive:\directory — quit —
Ntdsutil — files — Move logs to drive:\directory — quit —
Резервное копирование AD
Для резервного копирования AD используется стандартная утилита Windows – NTBackup, копируются данные о состоянии системы (System State Data). Данные о состоянии системы на контроллере домена содержат:
- реестр содержащий сведения о конфигурации компьютера
- базу данных AD
- папку SYSVOL содержащую шаблоны групповой политики и сценарии входа
- базу данных зарегистрированных классов СОМ+
- загрузочные файлы системы и системные файлы
- базу данных служб сертификации (на сервере сертификатов)
- информацию необходимую для восстановления кластера, если запущена служба Cluster.
- базу данных IIS, если IIS установлен
- системные файлы защищенные Windows File Protection
Для выполнения резервного копирования необходимо входить в группу Администраторы, Операторы архива или Операторы сервера. Утилита NTBackup поддерживает только локальный режим, т.е. резервное копирование с удаленного компьютера выполнить невозможно. Резервное копирование контроллеров домена необходимо выполнять по меньшей мере один раз в течение половины периода Tombstone Lifetime (TSL).
С помощью оснастки Active Directory Users and Computers (ADUC), ADSIEdit, LDP или утилиты DSACLS можно предотвратить случайное удаление объекта. Защитим с помощью ADUC Организационное подразделение (ОП) Sales вложенное в ОП Company домена karba.local от случайного удаления или перемещения:
ОП Company — добавляем DENY ACE группе Everyone на удаление DELETE CHILD с областью действия This object only:
DSACLS OU=Company,DC=KARBA,DC=LOCAL /D EVERYONE:DC
ОП Sales — добавляем DENY ACE группе на удаление DELETE and DELETE TREE с областью действия This object only:
DSACLS OU=Sales,OU=Company,DC=KARBA,DC=LOCAL /D EVERYONE:SDDT
Восстановление AD
Для восстановления AD сервер должен быть перегружен в режим восстановления службы каталога (Directory Service Restore Mode).
Существует два способа восстановления данных из резервной копии, принудительное (Authoritative) и непринудительное (Non-Authoritative).
Принудительное используется в случае, если нужно восстановить случайно удаленный объект. Принудительное восстановление гарантирует, что восстановленный объект не будет изменен в ходе репликации.
Непринудительное восстановление возвращает AD в состояние на момент создания резервной копии, а репликация с других серверов (партнеров по репликации) обновляет данные, приводя объекты к текущему состоянию (если используется один контроллер домена, то все изменения произошедшие с момента резервного копирования, будут утрачены).
Каждый контроллер домена имеет номер последовательных обновлений (Update Sequence Number, USN). USN увеличивается на единицу при каждом изменении объектов AD. Например, если после изменения адреса пользователя USN равен 1000, то при следующем изменении любого другого объекта USN будет равен 1001. Объекту помеченному для принудительного восстановления назначается наивысший номер обновлений (он увеличивается на 100000 единиц за каждый день прошедший с момента резервного копирования).
Для принудительного восстановления объекта, сразу после восстановления данных состояния системы, запускается утилита Ntdsutil и в командной строке вводится:
authoritative restore — restore subtree distinguished name of object — quit — quit
Для принудительного восстановления всей базы AD в командной строке Ntdsutil вводится:
authoritative restore — restore database — quit — quit
После окончания процедуры восстановления контроллер домена можно перезапустить в обычном режиме.
Все принудительно восстановленные объекты реплицируются на другие контроллеры — партнеры по репликации.
Некоторые компоненты AD не следует или невозможно восстанавливать принудительно (например схема AD не может быть восстановлена). После принудительного восстановления учетной записи пользователя данные о его членстве в группах могут быть удалены из AD, нужно вновь добавить пользователя в его группы (см. http://support.microsoft.com/kb/840001).
Удаленный из AD объект помещается в скрытый контейнер CN=Deleted Objects, атрибут объекта isDeleted принимает значение True, к Distinguished Name добавляется флаг ADEL и устанавливается значение Tombstone Lifetime (TSL). Помеченный на удаление объект (Tombstoned) может быть восстановлен в течение TSL, затем запись об объекте окончательно удаляется из базы данных Active Directory.
На контроллере домена каждые 12 часов запускается процесс Garbage Collection, при этом окончательно удаляются объекты у которых закончилось TSL и выполняется дефрагментация базы данных AD. Можно изменить этот интервал с помощью ADSI Edit присвоив значение атрибуту garbageCollPeriod (CN=Directory Service,CN=Windows NT,CN=Services, DC=DomainName,DC=local,CN=Configuration)
Время жизни помеченного на удаление объекта (TSL) по умолчанию равно 60 дням, после выхода Windows Server 2003 SP1 стало равным 180 дням. TSL можно изменить при помощи ADSI Edit. Для этого нужно запустить ADSI Edit, найти CN=Directory Service, CN=Windows NT, CN=Services,CN=Configuration, DC=DomainName,DC=local и щелкнуть правой кнопкой мыши на контейнере CN=Directory Service и выбрать Properties. Найти Tombstone Lifetime в списке атрибутов, нажать кнопку Edit и ввести количество дней, необходимое для хранения удаленных объектов.
Для восстановления помеченного на удаление объекта нужно удалить атрибут isDeleted и восстановить прежнее значение DistinguishedName. Для этого запускаем Ldp.exe из Windows Support Tools, выбираем из меню Connections команду Connect, указываем NetBios имя контроллера домена и порт 389 (LDAP). В меню Connections выбираем команду Bind, вводим учетные данные администратора предприятия (Enterprise Admins). В меню Options выбираем Controls и в поле Load Predefined из списка выбираем Return deleted objects и жмем Ок. Выбираем в меню View пункт Tree, в поле BaseDN вводим DC=DomainName,DC=local. В списке контейнеров левой панели ищем контейнер CN=Deleted Objects, DC=DomainName,DC=local и щелкаем по нему два раза. Находим удаленный объект, например:
CN= Елена Муратова\0ADEL:a49bb628-11b5-427f-85cf-6441b8b94970,CN=Deleted Objects, DC=DomainName,DC=local
Выделяем его, щелкаем правой кнопкой мыши и выбираем Modify. В разделе Edit Entry, в поле Attribute вводим isDeleted, в панели Operation выбираем Delete, затем жмем кнопку Enter.
В разделе Edit Entry в поле Attribute вводим distinguishedName, в поле Values вводим Common Name объкта и после запятой значение lastKnownParent из списка атрибутов объекта (см.правую панель), например:
CN=Елена Муратова,OU=Sales Users,OU=Sales,DC=DomainName,DC=local
В разделе Operation выбираем Replace и жмем кнопку Enter. Устанавливаем флажки Synchronous и Extended нажимаем кнопку Run
При восстановлении учетной записи пользователя нужно заново прописать все ее атрибуты, за исключением sAMAccountName, SID и GUID, установить пароль и включить ее.
Guy Teverovsky написал утилиту ADRestore.net облегчающую процесс восстановления удаленных объектов. http://blogs.microsoft.co.il/files/folders/guyt/entry40811.aspx
11 незаменимых средств управления Active Directory
Те, кому приходилось иметь дело с такими вещами, как таблица Excel, перечисляющая 200 новых сотрудников, начинающих работать со следующей недели, или учетные записи пользователей, настроенные неверно, потому что кто-то в службе поддержки щелкнул то, чего щелкать не следовало, а также те, кому интересен более простой способ управления Active Directory®, помимо открытия папок «Пользователи» и «Компьютеры» каждый раз, могут воспользоваться одним из бесплатных средств администрирования.Некоторые из них встроены прямо в операционную систему Windows®, некоторые поставляются в пакете Resource Kit или в наборе средств поддержки Windows, а некоторые являются бесплатной продукцией сторонних производителей. Что это за удобные средства и где их можно достать? Давайте выясним.
Начнем со встроенных средств командной строки в Windows Server® 2003, позволяющих создавать, удалять, модифицировать и искать объекты в Active Directory.
CSVDE
Средство CSVDE позволяет импортировать новые объекты в Active Directory, используя исходный CSV-файл; оно также дает возможность экспортировать существующие объекты в файл CSV. CSVDE нельзя использовать для изменения существующих объектов; при использовании этого средства в режиме импорта можно лишь создавать новые объекты.
Экспорт списка существующих объектов с помощью CSVDE довольно прост. Ниже показано, как экспортировать объекты Active Directory в файл под названием ad.csv:
csvde –f ad.csv
Параметр –f указывает, что за ним следует имя выходного файла. Но следует понимать, что, в зависимости от среды, этот базовый синтаксис может привести к выводу огромного и неудобного файла. Чтобы ограничить средство экспортом лишь объектов внутри определенного структурного подразделения (OU), команду можно изменить следующим образом:
csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com
Предположим далее, что мне необходимо экспортировать лишь объекты пользователя в мой файл CSV. В таком случае можно добавить параметр –r, позволяющий указать фильтр протокола LDAP для данного поиска, который ограничит число экспортируемых атрибутов (заметьте, что все нижеследующее является одной строкой):
csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r
“(&(objectcategory=person)(objectclass=user))” –l
DN,objectClass,description
Параметр –i позволяет импортировать объекты в Active Directory из исходного файла CSV. Однако создание объектов пользователя с помощью CSVDE имеет один важный недостаток: с помощью этого средства нельзя устанавливать пароли пользователей, поэтому я бы не стала использовать CSVDE для создания объектов пользователей.
LDIFDE
Active Directory предоставляет второе встроенное средство для пакетных операций пользователей, именуемое LDIFDE и обладающее более широкими и гибкими возможностями, чем CSVDE. Помимо создания новых объектов, LDIFDE позволяет модифицировать и удалять существующие объекты и даже расширять схему Active Directory. Платой за гибкость LDIFDE является то, что необходимый входной файл (файл LDIF) с расширением .ldf использует более сложный формат, чем простой файл CSV. (Немного поработав, можно также настраивать пароли пользователей, но об этом чуть позже.)
Начнем с простого примера — экспорта пользователей в структурном подразделении в файл LDF (отметьте, что все нижеследующее является одной строкой ):
ldifde -f users.ldf -s DC1.contoso.com -d “ou=UsersOU,dc=contoso,dc=com”
–r “(&(objectcategory=person)(objectclass=user))”
Как и в случае большинства средств командной строки, полное описание параметров LDIFDE можно получить, запустив команду LDIFDE /? . На Рис. 1 показаны те, что я использовала здесь. (Заметьте, что параметры для команд CSVDE и LDIFDE одинаковы.)
По-настоящему возможности LDIFDE раскрываются при создании объектов и управлении ими. Однако перед этим необходимо создать входной файл. Нижеследующий код создает две новых учетных записи пользователя — afuller и rking; для создания входного файла введите текст в блокноте (или другом редакторе открытого текста) и сохраните его как NewUsers.ldf:
dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com
changetype: add
cn: afuller
objectClass: user
samAccountName: afuller
dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
changetype: add
cn: rking
objectClass: user
samAccountName: rking
После того как создание файла завершено, запустите следующую команду:
ldifde –i –f NewUsers.ldf –s DC1.contoso.com
Единственный новый параметр здесь — это -i, который, как несложно догадаться, указывает, что выполняется операция импорта, а не экспорта.
При модификации или удалении существующих объектов синтаксис команды LDIFDE не меняется; вместо этого изменяется содержимое файла LDF. Для изменения поля описания учетных записей пользователей создайте текстовый файл, именуемый ModifyUsers.ldf, такой как показано на Рис. 2.
Рис. 2 Файл LDF ModifyUsers
Изменения импортируются путем запуска того же синтаксиса команды LDIFDE, что и раньше, с указанием нового файла LDF после параметры -f. Формат LDF для удаления объектов еще проще; для удаления пользователей, с которыми вы работали, создайте файл, именуемый DeleteUsers.ldf, и введите следующее:
dn: CN=afuller OU=UsersOU, DC=contoso, DC=com
changetype: delete
dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
changetype: delete
Отметьте, что, в отличие от CSVDE, LDIFDE может настраивать пароли пользователей. Однако перед настройкой атрибута unicodePWD для учетной записи пользователя необходимо настроить шифрование SSL/TLS на контроллерах домена.
Вдобавок, LDIFDE может создавать и модифицировать любые объекты Active Directory, а не только учетные записи пользователей. Например, нижеследующий файл LDF создаст новое расширение схемы, именуемое EmployeeID-example, в схеме леса contoso.com:
dn: cn=EmployeeID-example,cn=Schema,
cn=Configuration,dc=contoso,dc=com
changetype: add
adminDisplayName: EmployeeID-Example
attributeID: 1.2.3.4.5.6.6.6.7
attributeSyntax: 2.5.5.6
cn: Employee-ID
instanceType: 4
isSingleValued: True
lDAPDisplayName: employeeID-example
Поскольку в файлах LDIFDE используется стандартный отраслевой формат файла LDAP, приложения от сторонних производителей, которым необходимо модифицировать схему Active Directory, часто поставляют файлы LDF, с помощью которых можно изучить и одобрить изменения, прежде чем применять их к производственной среде.
Помимо средств для операций пакетного импорта и экспорта, в состав Windows Server 2003 входит встроенный набор средств, позволяющий создавать, удалять и изменять различные объекты Active Directory, а также выполнять запросы к объектам, отвечающим определенным критериям. (Следует отметить, что данные средства, dsadd, dsrm, dsget, and dsquery, не поддерживаются Active Directory в Windows 2000.)
Dsadd
Dsadd используется для создания экземпляра класса объектов Active Directory в определенном разделе каталога. В число данных классов входят «пользователи», «компьютеры», «контакты», «группы», «структурные подразделения» и «квоты». У dsadd имеется общий синтаксис следующего вида:
dsadd <ObjectType> <ObjectDistinguishedName> attributes
Замечу, что каждый создаваемый тип объектов требует особого набора параметров, соотносящихся с атрибутами, доступными для этого типа. Эта команда создает один объект пользователя с различными заполненными атрибутами (отметьте, что все нижеследующее является одной строкой):
dsadd user cn=afuller,ou=IT,dc=contoso,dc=com
–samID afuller –fn Andrew –ln Fuller –pwd *
-memberOf cn=IT,ou=Groups,dc=contoso,dc=com “cn=Help Desk,ou=Groups,
dc=contoso,dc=com”
–desc “Marketing Director”
Параметр -memberOf требует полного различающегося имени (DN) каждой группы, к которой следует добавить пользователя, если его нужно добавить в несколько групп, можно добавить несколько DN, разделенных пробелами.
Если элемент, скажем DN группы «Служба поддержки», содержит пробел, этот элемент надо поместить в двойные кавычки. Если элемент, скажем структурное подразделение IT\EMEA, содержит обратную косую черту, эту черту нужно ввести дважды: IT\\EMEA. (Эти требования относятся ко всем средствам ds*.)
При использовании параметра -pwd * последует запрос на ввод пароля для пользователя в командной строке. Пароль можно указать внутри самой команды (-pwd P@ssword1), но тогда он будет отображен открытым текстом на экране или в любом текстовом файле либо файле сценария, в который вставлена команда.
Аналогично, можно создать объект группы и структурное подразделение при помощи следующих двух команд:
dsadd computer cn=WKS1,ou=Workstations,dc=contoso,dc=com
dsadd ou “ou=Training OU,dc=contoso,dc=com”
Dsmod
Dsmod используется для изменения существующих объектов, а работают с ним почти так же, как с dsadd, используя различные подменю и синтаксис, зависящие от типа изменяемого объекта. Нижеследующая команда dsmod изменяет пароль пользователя и модифицирует его учетную запись так, чтобы при следующем входе в систему ему был выдан запрос на смену пароля:
dsmod user “cn=afuller,ou=IT,dc=contoso,dc=com” –pwd P@ssw0rd1
–mustchpwd yes
Чтобы увидеть, насколько похожи эти параметры, взгляните на синтаксис dsadd, используемый для создания пользователя с теми же настроенными атрибутами:
dsadd user “cn=afuller,ou=IT,dc=contoso,dc=com” –pwd P@ssw0rd1
–mustchpwd yes
Очевидно, что, зная параметры для создания объектов при помощи dsadd, можно использовать их же для изменения пользователей при помощи dsmod.
Dsrm
Противоположностью dsadd является dsrm; как несложно вообразить, это средство используется для удаления объектов из командной строки. Базовый синтаксис dsrm достаточно прямолинеен: просто введите dsrm, а за ним — различающееся имя объекта, который следует удалить, примерно так:
dsrm cn=WKS1,ou=Workstations,dc=contoso,dc=com
По умолчанию dsrm выдаст запрос «Вы действительно хотите удалить этот объект?». Введите Y и нажмите кнопку Enter. Этот запрос можно отключить с помощью параметра –noprompt, но, очевидно, что в таком случае исчезнет шанс подтвердить перед удалением, что объект выбран верно,. Два дополнительных параметра могут быть полезны при удалении объекта-контейнера, то есть структурного подразделения, которое потенциально может содержать другие объекты. Следующая команда удаляет структурное подразделение TrainingOU и все содержащиеся в нем объекты:
dsrm ou=TrainingOU,dc=contoso,dc=com –subtree
А эта удаляет все дочерние объекты в TrainingOU, но не трогает само структурное подразделение:
dsrm ou=TrainingOU,dc=contoso,dc=com –subtree
–exclude
Dsmove
Для перемещения или переименования объекта в Active Directory используется средство dsmove, но следует отметить, что его можно использовать лишь для перемещения объектов внутри домена. Для переноса объектов между доменами или лесами используйте средство переноса Active Directory Migration Tool (ADMT), бесплатно загружаемое с веб-узла Майкрософт. Dsmove полагается на два параметра, которые можно использовать отдельно или вместе. Даная команда изменяет фамилию в учетной записи пользователя Steve Conn:
dsmove “cn=Conn, Steve,ou=IT,dc=contoso,dc=com”
–newname “Steve Conn”
Данная команда перемещает учетную запись Steve из структурного подразделения IT в подразделение Training:
dsmove “cn=Conn, Steve,ou=IT,dc=contoso,dc=com” –newparent
ou=Training,dc=contoso,dc=com
Переименование и перенос можно произвести в рамках одной операции, указав оба параметра разом:
dsmove “cn=Conn, Steve,ou=IT,dc=contoso,dc=com” –newname
“Steve Conn” –newparent ou=Training,dc=contoso,dc=com
Dsget и Dsquery
В состав набора средств командной строки ds* также входят два средства, используемые для запросов информации Active Directory, а не для создания или изменения объектов.
Dsget получает на входе различающееся имя (DN) объекта и выдает значение указанного атрибута или атрибутов. Dsget использует те же подменю, что dsadd и dsmod — «пользователь», «компьютер», «контакт», «группа», «структурное подразделение» и «квота».
Чтобы получить имя учетной записи SAM и код безопасности (SID) учетной записи пользователя, введите следующую команду (отметьте, что все нижеследующее является одной строкой):
dsget user cn=afuller,ou=IT,dc=contoso,dc=com
–samAccountName –sid
Результаты будут подобны показанным на Рис. 3.
Рис. 3 Работа dsget
Dsquery возвращает список объектов Active Directory, отвечающих указанным критериям. Следующие параметры можно указать вне зависимости от используемого подменю:
dsquery <ObjectType> <StartNode> -s <Search Scope> -o <OutputFormat>
Dsquery может использовать следующие подменю, каждое со своим синтаксисом, для ObjectType: «компьютер», «контакт», «подсеть», «группа», «структурное подразделение», «веб-узел», «сервер» (следует отметить, что подменю сервера извлекает данные о контроллерах домена, а не о серверах в вашей среде), «пользователь», «квота» и «раздел». А если один из данных типов запросов не является тем, чем нужно, можно использовать подменю *, позволяющее ввести запрос LDAP свободной формы.
StartNode указывает местонахождение дерева Active Directory, в котором начнется поиск. Можно использовать конкретное DN, такое как ou=IT,dc=contoso,dc=com, или один из следующих описателей краткого пути: domainroot, начинающийся с корня определенного домена, или forestroot, начинающийся с корня корневого домена леса, используя сервер глобального каталога для выполнения поиска.
Наконец, параметр области поиска указывает, как средство dsquery должно производить поиск в дереве Active Directory. Опросы поддерева (вариант по умолчанию) обращаются к указанному StartNode и всем его дочерним объектам, одноуровневые опросы обращаются только к непосредственным дочерним объектам StartNode, и базовые опросы обращаются только к объекту StartNode.
Для лучшего понимания областей поиска представьте структурное подразделение (OU), содержащее как объекты пользователя, так и дочернее OU, которое также содержит дополнительные объекты. При использовании поддерева в качестве ообласти будет запрошено OU, все пользовательские объекты внутри него, дочернее OU и его содержимое. При одноуровневой области будет запрошены только пользователи, содержащие в OU, но не дочернее OU и его содержимое. При базовом запросе будет запрошено только само OU без запроса содержащихся в ней объектов.
Наконец, можно использовать выходной формат, чтобы контролировать форматирование результатов dsquery. По умолчанию dsquery возвращает различающиеся имена всех объектов, совпадающих с запросом, примерно так:
“cn=afuller,ou=Training,dc=contoso,dc=com”
“cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com”
Чтобы запросить все объекты пользователей, содержащиеся в структурном подразделении IT и его дочерних OU, используйте следующее:
dsquery user ou=IT,dc=contoso,dc=com
Запрос можно сделать еще более точным, добавляя дополнительные параметры, такие как -disabled, возвращающий только отключенные учетные записи пользователей; -inactive x, возвращающий только пользователей, не подключавшихся в течении x или более недель; или -stalepwd x, возвращающий только пользователей, которые не меняли свои пароли в течении x или более дней.
В зависимости от числа объектов в каталоге может возникнуть необходимость указать параметр -limit x при запуске запроса. По умолчанию dsquery возвращает до 100 объектов, совпадающих с параметрами запроса; но можно указать и большее число, такое как -limit 500, или использовать -limit 0, чтобы dsquery возвратило все совпадающие объекты.
Можно также использовать другие подменю для выполнения полезных запросов других типов объектов. Рассмотрим следующий запрос, возвращающий каждую подсеть, определенную в «Active Directory — узлы и службы», и входящую в пространство адресов 10.1.x.x:
dsquery subnet –name 10.1.*
А следующую команду можно использовать для возвращения каждой подсети, находящейся на веб-узле Corp:
dsquery subnet –site Corp
С помощью очередного подменю можно быстро определить, сколько контроллеров домена в лесу настроено для работы серверами глобального каталога:
dsquery server –forest –isgc
Можно также использовать данный синтаксис, чтобы упростить определение контроллера домена в определенном домене, содержащего роль FSMO эмулятора основного контроллера домена (PDC):
dsquery server –hasfsmo pdc
Как и в случае с другими командами ds*, включающими подменю, все параметры, доступные в конкретном подменю dsquery, можно просмотреть, войдя в командную строку и введя dsquery user /?, dsquery computer /?, dsquery subnet /?, и так далее.
Дополнительным хитрым приемом является передача исходящих данных dsquery по конвейеру в другое средство, такое как dsmod, при помощи знака | (SHIFT+обратная косая черта при английской раскладке клавиатуры). К примеру, компания переименовала отдел из «Подготовка» во «Внутреннее развитие», и теперь нужно обновить поле описания каждого относящегося к этому отделу пользователя. Одной командной строкой можно запросить все объекты пользователей, имеющие поле описания «Подготовка», и затем заменить это поле описания для всего пакета следующим образом:
dsquery user –description “Training” | dsmod
-description “Internal Development”
Некоторые находки от сторонних производителей
Поскольку Active Directory основана на стандартах LDAP, в ней можно создавать запросы и вносить изменения при помощи любого инструмента, понимающего LDAP. Многие сторонние поставщики выпустили платные средства для помощи в администрировании Active Directory, но порой можно найти и настоящие сокровища, которые распространяются бесплатно. Это, в частности, можно сказать про коллекцию, созданную обладателем звания MVP по службам каталогов Джо Ричардсом (Joe Richards) и доступной для загрузки на joeware.net/freetools. В ней можно найти многочисленные средства, служащие для решения различных задач. К трем из них я возвращаюсь постоянно — это adfind, admod и oldcmp.
Adfind и Admod
Adfind и admod подобны dsquery и dsmod; adfind является средством запроса с помощью командной строки для Active Directory, а admod может создавать, удалять или изменять объекты Active Directory.
В отличие от средств ds*, имеющих несколько подменю и различные параметры в зависимости от типа объекта, adfind и admod пользуются единым синтаксисом вне зависимости от типа выполняемого запроса или изменения. Базовый синтаксис для adfind:
adfind –b <Search Base> -s <Search Scope> -f <Search Filter>
attributesDesired
Запрос различающегося имени и описания всех объектов компьютеров в домене будет выглядеть как:
adfind –b dc=contoso,dc=com –s subtree –f (objectclass=computer) dn
description
Запрос всех объектов пользователей будет выглядеть как:
adfind –b dc=contoso,dc=com –s subtree –f “(&(objectcategory=person)
(objectclass=user))” dn description
Отметьте, что за исключением запроса содержимого LDAP, синтаксис не менялся.
Работая с adfind, можно найти несколько сокращенных вариантов записи параметров, которые избавляют от лишней работы по вводу. Например, параметр -default может заменить -b dc=contoso,dc=com в предыдущем примере и провести поиск по всему домену; -gc ищет, основываясь на сборке мусора (GC), и возвращает всех пользователей в вашем лесу Active Directory. Параметр -rb также можно использовать для установки относительной базы для поиска; если, скажем, необходимо найти структурное подразделение «Подготовка» в домене phl.east.us.contoso.com, то можно заметно сэкономить время, просто указав –default –rb ou=Training, вместо –b ou=Training, dc=phl,dc=east,dc=us,dc=contoso,dc=com.
Adfind может выполнять ряд функций расширенного поиска, которыми сложно управлять из командной строки без него, включая показанные на Рис. 4.
Пример, использующий параметр -asq, будет запрашивать «Покажи мне членство в группах членов HelpDesk» следующим образом:
adfind –default –rb cn=HelpDesk,ou=IT –asq member memberOf
Admod, как следует из названия программы, используется для изменения объектов в Active Directory. Как и в случае adfind, в нем нет специализированных подменю со своими синтаксисами, которые надо запоминать; admod использует один и тот же синтаксис вне зависимости от типа обрабатываемого объекта. Admod также можно использовать для добавления, перемещения, переименования удаления и даже восстановления объектов путем простого добавления соответствующего параметра, скажем -add, -rm, -move, -undel. И точно так же, как в dsquery и dsmod, знак | можно использовать для передачи данных запроса adfind по конвейеру в admod.
Обратите внимание, что выполнение восстановления с помощью admod заключается в простой операции восстановления объекта-захоронения, в котором большинство атрибутов объекта уже удалено. Для полного восстановления объекта со всеми атрибутами потребуется провести принудительное восстановление объекта.
Oldcmp
Есть еще одно средство из коллекции программ Джо, которое я считаю незаменимой частью своего набора средств автоматизации: oldcmp, ищущее в базе данных Active Directory учетные данные компьютеров, которые не использовались в течение указанного числа недель, и способное проводить следующие действия:
• создавать отчеты об учетных записях без каких-либо действий в их отношении;
• отключать неиспользуемые учетные записи компьютеров;
• перемещать учетные записи компьютеров в иное, заранее указанное, структурное подразделение;
• полностью удалять учетные записи компьютеров.
Отмечу, что поскольку oldcmp может устроить серьезный разгром в каталоге, он снабжен несколькими встроенными функциями безопасности. Он не удаляет учетные записи, которые не были отключены ранее (если в командной строке вы не сказали: «Нет, я действительно хочу это сделать!»). Он не изменяет более 10 объектов за раз (если, опять же, обратное не указано особо), и он никогда не будет ничего делать с учетной записью компьютера контроллера домена.
К настоящему моменту Джо обновил oldcmp, так что он может выполнять подобные функции также и на учетных записях пользователей, которые не использовались в течение указанного отрезка времени.
Для небольшой среды Active Directory или среды, где работа идет лишь с одним-двумя дополнениями или изменениями за раз, средств с графическим интерфейсом, таких как «Active Directory — пользователи и компьютеры», может быть достаточно для повседневного администрирования, но при необходимости каждодневно добавлять или изменять большое количество объектов или простом желании найти более рациональное решение для задач администрирования переход на командную строку может намного ускорить процесс создания, изменения и удаления объектов в Active Directory. Как было показано выше, существует набор гибких и мощных бесплатных средств — как встроенных в Windows, так и распространяемых членами сообщества Active Directory. Любое из них способно намного повысить производительность работы администратора Active Directory, вместе же они становятся еще более важными для его повседневной работы.
Источник: IT-безопасность
Зачем в компании Active Directory?
Учитывая финансовую нестабильность последних лет, именно эти компании были подвержены многим проблемам на пути своего существования. Сторонникам open source решений, сторонникам использовать под каждую задачу свой софт, или иметь софт с повторяющимся функционалом будет не совсем привычно читать этот цикл, поскольку я буду ориентироваться на платформу Microsoft Windows. Именно на платформу, а не на отдельные её части. Такая стандартизация также влияет на работоспособность компании, её затраты. Сравните стоимость лицензионного программного продукта, интерфейс которого знаком почти каждому, и затраты на обучение и консультации пользователя, который будет работать с неизвестным, но бесплатным софтом. А поддержка этого продукта? А его обновление или безопасность? Это тема для отдельной статьи, и к ней мы вернемся. 🙂
Идея написать этот цикл родилась не спонтанно. Давно были мысли простым языком рассказать об ИТ для людей, которые не входят в число технических специалистов, но которые в той или иной степени зависят от работы ИТ. Писать об азах для технических специалистов мне было не интересно – кто это будет читать? Писать для руководителей о возможностях новой платформы или нового продукта – они и старым-то не пользовались.
Я даже на примере своих родственников, друзей, знакомых, которые работают в разных отраслях промышленности и сферы услуг, вижу многие проблемы и несоответствия (чему?). Есть разные уровни проблем, одни для руководства, другие для простых сотрудников. Но они есть! И я очень надеюсь, что смогу в своих статьях помочь в их решении. Пусть этот разрыв станет меньше, повышая производительность труда, что соответственно будет способствовать увеличению прибыли компании и наполнению кошельков сотрудников.
Будучи хорошо знакомым с малым бизнесом изнутри, меня всегда интересовали следующие вопросы. Объясните, почему сотрудник должен пользоваться на рабочем компьютере тем браузером, который нравится сисадмину? Или взять любое другое программное обеспечение, например, тот же архиватор, почтовый клиент, клиент мгновенных сообщений… Это я плавно намекаю на стандартизацию, причем не по признакам личной симпатии сисадмина, а по признакам достаточности функционала, стоимости обслуживания и поддержки этих программных продуктов. Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. Опять-таки, с этим в малом бизнесе тоже очень много проблем. Представьте, что компания в нелегкое кризисное время меняет нескольких таких администраторов, что в такой ситуации делать бедным пользователям? Постоянно переучиваться?
Давайте посмотрим с другой стороны. Любой руководитель должен понимать, что у него сейчас происходит в компании (в том числе и в ИТ). Это необходимо для отслеживания текущей ситуации, для оперативного реагирования на возникновение разного рода проблем. Но это понимание является более важным для стратегического планирования. Ведь, имея крепкий и надежный фундамент, мы можем строить дом на 3 этажа или на 5, делать крышу разной формы, делать балконы или зимний сад. Точно также и в ИТ, имеем надежную основу – можем в дальнейшем использовать более сложные продукты и технологии для решения бизнес-задач.
В первой статье и пойдет речь о таком фундаменте – службах Active Directory. Именно они призваны стать крепким фундаментом ИТ-инфраструктуры компании любого размера и любого направления деятельности. Что это такое? Вот давайте об этом и поговорим…
А разговор начнем с простых понятий – домена и служб Active Directory.
Домен – это основная административная единица в сетевой инфраструктуре предприятия, в которую входят все сетевые объекты, такие как пользователи, компьютеры, принтеры, общие ресурсы и многое другое. Совокупность таких доменов называется лесом.
Службы Active Directory (службы активного каталога) представляют собой распределённую базу данных, которая содержит все объекты домена. Доменная среда Active Directory является единой точкой аутентификации и авторизации пользователей и приложений в масштабах предприятия. Именно с организации домена и развёртывания служб Active Directory начинается построение ИТ-инфраструктуры предприятия.
База данных Active Directory хранится на выделенных серверах – контроллерах домена. Службы Active Directory являются ролью серверных операционных систем Microsoft Windows Server. Службы Active Directory имеют широкие возможности масштабирования. В лесу Active Directory может быть создано более 2-х миллиардов объектов, что позволяет внедрять службу каталогов в компаниях с сотнями тысяч компьютеров и пользователей. Иерархическая структура доменов позволяет гибко масштабировать ИТ-инфраструктуру на все филиалы и региональные подразделения компаний. Для каждого филиала или подразделения компании может быть создан отдельный домен, со своими политиками, своими пользователями и группами. Для каждого дочернего домена могут быть делегированы административные полномочия местным системным администраторам. При этом всё равно дочерние домены подчиняются родительским.
Кроме того, службы Active Directory позволяют настроить доверительные отношения между доменными лесами. Каждая компания имеет собственный лес доменов, каждый из которых имеет собственные ресурсы. Но иногда бывает нужно предоставить доступ к своим корпоративным ресурсам сотрудникам другой компании – работа с общими документами и приложениями в рамках совместного проекта. Для этого между лесами организаций можно настроить доверительные отношения, что позволит сотрудникам одной организации авторизоваться в домене другой.
Для обеспечения отказоустойчивости служб Active Directory необходимо развернуть два или более контроллера домена в каждом домене. Между контроллерами домена обеспечивается автоматическая репликация всех изменений. В случае выхода из строя одного из контроллеров домена работоспособность сети не нарушается, ведь оставшиеся продолжают работать. Дополнительный уровень отказоустойчивости обеспечивает размещение серверов DNS на контроллерах домена в Active Directory, что позволяет в каждом домене получить несколько серверов DNS, обслуживающих основную зону домена. И в случае отказа одного из DNS серверов, продолжат работать остальные. О роли и значимости DNS серверов в ИТ-инфраструктуре мы еще поговорим в одной из статей цикла.
Но это всё технические аспекты внедрения и поддержания работоспособности служб Active Directory. Давайте поговорим о тех преимуществах, которые получает компания, отказываясь от одноранговой сети с использованием рабочих групп.
1. Единая точка аутентификации
В рабочей группе на каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг один из сотрудников захочет сменить свой пароль, то его нужно будет поменять на всех компьютерах и серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их больше? При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Финансовый отдел». Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, — сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ. Если сотрудник увольняется, то достаточно заблокировать — и он сразу потеряет доступ ко всем ресурсам (компьютерам, документам, приложениям).
2. Единая точка управления политиками
В рабочей группе все компьютеры равноправны. Ни один из компьютеров не может управлять другим, невозможно проконтролировать соблюдение единых политик, правил безопасности. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.
3. Повышенный уровень информационной безопасности
Использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.
4. Интеграция с корпоративными приложениями и оборудованием
Большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.
5. Единое хранилище конфигурации приложений
Некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.
Подводя итоги, хочется еще раз акцентировать внимание на том, что службы Active Directory являются сердцем ИТ-инфраструктуры предприятия. В случае отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов, например, пропускной способности каналов между филиалами или офисами компании (от этого напрямую зависит скорость входа пользователей в систему, а также обмен данными между контроллерами домена).
В следующих статьях мы рассмотрим различные надстройки над службами Active Directory, которые помогут упростить жизнь техническому персоналу и эффективнее решать бизнес-задачи остальным специалистам компании. Также планируется к каждой статье делать небольшой скрин-каст или демонстрацию.
Алексей Найда
Active Directory: как просмотреть или удалить делегированные разрешения — статьи TechNet — США (английский)
Мы можем просматривать назначенные разрешения для организационной единицы (OU) в графическом пользовательском интерфейсе, также мы можем использовать консоль Active Directory Users and Computers, но мы должны включить
Расширенные функции внизу (Рисунок-1).
Рисунок-1
После включения щелкните правой кнопкой мыши OU (например, OU = NewYork), выберите Properties
(Рисунок-2).
Рисунок 2
Теперь выберите вкладку Security , затем выберите Advanced
кнопка. На вкладке Permissions (другое название — Discretionary Access Control List — DACL) вы можете увидеть
списков ACE (Рисунок-3).
Рисунок-3
Скачать Dsrevoke
Назначенные разрешения могут отображаться в форме записей управления доступом (ACE) с помощью командного инструмента DSREVOKE, а также могут быть удалены.
Например, нам нужно просмотреть разрешения User = Ed.Price в OU = NewYork, выполните эту команду (рисунок 4):
Dsrevoke / Report OU = NewYork, DC = Contoso, DC = Com Contoso \ Ed.Price
Рисунок-4
У
Ed.Price есть 2x ACE (ACE # 1 и ACE # 2). Теперь, например, мы проверяем ACE # 2 на консоли Active Directory Users and Computers (Рисунок 5).
Рисунок 5
Вы видите, что ACE # 2 — это создание и удаление объектов пользователя.
Теперь нам нужно удалить или удалить Эд.Цена делегированных разрешений от NewYork OU. Запускаем эту команду (Рисунок 6):
(следующий запрос системы безопасности при удалении должен быть подтвержден « y »)
Dsrevoke / Remove OU = NewYork, DC = Contoso, DC = Com Contoso \ Ed.Price
Рисунок 6
Все разрешения пользователя или группы из определенного контейнера, такого как OU, а, следовательно, и базовых объектов, удаляются с помощью этой команды:
Dsrevoke / Remove «/ root:
Скачать LIZA
Liza — это бесплатный инструмент для сред Active Directory, который позволяет отображать и анализировать права объектов в иерархии каталогов.Вы можете использовать этот инструмент, например, для выполнения анализа разрешений безопасности в домене AD или AD.
Раздел конфигурации.
Мы можем использовать LIZA и просматривать делегированные права Ed.Price в организационной единице Нью-Йорка (OU).
Щелкните NewYork OU, и вы увидите на дескрипторе безопасности (правый сайт) вкладку разрешений, делегированные разрешения Эда Прайса (Рисунок 7).
Рисунок 7
Мы видим ACE в деталях. Нажмите на имя Эда Прайса (которое вам нужно для просмотра деталей), затем нажмите Показать ACL (Рисунок 8)
Рисунок 8
Теперь мы видим, что Эд Прайс должен создавать и удалять права доступа к объектам пользователей в NewYork OU (рисунок 9).
Рисунок 9
Иногда у нас много OU, и мы хотим видеть только то, что пользователь делегировал разрешение на какие OU.
Мы можем использовать этот командный файл.
DelegateView.bat
@ECHO OFF
УСТАНОВИТЬ АККАУНТ =% 1
ЕСЛИ НЕ ОПРЕДЕЛЕННЫЙ СЧЕТ НАЙТИ
FOR / F «usebackq delims = XXX tokens = 1» %% i IN (`dsquery ou`) DO (
dsacls %% i | find / I «% 1″> нуль
ЕСЛИ ОШИБКА УРОВЕНЬ 1 (
echo Account% 1 не имеет явных записей в DACL
) Иначе (
echo Учетная запись% 1 имеет явные записи в DACL %% i
)
)
GOTO END
: ИСПОЛЬЗОВАНИЕ
эхо.
echo ИСПОЛЬЗОВАНИЕ:% 0 [имя учетной записи или группа безопасности]
эхо.
echo ПРИМЕР:% 0 Администратор
: КОНЕЦ
Вот пример использования DelegateView.bat для пользователя Ed.Price, мы запускаем эту команду:
DelegateView.bat Contoso \ Ed. Цена
Вы можете использовать эту команду и экспортировать информацию в файл .txt:
DelegateView.bat Contoso \ Ed.Price> DelegateOUs.txt
Для просмотра ACE OU с помощью Ldp.exe, выполните следующие действия:
Запустите LDP.exe. В LDP в меню «Подключение» щелкните «Подключиться», чтобы подключиться к домену или конкретному контроллеру домена.
В диалоговом окне «Подключение» в поле «Сервер» введите имя сервера или оставьте поле пустым, чтобы подключиться к локальному серверу, а затем нажмите «ОК» (в моем примере: DC1.Contoso.Com).
В меню «Подключение» щелкните «Привязать».
В диалоговом окне «Привязка» введите имя пользователя и пароль (я вошел на сервер с помощью администратора), а затем нажмите «ОК», чтобы выполнить привязку к Active Directory.
В меню «Вид» щелкните «Дерево». В поле BaseDN введите конкретное отличительное имя (DN) или оставьте поле BaseDN пустым, чтобы просмотреть весь домен. В своем примере я набрал OU = NewYork, DC = Contoso, DC = Com.
Чтобы просмотреть дескриптор безопасности OU, щелкните правой кнопкой мыши OU в древовидном представлении, выберите Advanced, выберите Security Descriptor, а затем в диалоговом окне Security Descriptor нажмите OK.
Теперь мы видим Эда.Цена ACE и все другие ACE в OU = NewYork. Мы можем добавлять, удалять и редактировать ACE.
Например, я нажимаю Ed.Price, затем нажимаю кнопку Edit ACE. Мы видим, что у Ed.Price есть делегированные права на создание и удаление объектов пользователя в OU = NewYork.
ACLDiag.exe включен в
Инструменты поддержки Server 2003. ACLDiag.exe использует файл Delegwiz.inf для преобразования разрешений делегирования объекта. Мы используем ACLDiag.exe с переключателем / chkdeleg.
Например, мы хотим просмотреть, у кого есть разрешение на делегирование в организационной единице Сотрудника и какое разрешение (мое доменное имя — Contoso.com). Вот команда:
ACLDiag.exe «OU = Employee, DC = Contoso, DC = Com» / chkdeleg
Во-первых, мы рассмотрим часть диагностики шаблона делегирования . Из этой части покажите, что у Эд.Прайса есть разрешение на делегирование, но что
@ dsuiwiz.dll, -301 или @ dsuiwiz.dll, -302 и др. ?? !!!
Не волнуйтесь. Я покажу вам, что такое @ dsuiwiz.dll, -301 или т. Д.
Мы должны отредактировать delegwiz.inf файл. Файл delegwiz.inf находится в Windows 2000 и Windows Server 2003 в каталоге
% windir% \ Inf и Windows Server 2008 и 2008 R2 в каталоге
% windir% \ system32 .
Откройте delegwiz.inf с помощью Блокнота (у вас должно быть разрешение на изменение и сохранение этого файла). По умолчанию в delegwiz.inf 13 шаблонов. Microsoft выпустила на этой странице 70 шаблонов (Приложение
O: файл мастера делегирования Active Directory).
Теперь вы можете увидеть template1 Описание делегирования
Description = «@ dsuiwiz.dll, -301» .
Я удаляю Description = «@ dsuiwiz.dll, -301» и устанавливаю Description = Создание, удаление и управление учетными записями пользователей .
Я снова запускаю эту команду:
ACLDiag.exe «OU = Employee, DC = Contoso, DC = Com» / chkdeleg
Теперь мы видим разрешение на делегирование Ed.Price с правильными описаниями.
AdFind создано
Джо Ричардс. Он отличный MVP по Active Directory и создал больше бесплатных инструментов.
Вот.
Вот использование AdFind и примеры.
Я запускаю эту команду, чтобы просмотреть разрешения делегирования Ed.Ptice в подразделении «Сотрудник» (мое доменное имя — Contoso.com).
AdFind -b «OU = Employee, DC = Contoso, DC = Com» -s base nTSecurityDescriptor -sddl ++ -resolvesids
Информация для этой команды:
1- -б
«<базовый номер>»
2- -с сфера применения
Объем поиска.База, Один [Уровень], Под [дерево].
3- атрибут
дескриптор безопасности
дескриптор безопасности для объекта схемы.
4- -sddl ++
Расшифровка дескрипторов безопасности. Это возьмет SD, такой как ntSecurityDescriptor, и декодирует его в SDDL.
5- -ресольвесиды
Разрешить sids к именам
Теперь мы можем просматривать разрешения на делегирование Ed.Price и все другие разрешения для организационного подразделения «Сотрудник».
Когда нам нужно просмотреть разрешение на делегирование для определенного пользователя или группы, мы запускаем эту команду, здесь мы будем просматривать только разрешения на делегирование Ed.Price для организационной единицы сотрудника:
Adfind -b «OU = Employee, DC = Contoso, DC = Com» -s поддерево –f (objectClass = organizationUnit) nTSecurityDescriptor -sddl ++ -resolvesids -sddlfilter ;;;;; «CONTOSO \ Ed.Price» -sddlnotfilter; по наследству -recmute
Теперь мне нужны все разрешения на делегирование Ed.Price для всех OU в домене.Я запускаю эту команду:
Adfind -b «DC = Contoso, DC = Com» -s поддерево –f (objectClass = organizationUnit) nTSecurityDescriptor -sddl ++ -resolvesids -sddlfilter ;;;;; «CONTOSO \ Ed.Price» -sddlnotfilter; унаследованный -sddlnotfilter;
Ed.Price имеет разрешения на делегирование для подразделений NewYork и Employee.
Теперь я посмотрю Ed.Price, на каких компьютерах есть определенные разрешения в домене. Я запускаю эту команду:
Adfind -b «DC = Contoso, DC = Com» -s поддерево –f (objectClass = компьютер) nTSecurityDescriptor -sddl ++ -resolvesids -sddlfilter ;;;;; «CONTOSO \ Ed.Цена »-sddlnotfilter; унаследовано -recmute
Ed.Price имеет особые разрешения на NPS и CLIENT1
компьютеры.
Dsacls — это еще один инструмент, с помощью которого мы можем управлять разрешениями Active Directory из командной строки. Dsacls является частью
Средства поддержки Server 2003, но начиная с Windows Server 2008 интегрированы в операционную систему.
Мы можем просмотреть все разрешения для организационной единицы Сотрудник с помощью следующей команды:
Dsacls OU = Сотрудник, DC = Contoso, DC = Com
Все разрешения для организационной единицы Сотрудник в файле.TXT перечислены со следующей командой:
Dsacls OU = Сотрудник, DC = Contoso, DC = Com> C: \ Dsacls.txt
Разрешения по умолчанию для организационного подразделения «Сотрудник» в домене можно сбросить следующим образом:
Dsacls OU = Сотрудник, DC = Contoso, DC = Com / S
Разрешения определенного пользователя или группы можно удалить с помощью этой команды (например, User = Ed.Price, OU = Employee, Domain = Contoso.com):
Dsacls OU = Сотрудник, DC = Contoso, DC = Com / R Contoso.com \ Ed. Цена
Мы также можем использовать userPrincipalName (UPN) в этой команде:
Dsacls OU = Сотрудник, DC = Contoso, DC = Com / R Ed.Price @ Contoso.com
Команды QUEST PowerShell для Active Directory — это еще один бесплатный инструмент, который мы можем использовать для управления разрешениями Active Directory из командной строки PowerShell. Вы можете скачать бесплатные команды QUEST PowerShell для Active Directory из
Вот.
В этом примере я использовал Windows PowerShell ISE с QUEST PowerShell.Откройте Windows PowerShell ISE с запуском от имени администратора.
Выполните следующую команду, чтобы загрузить команды Quest PowerShell.
Add-PSSnapin Quest.ActiveRoles.ADManagement
Теперь мы можем просмотреть все разрешения для организационной единицы делегирования с помощью следующей команды:
Get-QADObject ‘contoso.com/delegation’ -SecurityMask Dacl | Get-QADPermission -UseExtendedMatch -Inherited -SchemaDefault -Property (‘sAMAccountName’, ‘name’)
Но мы будем просматривать только разрешение на делегирование для организационной единицы делегирования с помощью следующей команды:
$ Deleg = Get-QADObject ‘contoso.com / delegation ‘-SecurityMask Dacl -SizeLimit 0 | Get-QADPermission -UseTokenGroups
Теперь выполните следующую команду:
$ Делег | Учетная запись FT, TargetObject, права, RightsDisplay
Как видите, пользователь (r.mueller) и группа (SecGlobalGroup) имеют разрешение на делегирование, но кто является членом этой группы?
Мы используем эту команду, чтобы узнать, кто является членом группы SecGlobalGroup:
Get-QADGroupMember «SecGlobalGroup» -indirect
Как видите, два пользователя (Эд Прайс и пользователь 2) и группа (SecDLGroup) также имеют разрешение на делегирование.
Теперь мы увидим, какое разрешение делегирования имеет Эд Прайс для всех объектов в домене, мы запускаем следующую команду:
$ Делег = Get-QADObject -SecurityMask Dacl -SizeLimit 0 | Get-QADPermission -Account (‘contoso \ ed.price’) -Inherited -SchemaDefault -Verbose
-UseTokenGroups
Теперь выполните следующую команду:
$ Делег | Учетная запись FT, TargetObject, права, RightsDisplay
Другой пример, мы покажем, у кого есть права WriteProperty на учетной записи пользователя Ed Price, выполните следующую команду:
Get-QADUser ‘contoso \ ed.цена »-SecurityMask Dacl | Get-QADPermission -Rights ‘WriteProperty’ -UseExtendedMatch -Inherited -SchemaDefault -Verbose -Allow -Property (‘sAMAccountName’, ‘name’)
С PowerShell вы можете найти больше примеров, вот очень хорошая статья:
Рекомендация: как делегировать разрешение AD организационным подразделениям с помощью команды PowerShell Add-QADPermission
(Алан Бурчилль — MVP)
Робин Гранберг (MSFT) создал отличный графический интерфейс для PS.Этот инструмент создает отчеты о списке управления доступом для всех ваших объектов Active Directory. С помощью этих отчетов вы можете увидеть, что / где
и когда были установлены разрешения.
Статью про AD ACL Scanner 1.2 можно по этой ссылке:
Возьмите под контроль разрешения AD и средство сканирования AD ACL
Вы можете скачать по этой ссылке:
AD ACL Scanner 1.2
Другая информация:
Атрибуты Active Directory в графическом интерфейсе пользователя ADUC
сайтов Active Directory | Что такое Active Directory? Основы Microsoft Active Directory с видеоуроками :: windows-active-directory.com
Что делает Active Directory (AD) очень мощным инструментом, так это комбинация двух совершенно разных структур, которыми он обладает: логической структуры и физической структуры. Логическая структура состоит из лесов, доменов и т. Д. С другой стороны, физическая структура представлена контроллерами домена (DC), серверами, физическими подсетями и т. Д. Сайт — это логическое средство для представления физических аспектов AD. .
Сайтов
Сайты Active Directory — лучшее решение для управления организациями, которые имеют филиалы в разных географических точках, но относятся к одному домену.Сайты — это физические группы хорошо связанных IP-подсетей, которые используются для эффективной репликации информации между контроллерами домена (DC). Его можно рассматривать как отображение, которое описывает лучшие маршруты для выполнения репликации в AD, что позволяет эффективно использовать пропускную способность сети. Сайты помогают добиться рентабельности и скорости. Это также позволяет лучше контролировать трафик репликации и процесс аутентификации. Если на связанном сайте имеется более одного контроллера домена, способного обрабатывать вход в систему клиентов, службы и поиск в каталогах, сайты могут найти ближайший контроллер домена для выполнения этих действий.Сайты также играют роль в развертывании и нацеливании групповых политик.
В AD информация о топологии хранится как объекты связи сайтов. По умолчанию для леса создается контейнер сайта Default-First-Site-Name. Пока не будет создан другой сайт, все контроллеры домена автоматически назначаются этому сайту.
Подсети
Внутри сайтов подсети помогают группировать соседние компьютеры на основе их IP-адресов. Таким образом, каждая подсеть идентифицируется диапазоном связанных IP-адресов, а сайт — это совокупность всех хорошо связанных подсетей.Подсети могут быть основаны на адресах TCP / IPv4 или TCP / IPv6.
Ссылки на сайты
Как следует из названия, ссылки сайтов используются для установления связей между сайтами. Ссылка сайта по умолчанию называется Default-First-Site-Link. Они обеспечивают поток репликации между сайтами. Настраивая свойства связи сайтов, такие как расписание связи сайтов, стоимость и интервал репликации, можно управлять межсайтовой репликацией.
Сайты и репликации
В AD, когда изменение применяется к определенному DC, все остальные DC в домене информируются об изменении и обновляются.Это происходит в процессе репликации. Чтобы узнать больше о репликации на основе топологии сайта, щелкните здесь.
Сайты и службы Active Directory
Установка средств администрирования Active Directory
Для управления каталогом из экземпляра EC2 Windows необходимо установить Active
Доменные службы каталогов и инструменты облегченных служб каталогов Active Directory
на
пример.Используйте следующую процедуру для установки этих инструментов на Windows Server.
2012, Windows Server 2016 или Windows Server 2019.
При желании вы можете выбрать установку инструментов администрирования Active Directory с помощью
Windows PowerShell. Например, вы можете установить удаленное администрирование Active Directory.
инструменты из командной строки PowerShell с помощью Install-WindowsFeature RSAT-ADDS
.Дополнительные сведения см. В разделе Install-WindowsFeature на веб-сайте Microsoft.
Для установки средств администрирования Active Directory на Windows Server
2012 — Windows Server 2019
Откройте Диспетчер серверов с начального экрана, выбрав Сервер
Менеджер .На панели мониторинга Server Manager выберите Добавить
роли и особенности ,В мастере добавления ролей и компонентов выберите
Тип установки , выберите На основе ролей или
функциональная установка и выберите
Далее .В разделе Выбор сервера убедитесь, что локальный сервер
выбрано и выберите Функции на левой панели навигации.В дереве функций откройте удаленный сервер
Инструменты администрирования , Администрирование ролей
Инструменты , выберите AD DS и AD LDS Tools , прокрутите вниз и выберите Инструменты DNS-сервера , а затем выберите Далее .Просмотрите информацию и выберите Установить . Когда
установка функции завершена, доменные службы Active Directory и
Инструменты служб Active Directory облегченного доступа к каталогам доступны на начальном этапе.