Category Archives: Active Directory
Корзина в Active Directory (Active Directory Recycle Bin)
В продолжении темы о восстановлении объектов в Active Directory. В данной статье речь пойдет об инструменте, который призван облегчить процесс восстановления данных и сделать его более эффективным. Речь идет о Active Directory Recycle Bin, или корзине для удаленных объектов Active Directory. Принцип работы корзины Для начала вспомним, как выглядит жизненный цикл объекта AD при удалении. Объект помечается как удаленный (атрибут isDeleted объекта устанавливается в true) и из него удаляются лишние атрибуты. Затем он переименовывается и перемещается в контейнер Deleted Objects, в котором хранится в течение срока жизни удаленного объекта. По истечении этого срока он удаляется окончательно.
(далее…)
В статье пойдет речь о том как скрыть неиспользуемые контейнеры в Active Directory
В оснастке Active Directory Users and Computers (ADUC), находятся контейнеры (Organization Unit, OU), в которые помещаются учетные записи пользователей, компьютеров и групп. В зависимости от размера и структуры организации количество OU может быть весьма большим.
Также оснастке ADUC присутствуют предопределенные контейнеры. Большинство из них практически не используются, однако болтаются в оснастке, загромождая место и затрудняя администрирование AD.
Вот так выглядит оснастка ADUC сразу после установки служб Active Directory. По умолчанию в ней отображаются следующие контейнеры:
• Builtin — контейнер, который содержит встроенные группы безопасности (Administrators, Backup Operators, Event Log Readers и так далее);
• Computers — контейнер для компьютеров по умолчанию;
• Domain Controllers — контейнер для контроллеров домена;
• ForeignSecurityPrincipals — контейнер, используемый для хранения идентификаторов безопасности (SID), связанных с доверенными доменами;
• Managed Service Accounts — контейнер для управляемых учетных записей служб;
• Users — контейнер для пользователей и групп по умолчанию. В нем содержатся такие важные группы, как Domain, Enterprise и Schema Admins. (далее…)
Восстановление состояние групповой политики по умолчанию
В домене Active Directory по умолчанию создаются два объекта групповой политики (Group Policy Object, GPO): Default Domain Policy и Default Domain Controllers Policy. Default Domain Policy назначается на весь домен и определяет в нем политику паролей и учетных записей, а Default Domain Controllers Policy связан с OU Domain Controllers и обеспечивает повышенный уровень безопасности для контроллеров домена.
Эти GPO очень важны, поэтому не рекомендуется вносить в них изменения без крайней необходимости. Так Default Domain Policy рекомендуется использовать только для управления настройками учетных записей, политиками паролей и Керберос, а Default Domain Controllers Policy GPO — для настройки пользовательских прав и политик аудита.
Однако на тот случай, если они повреждены или изменены до полной неработоспособности, есть возможность вернуть их в исходное состояние. Для этого в состав каждой серверной операционной системы начиная с Windows Server 2003 включена утилита Dsgpofix.exe, позволяющая восстановить состояние этих GPO на момент установки. (далее…)
Настройка множественной локальной групповой политики Windows
В Windows локальные политики применяются ко всем без исключения пользователям компьютера, в том числе и входящим в группу локальных администраторов. Однако начиная с Vista появился функционал Множественные локальные групповые политики (Multiple Local Group Policy Objects, MLGPO), позволяющий разделять настройки для различных пользователей или групп.
Воспользуемся этой возможностью и в качестве примера запретим всем пользователям, кроме администраторов, доступ к съемным устройствам.
Специальной оснастки для множественных групповых политик не существует, и чтобы воспользоваться этим функционалом надо проделать некоторые действия. Сначала нажимаем Win+R и вводим командуmmc. Затем в открывшейся консоли открываем пункт меню Файл — Добавить или удалить оснастку. (далее…)
PowerShell. Автоматизация администрирования для Windows
Долгое время визитной карточкой Windows служил графический интерфейс, а желающим поработать в консоли приходилось довольствоваться весьма урезанным функционально cmd.exe. Появление PowerShell с гибким языком сценариев изменило ситуацию к лучшему. Используя его возможности, можно легко выполнить практически любую задачу, возникающую перед администратором. Зачем системному администратору PowerShell?
Если настройку при помощи графических утилит можно назвать наглядной, то консоль вырывается вперед, когда говорят об автоматизации задач и обработке большого количества данных. Ранее админу, чтобы упростить себе работу, необходимо было использовать командные BAT-файлы, VBScript, JavaScript, Windows Script Host, Perl и прочие инструменты, позволяющие управлять системной информацией. Но одни ограничены по возможностям, другие сложны и неудобны, применение третьих (VBScript/JavaScript) может снизить общий уровень безопасности системы. PowerShell (ранее – Monad), вышедший в 2006 году, лишен этих недостатков. Он изначально объектно-ориентирован, вобрал в себя лучшие элементы из Perl, PHP, C# и использует все современные наработки Microsoft (в первую очередь, .NET Framework, объектами которой оперирует совершенно свободно). Результат работы не нужно парсить, чтобы понять, что получилось; его опять можно обработать без какой-либо дополнительной подготовки. Именно поэтому принцип использования PowerShell несколько отличается от привычных Unix интерпретаторов. В оболочку встроено свыше 130 команд, позволяющих получить доступ к любому объекту файловой системы, реестра, сети, Active Directory, а, используя предпочитаемый .NET-язык, можно создавать дополнительные команды. Именно наличие большого количества командлетов (cmdlets — командных модулей, своего рода готовых мини-программ, реализующих отдельные операции) заметно упрощает выполнение часто используемых задач.
(далее…)
0