Active directory

Загрузка фотографии пользователя в Active Directory c помощью PowerShell

Среди атрибутов пользователя, начиная с версии схемы Active Directory в Windows Server 2000, присутствует специальный атрибут thumbnailPhoto, в котором можно в виде бинарных данных хранить фото пользователя (или любые другие картинки 🙂 ).  Outlook, начиная с версии 2010 Lync, SharePoint  (и другие приложения) могут использовать данные хранящиеся в этом атрибуте для

Подробнее »

Установка SSL сертификата на все компьютеры домена с помощью групповых политик

Рассмотрим процедуру централизованной установки сертификата на компьютеры домена и добавление его в список доверенных корневых сертификатов с помощью групповых политик. После распространения сертификата все клиентские устройства будут доверять сервисам, которые подписаны данным сертификатом. В нашем случае, мы распространим самоподписанный SSL сертификат Exchange (роль Active Directory Certificate Services в доменен не

Подробнее »

Выявляем источник блокировки учетной записи пользователя в Active Directory

В этой статье мы покажем, как отслеживать события блокировки учеток пользователей на котроллерах домена Active Directory, определять с какого компьютера и из какой конкретно программы постоянно блокируется учетная запись пользователя. Для поиска источника блокировки аккаунтов пользователей можно использовать журнал безопасности Windows, скрипты PowerShell или утилиту Account Lockout and Management Tools (Lockoutstatus.exe). Учетная запись пользователя заблокирована и

Подробнее »

Как сжать базу данных Active Directory

Как известно, база  Active Directory  хранится в файле NTDS.DIT, размер которого может отличаться на разных контроллерах домена. Причина в том, что Active Directory- это служба каталога с мульти-мастерной независимой моделью, где изменение может произойти на любом  контроллере домена, и со временем эти изменения должны реплицироваться на остальные контроллеры домена. И

Подробнее »

Поиск учетных записей администратора в Active Directory

В предыдущей статье мы описали процедуру сброса пароля стандартной учётной записи администратора домена Active Directory (учетка administrator). Данный сценарий отлично работает в «стандартной» среде Active Directory, однако в некоторых доменах подобный трюк может не сработать, т.к. при их разворачивании были использованы best practice Microsoft по обеспечению безопасности инфраструктуры AD.  В реальных доменах

Подробнее »

Защита административных учетных записей в сети Windows

В этой статье я постарался собрать основные организационные и технические правила использования учетных записей администраторов в организации, направленные на повышение безопасности в домене Windows. Использование данных рекомендаций значительно повысит защиту компьютеров домена Active Directory от атак, аналогичных летнему инциденту с шифровальщиком Petya, одной из техник распространения которого между компьютерами домена

Подробнее »

Установка оснастки Active Directory в Windows 10

Одной из наиболее часто используемых консолей управления объектами в домене Active Directory – MMC оснастка Active Directory Users and Computers (или ADUC). Чтобы пользоваться этой оснастку с клиентского компьютера с Windows 10, необходимо установить компонент Microsoft Remote Server Administration Tools (RSAT). RSAT представляет собой набор различных инструментов и утилит для управления серверами Windows Servers, доменом Active Directory и

Подробнее »

Установка Active Directory на Windows 2008 Server Core

Одной из ролей, которую может выполнять сервер на Windows 2008 Server Core – роль Active Directory Directory Services (AD DS), при которой сервер будет работать в качестве контроллера домена в Active Directory. Этот контроллер домена (DC) может быть использован в одном из следующих сценариев: Первый DC в новом домене Active

Подробнее »

Запрос к Active Directory из Excel

Достаточно часто системному администратору Windows приходится делать различные выгрузки по информации о пользователях домена Active Directory. Представим, что у нас есть список учетных записей (имена пользователя в формате samAccountName), и нам, например, необходимо получить информацию о том, в какой организации эти пользователи работают и их Canonical Name (CN). Ранее для

Подробнее »

Использование Get-ADUser для получения разной информации о пользователях домена AD

Get-ADUser это один из основных командлетов PowerShell, который можно использовать для получения различной информации о пользователях Active Directory и их атрибутах. С помощью командлета Get-ADUser можно получить значение любого атрибута учетной записи пользователя AD, вывести список пользователей в домене с нужными атрибутами и экспортировать их в CSV, и использовать различные критерии

Подробнее »

Генерация случайных паролей с помощью PowerShell

При создании учетных записей пользователей в Active Directory администратор обычно задает каждой учетной записи уникальный начальный пароль, который затем сообщается пользователю (обычно при первом входе у пользователя требуется сменить этот пароль с помощью опции “User must change password at next logon” атрибута AD userAccountControl). Т.к. вам не хочется каждый раз выдумывать

Подробнее »

Перенос базы данных Active Directory

В этой статье мы покажем, как перенести базу данных и транзакционные логи Active Directory из одного каталога в другой. Данный мануал может пригодится, когда нужно перенести базу AD на другой диск (в ситуациях, когда на первоначальном диске закончилось свободное место или при недостаточной производительности дисковой подсистемы), либо перенести файлы AD в

Подробнее »

Восстановление удаленных объектов в Active Directory

При удалении любого объекта в Active Directory (пользователя, группы, компьютера или OU), вы можете восстановить его. В этой статье мы рассмотрим, как восстановить удаленный объект в AD с помощью PowerShell и графических инструментов. Сначала разберемся, что происходит при удалении объекта из каталога AD. Поведение AD при удалении объектов зависит от

Подробнее »

Как узнать SID пользователя или группы AD по имени и наоборот?

В среде Windows каждому доменному и локальному пользователю, группе и другим объектам безопасности, присваивается уникальный идентификатор — Security Identifier или SID. Именно SID, а не имя пользователя используется для контроля доступа к различным ресурсам: сетевым папкам, ключам реестра, объектам файловой системы, принтерам и т.д. В этой статье мы покажем несколько простых способов узнать SID

Подробнее »

Windows Server Core: Установка роли ADDS

Windows Server Core является отличной технологией для применения на контроллерах домена. Ведь контроллеры домена редко используются для чего-либо кроме обеспечения функционирования инфраструктуры Active Directory, и совсем нечасто используются для  интерактивного входа. Однако превращение сервера в контроллер домена при помощи командной строки, не такая уж простая и интуитивная операция, как могла бы должны

Подробнее »

Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер

Подробнее »

Передача/захват ролей FSMO на другой контроллер домена Active Directory

В этой статье мы рассмотрим, как определить контроллеры домена с ролями FSMO в Active Directory, способы передачи одной или нескольких FSMO ролей другому контроллеру домена (дополнительному), а также способ принудительного захвата FSMO ролей в случае выхода из строя контроллера домена, которой является владельцем роли.Содержание: Для чего нужны FSMO роли в

Подробнее »

Сброс пароля администратора Active Directory

В этой статье мы рассмотрим сценарий сброса пароля администратора домена Active Direcotory.  Эта возможность может понадобиться в случаях утраты прав доменного администратора вследствие, например, «забывчивости» или намеренного саботажа увольняющегося админа, атаки злоумышленников или других форс мажорных обстоятельствах.   Для успешного сброса пароля администратора домена необходимо иметь физический или удаленный (ILO, iDRAC или консоль

Подробнее »

Установка RODC контроллера домена на Windows Server 2016

Впервые функционал контроллера домена, доступного только на чтение (RODC — read-only domain controller), был представлен в Windows Server 2008. Основная задача, которую преследует технологией RODC, возможность безопасной установки собственного контролера домена в удаленных филиалах и офисах, в которых сложно обеспечить физическую защиту сервера с ролью DC. Контроллер домена RODC содержит копию

Подробнее »

Репликация групповых политик

Репликация групповой политики в Active Directory контролируется двумя различными механизмами репликации: FRS и репликацией Active Directory. Попробуем поговорить об этих технологии поподробнее. Групповые политики стали важным и удобным инструментом  управления парком ПК и серверов в Active Directory, в связи с чем системный администратор должен разбираться в тонкостях работы групповых политик

Подробнее »

ADPREP в Windows Server 2008

Прежде чем вы cможете поместить контроллеры домена на Windows Server 2008 в существующий домен Windows 2000 или Windows Server 2003, вы должны подготовить лес и домен с помощью утилиты ADPREP. Adprep.exe это инструмент командной строки, который расширяет схему Active Directory и обновляет разрешения, необходимые для подготовки леса и домена к работе с 

Подробнее »

Подготовка домена для установки контроллера домена на Windows Server 2008 R2

Перед установкой первого контроллера домена на Windows Server 2008 R2  в существующий домен (Windows 2000, Windows Server 2003 или Windows Server 2008), вы должны подготовить лес и домен Active Directory. Это делается путем запуска утилиты ADPREP. С этой утилитой вы могли познакомится в статье: обновление домена Active Directory в Wndows 2008. ADPREP расширяет

Подробнее »

Как узнать текущую версию схемы AD в Windows Server 2003/2000

В этой статье расскажу вам о том, как можно определить текущую версию схемы AD в Windows Server. Я уже писал про такой способ, применяемый при обновлении Active Directory до 2008 R2. Для определения версии текущей схемы Active Directory, вы можете использовать один из следующих методов: Примечание: внутренний корневой домен, который мы используем в этой

Подробнее »

Отслеживание изменений в группах Active Directory

Вопрос аудита изменений в Active Directory весьма актуален в больших доменных инфраструктурах, в которых права на различные компоненты управления Active Directory делегированы широкому кругу лиц. В одной из предыдущих статей мы в общем поговорили об существующих настройках групповых политик, позволяющих вести аудит изменений в Active Directory, Сегодня мы рассмотрим методику ведения

Подробнее »

Группа защищенных пользователей Active Directory

В версии Active Directory, представленной в Windows Server 2012 R2, с целью повышения уровня защищённости безопасности привилегированных учетных записей появилась новая глобальная группа безопасности — Защищенные пользователи (Protected Users). Предполагается, что члены этой группы получают дополнительный уровень ненастраиваемой защиты против компрометации учетных данных во время выполнения процедуры проверки подлинности. На членов этой

Подробнее »

Получение списка учетных записей AD, созданных за последние 24 часа

Отдел информационной безопасности поставил задачу разработки простейшей системы аудита, которая должна ежедневно выгружать статистику об учетных записях Active Directory, созданных за последние 24 часа, а также информацию о том, кто создал эти учетные записи в домене. Powershell скрипт получения списка недавно созданных пользователей в Active Directory Для получения списка пользователей

Подробнее »

Оповещение при добавлении пользователя в группу Active Directory

Рассмотрим на примерах процесс создания простой системы оповещения администартора о добавлении нового пользователя в группу безопасности Active Directory. К примеру, мы хотим отслеживать изменение группы администраторов домена, и в случае добавления в нее нового пользователя получать соответствующее уведомление (письмом или всплывающим окошком). Есть два варианта организации такого решения: Можно включить

Подробнее »

Отключение NTLM аутентификации в домене Windows

NTLM (NT LAN Manager) – это довольно старый протокол аутентификации Microsoft, который появился еще в Windows NT. Несмотря на то, что еще в Windows 2000 Майкрософт внедрила более безопасный протокол аутентификации Kerberos, NTLM (в основном это NTLMv2) широко используется для аутентификации в Windows сетях до сих пор. В этом статье мы

Подробнее »

Смена пароля пользователя в AD из PowerShell

В этой статье мы рассмотрим, как изменить (сбросить) пароль одного или сразу нескольких пользователей Active Directory из командной строки PowerShell с помощью командлета Set-ADAccountPassword. Большинство администраторов привыкли выполнять смену (сброс) паролей пользователей в AD через графическую оснастку dsa.msc (Active Directory Users & Computers — ADUC). Для этого нужно найти учетную запись пользователя в AD

Подробнее »

Поиск заблокированных, отключенных и неактивных объектов в AD с помощью Search-ADAccount

Довольной частой задачей, которую приходится выполнять администратору Active Directory, является формирование списков отключенных или неактивных учетных записей и компьютеров, либо списков учеток с просроченными паролями. Для этого можно использовать как сохраненные LDAP запросы в консоли ADUC, так и уже знакомые нам командлеты PowerShell Get-ADUser, Get-ADObject или Get-ADComputer, однако создание правильного фильтра для данных команд может

Подробнее »