Ответы пользователя по тегу Active Directory
  • Как правильно настроить DNS сервер в Active Directory?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Если это единственный домен контроллер, то он должен смотреть на свой IP адрес в настройках DNS клиента. Если нет - на IP адрес другого домен контроллера со службой DNS (если их, например, два - то они должны смотреть друг на друга. Три - каждый смотрит на два других. Но не стоит забывать, что при привязке по AD сайтам или нахождении в лесу, DNS резолвинг в домене может быть более усложнён, лучше изучить тему, погрузившись в документацию AD - внутренний DNS AD важен для правильного функционирования)

    Соответственно в DNS сервере(серверах) должны быть настроены форвардеры на DNS провайдера + какой-нибудь публичный
    На территории РФ я бы рекомендовал Яндекс, а за пределами - google или cloudflare. Что прописывать в форвардерах - ваше решение, можете хоть всё туда вбить вне зависимости от местонахождения
    Внутренним ПК необходимо отдавать адрес только AD контроллера(ов) и следить за работоспособностью DNS службы на серверах

    про sysvol и netlogon
    Ответ написан
    4 комментария
  • Как запустить bat-файл с правами администратора ДО входа пользователя в систему?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Вы не указали вашу версию Windows и какое именно VPN решение вы используете.

    в Windows 10, но по сообщениям такое же поведение было доступно и в предыдущих версиях Windows, VPN соединение возможно сделать доступным на экране входа.
    В случае VPN соединений созданных средствами Windows их надо создавать с флагом "доступны для всех пользователей".
    В Windows 10 это возможно только средствами powershell коммандлета add-vpnconnection( или set-vpnconnection если соединение уже создано.). В предыдущих версиях OS такой флаг был доступен в интерфейсе создания VPN соединения.
    После создания такого соединения и перезагрузки на экране логина появится значок двойного монитора - это и есть VPN соединение.
    Я сейчас протестировал следующую ситуацию:
    - ПК введен в домен но находится удаленно и до установки VPN соединения не имеет доступа к домену (по вашему описанию у вас так же)
    - Доменный пользователь с урезанными правами, административные права есть у локального пользователя (мне доступны оба набора кредов, в любом случае пользователь с административными правами на ПК понадобится и вам)
    - powershell (версии 7.0, если быть более точным. Скорее всего это не важно - справится и имеющийся в системе Posh) запущен под локальным пользователем с правами админа, но на машину залогинен пользователь без прав (доменный). Только при условии запуска под локальным админом доступна возможность создать соединение для всех пользователей. Может быть, можно и просто под админом залогиниться для осуществления этой единичной операции
    - Выполнен Posh скрипт создания VPN подключения (содержащий флаг -AllUsersConnection ). Если ни разу не писали скрипты - смотрите примеры
    - Перезагрузка
    - На экране логина появляется значок двойного монитора при нажатии на который предлагается ввести логин-пароль пользователя для этого VPN

    Если вы используете альтернативный клиент для VPN (OpenVPN и т.п) задача подъема такого ВНП лежит уже на самом клиенте - Windows такое не будет обрабатывать

    UPD: Я ответил не на вопрос, а предложил решение проблемы которую вы описали в тексте. Дополнительно совсем забыл написать что маршрут в Windows можно прописывать автоматически при поднятии соединения c помощью коммандлета Add-VpnConnectionRoute

    UPD2: Ответ на вопрос в заголовке: Для запуска батника с правами администратора используйте TaskScheduler задачу с правами LocalSystem или NetworkSystem. Почитать что они такое и чем отличаются
    Ответ написан
    Комментировать
  • Как обьединить две доменных сети?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Ваш вопрос вызывает больше вопросов чем желаний дать ответ, FYI
    Вопросы:
    1. Объединены ли в сетевом плане облачная сеть и офисная, если да то кто виноват зачем?
    2. В вопросе присутствуют
    - SQL: вообще не давать доступа никому кроме админов и приложения, логины обязательно отдельные от офисной сети
    - Exchange: Вообще никому не давать доступ, кроме админов. Все пользовательские интерфейсы работы с Exchange - внешние.
    - Служба терминалов: Вот тут (спорное утверждение) можно бы логиниться под офисными логинами, однако:
    Exchange интегрирован с AD domen2, его логины для почты будут отдельными.
    Если все равно есть отдельные логины - то и в службе терминалов так-то особо не стоит интегрироваться.

    В общем и целом из вашего вопроса я не вижу причин для объединения доменов, так что если отвечать на "как правильно функционально" - ответ,наверное, будет: "не надо объединять"
    Но если вам настолько хочется снизить безопасность сети с БД, приложением(1с наверное какой-нибудь) и почтой - дерзайте: объединяем подсети site2site VPN-ом, настраиваем траст, как написал hint000 , надеемся на авось надеемся на авось.
    Ответ написан
    Комментировать
  • Как произвести массовую смену паролей AD?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    get-help get-content -examples
    $users = get-content file1.txt
    считывает построчно ваш файл в переменную $users
    каждую строку из файла можно адресовать по индексу в цикле for
    get-help about_for -examples
    for ($counter = 0; $counter -le $users.length;$counter +=1;) {write-host $users[$counter] }
    Так как у вас файлы c одинаковым количеством строк то $passwords[$counter] даст соответствующий пароль внутри цикла, если считать файл паролей в переменную $passwords
    Ответ написан
    Комментировать
  • Как присвоить имя учетной записи windows к учетной записи почтового ящика в outlook?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    SyavaSyava отчасти прав.
    Но вы просто не понимаете задачу.
    Вам нужно средствами домена законфигурить клиентское приложение Outlook.
    средствам групповых политик - ищите шаблоны групповых политик для MS Office вашей версии
    Ответ написан
    Комментировать
  • Active directory для windows фича чисто для локальной сети?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Поясните, что вы имеете в виду под "вне локальной сети"?
    AD - изначально, это реализация Службы Каталогов от MS.
    Зачем службе каталогов существовать вне локальной сети?
    Ответ написан
    5 комментариев
  • Удаленный помощник администрирования Windows как добавить в AD?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    сбор файлов доступа... бррр
    Обратите внимание на ответ Денис
    Он предложил единственно правильную реализацию использования удалённого помощника в рамках Active Directory. Со ссылками как и что настроить. Соответственно,на клиентах все настройки делаются, в том числе и все службы включаются, через gpo.
    На пользовательских машинах должна работать служба "Диспетчер сеанса справки для удаленного рабочего стола".
    - неактуально, настраивается через GPO.
    Приведенные Денис примеры запуска из командной строки - для "админской" части, соответственно достаточно один раз создать ярлык у себя (в зависимости от того какую ОС используете).
    Для 8 и 10 - точно как и в 7-ке. msra /offerra
    В 10-ке есть еще какое-то приложение "быстрая помощь" - судя по тому что я вижу это реализация такой же консоли подключения удалённого помощника, но, судя по тому что я пробовал - просит залогиниться в учетную запись microsoft - для внедоменной помощи.
    Обратите только внимание, что вы не получите доступ к рабочему столу без пользователя - это именно что помощник а не средство подключения ( или контроля ) удаленного консольного сеанса в windows.
    Ответ написан
    Комментировать
  • Как установить средствами GPO только не установленные программы?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    установка софта средствами gpo - вещь рекомендуемая только в очень крайнем случае.
    Освойте менеджмент софта средствами chocolatey или
    windows package manager
    Последний доступен, если у вас установлен Windows Management Framework 5 - по дефолту в windows 10. В остальные ОС необходимо ставить указанный пакет.
    Как добавить менеджер пакетов chocolatey написано на соответствующем сайте.

    Соответственно установка софта выглядит так :
    chocolatey: choco install 7-zip,googlechrome,adobereader,k-litecodeckpackmega -y
    менеджер пакетов : '7-zip','googlechrome','adobereader','k-litecodeckpackmega' | foreach {install-package $_ -force}
    по сути используется один и тот же репозиторий - chocolatey, просто в WMF5 Microsoft добавили его как один из известных репозиториев пакетов.
    Можно пихать в логон скрипты, например.
    Если софт установен - он не поставится еще раз.
    есть опции для апдейта софта.
    chocolatey : choco upgrade all
    для менеджера пакетов несколько сложнее :D

    Если хочется зафиксироваться на одной версии ПО - при установке можно указывать желаемую версию (из доступных в репозитории)

    Ну и рулить можно всем с одной управляющей машины по WINRM (потребуется настройка политик в домене).
    Если опасаетесь что нужный софт пропадёт из chocolatey - на сайте chocolatey.org есть описание как поднять свой репозиторий (в том числе и в виде простой общей папки), как готовить пакеты для своего репозитория и тд и тп.
    Ответ написан
    1 комментарий
  • Как отдебажить Get-ADUser?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    добавьте -erroraction silentlycontinue
    А вообще не стоит искать пользователей сразу по всему AD
    ограничивайте область применения searchbase-ом
    Или у вас в AD кавардак и пользователи создавались где угодно?
    Ответ написан
  • Почему не доходят письма на почты, у которых домен совпадает с внутренним доменом AD?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    а почта @company.com на яндексе знает о вашей новой собственной почте вообще?
    Ответ написан
    6 комментариев
  • Как работает контроллер доменов с каталогами AppData\Local, AppData\Roaming, ProgramData?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    контроллер домена никак не работает с данными папками.
    То что вы описываете - групповые политики и перемещаемые профили в домене.
    Соответственно, как правило, для конкретного пользователя в appdata\local хранятся неперемещаемые данные приложений а в appdata\roaming - перемещаемые.
    в programdata - данные приложений, общие для всех пользователей данного компьютера.
    А где что хранить - определяйте сами, в зависимости от необходимости перемещать данные на другой компьютер, а так же размеров данных вашего приложения.
    Ответ написан
  • Аутентификация в сети предприятия по учетной записи пользователя и компьютера в домене?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    xgu.ru/wiki/NAC#802.1X
    а вообще читайте по теме Network access control и network access protection

    сетевики скорее всего более подробно расскажут про настройки оборудования(или хотя бы ткнут носом где копать) - я в проекте настраивал только NAP на windows 2008 =)
    Ответ написан
    4 комментария
  • Как снять показания smart с компьютеров в домене?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    blogs.msdn.com/b/san/archive/2011/08/11/have-you-e...
    также гуглим powershell remoting
    пишем скриптик (время есть) и собираем статистику :D
    Ответ написан
    Комментировать
  • Можно ли настроить сервер AD без DNS и DHCP?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    обслуживать Active Directory, DNS должен свой собственный.
    Чтобы использовать днс на микротике, просто поставьте в настройках форвардеров в днс ваш микротик.
    Однако на клиентах должен быть ДНС контроллера домена.
    Ответ написан
    Комментировать
  • Как заставить компьютервы видеть домен на Windows 2000?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    расследуйте работоспособность DNS в домене
    Ответ написан
    1 комментарий
  • Как правильно восстановить виртуалку с AD сервером на борту?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Вообще, вы второй контроллер держите именно затем, чтобы можно было в случае падения первого перенести роли и спокойно восстанавливать.
    Имхо, восстановление из бэкапа, в данном случае, будет злом, вы получите только проблемы с репликацией данных АД.
    Лучше всего, если на поломанном кд остались какие-то важные сервисы, восстановить его без сети из бэкапа, выгрузить сервисы. Затем - переустановка(Роли на втором всё это время). После возвращения первого, роли можно и обратно.
    Если сервисов нет, только КД - спокойно все роли на второй, переустановка первого, затем разнесение ролей как нравится.
    Ответ написан
    3 комментария
  • Active Directory Domain services блокирует всех пользователей?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    troubleshooting kerberos problems

    Читаем, тщательно проверяем (даже если вы уверены что к вашей проблеме это не относится) и выполняем рекомендации.
    Ответ написан
    1 комментарий
  • Где ошибка в коде PowerShell?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    по скрипту сейчас не скажу, завтра посмотрим, если еще актуально будет вам )
    Вообще, имхо, правильнее на всех компьютерах создать задачу, привязанную к событию интерактивного входа в систему.
    Для этого не нужно пользователям давать права : запись описания будет вестись от пользователя, чьи учетные данные указаны в скрипте.
    Ну и, наверное, стоит мониторить не только входы но и выходы из системы, чтобы знать, какой пользователь последним пользовался компьютером и сломал его
    Ответ написан
    1 комментарий
  • Возможно ли задать список "неправильных" паролей для пользователей АД?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    nfire, сложность паролей - исключительно организационный вопрос.
    как правило, в нормально организованной ИТ службе, за вопрос смены паролей пользователей отвечает служба технической поддержки, и пусть пользователь сбрасывает себе пароль хоть по 100 раз на дню, оформив, конечно, заявку на сброс, установленным образом.
    Это только даст руководству пищу для размышлений на тему "а все ли в порядке с данным сотрудником".
    В конце-концов, можно расписать руководству все опасности, продемонстрировав в интернетах базы компаний (в том числе и email адресов, а это - увеличение поступающего спама).
    Ну и упирать на то, что в таком случае нужно будет сделать одного, совершенно бесправного пользователя на всех, чтобы не давать никому расширенных прав, поскольку один пароль продвинутого пользователя, в таком случае, будет гулять по всей компании и приведет к заражению вирусами (или запуску программ, вирусами не являющимися, но сильно мешающих работе как пользователей так и сети\серверов).
    В общем, запугайте начальство :D, подключив весь ваш опыт, воображение, и google.
    Главное не переборщить.

    Ах да, про личные фотографии с подключаемых смартфонов не забудьте рассказать :D которые обязательно украдут и выложат в интернет
    Ответ написан
  • Как выгрузить список заблокированных учетных записей из AD?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    подавайте результат на конвейер и коммандлетом get-aduser проверяйте выключенность учетной записи.

    upd: -properties * не нужно, я тут погорячился :D
    Ответ написан
    3 комментария