Сравнение групп AD
Иногда это превращается в сложную задачу, когда вам нужно сравнить две группы AD и найти ту, в которой отсутствует один пользователь из-за того, что несколько пользователей добавлены в определенные группы. Я создал простой скрипт, чтобы сэкономить время, поэтому делюсь им с вами.
Как это работает
Сценарий сравнивает 2 предоставленные группы и показывает, чего не хватает в этих двух группах. Если значение показывает “==”, значит пользователь есть в обеих группах, если “=>” или “<=”, значит некоторые пользователи отсутствуют в одной из групп.
Вероятный результат
С помощью скрипта вы узнаете, какой пользователь отсутствует или какая группа безопасности отсутствует.
Compare ad groups Powershell Scripts
$group1 = read-host "Enter group 1" $group2 = read-host "Enter group 2" $a= get-adgroupmember -identity $group1 |select -expandproperty Name $b= get-adgroupmember -identity $group2 |select -expandproperty Name compare $b $a -includeequal
Через файл ntuser.dat
Каждый раз, как пользователь входит в систему все его настройки загружаются из файла ntuser.dat, который находится в домашнем каталоге ‘C:\Users\UserName\’. При выходе из системы все настройки записываются в этот же файл. То есть мы можем получить имя пользователя по дате изменения этого файла.
В этом примере вернутся все каталоги пользователей:
Получим даты изменения файлов ‘ntuser.dat’:
Извлечем из пути имя пользователя и уберем лишние колонки:
Как вы знаете к большинству компьютеров можно подключится используя следующие пути:
Это же мы можем использовать с командой Get-ChildItem. Соединим все это в функцию:
Далее мы можем использовать команду в таких вариациях:
Ключ ‘-ErrorAction SilentlyContinue’ нужен для игнорирования ошибок связанных с выключенными компьютерами. Если его не написать вы получите ошибки формата:
Get-ChildItem : Cannot find path ‘\\CL2\C$\Users\’ because it does not exist.
Отмечу несколько моментов:
- В отличие от первого скрипта Get-ChildItem может принимать массивы. Изменив строки на массивы вы можете немного ускорить работу скрипта. То есть вы можете написать
«Get-Childitem -Path ‘\\Computer1\C$\Users’, ‘\\Computer2\C$\Users’ «; - LogoffDate — это отдельный тип данных даты и времени, а это значит, например, что мы можем увидеть кто вышел за последний час/сутки. Пример будет ниже.
- Если вы выполняете команды типа ‘Invoke-Command’ (удаленные команды) — они тоже могут изменить файл ntuser.dat. То есть вы возможно захотите исключить часть пользователей из финального списка. Пример ниже.
Представим, что мы захотим сформировать список из тех пользователей, которые выполнили выход за последний час. Это можно сделать так:
Исключить пользователей мы можем так же:
Экспорт для Excel аналогичен предыдущему примеру:
Вам так же будет интересно:
Добавление сервера в домен
Добавление сервера в домен, смена IP – это большая задача, которая иногда становится утомительной, так почему бы не автоматизировать ее. Скрипт работает безупречно и без каких-либо заминок. Это отличный вариант в категории скриптов Active Directory Powershell.
Как это работает
Обычно скрипт просит предоставить IP контроллера домена, что является главным требованием при добавлении сервера в домен. После этого он обычно просит указать имя домена, например xyz.com, и перезагружает сервер без предварительного запроса.
Вероятный результат
После запуска этого скрипта первым делом войдите в систему с доменными учетными данными, чтобы проверить, можете ли вы войти в систему или нет.
Adding Servers into Domain Powershell Scripts
## Pre-requisite:- #1). Update the Primary DNS IP in the Network adapter before joining server\machine to domain by running below cmd. ## For single server\machine to be added to domain. set-DnsClientServerAddress-InterfaceIndex 2 -ServerAddresses ("Primary DNS IP address") set-DnsClientServerAddress -InterfaceAlias Ethernet -AddressFamily IPv4 |Select-Object ServerAddresses #Once DNS IP is updated, then execute below cmd. Add-Computer -ComputerName $computers -Domain "YourDomainName" -Restart #Give your domain credentials in the credential request window. *************************************************************************************************************************************** ## For multiple server\machine to be added to domain. set-DnsClientServerAddress -InterfaceIndex 2 -ServerAddresses ("Primary DNS IP address") set-DnsClientServerAddress -InterfaceAlias Ethernet -AddressFamily IPv4 |Select-Object ServerAddresses #Once DNS IP is updated on machines, then execute below cmd. $computers = Get-Content -Path c:\test\desktop\computers.txt Add-Computer -ComputerName $computers -Domain "YourDomainName" -Restart #Give your domain credentials in the credential request window.
Отчет по неактивным пользователям
Во время аудита вам будет предложено предоставить список пользователей, которые не используют свои компьютеры или не заходят в систему в течение определенного периода времени, так вот, этот скрипт делает то же самое и значительно упрощает задачу.
Как это работает
Скрипт собирает данные о тех, кто не заходил в систему в течение определенного времени, например, 90 дней, и отправляет нам почту. Убедитесь, что у вас указан правильный SMTP, чтобы вы могли получать почту.
Вероятный результат
Скрипт покажет вам результаты неактивных пользователей, которые не заходили в систему в течение указанного периода времени.
AD-InActive Users Report-90 Days Powershell Scripts
#Imports active directory module to only current session Import-Module activedirectory #Get-Date gives the present date in the server and is assigned to the variable presentdate $presentdate= Get-Date #User names whose lastlogondate is less than the presentdate-90days and those usernames are given to the variable output $output=Get-ADUser -Filter * -Properties lastlogondate | Where-Object {$_.lastlogondate -lt $presentdate.adddays(-90)} | select name #This output is exported to a .csv file $output | Export-Csv C:\inactiveusers.csv -NoTypeInformation #This prints the users who are inactive by taking from the output Write-Host "The following users are inactive : " -ForegroundColor DarkYellow $output
Как работать с редактором локальной групповой политики
Редактор локальной групповой политики разделен на две панели: левая панель содержит параметры локальной групповой политики , отображаемые в категориях, а правая панель — содержимое активной категории. Политики локальных групп подразделяются на два больших раздела:
- Конфигурация компьютера — содержит параметры локальной групповой политики , которые управляют политиками, которые применяются ко всему компьютеру, независимо от того, вошли ли пользователи или пользователи.
- Конфигурация пользователя — содержит параметры локальной групповой политики , которые контролируют пользовательские политики. Эти политики применяются к пользователям, а не ко всему компьютеру. Хотя это выходит за рамки данного руководства, вы должны знать, что пользовательские политики применяются для пользователей независимо от того, с какого компьютера из вашей сети они входят в систему.
Категории «Конфигурация компьютера» и «Конфигурация пользователя» разделены на три раздела:
- Настройки программного обеспечения — содержит политики программного обеспечения и, по умолчанию, оно должно быть пустым.
- Настройки Windows — содержит настройки безопасности Windows. Это также место, где вы можете найти или добавить сценарии, которые должны запускаться при запуске или завершении работы Windows.
- Административные шаблоны — имеет множество настроек, которые управляют многими аспектами работы вашего компьютера. Это место, где вы можете видеть, изменять и даже применять всевозможные настройки и правила. Чтобы дать вам несколько примеров, вы можете управлять работой панели управления, сети, меню «Пуск» и панели задач, а также тем, что пользователи могут изменять при их использовании.
Основы работы с редактором локальной групповой политики в ОС Windows 10
Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.
Изменять групповые политики можно с помощью Редактора локальной групповой политики.
В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.
- Политики для настройки встроенного брандмауэра Windows;
- Политики для управления электропитанием;
- Политики для настройки панели управления, панели задач и др.
- Политики для настройки антивирусной защиты;
- Политики для управления подключаемых устройств;
- Политики для настройки штатных средств шифрования
- Политики для настройки штатного браузера;
- Политики для настройки беспроводных сетей и многое многое другое.
Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.
Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.
Рис.1 Окно Выполнить
Оснастка Локальная политика безопасности входит в состав оснастки Редактор
Для удобства можно добавить ярлык оснастки на рабочий стол. Для этого необходимо открыть C:\Windows\System32, выбрать правой клавишей мыши gpedit и отправить ярлык на рабочий стол.
Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики
Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.
Запуск программы через Групповые политики
Здравствуйте. Есть такая проблема: Пытаюсь запустить программу через групповую политику, авторизованный пользователь не является администратором. Я под админом создаю в групповой политики назначенную задачу на определенное время, запуск программ. Так как задача для Win7, то в поле использовать учетную запись прописано LogonUser, я так же устанавливаю галочку использовать наивысшее права. Но программа все равно не запускается. В чем может быть проблема?
Добавлено через 4 часа 43 минуты Все это делается на разных машинах, то есть задачу я создаю на windows server 2008 а применяется задача на другой машине под windows 7. Данная программа лежит в расшаренной папке, то есть я в задаче указываю сетевой путь, к которому имеет доступ пользователь с компа под win7, но программа не запускается. Подскажите в чем проблема или где посмотреть лог задача(не саму библиотеку задач а типо журнала windows)?
Распространение определенной dll через групповые политики (msi)Всем доброго времени суток! Ситуация: Есть папка с моим самописным модулем для одной программки.
Настройка прав доступа к файлу в системной папке через групповые политикиДоброго дня! Подскажите, пожалуйста, как с помощью GPO настроить доступ к файлу в директории.
Групповые политикиПервый раз настраиваю доменную сеть. Увидел расшаренную папку SYSVOL и закрыл к ней общий доступ.
Групповые политики AD 2008 R2Здравствуйте! Есть сервер 2008 R2, AD. 30 компьютеров. Все пользователи состоят в группе.
Вы не задачу создаете, а политику, так?
2008 создает политику, которая накатывается на 7 и выполняется. Задача создается при помощи taskschd.msc.
Программа в share всегда доступа? Пароль при входе в ресурс запрашивается, или сразу пропускает.
Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.
Не работают групповые политикиВ поисковиках внятного решения так и не нашел. Тупо выходит Я вхожу под именем администратора.
Групповые политики и драйвера флешекДобрый день! На компьютерах локальными групповыми политиками был включен параметр : «Запретить.
Не примеряются групповые политики в Windows 8.1Добрый день! Столкнулся с проблемой, не применяются групповые политики в Windows 8.1 AD.
Автоматическое удаление спящих сеансов на сервере 1С
При нештатном завершении клиентской части программы 1С (конфигурации), а также если клиент долгое время не активен, то сеанс на сервере переходит в спящий режим. Далее он должен завершиться через указанное в настройках информационной базы количество времени.
Но, к сожалению, это не так. Я столкнулся с проблемой, когда спящие сеансы никогда не завершаются. Настраивал засыпание пассивных сеансов через 600 секунд, а их завершение через 900 секунд. Несмотря на это спящие сеансы висят часами. Это побудило к написанию программы, которая запускается по расписанию планировщиком Windows и удаляет спящие сеансы на всех указанных администратором серверах 1С.
1 стартмани
30.08.2016
28396
76
Gasanov.talib
22
22
Запуск скриптов в Windows Server 2012 R2 Windows 8.1 и выше
Это еще один подводный камень. По умолчанию, в версиях 2012 R2 и Windows 8.1 скрипты компьютера на запуск – имеют задержку на выполнение в 5 минут.
Чтобы это исправить необходимо скорректировать еще один пункт в политике безопасности.
Теперь необходимо создать Централизованное хранилище политик. На контроллере домена скопировать папку PolicyDefinitions целиком из %systemroot% в папку %systemroot%sysvoldomainpolicies
Затем скопировать содержимое из папки C:Program Files (x86)Microsoft Group PolicyWindows 8.1-Windows Server 2012 R2PolicyDefinitions в папку %systemroot%sysvoldomainpoliciesPolicyDefinitions В последствии эти шаблоны будут автоматически распространены и для других контроллеров домена. А вам необходимо только перезапустить оснастку редактора групповых политик.
Переходим к настройке: Конфигурация компьютера – Политики – Административные шаблоны – Групповая политика – Настроить задержку сценария входа
Включаем этот параметр и выставляем значением “0 мин”. Таким образом мы полностью отключаем задержку сценария входа.
Теперь наши скрипты будут также успешно работать и в Windows 2012 R2 и Windows 8.1 при загрузке компьютера!
Продолжение:
Также вы можете посмотреть мои обращения в Microsoft Technet, где мне успешно помогали решать эти задачи. За что коллегам отдельная благодарность!
Выполнить PowerShell скрипт при входе пользователя в Windows
Рассмотрим сценарий автоматического запуска PowerShell скрипта при входе пользователя в Windows (или при выходе).
Если вам нужно запустить скрипт не при загрузке компьютера, а после входа пользователя в Windows (для каждого пользователя компьютера), вам нужно привязать GPO к OU Active Directory с пользователями. В этом случае PowerShell нужно настроить в следующем разделе User Configuration вашей GPO
Если вы хотите, чтобы политика выполнялась для всех пользователей определенного компьютера, нужно привязать политику к OU с компьютерами и включить режим замыкания групповой политики (параметр Configure User Group Policy Loopback Processing mode в разделе Computer Configuration -> Administrative Templates -> System -> Group Policy). Если не включать режим замыкания, то параметры из раздела User Configuration не будут применены к пользователю. Подробнее об этом в статье Почему GPO не применяется к пользователю или компьютеру?
В этом примере для теста я буду использовать простой PowerShell скрипт, который пишет в текстовый лог файл время входа пользователя.
- Скопируйте файл скрипта PowerShell в каталог
на контроллере домена AD - Перейдите в раздел User Configuration -> Policies -> Windows Settings -> Scripts -> Logon;
- Перейдите на вкладку PowerShell Scripts и добавьте ваш PS1 файл скрипта (используйте UNC путь, например
); - Выполните логофф пользователя на целевом компьютере и выполните вход;
- Ваш PowerShell скрипт будет запущен автоматически через GPO при входе пользователя;
- Вы можете убедится, что логон скрипт выполнен успешно под пользователем по событию с Event ID 5018 в журнале Microsoft-Windows-GroupPolicy/Operational Event Viewer:
Completed Logon script for winitprokbuldogov in 11 seconds.
Если вы хотите, чтобы пользователь не мог получить доступ к своему рабочему столу до окончания работы скрипта, нужно включить параметр Run logon scripts synchronously = Enable (Computer ConfigurationAdministrative TemplatesSystemLogon). В этом случае explorer не закончится, пока не отработают все политики и логон скрипты (это увеличивает время входа!).
Обратите внимание, что скрипт выполняется с правами текущего пользователя. Если у пользователя есть права администратора на компьютере и на него действуют политики User Account Control (UAC), PowerShell скрипт не сможет внести изменения, требующие повышенных привилегий
Для запуска PowerShell скриптов с привилегированными правами при входе простых пользователей, можно использовать назначенные задания планировщика. Для этого нужно:
- Создать задание Task Scheduler в разделе User Configuration -> Preferences -> Control Panel Settings -> Scheduled Task;
- На вкладке General указать что задание запускается от имени пользователя
и включите опцию
; - На вкладке Trigger укажите, что задание должно запускаться At log on;
- И на вкладке Actions укажите путь к вашему PowerShell скрипту:
Action: Start a programProgram/Script:Add Arguments (optional):
Такой PowerShell скрипт будет запускаться с правами администратора (если пользователь добавлен в группу локальных администраторов Windows).
Трюк 6. Используем переменные среды
Когда начинаешь мучить групповые политики, то приходит осознание, что для создания защищенной системы потребуется попотеть. Дело трудное и с большим количеством тонкостей. Например, разработчики предлагают админам использовать удобный хинт — указывать переменные среды в качестве путей для ограничений SRP. Да вот здесь проблема. У пользователя, если их жестко не прищучить, есть возможность их переопределять. Указал, например, админ, что из папки %TEMP% можно запускать exe’шники, а юзер взял да и переопределил следующей командой:
Set TEMP C:
И вот так просто получил возможность запускать файлы из корня C:. Кроме того, не стоит забывать про стандартные директории, из которых разрешен запуск exe-файлов:
- %HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionSystemRoot%
- %HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionSystemRoot%*.exe
- %HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionSystemRoot%System32*.exe
- %HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionProgramFilesDir%
Они разрешают запуск ПО только из папки Windows и Program Files для пользователей. У обычного пользователя нет возможности записи в них, но и здесь могут быть проблемы. Так как на самом деле права на запись у пользователя есть — по дефолту в папку C:windowssystem32spoolPrinters и C:windowstemp. Если у пользователя будет возможность писать в какой-то каталог с софтом, то, считай, соответствующие политики SRP уже не сработают. Кстати, для того чтобы на практике поверить, какие у пользователя есть права, поможет тулза — AccessChk от все того же Руссиновича.
Настройка регламентных работ на SQL сервере + (сбор данных по работе SQL и т.д)
Тема не новая, вариантов найти можно массу. Последнее время появляются статьи с очень подробным описанием, что-то из этого не встречал за всю практику работы с 1С.
Фактически эта публикация как памятка основной части 1С-ников, что не имеют глубоких знаний по SQL и 1С. Это готовая инструкция по настройке обслуживания БД на сервере ля большинства мелких и средних компаний\баз.
Но бывают случаи поломок баз данных, поэтому приложен материал и для таких случаев, например, восстановление БД после обновления не очень удачного, и некоторые другие плюшки.
1 стартмани
12.09.2016
32213
30
izidakg
19
53
Трюк 2. Как происходит проверка политик?
Важно понимать, на каком этапе происходит сопоставление действия, которое хочет выполнить пользователь, с теми ограничениями групповых политик, которые на него накладываются. Сперва давай разберемся, где расположены политики
Изначально, конечно, на контроллере домена, откуда уже передаются на машины в локальной сети. После получения групповых политик на клиентской машине они сохраняются в реестре винды в следующих местах (приведены основные ветки):
Политики для компа:
- HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionPolicies
- HKEY_LOCAL_MACHINESoftwarePolicies
Политики для пользователей:
- HKEY_CURENT_USERSoftwareMicrosoft WindowsCurrentVersionPolicies
- HKEY_CURENT_USERSoftwarePolicies
Когда запускается какой-то процесс, то в нем (то есть в userspace’е) производится проверка данных веток реестра (через подгруженную библиотеку advapi.dll) на те или иные ограничения, которые потом кешируются/сохраняются в памяти процесса. Они проверяются, когда пользователь выполняет какое-то действие, например запуск ПО. В чем подвох? В том, что контроль производится из самого процесса. То есть если процесс «не захочет» проверять политики, то ничто его не заставит их соблюдать. Никакого общего мониторинга не производится! Отсюда вывод: если мы каким-то образом сможем запустить произвольный процесс, то политики нам уже не страшны. Сделать как правило — не проблема. Даже если нет возможности закачать программу на хост, можно выполнить ее удаленно (например, через шару).
Трюк 3. Обходим SRP
Увы, дальше на нашем пути возникает другой механизм ограничений — SRP (Software Restriction Policies). Это группа политик, с помощью которых админ может ограничить список ПО, которое может запускать пользователь, через черный и белый списки. Blacklist и Whitelist определяются с помощью правил, которые можно задавать несколькими способами: по зонам и по сертификатам (первые два варианта практически не используются), а также по пути до файла и по его хешу. О том, что в системе действуют политики SRP, указывает соответствующий пункт в реестре — HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft WindowsSafer CodeIdentifiersTransparentEnabled со значением большим 0, который, как уже было сказано выше, проверяется при запуске процесса. Наша задача, соответственно, отрубить эту проверку внутри запускаемого процесса. Марк Руссинович еще в далеком 2005 году опубликовал пост в блоге об обходе SRP и представил тулзу GPdisable. Она производит DLL-инъекцию в заданный процесс, подгружая специальную DLL’ку. Когда процесс попытается получить значение ключа реестра HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsSafer CodeIdentifiersTransparentEnabled , то есть будет проверять присутствие политик SRP, данная библиотека перехватит запрос и возвратит STATUS_OBJECT_NAME_NOT_FOUND. Таким образом, процесс думает, что все ОК и SRP политики в системе не действуют. После покупки компании Sysinternals Майкрософтом GPdisable перестал был официально доступным (но его по-прежнему легко найти в Сети. Есть еще более продвинутые решения. Утилита GPCul8or от Eric’a Rachner’a выполняет аналогичные функции, но доступна в исходниках. Что это нам дает? Мы можем добавить в GPCul8or любые другие значения реестра винды (DisableTaskMgr, ProxySettingsPerUser к примеру) и таким образом обойти все возможные ограничения политик. Какие именно значения, спросишь ты. Тебе в помощь RegMon от Марка Руссиновича, хотя, по сути — это все значения из ветки Policies. Другой оригинальный способ в своем блоге опубликовал Дидье Стивенс. Используя свою тулзу bpmtk (Basic Process Manipulation Tool Kit), он предложил прямо в памяти процесса изменять значение необходимого для групповой политики ветки реестра.
Как изменить имя системы и IP-адрес в сети управления доменом?
1. Переименуйте имя системы
1.1. Использование свойств системы
- Загрузите средства удаленного администрирования сервера.
- Запустите установщик.
- Прочтите и примите лицензию и нажмите Принимаю.
- После завершения установки откройте инструмент RSAT.
- На стартовом экране нажмите «Диспетчер серверов».
- Нажмите «Изменить свойства системы».
- Перейдите на вкладку Имя компьютера и нажмите Изменить.
- Нажмите кнопку OK, чтобы подтвердить переименование.
- В поле «Имя компьютера» введите желаемое имя.
- Нажмите ОК.
1.2. Использование нетдома
- Откройте меню «Пуск».
- Запустите командную строку от имени администратора.
- Выполните приведенную ниже команду и нажмите Enter.
- <Текущее имя компьютера>: введите текущее или основное полное DNS-имя компьютера, который вы переименовываете.
- <Новое имя компьютера>: введите полное DNS-имя для переименовываемого компьютера.
- Введите приведенную ниже команду, чтобы присвоить новое имя вашему ПК, и нажмите Enter.
- Перезагрузите компьютер.
- После перезагрузки ПК откройте CMD.
- Выполните приведенную ниже команду.
Мы показали вам два способа изменения имени системы, т.е. один с использованием системных свойств, а другой с помощью Netdom.
Обратите внимание, что какой бы метод вы ни выбрали, вам необходимо обновить объект FRS и обновить объект-член репликации DFS
2. Обновите объект члена FRS.
- Откройте меню «Пуск».
- Откройте Инструменты Windows.
- Выберите Пользователи и компьютеры Active Directory.
- Нажмите «Дополнительные функции» в меню «Вид».
- Разверните узел домена, Система, Служба репликации файлов и Системный том домена (общий ресурс SYSVOL).
- Объекты под томом системы домена (общий ресурс SYSVOL) являются объектами-членами FSR, найдите объект, который показывает старое имя контроллера домена.
- Щелкните правой кнопкой мыши объект FRS Member и выберите Rename.
- Введите новое имя контроллера домена.
3. Обновите объект-член репликации DFS.
- Откройте меню «Пуск».
- Откройте Инструменты Windows.
- Выберите Пользователи и компьютеры Active Directory.
- Нажмите «Дополнительные функции» в меню «Вид».
- Разверните узел домена, System, DFSR-GlobalSettings, Domain System Volume и Topology.
- Найдите объект <DomainControllerName>, показывающий старое имя контроллера домена.
- Щелкните правой кнопкой мыши объект msDFSR-Member и выберите «Переименовать».
- Введите новое имя контроллера домена.
4. Измените IP-адрес контроллера домена.
1. Нажмите клавишу Windows на клавиатуре или нажмите кнопку «Пуск» на панели задач, чтобы открыть меню поиска.
2. Введите cmd в поле поиска и щелкните правой кнопкой мыши первый результат, затем выберите «Запуск от имени администратора».
3. Напишите приведенную ниже команду и нажмите Enter, чтобы удалить все кэшированные записи DNS, созданные локальным DNS-сервером:
4. Выполните приведенные ниже команды одну за другой и нажмите Enter:
5. Теперь выполните приведенную ниже команду, чтобы убедиться, что новый IP-адрес зарегистрирован DNS-сервером:
6. Наконец, выполните приведенную ниже команду, чтобы обновить записи имени субъекта-службы (SPN):
IP-адрес контроллера домена можно легко изменить с помощью встроенного командного инструмента, известного как командная строка или cmd. Все, что вам нужно сделать, это ввести в него несколько команд, и инструмент сделает всю работу за вас.
Является ли контроллер домена таким же, как Active Directory?
Мы не будем давать вам сложные термины, так как хотим, чтобы вы легко их понимали. Active Directory похожа на базу данных. Он хранит информацию о пользователях и компьютерах как об объектах.
С другой стороны, контроллер домена — это служба, которая запускает Active Directory и использует данные, хранящиеся в AD, для аутентификации и предоставления доступа пользователю. Примечательно, что контроллер домена или контроллер домена управляет политиками безопасности Windows NT или Windows Server.
Таким образом, самый простой способ запомнить разницу между Active Directory и DC заключается в том, что Active Directory обрабатывает вашу идентификацию и доступ к безопасности, с другой стороны, контроллеры домена аутентифицируют ваши полномочия.
Трюк 6. Используем переменные среды
Когда начинаешь мучить групповые политики, то приходит осознание, что для создания защищенной системы потребуется попотеть. Дело трудное и с большим количеством тонкостей. Например, разработчики предлагают админам использовать удобный хинт — указывать переменные среды в качестве путей для ограничений SRP. Да вот здесь проблема. У пользователя, если их жестко не прищучить, есть возможность их переопределять. Указал, например, админ, что из папки %TEMP% можно запускать exe’шники, а юзер взял да и переопределил следующей командой:
И вот так просто получил возможность запускать файлы из корня C:. Кроме того, не стоит забывать про стандартные директории, из которых разрешен запуск exe-файлов:
Они разрешают запуск ПО только из папки Windows и Program Files для пользователей. У обычного пользователя нет возможности записи в них, но и здесь могут быть проблемы. Так как на самом деле права на запись у пользователя есть — по дефолту в папку C:windowssystem32spoolPrinters и C:windowstemp. Если у пользователя будет возможность писать в какой-то каталог с софтом, то, считай, соответствующие политики SRP уже не сработают. Кстати, для того чтобы на практике поверить, какие у пользователя есть права, поможет тулза — AccessChk от все того же Руссиновича.