Сброс пароля администратора домена active directory

Как правильно сформировать keytab-файл с несколькими принципалами сервисов в среде active directory

Изменить пароль пользователя домена из графической консоли Active Directory

Для сброса пароля пользователя Active Directory можно использовать графическую оснастку
(Active Directory Users & Computers — ADUC). Воспользуйтесь поиском в консоли ADUC и найдите учетную запись пользователя, которому нужно изменить пароль. Щелкните по нему правой кнопкой и выберите пункт “Смена пароля” (Reset password).

Укажите новый пароль (дважды). Здесь можно включить две опции:

  • User must change password at next logon – если вы хотите, чтобы пользователь сам задал себе новый пароль при следующем входе;
  • Unlock user’s account – включите эту опцию, если вы хотите разблокировать пользователя (если учетная запись заблокирована политикой безопасности AD из-за многократных попыток входа с неверным паролем).

Это самый просто и интуитивно понятный способ сброса пароля пользователя домена.

Также в свойствах пользователя на вкладке редактора атрибутов AD вы можете найти информацию о дате последней смены пароля. Это значение хранится в атрибуте пользователя pwdLastSet.

Чтобы проверить, что у вашей учетной записи есть право на сброс пароля определенного пользователя, откройте его свойства, перейдите на вкладку Security -> Advanced -> Effective Access -> укажите имя своей учетной записи -> убедитесь, что у вас есть разрешение Reset Password.

Отключить срок действия пароля для учетной записи

Если вам нужно сделать срок действия пароля определенной учетной записи неограниченным, нужно включить опцию Password Never Expires в свойствах пользователя в AD (это одно из битовых значений атрибута UserAccountControl).

Либо вы можете включить эту опцию через PowerShell:

Можно установить флаг Password Never Expires сразу для нескольких пользователей, список которых содержится в текстовом файле:РЕКЛАМА•MEDIASNIPERhttps://yastatic.net/safeframe-bundles/0.83/1-1-0/render.html

Можно вывести список всех пользователей, для которых отключено требование регулярной смены пароля:

Сброс пароля пользователя

Сброс пароля пользователя с помощью интерфейса Windows
  1. Чтобы открыть оснастку «Active Directory — пользователи и компьютеры», нажмите кнопку Пуск, выберите Панель управления, дважды щелкните Администрирование, а затем дважды щелкните Active Directory — пользователи и компьютеры.

  2. В дереве консоли щелкните пункт Пользователи.

    Местонахождение

    Active Directory — пользователи и компьютеры\domain node\Пользователи

    Или щелкните папку, которая содержит нужную учетную запись пользователя.

  3. В области сведений щелкните правой кнопкой мыши имя пользователя, пароль которого следует переустановить, а затем выберите команду Смена пароля.

  4. Введите пароль и затем подтвердите его.

  5. Если необходимо, чтобы пользователь изменил этот пароль при следующем входе в систему, установите флажок Требовать смену пароля при следующем входе в систему.

Дополнительная информация

  • Для выполнения этой процедуры необходимо быть членом группы «Операторы учета», «Администраторы домена» или «Администраторы предприятия» в доменных службах Active Directory либо должны быть делегированы соответствующие полномочия. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду Запуск от имени.
  • Чтобы открыть оснастку «Active Directory — пользователи и компьютеры» другим способом, нажмите кнопку Пуск, выберите пункт Выполнить, а затем введите dsa.msc.
  • Службы, проверка подлинности которых выполняется по с учетной записи пользователя, необходимо сбросить, если пароль учетной записи пользователя для соответствующей службы был изменен.
  • Задачу этой процедуры можно также выполнить, используя Модуль Active Directory для Windows PowerShell. Чтобы открыть Модуль Active Directory, нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Модуль Active Directory для Windows PowerShell. Дополнительные сведения см. в статье «Сброс пароля пользователя» (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=138370). Дополнительные сведения о Windows PowerShell см. в статье о Windows PowerShell (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=102372).
Переустановка пароля пользователя с помощью командной строки
  1. Чтобы открыть командную строку, нажмите кнопку Пуск, выберите пункт Выполнить, введите cmd, а затем нажмите кнопку ОК.

  2. Введите указанную ниже команду и нажмите клавишу ВВОД.

    dsmod user <UserDN> -pwd <NewPassword> -mustchpwd {yes|no}
Параметр Описание

<DN_пользователя>

Задает различаемое имя пользователя, пароль которого будет переустановлен.

-pwd

Задает <новый_пароль>.

<новый_пароль>

Задает пароль, который заменит текущий пароль пользователя.

-mustchpwd

Задает флаг pwdExpired.

{yes|no}

Задает значение флага pwdExpired.

Для просмотра полного синтаксиса данной команды и сведений о вводе в командную строку информации учетной записи пользователя введите следующую команду, а затем нажмите клавишу ВВОД.

dsmod user /? 

Дополнительная информация

  • Для выполнения этой процедуры необходимо быть членом группы «Операторы учета», «Администраторы домена» или «Администраторы предприятия» в доменных службах Active Directory либо получить соответствующие полномочия путем делегирования. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду Запуск от имени.
  • Если пароль не назначен, при первой попытке пользователя войти в систему (с помощью пустого пароля) отобразится сообщение «Необходимо изменить пароль при первом входе в систему». Когда пользователь изменит пароль, процесс входа продолжится.
  • Службы, проверка подлинности которых выполняется по учетной записи пользователя, необходимо сбросить, если пароль учетной записи пользователя для соответствующей службы был изменен.
  • Задачу этой процедуры можно также выполнить, используя Модуль Active Directory для Windows PowerShell. Чтобы открыть Модуль Active Directory, нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Модуль Active Directory для Windows PowerShell. Дополнительные сведения см. в статье «Сброс пароля пользователя» (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=138370). Дополнительные сведения о Windows PowerShell см. в статье о Windows PowerShell (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=102372).

Как установить модуль Active Directory PowerShell в командной строке

Вы можете установить модуль RSAT-AD-PowerShell не только на Windows Server, но и на свои рабочие станции.

Если вы попытаетесь выполнить приведённую выше PowerShell команду:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" -IncludeAllSubFeature

то получите сообщение об ошибке:

Install-WindowsFeature: Целевым объектом указанного командлета не может быть клиентская операционная система Windows.

Причём независимо от того, какая у вас редакция Windows: Home, Pro, Enterprise.

Тем не менее, в Windows 10 build 1809 или новее пакет RSAT интегрирован в образ Windows (как компоненты по запросу), поэтому вы можете использовать эту команду PowerShell для установки модуля Active Directory:

Add-WindowsCapability -online -Name "Rsat.ActiveDirectory.DS-LDS.Tools"

Предыдущую команду нужно выполнять в командной строке с правами администратора.

Связанная статья: Как запустить PowerShell с правами администратора

Команды PowerShell для автоматизации Office 365

автоматизации Office 365:

1. Подключение к приложению Office 365 с помощью PowerShell

Windows PowerShell

  • Cкачайте и установите Помощник по входу в Microsoft Online Services для ИТ-специалистов, RTW.
  • Импортируйте модуль PowerShell Online Services для Microsoft Azure Active Directory и Office 365, используя следующие команды в PowerShell:
  • Введите свои учетные данные администратора Office 365:

    Теперь вам нужно создать сеанс PowerShell от имени удаленного пользователя. Это можно сделать с помощью следующей команды:

  • Теперь импортируйте команды сеанса в локальный сеанс Windows PowerShell:
  • Наконец, подключите сеанс ко всем своим службам Office 365 с помощью этой команды:

    Это подключит PowerShell для Office 365 к вашему инстансу Office 365 и позволит управлять им.

2. Подключение к Exchange Online и SharePoint Online с помощью PowerShell

  • Подключение к Exchange Online, по сути, происходит так же, как и подключение к Office 365. Вот соответствующие команды:
  • Подключение к SharePoint Online немного сложнее, и вам потребуется установить дополнительное программное обеспечение.
    Сначала установите компонент командной консоли SharePoint Online.
    Затем запустите из PowerShell следующую команду:

3. Cписок доступных командлетов PowerShell для Office 365

  • Чтобы получить список всех доступных командлетов для MSOnline, выполните следующую команду:
  • Вы также можете запустить ту же команду, чтобы увидеть список всех доступных командлетов для Azure Active Directory, просто заменив переменную -module:

4. Cписок всех пользователей Office 365

Get-msoluser

  • Для этого выполните команду:
  • Затем вы можете увидеть количество учетных записей, выполнив аналогичную команду:
  • А для получения списка доступных вам служб выполните эту команду:
  • С помощью стандартной логики командной строки эти команды можно расширить для фильтрации получаемых результатов. Например, вы можете сгруппировать всех пользователей в зависимости от места, запустив:

Проверка и восстановление доверительного отношения компьютера с доменом с помощью PowerShell

Если вы не можете аутентифицироваться на компьютере под доменной учетной записью с ошибкой “Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом”, вам нужно войти на компьютер под локальной учетной записью с правами администратора. Также можно отключить сетевой кабель и авторизоваться на компьютере под доменной учетной записью, которая недавно заходила на этот компьютер, с помощью кэшированных учетных данных (Cached Credentials).

Откройте консоль PowerShell и с помощью командлета Test-ComputerSecureChannel проверьте соответствует ли локальный пароль компьютера паролю, хранящемуся в AD.

Test-ComputerSecureChannel –verbose

1

Test-ComputerSecureChannel –verbose

Если пароли не совпадают и компьютер не может установить доверительные отношения с доменом, команда вернет значение False – 

The Secure channel between the local computer and the domain winitpro.ru is broken

1

The Secure channel between the local computer and the domain winitpro.ru is broken

Чтобы принудительно сбросить пароль учётной записи данного компьютера в AD, нужно выполнить команду:

Test-ComputerSecureChannel –Repair –Credential (Get-Credential)

1

Test-ComputerSecureChannel –Repair –Credential (Get-Credential)

Для выполнения операции сброса пароля нужно указать учетную запись и пароль пользователя, у которого достаточно полномочий на сброс пароля учетной записи компьютера. Этому пользователя должны быть делегированы права на компьютеры в Active Directory (можно использовать и члена группы Domain Admins, но это не комильфо).

После этого нужно еще раз выполнить команду 

Test-ComputerSecureChannel

1

Test-ComputerSecureChannel

 и убедится, что она возвращает True (

The Secure channel between the local computer and the domain winitpro.ru is in good condition

1

The Secure channel between the local computer and the domain winitpro.ru is in good condition

).

Итак, пароль компьютера сброшен без перезагрузки и без ручного перевоода в домен. Теперь вы можете аутентифицировать на компьютере под доменной учетной записью.Также для принудительной смены пароля можно использовать командлет Reset-ComputerMachinePassword.

Reset-ComputerMachinePassword -Server dc01.corp.winitpro.ru -Credential corp\domain_admin

1

Reset-ComputerMachinePassword -Server dc01.corp.winitpro.ru -Credential corp\domain_admin

dc01.corp.winitpro.ru

1

dc01.corp.winitpro.ru

 – имя ближайшего DC, на котором нужно сменить пароль компьютера.

Имеет смысл сбрасывать пароль компьютера каждый раз, перед тем как вы создаете снапшот виртуальной машины или точку восстановления компьютера. Это упростит вам жизнь при откате к предыдущему состоянию компьютера.

Если у вас есть среда разработки или тестирования, где приходится часто восстанавливать предыдущее состояние ВМ из снапшотов, возможно стоит с помощью GPO точечно отключить смену пароля в домене для таких компьютеров. Для этого используется политика Domain member: Disable machine account password changes из секции Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Можно нацелить политики на OU с тестовыми компьютерам или воспользоваться WMI фильтрами GPO.

С помощью командлета Get-ADComputer (из модуля Active Directory Windows PowerShell) можно проверить время последней смены пароля компьютера в AD:

Get-ADComputer –Identity spb-pc22121 -Properties PasswordLastSet

1

Get-ADComputer –Identity spb-pc22121 -Properties PasswordLastSet

Комадлеты Test-ComputerSecureChannel и Reset-ComputerMachinePassword доступны, начиная с версии PowerShell 3.0. В Windows 7/2008 R2 придется обновить версию PoSh.

Также можно проверить наличие безопасного канала между компьютером и DC командой:

nltest /sc_verify:corp.winitpro.ru

1

nltest sc_verifycorp.winitpro.ru

Следующие строки подтверждают, что доверительные отношения были успешно восстановлены:

Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success

1

2

Trusted DC Connection Status Status = 0x0 NERR_Success

Trust Verification Status = 0x0 NERR_Success

Как проверить текущую политику паролей в домене AD

Вы можете увидеть текущие параметры политики паролей в Default Domain Policy в консоли gpmc.msc (на вкладке Settings «Параметры»).

Вы также можете отобразить информацию о политике паролей с помощью PowerShell (на компьютере должен быть установлен Модуль Active Directory для PowerShell):

Get-ADDefaultDomainPasswordPolicy
ComplexityEnabled           : True
DistinguishedName           : DC=ds,DC=hackware,DC=ru
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
objectClass                 : {domainDNS}
objectGuid                  : 15bedbc4-3236-46fb-b01b-5bf1f0a49ba7
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False

Кроме того, вы можете проверить текущие параметры политики паролей AD на любом компьютере домена с помощью команды GPResult.

Дополнительные сведения

Пароль хранится в базе данных AD и LDS в объекте пользователя в атрибуте unicodePwd . Этот атрибут может быть записан в ограниченных условиях, но не может быть прочитано. Атрибут может быть только изменен; Его нельзя добавить при создании объекта или выполнить запросы при поиске.

Чтобы изменить этот атрибут, клиент должен иметь 128-разрядное подключение TLS/SSL к серверу. Зашифрованный сеанс с использованием ключей сеанса, созданных SSP, с использованием Диспетчера новых технологий Windows (NTLM) или Kerberos, также приемлем при условии, что выполняется минимальная длина ключа.

Чтобы это подключение было возможным с помощью TLS/SSL:

  • Сервер должен иметь сертификат сервера для 128-разрядного подключения RSA.
  • Клиент должен доверять центру сертификации (ЦС), который сгенерирует сертификат сервера.
  • Клиент и сервер должны поддерживать 128-разрядное шифрование.

Синтаксис атрибута unicodePwd — octet-string; однако служба каталогов ожидает, что строка октета будет содержать строку ЮНИКОДА (как указано в имени атрибута). Это означает, что все значения этого атрибута, передаваемые в LDAP, должны быть строками ЮНИКОДА, закодированными в beR (основные правила кодирования) в виде октетной строки. Кроме того, строка ЮНИКОДа должна начинаться и оступаться в кавычках, которые не являются частью нужного пароля.

Существует два возможных способа изменения атрибута unicodePwd . Первая операция аналогична обычной операции изменения пароля пользователем. В этом случае запрос на изменение должен содержать операцию удаления и добавления. Операция удаления должна содержать текущий пароль с кавычками. Операция добавления должна содержать нужный новый пароль с кавычками.

Второй способ изменить этот атрибут аналогичен сбросу пароля пользователем администратором. Для этого клиент должен выполнить привязку от имени пользователя с достаточными разрешениями для изменения пароля другого пользователя. Этот запрос на изменение должен содержать одну операцию замены новым нужным паролем, заключенным в кавычки. Если у клиента достаточно разрешений, этот пароль становится новым паролем, независимо от того, какой был старый пароль.

Примеры этих операций приведены в следующих двух функциях:

Совет

Чтобы настроить экземпляры LDS с помощью объектов UserProxy для сброса пароля, необходимо разрешить ограниченное делегирование учетной записи службы LDS (по умолчанию— учетная запись компьютера LDS) контроллерам домена, если пользователь использует Kerberos.
Если вы используете простую привязку LDAP, необходимо использовать Windows Server 2022 или более новую версию и настроить запись реестра, чтобы перенаправлять учетные данные сеанса LDAP администратора на контроллер домен Active Directory.Раздел реестра: HKLM\system\currentcontrolset\services\ParametersЗапись реестра: разрешить тип входа ClearTextТип: REG_DWORDДанные: : не разрешать пересылку учетных данных (по умолчанию)
          1

Разрешить пересылку учетных данных для сброса пароля
Обратите внимание, что изменение в обоих случаях означает, что сервер LDS должен считаться устройством уровня 0, так как он может запускать задачи, чувствительные к безопасности, на контроллере домена.

Подготовка Active Directory

Перед разворачиванием инфраструктуры LAPS необходимо расширить схему Active Directory, в которую будут добавлены два новых атрибута для объектов типа компьютер.

ms—MCS—AdmPwd– атрибут содержит пароль локального администратора в открытом виде

ms—MCS—AdmPwdExpirationTime — дата истечения срока действия пароля

Для расширения схемы, нужно открыть консоль PowerShell, импортировать модуль Admpwd.ps:

После этого необходимо выполнить расширение схемы Active Directory (нужны права Schema Admin). Выполняется на DC с ролью мастера схемы FSMO:

В результате в класс «Computer» будут добавлены два новых атрибута.

Examples

Example 1: Set a password for a user account using a distinguished name

This command sets the password of the user account with DistinguishedName CN=Elisa Daugherty,OU=Accounts,DC=Fabrikam,DC=com to p@ssw0rd.

Example 2: Change a specified user’s password

This command sets the password of the user account with SamAccountName elisada to qwert@12345.
Using -NewPassword with a value, without providing an -OldPassword parameter value, will also reset the password.

Example 3: Prompt a specified user to change their password

This command sets the password of the user account with DistinguishedName CN=Evan Narvaez,CN=Users,DC=Fabrikam,DC=com.
The cmdlet prompts you for old and new passwords.

Example 4: Prompt a user for a new password that is stored in a temporary variable

This command prompts the user for a new password that is stored in a temporary variable named $NewPassword, then uses it to reset the password for the user account with SamAccountName DavidChe.

Изменение пароля пользователя Windows Active Directory и LDS с помощью LDAP

В этой статье описывается изменение пароля пользователя active Directory Windows LDS с помощью LDAP.

Применяется к: Windows Active Directory Исходный номер КБ: 269190

Сводка

Вы можете установить Windows Active Directory и пароль пользователя LDS с помощью протокола доступа к облегченным каталогам (LDAP) с учетом определенных ограничений. В этой статье описывается настройка или изменение атрибута пароля.

Эти действия также применяются к пользователям ADAM и LDS и объектам userProxy так же, как это делается с пользователями AD.

Эта статья применяется к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр Windows 2000 года является отправной точкой для планирования стратегии миграции с 2000 г. Windows 2000 г. Дополнительные сведения см. в политике жизненного цикла поддержки Майкрософт.

Дополнительные сведения

Пароль хранится в базе данных AD и LDS на объекте пользователя в атрибуте unicodePwd. Этот атрибут можно написать в ограниченных условиях, но его невозможно прочитать. Атрибут можно изменить только; она не может быть добавлена при создании объекта или запрашивается поиском.

Чтобы изменить этот атрибут, клиент должен иметь 128-битную связь с безопасностью транспортного слоя (TLS)/Secure Socket Layer (SSL) на сервере. Зашифрованный сеанс с помощью созданных SSP-ключей сеанса с использованием NTLM или Kerberos также приемлем до тех пор, пока не будет удовлетворены минимальные длины ключей.

Чтобы это подключение было возможным с помощью TLS/SSL:

  • Сервер должен обладать сертификатом сервера для 128-битного подключения RSA.
  • Клиент должен доверять органу сертификации (CA), сгенерированию сертификата сервера.
  • Клиент и сервер должны быть способны к 128-битной шифрованию.

Синтаксис атрибута unicodePwd — octet-string; однако служба каталогов ожидает, что в строке octet-string будет содержаться строка UNICODE (как указывает имя атрибута). Это означает, что любые значения для этого атрибута, переданные в LDAP, должны быть строками UNICODE, кодируемыми BER (Основные правила кодирования) в качестве октета-строки. Кроме того, строка UNICODE должна начинаться и заканчивается кавычками, которые не являются частью нужного пароля.

Существует два возможных способа изменения атрибута unicodePwd. Первый похож на обычную операцию по смене пароля пользователя. В этом случае запрос на изменение должен содержать как операцию удаления, так и операцию добавления. Операция удаления должна содержать текущий пароль с кавычками вокруг него. Операция добавления должна содержать нужный новый пароль с кавычками вокруг него.

Второй способ изменения этого атрибута аналогичен администратору, сбросив пароль для пользователя. Для этого клиент должен связаться как пользователь с достаточными разрешениями, чтобы изменить пароль другого пользователя. Этот запрос на изменение должен содержать одну операцию замены новым нужным паролем, окруженным кавычками. Если у клиента достаточно разрешений, этот пароль становится новым паролем независимо от старого пароля.

RSAT for Windows 10 v1809

In Windows 10 v1809, RSAT can be now downloaded and installed through the Settings app or with the following PowerShell one-liner.

 Get-WindowsCapability -Online | Where-Object { $_.Name -like "RSAT*" -and $_.State -eq "NotPresent" } | Add-WindowsCapability -Online

Settings > Apps > Manage Optional Features > Add a featureПример вывода информации об установленных в системе средствах удаленного администрирования (требуются права администратора):В русской версии Windows 10 1809, чтобы установить RSAT, нужно перейти в раздел Параметры -> Приложения -> Приложения и возможности -> Управление дополнительными компонентами -> Добавить компонент.

January 2020
S M T W T F S
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

View All Archives

Categories

  • https://winitpro.ru/index.php/2016/04/03/ustanovka-osnastki-active-directory-v-windows-10/
  • http://itisgood.ru/2018/07/25/ustanovka-osnastki-active-directory-v-windows-10/
  • https://bga68.livejournal.com/543576.html

Дополнительные сведения

Пользователи, компьютеры и группы, созданные API более ранней версии, создают объекты в пути DN, указанном в атрибуте WellKnownObjects. Атрибут WellKnownObjects расположен в главе NC домена. В следующем примере кода показаны соответствующие пути в атрибуте WellKnownObjects из CONTOSO.COM области NC.

Dn: DC=CONTOSO,DC=COM

Например, в следующих операциях используются API более ранней версии, которые отвечают на пути, определенные в атрибуте WellKnownObjects:

Операция Версии операционной системы
Пользовательский интерфейс «Регистрация домена» Windows NT версии4.0Windows 2000Windows XP ProfessionalWindows XP UltimateWindows Server 2003Windows Server 2003 R2Windows VistaWindows Server 2008Windows 7Windows Server 2008 R2
NET COMPUTER Все версии
NET GROUP Все версии
NET USER Все версии
ДОБАВЛЕНИЕ NETDOM, где команда /ou не указана или поддерживается Все версии

Полезно сделать контейнер по умолчанию для групп пользователей, компьютеров и безопасности OU по нескольким причинам, в том числе:

  • Групповые политики можно применять в контейнерах OU, но не в контейнерах класса CN, где по умолчанию ставятся основные принципы безопасности.

  • Передовая практика — упорядочность принципов безопасности в иерархию OU, которая отражает организационную структуру, географическое расположение или модель администрирования.

При перенаправлении папок CN=Users и CN=Computers следует помнить о следующих проблемах:

  • Целевой домен должен быть настроен для запуска на уровне Windows Server 2003 или выше. Для функционального уровня Windows Server 2003 это означает:

    • Windows Сервер 2003 или более новый
    • Windows Сервер 2003 или более новый
    • Все контроллеры домена в целевом домене должны работать Windows Server 2003 или более новые.
    • Windows Необходимо включить функциональный уровень домена Server 2003 или более высокий.
  • В отличие от CN=USERS и CN=COMPUTERS, контейнеры OU подвергаются случайным удалениям привилегированных учетных записей пользователей, в том числе администраторов.

    Контейнеры CN=USERS и CN=COMPUTERS — это объекты, защищенные системой, которые не могут и не должны удаляться для обратной совместимости. Но их можно переименовать. Организационные подразделения могут быть удалены администраторами случайно.

    Windows Версии сервера 2003 для пользователей Active Directory & компьютеров могут выполнять действия в Области Защиты организационного подразделения от случайного удаления.

    Windows Сервер 2008 и более новые версии оснастки пользователей и компьютеров Active Directory имеют объект Protect от случайного удаления, который можно выбрать при создании нового контейнера OU. Вы также можете выбрать его на вкладке Объект в диалоговом окне Свойства для существующего контейнера OU.

    Сценарий задокументирован в script to Protect Organizational Units (OUs) от случайного удаления.

  • Exchange Server 2000 и 2003 годах с ошибками.

Политики блокировки учётных записей в домене Active Directory

Политики блокировки учётных записей обычно устанавливаются в Default Domain Policy для всего домена с помощью оснастки gpmc.msc. Необходимые политики можно найти в Computer configuration→ Policies→ Windows Settings → Security Settings → Account Policies → Account Lockout Password (в русскоязычной версии это соответственно Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Политики учетных записей → Политика блокировки учётной записи). Это следующие политики:

  • Account Lockout Threshold (Пороговое значение блокировки) – количество неудачных попыток входа в систему (с неправильным паролем), которое может быть выполнено пользователем до блокировки его учётной записи;
  • Account Lockout Duration (Продолжительность блокировки учётной записи) — как долго будет заблокирована учётная запись, если пользователь несколько раз ввёл неверный пароль;
  • Reset account lockout counter after (Время до сброса счётчика блокировки) — количество минут, по истечении которых счётчик порога блокировки учётной записи будет сброшен.

Чтобы защитить учётные записи пользователей вашего домена от взлома пароля, рекомендуется использовать надёжные пароли пользователей в AD (длина пароля не менее 8 символов и включение требований к сложности пароля). Это настраивается в разделе Password Policy («Политика паролей»): Password must meet complexity requirements (Пароль должен отвечать требованиям сложности) и Minimum password length (Минимальная длина пароля). Периодически нужно проверять пароли пользователей.

Случаи, когда пользователь забывает пароль и сами вызывают блокировку учётной записи, происходят довольно часты. Если пользователь недавно сменил пароль и забыл его, вы можете сбросить его. Но в некоторых случаях блокировка учётной записи происходит без какой-либо очевидной причины. То есть пользователь заявляет, что никогда не ошибался при вводе пароля, но его учётная запись по каким-то причинам заблокирована. Администратор может разблокировать аккаунт вручную по запросу пользователя, но через некоторое время ситуация может повториться.

Чтобы решить проблему пользователя, администратору необходимо выяснить, с какого компьютера и программы учётная запись пользователя в Active Directory была заблокирована.

Восстановления доверия с помощью утилиты Netdom

В Windows 7/2008R2 и предыдущих версиях Windows, на которых отсутствует PowerShell 3.0, не получится использовать командлеты Test-ComputerSecureChannel и Reset-ComputerMachinePassword для сброса пароля компьютера и восстановления доверительных отношений с доменом. В этом случае для восстановления безопасного канала с контроллером домена нужно воспользоваться утилитой 

netdom.exe

1

netdom.exe

Утилита Netdom включена в состав Windows Server начиная с 2008, а на компьютерах пользователей может быть установлена из RSAT (Remote Server Administration Tools). Чтобы восстановить доверительные отношения, нужно войти в систему под локальным администратором (набрав “.\Administrator” на экране входа в систему) и выполнить такую команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

1

Netdom resetpwd ServerDomainController UserDAdministrator PasswordDPassword

  • Server – имя любого доступного контроллера домена;
  • UserD – имя пользователя с правами администратора домена или делегированными правами на компьютеры в OU с учетной записью компьютера;
  • PasswordD – пароль пользователя.

Netdom resetpwd /Server:spb-dc01 /UserD:aapetrov /PasswordD:Pa@@w0rd

1

Netdom resetpwd Serverspb-dc01 UserDaapetrov PasswordDPa@@w0rd

Послу успешного выполнения команды не нужно перезагружать компьютер, достаточно выполнить логофф и войти в систему под доменной учетной.

Как вы видите, восстановить доверительные отношения междду компьютером и доменом довольно просто.

спасибо сайту: https://winitpro.ru/index.php/2014/09/18/vosstanovlenie-doveritelnyx-otnoshenij-bez-perevvoda-v-domen/

Установка средств администрирования RSAT в Windows 10 1809 с помощью PowerShell | Windows для систем

После обновления Windows 10 на моем компьютере с 1803 до 1809 (October Update) пропали установленные инструменты удаленного администрирования серверов RSAT (это всегда происходит при обновлении билда Win10, см. статью). Я как всегда собрался скачать и установить последнюю версию RSAT со страницы загрузки Microsoft, однако оказалось что на страницы загрузки висит следующая надпись

IMPORTANT: Starting with Windows 10 October 2018 Update, RSAT is included as a set of «Features on Demand» in Windows 10 itself.

Как оказалось, в Microsoft решили, что начиная с Windows 10 1809 (17763) теперь не нужно качать последнюю версию RSAT с сайта Майкрософт. Теперь пакет Remote Server Administration Tools встроен в образ Windows 10 и устанавливается в виде отдельной опции (функции по требованию). Установка RSAT возможно из приложения Параметры.

Чтобы установить RSAT в Windows 10 1809, нужно перейти в раздел Settings -> Apps -> Manage Optional Features -> Add a feature. Здесь вы можете выбрать и установить конкретные инструменты из пакета RSAT.

Однако на другом корпоративном компьютере с Windows 10 Enterprise, также обновленном до версии1809, список дополнительных опций оказался пуст. Единственный способ установить RSAT в таком случае – воспользоваться PowerShell. Рассмотрим как установить RSAT в Windows 10 1809 из командной строки PowerShell.

С помощью следующей команды можно проверить, установлены ли компоненты RSAT в вашем компьютере:

Можно представить статус установленных компонентов RSAT в более удобной таблице:

Как вы видите, компоненты RSAT не установлены (NotPresent).

Для установки данных опций Windows можно использовать командлет Add-WindowsCapacity.

Чтобы установить конкретный инструмент RSAT, например инструменты управления AD (в том числе консоль ADUC), выполните команду:

Для установки консоли управления DNS, выполните:

И т.д.

Чтобы установить сразу все доступные инструменты RSAT, выполните:

Чтобы доставить только отключенные компоененты RSAT, выоплните:

Теперь убедитесь, что инструменты RSAT установлены (статус Installed);

После этого установленные инструменты RSAT отобразятся в панели Manage Optional Features.

Если при установке RSAT вы столкнетесь с ошибкой Add-WindowsCapability failed. Error code = 0x800f0954, скорее всего ваш компьютер настроен на получение обновлений со внутреннего WSUS/SUP сервера.

Для установки компонентов RSAT из GUI нужно изменить временно отключить обновление со WSUS сервера в реестре (HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU параметр UseWUServer= 0) и перезапустить службу обновления.

Можно воспользоваться таким скриптом:

Понравилась статья? Поделиться с друзьями:
Быть в курсе нового
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: