Repadmin

Введение

Samba — это популярный пакет программ с открытыми исходными текстами, который предоставляет файловые и принт-сервисы Microsoft Windows клиентам. Настройка Samba-сервера может быть выполнена при помощи утилит Calculate входящих в пакет sys-apps/calculate-server. Для хранения учётных записей пользователей, групп и машин и управления ими утилиты используют OpenLDAP-сервер. Необходимое программное обеспечение входит в состав Calculate Directory Server.

В качестве Linux клиента может выступать любая версия Calculate Linux Desktop (CLD, CLDC, CLDL, CLDM или CLDX). В качестве Windows клиентов могут быть использованы операционные системы семейства Windows. На данный момент Microsoft прекратила официальную поддержку доменов NT4 в операционных системах Windows. Однако с некоторыми изменениями вы все еще можете использовать более поздние выпущенные операционные системы Windows с доменом Samba NT4.

Подключения (DFS Replication Connections)

Параметры:

• состояние (state);

• включено или выключено (enabled);

• отключенное расписание (blank schedule);

• данные счетчиков производительности.

Два правила обнаружения: DFS Replication Connections LLD — для первых трех параметров, DFS Replication Connections PerfCounters LLD — для счетчиков.

State — это состояние подключения, может быть таким:

• Connecting (0)

• Online (1)

• Offline (2)

• In Error (3)

Enabled — тут понятно.

Blank schedule — аналогично параметру для RG. Подключение может иметь индивидуальное расписание, отличное от дефолтного, заданного на уровне RG.

Как и для RF, прототипы айтемов здесь почти все отключены, оставлен только счетчик bytes received per second, для которого также есть график:

Включение возможности принудительного обновления групповой политики контроллером домена

Под принудительным обновлением понимается нажатие Обновление групповой политики в контекстном меню объекта управления (подразделения). Если не разрешить некоторые правила брандмауэра будет возникать ошибка с кодом 8007071a

По пути

Конфигурация компьютера
  Политики
    Конфигурация Windows 
      Монитор брандмауэра Защитника Windows в режиме повышенной безопасности
        Монитор брандмауэра Защитника Windows в режиме повышенной безопасности 
          Правила для входящих подключений

Создадим предопределенные правила

Доступ к сети COM+
Удаленное управление журналом событий
Инструментарий управления Windows (WMI)
Удаленное управление назначенными задачами

Восстановления доверия с помощью утилиты Netdom

В Windows 7/2008R2 и предыдущих версиях Windows, на которых отсутствует PowerShell 3.0, не получится использовать командлеты Test-ComputerSecureChannel и Reset-ComputerMachinePassword для сброса пароля компьютера и восстановления доверительных отношений с доменом. В этом случае для восстановления безопасного канала с контроллером домена нужно воспользоваться утилитой 

netdom.exe

1	netdom.exe

Утилита Netdom включена в состав Windows Server начиная с 2008, а на компьютерах пользователей может быть установлена из RSAT (Remote Server Administration Tools). Чтобы восстановить доверительные отношения, нужно войти в систему под локальным администратором (набрав “.\Administrator” на экране входа в систему) и выполнить такую команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

1	Netdom resetpwd ServerDomainController UserDAdministrator PasswordDPassword

• Server – имя любого доступного контроллера домена;
• UserD – имя пользователя с правами администратора домена или делегированными правами на компьютеры в OU с учетной записью компьютера;
• PasswordD – пароль пользователя.

Netdom resetpwd /Server:spb-dc01 /UserD:aapetrov /PasswordD:Pa@@w0rd

1	Netdom resetpwd Serverspb-dc01 UserDaapetrov PasswordDPa@@w0rd

Послу успешного выполнения команды не нужно перезагружать компьютер, достаточно выполнить логофф и войти в систему под доменной учетной.

Как вы видите, восстановить доверительные отношения междду компьютером и доменом довольно просто.

спасибо сайту: https://winitpro.ru/index.php/2014/09/18/vosstanovlenie-doveritelnyx-otnoshenij-bez-perevvoda-v-domen/

Как включить службы Active Directory в Windows 10?

Остается активировать необходимую функцию RSAT.

1. Правой кнопкой на Start и выберите Control Panel
2. Выберите Programs and Features
3. На левой панели  нажмите Turn Windows features on or off
4. Разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
5. Выберите AD DS Tools и нажмите OK.

Однако вы можете установить функцию AD из командной строки только с помощью этих трех команд:

dism /online /enable-feature /featurename:RSATClient-Roles-AD

dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS

dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

Please follow and like us:

Previous Entry | Next Entry

Инструменты управления Active Directory

Управлять сервером Windows можно как непосредственно сидя за перед ним, так и удалённо. Удалённо сервером можно управлять как с другого сервера, так и с помощью рабочих станций, но для того, чтобы рабочие станции могли использоваться для управления сервером, могут потребоваться дополнительные действия по установке компонентов.

Управление сервером осуществляется через:

1. Оснастки в Microsoft Management Console (MMC) (Консоли управления Microsoft). На сервере эти инструменты доступны по умолчанию, а на рабочих станциях для получения этой оснастки необходимо предварительно установить средства удалённого администрирования. Сами оснастки перечислены чуть ниже.
2. Active Directory Administrative Center (Центр администрирования Active Directory), dsac.exe, как показано на скриншоте ниже, является универсальным местом, которое используется для управления службами каталогов Windows Server.
3. Windows Admin Center. Как на сервере, так и на рабочих станциях необходимо установить сам Windows Admin Center, а затем плагин для Active Directory.
4. Active Directory Module for Windows PowerShell (Модуль Active Directory для Windows PowerShell). На серверах Windows данный модуль устанавливается автоматически во время развёртывания Active Directory Domain Services. На рабочих станциях Windows требуется его отдельная установка.

Имеются следующие оснастки в Microsoft Management Console (MMC) (консоли управления Microsoft), mmc.exe:

• Active Directory Users and Computers (Пользователи и компьютеры Active Directory), dsa.msc, используется для управления пользователями, компьютерами, группами, организационными единицами и другими объектами Active Directory.
• Active Directory Domains and Trusts (Домены и доверие Active Directory), domain.msc, используется для управления доменами, доверительными отношениями между доменами.
• Active Directory Sites and Services (Сайты и службы Active Directory), dssite.msc, используются для управления репликацией и службами между сайтами.

Всего будет рассмотрено четыре набора инструментов для управления Active Directory. Может показаться, что столько вариантов это избыточно. Особенно если учесть, что Центр администрирования Active Directory и Windows Admin Center это просто графические обёртки для PowerShell, который также доступен в виде Модуля Active Directory для Windows PowerShell. Тем не менее, разница между ними заключается не только в интерфейсе инструментов, между ними есть более значимая практическая разница.

Инструмент	Позволяет управлять с компьютера, не являющегося частью домена	Подходит для локальной настройки Windows Server Core
Оснастки в Microsoft Management Console (MMC)	Нет	Нет
Active Directory Administrative Center	Нет	Нет
Windows Admin Center	Да	Нет
Active Directory Module for Windows PowerShell	Да	Да

Одинаковые характеристики в таблице имеют только два инструмента, но они различаются интерфейсом.

Работа над ошибками

DNS не удаётся разрешить IP-адрес

dcdiag выдаёт ошибку DNS:

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DC2
    Запуск проверки: Connectivity
       Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается
       разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
       Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры
       брандмауэра.
       ......................... DC2 - не пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DC2
      Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.

РЕШЕНИЕ:

Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.

Детальная проверка службы DNS (может занять пару минут):

dcdiag /test:dns

Ошибка репликации 8453

repadmin /showrepl выдаёт ошибку:

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.

РЕШЕНИЕ:

Запустить репликацию вручную и командной строки с административными правами

repadmin /syncall

На контроллере нет сетевых ресурсов NetLogon и SysVol

Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.

Доступность сетевых ресурсов можно проверить командой:

net share

Исправность ресурсов SysVol и NetLogon можно проверить командой:

dcdiag /test:netlogons

Симптомы

1. DCDIAG сообщает, что тест репликации Active Directory не справился с кодом состояния ошибки (8452): контекст именования находится в процессе удаления или не репликации с указанного сервера.

2. REPADMIN.EXE сообщает, что последняя попытка репликации не удалась со статусом 8452.

   Команды, которые обычно ссылаются на пять статусов, включают, но не ограничиваются:

   Пример вывода, отобразив входящие репликации из CONTOSO-DC2 в CONTOSO-DC1 с отказом в доступе к репликации, показан ниже:

3. Команда репликации в Active Directory Sites and Services возвращает следующую ошибку:

   Щелкнув правой кнопкой мыши по объекту подключения из источника DC и выбрав репликацию, теперь не удается с помощью вышеуказанной ошибки. Текст сообщения об ошибке на экране показан ниже:

4. События NTDS KCC, NTDS General или Microsoft-Windows-ActiveDirectory_DomainService с пятью состояниями регистрируются в журнале событий службы каталогов.

   События Active Directory, которые обычно ссылаются на состояние 8524, включают, но не ограничиваются:

   Событие	Источник	Строка события
   NTDS General	1586	Контрольно-пропускной пункт с PDC был неудачным. Процесс контрольно-пропускных пунктов будет повторно повторяем через четыре часа. Полная синхронизация базы данных безопасности с контроллерами домена может происходить, если эта машина будет повышена как PDC перед следующей успешной контрольной точкой. Возвращаемая ошибка: контекст именования удаляется или не реплицируется с указанного сервера.

Восстановление контроллера домена в режиме «non-authoritative»

Собираясь восстанавливать контроллер домена, необходимо сначала определить, будет ли достаточен режим «non-authoritative» или потребуется воспользоваться режимом «authoritative». Разница между этими двумя режимами заключается в том, что при режиме восстановлении «non-authoritative» контроллер домена понимает, что он был в течение некоторого времени отключен. Поэтому он позволяет другим контроллерам домена обновить его базу данных, внеся в нее последние изменения, произошедшие во время его отсутствия. При «authoritative» восстановлении контроллер считает, что только на нем имеется истинно верная база данных, поэтому именно он получает полномочия на обновление баз данных других контроллеров домена на основе своих данных.

В большинстве сценариев восстановления вам потребуется режим «non-authoritative», поскольку в среде имеется несколько контроллеров домена. Кроме того, «authoritative» восстановление контроллера домена может привести к новым проблемам. Именно на этом основана логика Veeam Backup & Replication: по умолчанию выполняется «non-authoritative» восстановление DC, поскольку считается, что инфраструктура выстроена с избыточностью и включает в себя несколько контроллеров домена. Чтобы выполнить «authoritative» восстановление с помощью Veeam, необходимо осуществить некоторые дополнительные действия, которые описаны ниже.

ПРИМЕЧАНИЕ. Еще один распространенный вариант действий при отказе контроллера домена — распределить его роли между другими контроллерами и очистить метаданные, если восстановление маловероятно. В этом случае вы поручаете другим DC выполнять функции отказавшего, и вам не нужно его восстанавливать.

Давайте вернемся к файлам резервных копий, которые были описаны в предыдущей статье. Восстановить контроллер домена из резервной копии Veeam Backup & Replication очень легко. Для этого нужно:

• Выбрать мастер восстановления в пользовательском интерфейсе
• Найти нужный контроллер домена
• Выбрать в меню восстановления вариант восстановления ВМ целиком (Restore Entire VM)
• Затем указать точку восстановления
• Выбрать исходное или новое место восстановления
• Завершить процедуру

Самое замечательное здесь, что благодаря обработке данных с учетом состояния приложений при создании резервной копии, вам больше ничего не потребуется делать. Veeam распознает контроллер домена в указанной ВМ и аккуратно восстановит его, используя особый алгоритм:

• Восстановление файлов и жестких дисков ВМ
• Загрузка ОС в специальном режиме восстановления доменных сервисов (DSRM mode)
• Применение настроек
• Перезапуск в обычном режиме

Контроллер домена будет знать о восстановлении из резервной копии и предпримет соответствующие действия: существующая база данных будет объявлена недействительной, и партнеры репликации смогут обновить ее, внеся наиболее свежую информацию.

Рис. 1. Veeam Backup & Replication: Восстановление ВМ целиком

Здесь можно прочитать о восстановлении «на голое железо» резервной копии с помощью Veeam Endpoint Backup. Вам потребуется заранее подготовленный аварийный загрузочный диск Veeam и доступ к самой резервной копии (на USB-носителе или сетевом диске). Помните, что в данном случае особая логика Veeam Backup & Replication использоваться не будет. После восстановления с помощью Veeam Endpoint Backup ваш контроллер домена загрузится в режиме восстановления. Вам нужно будет решить, хотите ли вы менять ключи реестра или сразу перезапустите ВМ в обычном режиме. Возможно, эта статья базы знаний будет полезна.

Рис. 2. Veeam Endpoint Backup: восстановление «на голое железо»

Отчет об устаревших объектах

Хотите узнать, какие объекты еще присутствуют в вашем домене, тогда это отличный скрипт, который найдет их и поможет вам полностью создать объекты. Это самый интересный скрипт в категории скриптов Active Directory Powershell.

Вероятный результат

Вы можете удалить неиспользуемые объекты, если они соответствуют вашим критериям поиска.

Stale comp reports Powershell Scripts

###############################################

#Description:
#This script will fetch stale computer objects beyond 90 days . And should run in any of the AD servers.
################################################################################################

#FIND INACTIVE COMPUTERS
#-------------------------------

Import-Module ActiveDirectory

#Get AD Computers that haven't logged on in xx days

$DaysInactive = 90
$InactiveDate = (Get-Date).Adddays(-($DaysInactive))
$Computers = Get-ADComputer -Filter { LastLogonDate -lt $InactiveDate -and Enabled -eq $true } -Properties LastLogonDate | Select-Object Name, LastLogonDate, DistinguishedName


# REPORTING
#-------------------------------
# Export results to CSV

$Computers | Export-Csv C:\Users\test\Desktop\InactiveComputers.csv -NoTypeInformation

Разовое удаление пользователей AD или массовое

Нужно удалить пользователя без каких-либо дополнительных кликов, данный скрипт именно для этого. Вы можете удалить одного пользователя или удалить пользователей в массовом порядке.

Как это работает

Удаление пользователя – это отдельная команда в Powershell, но для массового удаления требуются данные, которые могут быть получены их CSV или текстового файла, что и делается в этом скрипте.

Вероятный результат

Если вы все сделаете правильно, то удаленные пользователи не будут видны в dsa.msc.

Delete-user-account Powershell Scripts

Delete Active Directory User.txt

#Wintel-AD-Disable Active Directory User:

#for single:
Import-Module ActiveDirectory
Remove-ADAccount -Identity user1

###################for bulk################################

#imports active directory module to only corrent session as it is related to AD

Import-Module ActiveDirectory

#Takes input from users.csv file into this script

Import-Csv "C:\Users.csv" | ForEach-Object {

#assign input value to variable-samAccountName 

$samAccountName = $_."samAccountName"

#get-aduser will retrieve samAccountName from domain users. if we found it will disable else it will go to catch

try { Get-ADUser -Identity $samAccountName |
Remove-ADAccount  
}

#It will run when we can't find user

catch {

#it will display the message

  Write-Host "user:"$samAccountname "is not present in AD"
}
}

users.csv

samAccountName
akhila
user1

readme.txt

This script will disable particularly given user accounts in AD.

Prerequisites:

1.We should provide the user accounts which are in AD.

Steps to run the script:

1.Provide user names in csv file to script.
2.It will check for user in AD.
3.if it is there, it will disable else it will provide a message like user is not present in AD.

Disclaimer

I am writing this blog  and others to explain how things work and some ways deployment and operational tasks can be handled. In other words, these postings are for demonstration purposes only. Since I am not familiar with your organization or environment I do not know if these steps are applicable to your environment or are even safe to perform in your environment. It is recommended that you contact Microsoft Support prior to making changes in your environment to ensure that these steps are applicable to your environment, and are safe to perform in your environment. By writing this blog I am in no way recommending that you perform these steps in your own environment. If you choose to follow the steps outlined in this or other blog postings on this site, you are assuming the risk for your actions.

Отключение неактивных пользователей в AD

Отключение пользователей AD – это ежемесячная работа, и ее может быть трудно выполнить через графический интерфейс, если пользователей много. Я предлагаю вам сценарий, в котором вы можете отключить большое количество пользователей с помощью Powershell.

Как это работает

Скрипт запросит идентификатор пользователя, которого вы хотите отключить, а для массового отключения потребуется список пользователей, и он будет идентифицировать, используя учетную запись Sam. Выглядит просто, если использовать powershell, то да, это очень просто.

Disable Active directory User Powershell Scripts

#Wintel-AD-Disable Active Directory User:

#for single:
Import-Module ActiveDirectory
Disable-ADAccount -Identity user1

#for bulk:

#imports active directory module to only corrent session as it is related to AD

Import-Module ActiveDirectory

#Takes input from users.csv file into this script

Import-Csv "C:\Users.csv" | ForEach-Object {

#assign input value to variable-samAccountName 

$samAccountName = $_."samAccountName"

#get-aduser will retrieve samAccountName from domain users. if we found it will disable else it will go to catch

try { Get-ADUser -Identity $samAccountName |
Disable-ADAccount  
}

#It will run when we can't find user

catch {

#it will display the message

  Write-Host "user:"$samAccountname "is not present in AD"
}
}

How to Use Dsastat.exe to Monitor/Troubleshoot Active Directory Replication

Use Dsastat.exe to compare the attributes of replicated objects and to determine differences between directory partitions that domain controllers host. Dsastat.exe uses statistics such as objects per server and megabytes per server to determine what the differences are in Active Directory information between domain controllers.

The syntax for Dsastat is:

dsastat ;…]] ]

• /loglevel:option indicates the type of logging. A value of Info, Trace, or Debug can be specified.
• /output:option indicates how results will be displayed. A value of Screen, File, or both of these can be specified.
• /s:servername;…]defines the server names that are to be included in the comparison by Dsastat.exe.
• /t:option sets whether a statistics comparison or a full content comparison should be performed. Values that can be set are True for statistics comparison and False for full content comparison.
• /sort:option for setting whether sorted queries should be performed or not. Values are True for sorted queries to be performed and False for specifying that sorted queries should not be performed.
• /p:pagesize specifies the number of entries that should be returned on a page. With a default value of 64, users can specify any value from 1 – 999.
• /scope:option sets what the search should include. Values that can be set are Base, Onelevel, Sub-tree.
• /b:searchpath specifies the distinguished name of the base search path.
• /filter:ldapfilter specifies the LPAD filter that should be used.
• /gcattrs:option indicates what attributes should be returned. Values that can be set are all, LDAPattributes, ObjectClass, auto.
• /u:username sets the username that should be used for the search.
• /pwd:password is the password associated with the above username.
• /d:domain is the domain that should be used to validate the username/password.

Monitoring Replication Queues (repadmin /queue)

Depending on the replication schedule, a DC can sometimes get behind its neighbor. When it does, its queue begins to increase. The queue is the number of items pending to be replicated to it from its source neighbor.

The DC’s queue should be zero indicating fully-replicated partitions, but sometimes, the queue can begin increasing on a congested network.

To view the queue, run , as shown below. In this instance, you’ll see the DC is fully replicated with its neighbor.

Checking AD replication queues with repadmin

If you notice the queue is slowly incrementing, this situation may indicate a problem. If so, be sure to troubleshoot the following:

• CPU usages on the DC (Source replication partner).
• Too many concurrent replication partners.
• Slow network connection.
• Too many changes in Active Directory objects.

Проверка и восстановление доверительного отношения компьютера с доменом с помощью PowerShell

Если вы не можете аутентифицироваться на компьютере под доменной учетной записью с ошибкой “Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом”, вам нужно войти на компьютер под локальной учетной записью с правами администратора. Также можно отключить сетевой кабель и авторизоваться на компьютере под доменной учетной записью, которая недавно заходила на этот компьютер, с помощью кэшированных учетных данных (Cached Credentials).

Откройте консоль PowerShell и с помощью командлета Test-ComputerSecureChannel проверьте соответствует ли локальный пароль компьютера паролю, хранящемуся в AD.

Test-ComputerSecureChannel –verbose

1	Test-ComputerSecureChannel –verbose

Если пароли не совпадают и компьютер не может установить доверительные отношения с доменом, команда вернет значение False – 

The Secure channel between the local computer and the domain winitpro.ru is broken

1	The Secure channel between the local computer and the domain winitpro.ru is broken

Чтобы принудительно сбросить пароль учётной записи данного компьютера в AD, нужно выполнить команду:

Test-ComputerSecureChannel –Repair –Credential (Get-Credential)

1	Test-ComputerSecureChannel –Repair –Credential (Get-Credential)

Для выполнения операции сброса пароля нужно указать учетную запись и пароль пользователя, у которого достаточно полномочий на сброс пароля учетной записи компьютера. Этому пользователя должны быть делегированы права на компьютеры в Active Directory (можно использовать и члена группы Domain Admins, но это не комильфо).

После этого нужно еще раз выполнить команду 

Test-ComputerSecureChannel

1	Test-ComputerSecureChannel

 и убедится, что она возвращает True (

The Secure channel between the local computer and the domain winitpro.ru is in good condition

1	The Secure channel between the local computer and the domain winitpro.ru is in good condition

).

Итак, пароль компьютера сброшен без перезагрузки и без ручного перевоода в домен. Теперь вы можете аутентифицировать на компьютере под доменной учетной записью.Также для принудительной смены пароля можно использовать командлет Reset-ComputerMachinePassword.

Reset-ComputerMachinePassword -Server dc01.corp.winitpro.ru -Credential corp\domain_admin

1	Reset-ComputerMachinePassword -Server dc01.corp.winitpro.ru -Credential corp\domain_admin

dc01.corp.winitpro.ru

1	dc01.corp.winitpro.ru

 – имя ближайшего DC, на котором нужно сменить пароль компьютера.

Имеет смысл сбрасывать пароль компьютера каждый раз, перед тем как вы создаете снапшот виртуальной машины или точку восстановления компьютера. Это упростит вам жизнь при откате к предыдущему состоянию компьютера.

Если у вас есть среда разработки или тестирования, где приходится часто восстанавливать предыдущее состояние ВМ из снапшотов, возможно стоит с помощью GPO точечно отключить смену пароля в домене для таких компьютеров. Для этого используется политика Domain member: Disable machine account password changes из секции Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Можно нацелить политики на OU с тестовыми компьютерам или воспользоваться WMI фильтрами GPO.

С помощью командлета Get-ADComputer (из модуля Active Directory Windows PowerShell) можно проверить время последней смены пароля компьютера в AD:

Get-ADComputer –Identity spb-pc22121 -Properties PasswordLastSet

1	Get-ADComputer –Identity spb-pc22121 -Properties PasswordLastSet

Комадлеты Test-ComputerSecureChannel и Reset-ComputerMachinePassword доступны, начиная с версии PowerShell 3.0. В Windows 7/2008 R2 придется обновить версию PoSh.

Также можно проверить наличие безопасного канала между компьютером и DC командой:

nltest /sc_verify:corp.winitpro.ru

1	nltest sc_verifycorp.winitpro.ru

Следующие строки подтверждают, что доверительные отношения были успешно восстановлены:

Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success

1 2	Trusted DC Connection Status Status = 0x0 NERR_Success Trust Verification Status = 0x0 NERR_Success

Удаление объектов AD

Объектом AD может быть компьютер или пользователь, и этот скрипт предоставляет вам возможность удалить пользователя и его машину из окружения. Больше не нужно идти и удалять пользователя/компьютер из GUI.

Как это работает

Этот скрипт использует переключатель, чтобы вы могли выбрать правильный вариант между удалением пользователя или компьютера, удаляет выбранный вариант и показывает результат на экране.

Вероятный результат

Пользователь или компьютер будет удален из домена AD.

AD-object-deletion Powershell Scripts

#Provide the input to choose to delete either User and Computer

$input = read-host "Enter your choice"
Switch($input)
{
0 { $result = 'User Deletion'}
1 { $result = 'Computer Deletion'}

}

#If input is greater than 1 it will throw error.

if ($input -gt 1)

{
Write-host "$input is not mentioned in the provided choices"  -ForegroundColor Cyan

}

#If 0 is selected then provide the user name that needs to deleted.

if($input -eq 0)
{
$user = Read-host "Provide user Name" 
Try{
Remove-aduser $user -confirm:$false 

Write-host "User $user is deleted" -foregroundcolor DarkGreen}

Catch{

Write-host "$user is not present in AD or the Username is incorrect" -Foregroundcolor DarkRed 
}
}
#If 1 is selected then provide the computer name that needs to deleted.

if ($input -eq 1)

{

$computer = Read-host "Provide Computer Name"

Try{
Remove-ADComputer $computer -confirm:$false 


Write-host "User $computer is deleted" -BackgroundColor DarkGreen}

Catch{

Write-host "$Computer is not present in AD or the Computer name is incorrect" -BackgroundColor DarkRed 
}

}

Напоследок

Чтобы иметь наглядную картину, я создал для каждой RG соответствующую группу хостов на Zabbix-сервере и сделал для каждой RG скрин, на котором видно общее состояние хостов группы и графики для различных метрик.

Получилось примерно так:

В процессе продакшн-эксплуатации шаблона выявилась проблема с опросом значений счетчиков производительности для RF: по непонятным мне причинам агент Zabbix перестает получать их показания и генерирует в своем логе ошибки вида «perf_counter» is not supported: Cannot obtain performance information from collector. Средствами же самой Windows (perfmon, typeperf, Get-Counter) эти счетчики опрашиваются нормально. Лечится перезапуском службы Zabbix Agent. Проблема касается только RF-счетчиков, счетчики для других сущностей (например, для подключений) агент опрашивает без проблем.

Шаблон и инструкции по установке есть на GitHub и Zabbix Share. Забирайте!

Буду рад конструктивной критике и предложениям по улучшению шаблона.

Источники вдохновения

Force Replication Of Domain Controller Through GUI

Windows servers make use of GUIs a lot, which is good for novice Systems Administrators. It’s easier to learn and sometimes helps you visualize what’s really happening. 

1. Log in to one of your DCs and open Active Directory Sites and Services.

1. Navigate to the site for which you’d like to replicate the domain controllers. Expand it by clicking the arrowhead next to the site name. Expand the Servers. Expand the DC which you’d like to replicate. Click on NTDS Settings.

1. In the right pane, right-click on the server and select Replicate Now.

1. Depending on how many DCs there are, this could take less than a second to a few minutes. When it is complete, you’ll see the notification, “Active Directory Domain Services has replicated the connections.”. Click OK to finish.