Утилиты для управления учетными записями компьютеров домена
Для управления учетными записями компьютеров домена есть два набора утилит командной строки. Первый набор может быть использован с любым типом учетной записи компьютера, включая рабочие станции, рядовые серверы (member servers) и контроллеры домена. Второй набор команд предназначен чсн только для управления дополнительными возможностями контроллеров домена.
Помимо команды DSQUERY computer общий набор команд управления учетными записями компьютеров включает в себя следующие команды.
DSADD computer — создает учетную запись компьютера в Active Directory:
dsadd computer ОИКомпьютера
DSGET computer — выводит на экран свойства учетной записи компьютера по синтаксису одного из двух видов. Вот синтаксис для просмотра свойств нескольких компьютеров:
dsget computer ОНКомпыотера … ]
И синтаксис для просмотра информации о членстве в группах для одного компьютера:
dsget computer DNKoMnburrepa ]
DSMOD computer — изменяет атрибуты одной или нескольких учетных записей компьютеров в каталоге:
dsmod computer DNKOMnbKrrepa …
DSGET server — отображает различные свойства контроллеров домена по синтаксису одного из трех видов. Вот синтаксис для вывода основных свойств выбранного контроллера домена:
dsget server DNCepeepa …
Синтаксис для получения списка пользователей, которые владеют наибольшим числом объектов каталога в указанном контроллере домена, выглядит так:
dsget server DNCepBepa …
Наконец, синтаксис для отображения DN разделов каталога на выбранном сервере:
dsget server DNCepeepa …
DSMOD server — изменяет свойства контроллера домена:
dsmod server DNCepeepa …
Рекомендуем для просмотра:
- Расположение учетной записи компьютера — 02/11/2012 10:03
- Свойства учетных записей компьютеров — 02/11/2012 09:55
- Создание учетных записей компьютеров — 02/11/2012 09:48
Создание OU Разовое и массовое
Для создания OU без каких-либо дополнительных шагов, я подготовил скрипт. Он создает одну OU или в нужном количестве.
Как это работает
Создание OU – это одна команда в Powershell, но массовое создание требует данных, которые могут быть представлены в CSV или текстовом файле, что и делается в этом скрипте.
Вероятный результат
Если вы все сделаете правильно, вы сможете увидеть созданные OU в dsa.msc.
Create OU Powershell Scripts
create active directory OU.txt
#Wintel-AD-Create Active Directory OU:
for single:
-----------
New-ADOrganizationalUnit -Name abc -Path "OU=Employees,DC=contoso,DC=com" -Description "if any" -PassThru
For Bulk:
---------
#Take input from ou_names file
import-csv c:\ou_names.csv | ForEach-Object {
#Assign input values to variable-ouname
$ouname = $_."ouname"
#It will search for given OU already exists in AD
$ADOU=get-ADOrganizationalunit -Filter 'Name -like $ouname'
try{
#It will compare given OU and AD searched OU
if($ouname -eq $ADOU){
#If it already in AD, it will go to caught statement
write-host "given OU-" $ouname "is already there in AD"}
#It will create OU if not exits
else
{
New-ADOrganizationalUnit -Name $ouname -path "DC=contoso,DC=com" -PassThru
}
}
#It will show the path of OU which already exists
catch{
write-host $ouname "is exists in AD"
write-host $ADOU
}
}
ou_names.csv
ouname ou1 ou2 ou3 ou4 ou5
readme.txt
This script will create OU's in AD. Prerequisites: 1.We should provide the OU names which needs to created in AD. Steps to run the script: 1.Provide OU names in csv file to script. 2.It will check for OU in AD whether it already exists. 3.If it doesn't exist in AD, it will create else it will provide path od OU.
Установка RSAT в Windows 7
Набор утилит Microsoft Remote Server Administration Tools (RSAT) позволяет администраторам удаленно управлять ролями и функциями сервера Windows Server 2008 R2 с компьютера под управлением Windows 7. Он включает в себя поддержку удаленного управления компьютерами под управлением Server Core или полноценного сервера Windows Server 2008 R2.
Установка RSAT осуществляется в 2 этапа:
- Собственно установка дистрибутива RSAT (где его взять я уже описывал в статье о включении Windows 7 в домен AD, на всякий случай напомню https://www.microsoft.com/downloads/details.aspx?FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d&displaylang=en)
- Активация функций и консолей (оснасток) RSAT.
Шаг 1. Установка RSAT
wusa Windows6.1-KB958830-x86.msu /quiet (x86) wusa Windows6.1-KB958830-x64.msu /quiet (x64)
После установки пакета RSAT, который содержит большинство необходимых администратору утилит и оснасток, они будут доступны в панели управления (Programs & Features — Windows Features).
Шаг 2. Включаем оснастки и функции RSAT
Различные функции пакета RSAT можно активировать с помощью утилиты командной строки (CLI), которая называется DISM (Deployment Image Servicing and Management), ее использование полностью аналогично процедуре включения/выключения функций и ролей в Windows Server 2008 R2 Server Core.
DISM позволяет перечислить, установить, удалить, настроить или обновить функции и пакеты в образе системы Windows. Список доступных команд зависит от того, в каком режиме работы находится система: offline или online.
Чтобы получить список всех доступных функций, наберите в командной строке:
dism /Online /Get-Features
Чтобы активировать ту или иную функцию, воспользуйтесь командой:
dism /Online /Enable-Feature /FeatureName:
Например:
dism /Online /Enable-Feature:RemoteServerAdministrationTools dism /Online /Enable-Feature:RemoteServerAdministrationTools-Roles-DHCP
Ниже я приведу полный список имен функций, доступных в RSAT
|
Названия функций RemoteServerAdministrationTools RemoteServerAdministrationTools-ServerManager
RemoteServerAdministrationTools- RemoteServerAdministrationTools-Roles
RemoteServerAdministrationTools-Features
|
Набор утилит RSAT в Windows Server 2008 R2 и Windows 7также позволит вам осуществлять удаленное управления серверами (работающий под управлением Windows Server 2008 R2) с помощью оснастки Server Manager посредством удаленного PowerShell. Роли сервера и его функции будут доступны для управления при помощи локальных и удаленных скриптов PowerShell 2.0. Таким образом, после установки RSAT Windows 7, в вашем распоряжении появится знакомая вам консоль Server Manager.
Для чего вы можете использовать Active Directory — пользователи и компьютеры?
Надстройка «Active Directory — пользователи и компьютеры» может покрыть большинство задач и обязанностей администратора AD. У него есть свои ограничения — например, он не может управлять объектами групповой политики.
Но вы можете использовать его для сброса паролей, редактирования членства в группах, разблокировки пользователей и многого другого. Вот некоторые основные инструменты в вашем распоряжении, когда вы включаете ADUC на вашем компьютере.
- Active Directory Домены и трасты. С помощью этого инструмента вы можете управлять функциональными уровнями леса, UPN (основными именами пользователей), функциональными уровнями нескольких доменов. Это также позволяет управлять доверием между лесами и доменами.
- Центр администрирования Active Directory. В этом разделе ADUC вы можете управлять своей историей PowerShell, политиками паролей и корзиной AD.
- Сайты и службы Active Directory. Этот инструмент дает вам контроль и понимание сайтов и услуг. Это позволяет планировать репликацию и определять топологию AD.
Авторизация FreeBSD heimdal в AD используя ключи. (Согласен с автором … 3 вариант самый оптимальный, но FreeNAS после ребута не хотел принимать старый билетик и приходилось опять же ручками получать новый)
infrasty » 2009-05-19 11:17:26
Статья написана в стиле «пометка что-бы не забыть», многие моменты подразумеваются известными и акцент делается на «подводные камни». В интернете по этому вопросу увы ничего не нашел, так же бьються над аналогичными проблемами ребята из Juniper Networks (не подсоединяет к домену) и IBM ( не получает список пользователей).
Для того, что бы службы на FreeBSD могли получать TGS (Ticket Granting Service — тикет на доступ к службе)
от Active Directory Key Distribution Center необходимо что бы в системе FreeBSD был TGT (Ticket Granting Ticket — тикет на получение тикетов).
В стандартном варианте настройке родного Kerberos (Heimdal 0.x_чего_то_там) на FreeBSD (вплоть до версии 7.1.) используется файл
/etc/krb5.conf
в этом файле указывается REALM (область, за которую отвечает KDC) и серверы, с которых можно спрашивать TGT и TGS.
Первоначальный TGT получается обычно с использованием команды:
- КОД: ВЫДЕЛИТЬ ВСЁ
и в файле-кеше ключей (обычно /tmp/krb5cc_0, т.к. все делается из под рута) появляется TGT, используя который
другие службы (pam_krb5, ldap, samba) могут обращаться к службам AD.
Для автоматизации получения ключа используются разные методы. Все они используют cron, для периодического получения/обновления ключа.
1.) Самый простой это
- КОД: ВЫДЕЛИТЬ ВСЁ
Метод прост, но «светит пароль» администратора, что не является хорошим тоном.
2.) Второй способ описан в статье Microsoft «Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability»
Заключается метод в следующем: создается пользовательский аккаунт, через который будет авторизоваться сервер.
С использованием команды из пакета Windows Resource Kit или Windows Support Tools
- КОД: ВЫДЕЛИТЬ ВСЁ
создается файл unixmachine.keytab в который пишутся ключи, которые могут быть использованы для авторизации без пароля,
используя команду на FreeBSD
- КОД: ВЫДЕЛИТЬ ВСЁ
Файл unixmachine.keytab требует переноса на FreeBSD и манипуляции для впихивания его в /etc/krb5.keytab — системный файл для хранения ключей
по-умолчанию. Подробности в статье [http://technet.microsoft.com/en-us/library/bb742433.aspx,
Путь TechNet->TechNet Library->Windows->Windows Server->Windows Server 2000->How To… ->Step-by-Step Guide to Kerberos 5]
3.) Наиболее элегантный.
Для получения ключей используется Samba 3.xx, которая чаще всего используется в связке с Active Directory.
Метод также подразумевает получение ключей в /etc/krb5.keytab и авторизацию через
- КОД: ВЫДЕЛИТЬ ВСЁ
для получения ключей наобходимо использовать
- КОД: ВЫДЕЛИТЬ ВСЁ
эта команда получает ключи в файл (по умолчанию) /etc/krb5.keytab
- КОД: ВЫДЕЛИТЬ ВСЁ
Требования: Реализация Kerberos на FreeBSD heimdal не использует (пока что) tcp для Kerberos запросов, поэтому пользователь
DomainAdministrator должен быть в одной единственной группе (Domain Admins) и по возможности в самом верхнем OU.
Иначе будут ошибки
- КОД: ВЫДЕЛИТЬ ВСЁ
Получив ключи, следует произвести некоторые магические действия с Active Directory.
В моем случае был Microsoft Windows Server 2008 Enterprise SP1, по традиции при его выпуске была допущена ошика
в реализации kerberos из-за чего при использовании
- КОД: ВЫДЕЛИТЬ ВСЁ
Microsoft Windows Server 2008 всех версиий возвращает KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN из-за неправильной
интерпретации косой черты («/») в имени принципала.
Лечится это частным патчем от Microsoft , который Microsoft почему то высылает только по запросу
на электронный адрес, да еще в придачу защифрованным паролем. (актуально на 15.05.2009)
Далее для авторизации через kinit к сожалению не используется аттрибут serivcePrincipalName объекта
типа Computer, который создается при подключении Samba к домену и чьи ключи Samba помещает в /etc/krb5.keytab.
Для того, что бы этот аккаунт использовался для авторизации необходимо сделать два вещи
а.) установить аттрибут userPrincipalName в HOST/my_bsd_hostname@NT-DNS-REALM-NAME (по умолчанию он пуст для объекта Computer)
б.) установить отметку «Без предварительной проверки Kerberos». Это легче сказать чем сделать, т.к. диалоговое окно для таких
манипуляций доступно только для объектов типа User. Отметка это лишь бит в целом числе, поэтому…
Я использовал ADSI Edit (входит в поставку Windows Server 2008) для правки аттрибута userAccountControl объекта типа Computer, представляющего
FreeBSD в домене:
- КОД: ВЫДЕЛИТЬ ВСЁ
После установки патча, манипуляций с объектов Computer account, представляющего FreeBSD и прописав в cron
- КОД: ВЫДЕЛИТЬ ВСЁ
получаем рабочее решение по актуальному постоянному присутствию в Kerberos Realm-e
- КОД: ВЫДЕЛИТЬ ВСЁ
Что такое разрешения в Active Directory?
Доступ к использованию и внесению изменений в Active Directory ограничен определенным набором людей с привилегиями, которые разрешают им доступ к ним. Эти привилегии доступа представляют собой разрешения в Active Directory, предоставляемые пользователям или группам, которые позволяют им взаимодействовать с объектами.
Кроме того, в Active Directory существуют стандартные и специальные типы разрешений. Стандартное разрешение позволяет пользователям читать, писать и иметь полный контроль.
Кроме того, специальные разрешения позволяют пользователю изменять разрешения или владельцев объектов, изменять настройки и т. д. Ознакомьтесь с нашим руководством о передовых методах работы с Active Directory, которые можно применить прямо сейчас.
Настройка контроллера домена в качестве NTP сервера и настройка клиентов NTP
В папке Фильтры WMI создать фильтр, добавить запрос с пространством имен root\CIMv2 и запросом
Select * from Win32_ComputerSystem where DomainRole = 5
Создать правило для сервера NTP в папке Domain Controllers
Связать фильтр с правилом, выбрав правило и на вкладке Область внизу в разделе Фильтр WMI выбрать созданный фильтр
В правиле для сервера, по пути
Конфигурация пользователя
Политики
Административные шаблоны
Система
Служба времени Windows
Поставщики времени
Включить правило
Настроить NTP-клиент Windows
Выбрать Type — NTP и в поле NtpServer указать
0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
В правиле для клиентов, по пути
Конфигурация пользователя
Политики
Административные шаблоны
Система
Служба времени Windows
Поставщики времени
Включить правило
Настроить NTP-клиент Windows
Выбрать Type — NT5DS и в поле NtpServer указать ip-адрес контроллера домена
Управление групповой политикой и делегирование
Делегирование— та вещь, которая быстро выходит из-под контроля. Права делегируются то так то эдак и, в конце концов, не те люди могут получить не те права.
Ценность групповой политики заключается в ее силе. Одним махом вы можете применить политики в домене или подразделении, которые значительно укрепят безопасность или улучшат производительность бизнеса. Или наоборот.
Но этой властью также можно злоупотребить, намеренно или случайно. Одно неправильное изменение объекта групповой политики может привести к нарушению безопасности. Взломщик или злонамеренный администратор могут легко изменить объекты групповой политики, чтобы, например:
- Разрешить неограниченное количество попыток угадать пароль учетной записи.
- Включить возможность подключения съемных носителей для упрощения кражи данных.
- Развернуть вредоносное ПО на всех машинах в домене.
- Заменить сайты, сохранённые в закладках браузеров пользователей, вредоносными URL-адресами.
- Запустить вредоносный сценарий при запуске или завершении работы компьютера.
Полезные команды Powershell для Active Directory
Получить всех пользователей AD в домене
Get-aduser -properties * -filter *
Модуль импорта Active Directory
Import-module activedirectory
Получить все компьютеры из домена
Get-adcomputer -properties * -filter *
Отключить пользователя AD по имени учетной записи SAM
Disable-ADaccount -identity "Name"
Экспорт данных в формат CSV
Get-adcomputer -properties * -filter * |export-csv "give path"
Получить имя учетной записи AD Groups SAM
Get-ADgroup -identity "provide group name"
Выбрать конкретный атрибут пользователя
Get-aduser -properties * -filter *
Получить информацию о домене
Get-ADdomain
Установите роль Active Directory
Install-windowsfeature AD-Domain-Services
Получить список контроллеров домена
Get-ADDomainController
Klist: очистить пользовательский билет Kerberos без выхода из системы
Другая команда используется для обновления назначенных групп безопасности Active Directory в сеансе пользователя. Например, учетная запись пользователя домена была добавлена в группу Active Directory для доступа к общей сетевой папке. Пользователь не сможет получить доступ к этой общей папке без выхода из системы.
Чтобы обновить билеты Kerberos пользователя, используйте эту команду:
Чтобы увидеть обновленный список групп, вам нужно запустить новую командную строку с помощью runas (чтобы был создан новый процесс с новым токеном безопасности).
На сервере RDS вы можете сбросить билеты Kerberos для всех удаленных сеансов пользователей одновременно, используя следующую однострочную команду PowerShell:
Get-WmiObject Win32_LogonSession | Где-Объект | ForEach-Object
Предположим, группа AD была назначена пользователю для доступа к общей папке
Попробуйте получить к нему доступ, используя его полное доменное имя (это важно, например, \\lon-fs1.woshub.loc\Install). В этот момент пользователю выдается новый билет Kerberos
Вы можете проверить, что билет TGT был обновлен:
(см. значение времени начала кэшированного TGT)
Общая папка, к которой был предоставлен доступ через группу AD, должна открываться без выхода пользователя из системы.
Вы можете проверить, что пользователь получил новый TGT с обновленными группами безопасности (без выхода из системы) с помощью команды whoami /all.
Напоминаем, что этот способ обновления членства в группе безопасности будет работать только для служб, поддерживающих Kerberos. Для служб с проверкой подлинности NTLM для обновления токена требуется перезагрузка компьютера или выход пользователя из системы.
Команда gpupdate /force используется для принудительного обновления групповых политик, применяемых вашей компанией. Изменения, внесенные в групповую политику, применяются не сразу, а по умолчанию через 90 минут (со смещением ~ 30 минут для распределения нагрузки). С помощью команды GPUpdate мы можем принудительно выполнить обновление.
Групповые политики используются для изменения параметров безопасности и управления системой (например, для развертывания принтеров или подключения сетевых дисков). Для устранения проблем с ИТ иногда необходимо обновить групповую политику вручную.
Собрали подборку из Active Directory20 лучших скриптов Powershell для работы с Active Directory.
Ниже я собрал некоторые из лучших скриптов Active directory Powershell, которые, несомненно, сэкономят ваше время. Управление доменом – это работа Active Directory, и понимание каждого компонента является обязательным. Active Directory состоит из пользователей, групп, которые можно проверить в Active directory users and computers (ADUC). Создание пользователя в домене или сохранение пользователя в домене – это работа системного администратора windows.
Работая много лет, я столкнулся со многими проблемами в качестве системного администратора windows. Иногда создание пользователей или групп в домене занимает значительное время. Это процесс можно автоматизировать, чтобы сэкономить время. В данной статье есть скрипты DNS powershell, скрипты DHCP powershell.