Разрешить пользователю добавлять компьютеры в домен Active Directory
В рамках оптимизации нагрузки на тех.поддержку на предприятии принято решение о делегирование некоторых обязанностей на доверенных пользователей (далее по тексту — уполномоченных). Одной из таких задач будет добавление и удаление компьютеров в домене Active Directory.
«Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.»
«Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.»
Бывают случаи, что пользователю удается обойти это ограничение и количество компьютеров, которых он добавил в домен, уже перевалило за несколько десятков. Магии тут никакой нет, просто нужно понять принцип действия этого ограничения. Илья Сазонов в своем блоге очень внятно об этом рассказал:
Оказывается, в учетной записи компьютера есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя создавшего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер к домену, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то новая учетная запись компьютера создается, иначе появляется выше приведенная ошибка.
Стало ясно, что если пользователь добавляет компьютеры в домен, т.е. создает учетные записи компьютеров в Active Directory, а доменный администратор их после этого удаляет, то этот юзер может и не ощутить наличие этой квоты.
Для решения поставленной задачи такой способ не подходит, т.к. из-за большого количества рабочих станций очень скоро уполномоченные столкнуться с превышением лимита.
- Предварительно создавать учетную запись компьютера
- Предоставить пользователю разрешение на добавление компьютеров в домен
- Увеличение квоты
Из этих вариантов для решения моей задачи подходит только второй. Прикинув все за и против решил внедрять.
1. Создал отдельную группу для уполномоченных в AD – Add_PC_in_Domen.
2. В окне оснастки «Active Directory — пользователи и компьютеры», в меню Вид выберал команду Дополнительные функции так, чтобы при нажатии кнопки Свойства была видна вкладка Безопасность.
3. Перешел в Свойства контейнера Компьютеры, вкладка Безопасность — Дополнительно. Добавил в список разрешения новую группу Add_PC_in_Domen, в списке разрешений для этой группы поставил две галки — Создание объектов компьютера и Удаление объектов компьютера.
Осталось добавить доверенных пользователей в группу. Члены этой группу теперь смогут беспрепятственно добавлять компьютеры в домен.
Как запретить пользователям добавлять компьютеры в домен
Нужно группе Прошедшие проверку поставить явный запрет на Создание объектов компьютера, как показано на скриншоте
Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!
Хотите поблагодарить автора за эту заметку? Вы можете это сделать!
Выбор лучших инструментов для безопасности Active Directory
Трудно идти в ногу со всеми лучшими практиками Active Directory. К счастью, вам не нужно идти в одиночку. Существует множество программ, платформ и сервисов, которые помогут вам ориентироваться в этой сложной среде.
Вот несколько наиболее распространенных:
- Анализаторы разрешений: Этот инструмент помогает быстро и легко определить, какие права и группы доступа кому-то назначены. Просто введите имя пользователя, и программное обеспечение предоставит иерархическое представление действующих разрешений и прав доступа, что позволит вам быстро определить, как каждый пользователь получил свои права.
- Менеджеры прав доступа: Внедрение менеджера прав доступа может помочь вам управлять разрешениями пользователей, удостовериться что доступ в нужных руках и предоставить вам возможность отслеживать общую активность вашей AD. Эти инструменты также оснащены интуитивно понятными панелями оценки рисков и настраиваемыми отчетами, что позволяет легко продемонстрировать соответствие нормативным требованиям.
- Платформы мониторинга: программное обеспечение для управления серверами и приложениями позволяет быстро и легко получить снимок общего состояния вашего каталога, а также предоставляет способы углубленного изучения контроллеров домена. Вы можете использовать эти платформы для создания пользовательских порогов оповещений и определения того, что является нормальным для вашего сервера, что позволяет избежать невосприимчивости к оповещениям. Они помогают быть на шаг впереди и принимать превентивные меры.
- ПО для удаленного управления: данное ПО разработано, чтобы помочь вам решить проблемы быстро и из любой точки мира. С помощью удаленного доступа вы можете получить контроль над компьютерами, когда пользователь вошел в систему, что дает вам возможность взглянуть на проблемы, с которыми они сталкиваются. Это дает вам лучшее представление о проблеме.
- Менеджеры автоматизации: эти инструменты довольно просты и часто включают в себя интерфейс интерактивных сценариев для создания повторяющихся процессов. У вас есть много задач, которые нужно выполнять на регулярной основе? Менеджер автоматизации позволит вам свернуть эти задачи в «политику», а затем настроить расписание для этой политики.
Параметры RODC
При установке контроллера домена только для чтения (RODC) отображаются следующие параметры.
-
Делегированные учетные записи администратора получают локальные права администратора для RODC. Эти пользователи могут действовать с привилегиями, эквивалентными группе администраторов локального компьютера. Они не являются членами групп администраторов домена или встроенных учетных записей администраторов домена. Этот параметр полезен при делегировании администрирования филиалом без выдачи разрешения на администрирование домена. Настройка делегирования прав администратора не требуется. Дополнительные сведения см. в разделе Делегирование прав администратора.
-
Политика репликации паролей действует как список управления доступом (ACL). Она определяет, разрешается ли RODC кэширование пароля. После того как RODC получает запрос на вход прошедшего проверку пользователя или компьютера, он обращается к политике репликации паролей, чтобы определить, нужно ли кэшировать пароль учетной записи. После этого следующие входы под данной учетной записью станут более эффективными.
Политика репликации паролей перечисляет те учетные записи, пароли от которых разрешено кэшировать, и те, пароли от которых кэшировать явным образом запрещено. Перечисление учетных записей пользователей и компьютеров, которые разрешено кэшировать, не означает, что RODC обязательно кэширует пароли этих учетных записей. Администратор, например, может заранее указать учетные записи, которые RODC будет кэшировать. Таким образом, RODC может проверить подлинность этих учетных записей, даже если ссылка глобальной сети на узловой сайт неактивна.
Если пользователям или компьютерам не разрешено (в том числе неявно) или отказано в кэшировании пароля, кэширование не производится. Если вышеупомянутые пользователи или компьютеры не имеют доступа к доступному для записи контроллеру домена, они не могут получить доступ к ресурсам и функциональным возможностям доменных служб Active Directory. Дополнительные сведения о репликации паролей см. в разделе Политика репликации паролей. Дополнительные сведения об управлении политикой репликации паролей см. в разделе Администрирование политики репликации паролей.
Дополнительные сведения об установке контроллера домена только для чтения см. в разделе Установка контроллера домена Active Directory только для чтения для Windows Server 2012 (уровень 200).
Использование Veeam Explorer для Microsoft Active Directory
В качестве альтернативного способа можно использовать решения Veeam, в частности, Veeam Explorer для Active Directory. Эта программа позволит вам выполнять восстановление гораздо проще и быстрее. При этом она решает многие проблемы восстановления tombstone-объектов — например, потерю пароля учетной записи и многих важных атрибутов, таких как имя и фамилия пользователя.
Конечно, для использования Veeam Explorer для Active Directory у вас должна быть резервная копия контроллера домена, где был удален объект. Также контроллер домена должен быть виртуализован, чтобы можно было создать его резервную копию с помощью Veeam Backup & Replication. Поэтому такой вариант восстановления годится не для всех сценариев — сначала надо провести предварительную подготовку. Однако если вам посчастливилось быть администратором виртуального контроллера домена с функциональным режимом работы леса доменов Windows Server 2003 или Windows Server 2008, внимательно прочитайте изложенную ниже информацию, она может оказаться полезной.
1
Убедитесь, что у вас есть резервная копия контроллера домена и что при ее создании была включена обработка данных с учетом состояния приложений (о том, почему это важно, говорилось в первой статье серии)
Рис. 3. Veeam Backup & Replication, настройка задания резервного копирования
2. Если вам нужно восстановить удаленный объект, перейдите к резервной копии контроллера домена и выберите «Microsoft Active Directory objects…» (объекты Microsoft Active Directory), чтобы начать восстановление и запустить Veeam Explorer для Active Directory.
Рис. 4. Запуск Veeam Explorer для Microsoft Active Directory
3. Найдите нужный контейнер и включите параметры «compare all objects» (сравнить все объекты) и «show changed objects only» (показывать только измененные объекты). Таким образом вы настроите предварительную фильтрацию: Veeam Explorer сравнит данные в резервной копии с текущим состоянием DC и отобразит только измененные объекты. Просмотрите состояние объектов и найдите те, у которых оно обозначено как «tombstone».
Рис. 5. Veeam Explorer для Active Directory, сравнение объектов
4. Нужный объект (объекты) можно восстановить в рабочую среду или экспортировать как файл .lde.
Рис. 6. Veeam Explorer для Active Directory, возможности восстановления отдельных объектов
5. Примечание: при восстановлении учетной записи пользователя вам будет предложено указать параметры восстановления пароля (specify password restore options ). Вы можете выбрать один из следующих вариантов: восстановить учетную запись со старым паролем, задать новый пароль вручную или вообще восстановление без пароля. Восстановление старого пароля позволит снизить нагрузку на администратора и сохранить факт удаления учетной записи в секрете. Представьте себе, что ночью в результате сбоя исчезло целое подразделение (OU) с сотнями пользователей, и его нужно восстановить. Утром при входе в систему всем сотрудникам будет предложено сменить пароль, и они, разумеется, начнут задавать вопросы. Естественно, если есть возможность, лучше такой ситуации избежать.
Рис. 7. Veeam Explorer для Active Directory, выбор варианта восстановления пароля
С учетом сказанного выше, понятно, что Veeam Explorer для Microsoft Active Directory предлагает относительно простой способ восстановления tombstone-объектов Active Directory
Если вы работаете в подходящей системе, рекомендую обратить внимание на этот продукт
В дополнение, не забывайте, что Veeam Explorer для Microsoft Active Directory — это лишь одна из множества возможностей Veeam Backup & Replication. Приобретая этот продукт, вы получаете гораздо больше, чем просто восстановление объектов Active Directory.
В следующей статье я сравню возможности корзины Active Directory и другие способы восстановления объектов.
Также вас может заинтересовать:
- Статья Восстановление объектов Active Directory
- Восстановление tombstone-объектов Active Directory с помощью LDP
- Как восстановить удаленные учетные записи пользователей (база знаний Microsoft)
- Руководство пользователя Veeam Explorer для Microsoft Active Directory
- Подробная информация о Veeam Explorer для Microsoft Active Directory
Жизненный цикл объекта Active Directory
Итак, почему же так важно понимать, как функционируют системы более ранних версий? Потому что современная логика и привычная функциональность в этих случаях неприменимы. До появления Windows Server 2008 R2 жизненный цикл объектов Active Directory выглядел следующим образом:
Удаление объекта Active Directory не приводит к его физическому удалению – а происходит вот что:
- Active Directory скрывает удаленный объект, меняя значение атрибута isDeleted на TRUE.
- Затем большинство атрибутов объекта сбрасывается, а сам объект переименовывается и перемещается в специальный контейнер (CN=Deleted Objects). С этого момента объект получает статус «tombstone», и стандартные средства Active Directory не знают о его существовании.
- В этом специальном состоянии объект находится в течение установленного периода (60 дней в Windows Server 2000/2003 и 180 дней в Windows 2003 SP1/2008). Это делается, чтобы гарантировать успешное выполнение репликации данных в системе.
- По окончании отведенного времени существования в состоянии «tombstone» осуществляется вызов специального процесса (так называемый сборщик мусора), который физически удаляет объект из базы данных.
И вот здесь возникает вопрос: если «tombstone» объект не удаляется физически в течение некоторого времени, нельзя ли его восстановить? Коротко говоря — можно. Хотя такой механизм удаления объектов не был предназначен для использования в качестве временной корзины, а удаленные объекты не предполагалось восстанавливать, технически это возможно. Далее я расскажу, как это можно сделать.
Восстановление отдельных объектов в AD
Если вам нужно восстановить отдельные объекты в AD, воспользуйтесь корзиной Active Directory. Если время захоронения уже просрочено, или ActiveDirectory RecycleBin не включена, вы можете восстановить отдельные объекты AD в режиме авторитаивного восстановления.
Вкратце процедура выглядит следующим образом:
- Загрузите DC в DSRM режиме;
- Выведите список доступных резервных копий:
- Запустите восстановление выбранной резервной копии:
- Подтвердите восстановление DC (в не полномочном режиме);
- После перезагрузки запустите:
Укажите полный путь к объекту, который нужно восстановить. Можно восстановить OU целиком:
Или один объект:
Данная команда запретит репликацию указанных объектов (путей) с других контроллеров домена и увеличит USN объекта на 100000.
Выйдите из ntdsutil:
Загрузите сервер в обычном режиме и убедитесь, что удаленный объект был восстановлен.
Перенаправление CN=Users на указанный администратором OU
-
Войдите в систему с учетными данными администратора домена в домене Z, куда перенаправляется контейнер CN=Users.
-
Переход домена на функциональный уровень Windows Server 2003 или более новый в оснастке пользователей и компьютеров Active Directory (Dsa.msc) или snap-in доменов и трастов (Domains.msc). Дополнительные сведения об увеличении функционального уровня домена см. в дополнительных сведениях о повышении уровней функциональных функций домена и леса.
-
Создайте контейнер OU, в котором должны быть размещены пользователи, созданные с API более ранней версии, если нужного контейнера OU не существует.
-
Запустите Redirusr.exe по командной подсказке с помощью следующего синтаксиса. В команде container-dn — это отличительное имя OU, которое станет расположением по умолчанию для вновь созданных пользовательских объектов, созданных интерфейсами API на уровне ниже:
Redirusr устанавливается в папке на Windows или более новых компьютерах Server 2003. Например, чтобы изменить расположение по умолчанию для пользователей, созданных с помощью API-интерфейсов, таких как Net User, на контейнер OU=MYUsers в домене, используйте следующий синтаксис:
Использование Get-ADUser с фильтрацией по атрибутам
Используя опцию -Filter, вы можете фильтровать список учётных записей пользователей по одному или нескольким атрибутам. В качестве аргументов этого параметра можно указать значение определённых атрибутов пользователей Active Directory. Если вы используете параметр -Filter, командлет Get-ADUser будет перечислять только тех пользователей, которые соответствуют критериям фильтра.
Например, я хочу перечислить активные (Enabled) учётные записи пользователей, имя которых содержит «Dmitry» (в приведённом ниже примере используется несколько фильтров; вы можете комбинировать условия, используя стандартные логические операторы сравнения PowerShell):
Get-AdUser -Filter "(Name -like '*Dmitry*') -and (Enabled -eq 'True')" -Properties * | Select-Object name,enabled
Кроме того, вы можете отсортировать полученный список пользователей по определённому атрибуту пользователя (столбцу) с помощью командлета Sort-Object. Вы также можете использовать командлет Where-Object для одновременного указания нескольких критериев фильтрации.
Get-ADUser -Filter * -properties PasswordExpired,PasswordLastSet,PasswordNeverExpires -SearchBase 'OU=NY,DC=hackware,DC=ru'| Where-Object {$_.name –like "*Dmitry*" -and $_.Enabled -eq $true} | Sort-Object PasswordLastSet | Select-Object Name,PasswordExpired,PasswordLastSet,PasswordNeverExpires
Таким образом, вы можете составить таблицу с любыми необходимыми атрибутами пользователей Active Directory.
Дополнительная информация
Чтобы настроить конфигурацию пользователя на компьютер, выполните следующие действия:
- В консоли управления групповой политикой Microsoft (MMC) выберите конфигурацию компьютера.
- Найдите административные шаблоны, выберите System, выберите групповую политику, а затем вйдите в параметр Loopback Policy.
Эта политика направляет систему применять набор GPOs для компьютера к любому пользователю, который входит на компьютер, затронутый этой политикой. Эта политика предназначена для компьютеров специального использования, на которых необходимо изменить политику пользователя на основе используемого компьютера. Например, компьютеры в общественных местах, в лабораториях и в классах.
Примечание
Loopback поддерживается только в среде Active Directory. Учетная запись компьютера и учетная запись пользователя должны быть в Active Directory. Если контроллер домена microsoft Windows NT 4.0 управляет любой учетной записью, циклбэк не функционирует. Клиентский компьютер должен быть запущен одной из следующих операционных систем:
- Windows XP Professional
- Windows 2000 Professional
- Windows 2000 Server
- Windows 2000 Advanced Server
- Windows Server 2003
При работе с рабочими станциями пользователям может потребоваться применить параметры групповой политики в зависимости от расположения объекта пользователя. Поэтому мы рекомендуем настроить параметры политики на основе организационного подразделения, в котором находится учетная запись пользователя. Если объект компьютера находится в определенном организационном подразделении, параметры политики пользователя должны применяться в зависимости от расположения объекта компьютера, а не объекта пользователя.
Примечание
Нельзя фильтровать параметры пользователя, которые применяются путем отказа или удаления прав AGP и Read с объекта компьютера, указанного для политики loopback.
Обычная обработка групповой политики пользователей указывает, что компьютеры, расположенные в их организационном подразделении, имеют GPOs, применяемые в порядке во время запуска компьютера. Пользователи в своем организационном подразделении имеют GPOs, применяемые в порядке во время logon, независимо от того, на какой компьютер они войдите.
В некоторых случаях этот порядок обработки может оказаться не подходящим. Например, если вы не хотите, чтобы приложения, которые были назначены или опубликованы пользователям в их организационном подразделении, устанавливались при входе пользователя на компьютер в определенном организационном подразделении. С помощью функции поддержки циклов групповой политики можно указать два других способа получения списка GPOs для любого пользователя компьютеров в этом конкретном организационном подразделении:
-
Режим слияния
В этом режиме при входе пользователя список GPOs пользователя обычно собирается с помощью функции GetGPOList. Затем функция GetGPOList снова вызвана с помощью расположения компьютера в Active Directory. Затем список GPOs для компьютера добавляется в конец GPOs для пользователя. Это приводит к более высокому приоритету для GPOs компьютера, чем КПД пользователя. В этом примере список GPOs для компьютера добавляется в список пользователя.
-
Замените режим
В этом режиме список пользовательских GPOs не собирается. Используется только список GPOs, основанный на объекте компьютера.
Восстановление дерева SYSVOL
Иногда при восстановлении службы FRS может понадобиться восстановление дерева SYSVOL.
Данная процедура описана в документе Майкрософт Q315457
Но еще раз по пунктам весь процесс и с картинками:
1.Останавливаем службу ntfrs НА ВСЕХ КОНТРОЛЛЕРАХ ДОМЕНА командой net stop ntfrs;
2.Переписываем все файлы из c:\WINDOWS\SYSVOL\domain в какую-либо папку на том же самом диске. Данную процедуру я обычно делаю с помощью Total Commander, так как в нем есть возможность явно указать сохранение существующих прав при копировании или перемещении(«Копировать права доступа NTFS…»). Если будете пользоваться проводником, то копируйте только в пределах тома. По умолчанию в проводнике при копировании в пределах тома права сохраняются.
3.Из папок c:\WINDOWS\SYSVOL\domain\Policies и c:\WINDOWS\SYSVOL\domain\scripts очищаем все содержимое. В самом конце процесса в эти папки нужно будет вернуть содержимое из бэкапа.
Проверяем структуру всех папок. Должно быть вот так:
c:\WINDOWS\SYSVOL\domain\
c:\WINDOWS\SYSVOL\domain\Policies\
c:\WINDOWS\SYSVOL\domain\scripts\
c:\WINDOWS\SYSVOL\staging\
c:\WINDOWS\SYSVOL\staging\domain\
c:\WINDOWS\SYSVOL\staging areas\
c:\WINDOWS\SYSVOL\staging areas\test.com\
c:\WINDOWS\SYSVOL\sysvol\
c:\WINDOWS\SYSVOL\sysvol\test.com\
4.Проверяем junction points в папках :
- c:\WINDOWS\SYSVOL\staging areas
- c:\WINDOWS\SYSVOL\sysvol
Если их нет, восстанавливаем утилитой linkd.
Для папки c:\WINDOWS\SYSVOL\sysvol команда выглядит вот так:linkd C:\WINDOWS\sysvol\sysvol\test.com C:\WINDOWS\sysvol\sysvol
Для папкиC:\WINDOWS\sysvol\staging areas команда выглядит вот так: linkd «C:\WINDOWS\sysvol\staging areas\test.com» c:\windows\sysvol\staging\domain Кавычки в команде обязательны, так как в пути есть пробелы
5.Правим реестр. Выбираем самый «хороший» контроллер, который будет главным(авторитетным) при восстановлении. На авторитетном контроллере устанавливаем значение параметра BurFlags в значение D4 на остальных контроллерах D2. Параметр BurFlags есть во всех репликах, которые находятся в реестре в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets В моем случае реплики две.
Количество реплик в реестре зависит от того учувствует ли контроллер в репликации корня DFS(ссылок) или нет. На остальных контроллерах ставим D2.
6.Запускаем службу ntfrs командой net start ntfrs на главном(авторитетном) контроллере. Потом запускаем на всех остальных.
При успешном старте службы ntfrs на контроллере в системных событиях должна появиться событие 13516.
7.На главном(авторитетном) контроллере возвращаем содержимое папок c:\WINDOWS\SYSVOL\domain\Policies и c:\WINDOWS\SYSVOL\domain\scripts из бэкапа. Оно должно тут же реплицироваться на все остальные конроллеры. При копировании не забываем про права.
Для посетителей из РБ: оплата через ЕРИП: «Банковские, финансовые услуги»-«Банки, НКФО»-«Альфа-Банк»-«Пополнение счета | код услуги 4485471» На счет: BY05ALFA30147131190010270000
Профессиональная услуга восстановления данных на сервере
Мы сможем выполнить восстановление удаленных файлов на сервере после сбоев, взлома, вирусных атак:
- на SATASAS IDE дисках
- на RAID-массивах
- на сетевых устройствах хранения данных (NAS)
- в больших сетях хранения данных (SAN СХД)
Специалисты “Интегрус” успешно помогут вам со следующими задачами:
- восстановление файл-сервера и потерянных данных с него
- восстановление серверных ОС, в частности Windows Server (восстановление сервера 2012, 2008, 2003), серверов приложений, веб-серверов, почтовых серверов, DNS-сервера
- Восстановление данных с разрушенных DFS
- полное восстановление работоспособности сервера, возобновление и нормализация работы всех его функций.
Восстановление экземпляра AD LDS, не принадлежащего к набору конфигурации
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы или наличие эквивалентных прав. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477.
Чтобы полностью восстановить экземпляр AD LDS, который не входит в набор конфигурации |
-
С помощью мастера установки служб Active Directory облегченного доступа к каталогам создайте экземпляр AD LDS, указав при этом те же настройки, которые были использованы при первоначальной установке AD LDS. При этом не следует создавать раздел каталога приложения во время установки.
-
Остановите созданный экземпляр AD LDS, как описано ниже:
- Нажмите кнопку Пуск, щелкните Администрирование, а затем — Службы.
- В оснастке «Службы» щелкните правой кнопкой мыши экземпляр AD LDS, а затем выберите команду Остановить.
-
Запустите программу архивации.
-
В меню Действие выберите команду Восстановить.
-
Следуйте указаниям мастера восстановления, чтобы указать местоположение источника данных архивации и выбрать определенный архив, из которого требуется восстановить данные экземпляра.
-
В разделе Выберите тип восстановления щелкните Файлы и папки, а затем — Далее.
-
В поле Выберите восстанавливаемые элементы найдите и выделите папку, содержащую файлы данных экземпляра. База данных и файлы журнала AD LDS по умолчанию хранятся по адресу %ProgramFiles%\Microsoft ADAM\имя_экземпляра, где имя_экземпляра — это имя экземпляра AD LDS.
-
В разделе Укажите параметры восстановления щелкните Исходное размещение, а затем — Переписывать существующие файлы при восстановлении файлов и нажмите кнопку Далее.
-
Чтобы завершить восстановление, нажмите кнопку Готово.
-
Завершив восстановление, закройте программу архивации.
-
Запустите созданный экземпляр AD LDS, как описано ниже:
- Нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Службы.
- В оснастке «Службы» щелкните правой кнопкой мыши экземпляр AD LDS, а затем выберите команду Пуск.
Дополнительная информация
- Чтобы запустить программу архивации, нажмите кнопку Пуск, щелкните Администрирование, а затем — Архивация.
- Если случайно запущено восстановление экземпляра AD LDS поверх запущенного экземпляра AD LDS, рекомендуется немедленно перезапустить компьютер, остановить работу экземпляра AD LDS и затем повторно выполнить восстановление.
Сброс пароля пользователя
Сброс пароля пользователя с помощью интерфейса Windows |
-
Чтобы открыть оснастку «Active Directory — пользователи и компьютеры», нажмите кнопку Пуск, выберите Панель управления, дважды щелкните Администрирование, а затем дважды щелкните Active Directory — пользователи и компьютеры.
-
В дереве консоли щелкните пункт Пользователи.
Местонахождение
Active Directory — пользователи и компьютеры\domain node\Пользователи
Или щелкните папку, которая содержит нужную учетную запись пользователя.
-
В области сведений щелкните правой кнопкой мыши имя пользователя, пароль которого следует переустановить, а затем выберите команду Смена пароля.
-
Введите пароль и затем подтвердите его.
-
Если необходимо, чтобы пользователь изменил этот пароль при следующем входе в систему, установите флажок Требовать смену пароля при следующем входе в систему.
Дополнительная информация
- Для выполнения этой процедуры необходимо быть членом группы «Операторы учета», «Администраторы домена» или «Администраторы предприятия» в доменных службах Active Directory либо должны быть делегированы соответствующие полномочия. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду Запуск от имени.
- Чтобы открыть оснастку «Active Directory — пользователи и компьютеры» другим способом, нажмите кнопку Пуск, выберите пункт Выполнить, а затем введите dsa.msc.
- Службы, проверка подлинности которых выполняется по с учетной записи пользователя, необходимо сбросить, если пароль учетной записи пользователя для соответствующей службы был изменен.
- Задачу этой процедуры можно также выполнить, используя Модуль Active Directory для Windows PowerShell. Чтобы открыть Модуль Active Directory, нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Модуль Active Directory для Windows PowerShell. Дополнительные сведения см. в статье «Сброс пароля пользователя» (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=138370). Дополнительные сведения о Windows PowerShell см. в статье о Windows PowerShell (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=102372).
Переустановка пароля пользователя с помощью командной строки |
-
Чтобы открыть командную строку, нажмите кнопку Пуск, выберите пункт Выполнить, введите cmd, а затем нажмите кнопку ОК.
-
Введите указанную ниже команду и нажмите клавишу ВВОД.
dsmod user <UserDN> -pwd <NewPassword> -mustchpwd {yes|no}
Параметр | Описание |
---|---|
<DN_пользователя> |
Задает различаемое имя пользователя, пароль которого будет переустановлен. |
-pwd |
Задает <новый_пароль>. |
<новый_пароль> |
Задает пароль, который заменит текущий пароль пользователя. |
-mustchpwd |
Задает флаг pwdExpired. |
{yes|no} |
Задает значение флага pwdExpired. |
Для просмотра полного синтаксиса данной команды и сведений о вводе в командную строку информации учетной записи пользователя введите следующую команду, а затем нажмите клавишу ВВОД.
dsmod user /?
Дополнительная информация
- Для выполнения этой процедуры необходимо быть членом группы «Операторы учета», «Администраторы домена» или «Администраторы предприятия» в доменных службах Active Directory либо получить соответствующие полномочия путем делегирования. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду Запуск от имени.
- Если пароль не назначен, при первой попытке пользователя войти в систему (с помощью пустого пароля) отобразится сообщение «Необходимо изменить пароль при первом входе в систему». Когда пользователь изменит пароль, процесс входа продолжится.
- Службы, проверка подлинности которых выполняется по учетной записи пользователя, необходимо сбросить, если пароль учетной записи пользователя для соответствующей службы был изменен.
- Задачу этой процедуры можно также выполнить, используя Модуль Active Directory для Windows PowerShell. Чтобы открыть Модуль Active Directory, нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Модуль Active Directory для Windows PowerShell. Дополнительные сведения см. в статье «Сброс пароля пользователя» (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=138370). Дополнительные сведения о Windows PowerShell см. в статье о Windows PowerShell (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=102372).
Восстановление контроллера домена AD из system state бэкапа
Итак, предположим, что у вас в домене только один DC. По какой-то причине вышел из строя физический сервер, на котором он запущен.
У вас есть относительно свежий бэкап System State старого контроллера домена, и вы хотите восстановить Active Directory на новом сервере в режиме полномочного восстановления.
Чтобы приступить к восстановлению, вам нужно установить на новом сервер туже версию Windows Server, которая была установлена на неисправном DC. В чистой ОС на новом сервере нужно установить роль ADDS (не настраивая ее) и компонент Windows Server Backup.
Для восстановления Actve Directory вам нужно загрузить сервер в режиме восстановления служб каталогов DSRM (Directory Services Restore Mode). Для этого запустите msconfig и на вкладе Boot выберите Safe Boot -> Active Directory repair.
Active Directory repair mode» srcset=»http://winitpro.ru/wp-content/uploads/2019/10/safe-boot-greater-active-directory-repair-mode.png 575w, http://winitpro.ru/wp-content/uploads/2019/10/safe-boot-greater-active-directory-repair-mode-300×196.png 300w» sizes=»(max-width: 575px) 100vw, 575px» />
Перезагрузите сервер. Он должен загрузиться в режиме DSRM. Запустите Windows Server Backup (wbadmin) и в правом меню выберите Recover.В мастере восстановления выберите, что резервная копия хранится в другом месте (A backup stored on another location).Заметем выберите диск, на котором находится резервная копия старого контроллера AD, или укажите UNC путь к ней.
wbadmin get versions -backupTarget:D:
Выберите дату, на которую нужно восстановить резервную копию.Укажите, что вы восстанавливаете состояние System State.Выберите для восстановления «Исходное размещение» (Original location) и обязательно установите галочку «Выполнить заслуживающее доверия восстановление файлов Active Directory» (Perform an authoritative restore of Active Directory files).Система покажет предупреждение, что эта резервная копия другого сервера, и что при восстановлении на другом сервере может не завестись. Продолжаем.Согласитесь с еще одним предупреждением:
После этого запустится процесс восстановления контроллера домена AD на новом сервере. По завершении сервер потребует перезагрузку (имя нового сервера будет изменено на имя DC из бэкапа).Загрузите сервер в обычном режиме (отключите загрузку в DSRM режиме)
Авторизуйтесь на сервере под учетной записью с правами администратора домена.
При первом запуске консоли ADUC я получил ошибку:
При этом на сервере нет сетевых папок SYSVOL and NETLOGON. Чтобы исправить ошибку:
- Запустите regedit.exe;
- Перейдите в ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters
- Измените значение параметра SysvolReady с 0 на 1;
- Потом перезапустите службу NetLogon: net stop netlogon & net start netlogon
Попробуйте открыть консоль ADUC еще раз. Вы должны увидеть структуру вашего домена.Итак, вы успешно восстановили свой контроллер домен AD в режиме Authoritative Restore. Теперь все объекты в Active Directory будут автоматически реплицированы на другие контроллеры домена.
Если у вас остался единственный DC, проверьте что он является хозяином всех 5 FSMO ролей и выполните их захват, если нужно.