Все статьи о Active Directory


Как узнать, кто сбросил пароль пользователя в Active Directory

Разберемся, как в доменной среде Active Directory по журналам контроллеров домена определить, кто из администраторов сбросил пароль учетной записи определенного пользователя. В первую очередь, в политиках домена нужно включить аудит событий управления учётными записями. Для этого: Откройте консоль управления групповыми политиками...

Установка RODC контроллера домена на Windows Server 2016

Впервые функционал контроллера домена, доступного только на чтение (RODC — read-only domain controller), был представлен в Windows Server 2008. Основная задача, которую преследует технологией RODC, возможность безопасной установки собственного контролера домена в удаленных филиалах и офисах, в которых сложно обеспечить физическую...

Поиск групп и пользователей в Active Directory по шаблону и маске

Задача имени поиска пользователя или группы в Active Directory по некому шаблону, регулярному выражению или маске не так очевидна, как кажется на самом деле. Дело в том, что по-умолчанию стандартная консоль ADUC (AD Users and Computers), не позволяет использовать подстановочные символы...

Защита административных учетных записей в сети Windows

В этой статье я постарался собрать основные организационные и технические правила использования учетных записей администраторов в организации, направленные на повышение безопасности в домене Windows. Использование данных рекомендаций значительно повысит защиту компьютеров домена Active Directory от атак, аналогичных летнему инциденту с шифровальщиком...

Получение списка учетных записей AD, созданных за последние 24 часа

Отдел информационной безопасности поставил задачу разработки простейшей системы аудита, которая должна ежедневно выгружать статистику об учетных записях Active Directory, созданных за последние 24 часа, а также информацию о том, кто создал эти учетные записи в домене....

Поиск заблокированных, отключенных и неактивных объектов в AD с помощью Search-ADAccount

Довольной частой задачей, которую приходится выполнять администратору Active Directory, является формирование списков отключенных или неактивных учетных записей и компьютеров, либо списков учеток с просроченными паролями. Для этого можно использовать как сохраненные LDAP запросы в консоли ADUC, так и уже знакомые нам...

Настройка синхронизации времени по NTP с помощью групповых политик

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались....

Naming Information cannot be located because: The specified domain either doesn’t exist or could not be contacted.

У одного из заказчиков столкнулся со странной проблемой при разворачивании нового контроллера домена. Роль Active Directory Domain Service  (ADDS) установилась корректно, но после перезагрузки сервера при попытке запустить любую mmc оснастку управления Active Directory (ADUC и т.п.) появляется ошибка:...

Подключение к копии AD сохраненной с помощью Windows Backup

В этой небольшой заметке мы покажем, как можно подключится к сохранений резервной копии базы Active Directory, созданной с помощью стандартного средства резервного копирования Windows Backup. Данная методика позволит использовать старую копию базы Active Directory для просмотра значений объектов AD (групп, пользователей,...

Временное членство в группах Active Directory

В версии Active Directory, представленной в Windows Server 2016 появился ряд довольно интересных изменений. Сегодня мы рассмотрим возможность обеспечить временное членство пользователей в группах Active Directory. Этот функционал можно использовать, когда нужно предоставить пользователю на определенное время некие права, основанные на...

Используем фото из AD в качестве аватарки пользователя Windows 10

В этой статье мы покажем как с помощью групповых политик и PowerShell получить фотографию пользователя из Active Directory и использовать ее в качестве рисунка учётной записи пользователя Windows, которое отображается при входе в систему, на экране блокировки, в стартовом меню и...

Загрузка фотографии пользователя в Active Directory c помощью PowerShell

Среди атрибутов пользователя, начиная с версии схемы Active Directory в Windows Server 2000, присутствует специальный атрибут thumbnailPhoto, в котором можно в виде бинарных данных хранить фото пользователя (или любые другие картинки 🙂 ).  Outlook, начиная с версии 2010 Lync, SharePoint  (и...