Active Directory | Windows для системных администраторов

Статьи о Active Directory

Получение списка учетных записей AD, созданных за последние 24 часа

Отдел информационной безопасности поставил задачу разработки простейшей системы аудита, которая должна ежедневно выгружать статистику об учетных записях Active Directory, созданных за последние 24 часа, а также информацию о том, кто создал эти учетные записи в домене.

Поиск заблокированных, отключенных и неактивных объектов в AD с помощью Search-ADAccount

Довольной частой задачей, которую приходится выполнять администратору Active Directory, является формирование списков отключенных или неактивных учетных записей и компьютеров, либо списков учеток с просроченными паролями. Для этого можно использовать как сохраненные LDAP запросы в консоли ADUC, так и уже знакомые нам командлеты PowerShell Get-ADUser, Get-ADObject или Get-ADComputer, однако создание правильного фильтра для данных команд может вызывать определенные затруднения. К счастью в модуле PowerShell  для ActiveDirectory есть более удобный командлет для выполнения таких задач — Search-ADAccount. Рассмотрим примеры использования командлета Search-ADAccount для типовых задач.

Настройка синхронизации времени по NTP с помощью групповых политик

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью

Naming Information cannot be located because: The specified domain either doesn’t exist or could not be contacted.

У одного из заказчиков столкнулся со странной проблемой при разворачивании нового контроллера домена. Роль Active Directory Domain Service  (ADDS) установилась корректно, но после перезагрузки сервера при попытке запустить любую mmc оснастку управления Active Directory (ADUC и т.п.) появляется ошибка:

Подключение к копии AD сохраненной с помощью Windows Backup

В этой небольшой заметке мы покажем, как можно подключится к сохранений резервной копии базы Active Directory, созданной с помощью стандартного средства резервного копирования Windows Backup. Данная методика позволит использовать старую копию базы Active Directory для просмотра значений объектов AD (групп, пользователей, компьютеров) на некий момент времени,  восстановления удаленных или изменённых объектов AD, либо при разборе инцидентов, связанных с их модификацией.

Временное членство в группах Active Directory

В версии Active Directory, представленной в Windows Server 2016 появился ряд довольно интересных изменений. Сегодня мы рассмотрим возможность обеспечить временное членство пользователей в группах Active Directory. Этот функционал можно использовать, когда нужно предоставить пользователю на определенное время некие права, основанные на членстве в группе безопасности AD, а по истечению времени, автоматически (без привлечения администратора) этих прав его лишить.

Используем фото из AD в качестве аватарки пользователя Windows 10

В этой статье мы покажем как с помощью групповых политик и PowerShell получить фотографию пользователя из Active Directory и использовать ее в качестве рисунка учётной записи пользователя Windows, которое отображается при входе в систему, на экране блокировки, в стартовом меню и т.д. Алгоритм должен работать следующим образом: при входе пользователя в систему, система должна получать картинку пользователя из атрибута thumbnailPhoto в Active Directory, сохранять ее на диск и задавать в качестве аватарки пользователя Windows. Решение должно одинаково работать на всех поддерживаемых клиентах: Windows 10, Windows 8 и Windows 7.

Загрузка фотографии пользователя в Active Directory c помощью PowerShell

Среди атрибутов пользователя, начиная с версии схемы Active Directory в Windows Server 2000, присутствует специальный атрибут thumbnailPhoto, в котором можно в виде бинарных данных хранить фото пользователя (или любые другие картинки ).  Outlook, начиная с версии 2010 Lync, SharePoint  (и другие приложения) могут использовать данные хранящиеся в этом атрибуте для отображении фотографии пользователя в своем интерфейсе. Кроме того, эти фотографии можно использовать в качестве аватар пользователей Windows.

Аудит паролей пользователей в Active Directory

Сложность пароля пользователя домена Active Directory это один из важнейших элементов безопасности как данных пользователя, так и домена целиком. Как правило, пользователи, чтобы облегчить себе жизнь, предпочитают использовать простые, легко запоминаемые пароли. Но тем самым, они серьезно уменьшают уровень защиты своих аккаунтов от злоумышленников. В этой статье мы покажем, как провести аудит используемых паролей пользователей в Active Directory с помощью PowerShell.

Как узнать SID пользователя по имени и наоборот

В среде Windows каждому доменному и локальному пользователю, группе и другим объектам безопасности, присваивается уникальный идентификатор — Security Identifier или SID.  Именно SID, а не имя пользователя используется для контроля доступа к различным ресурсам: сетевым каталогам, ключам реестра, объектам файловой системы и т.д. В этой статье мы покажем несколько простых способов узнать SID пользователя и обратной процедуры – определения имени пользователя Windows по его SID.



MAXCACHE: 0.25MB/0.00165 sec