Active Directory | Windows для системных администраторов

Статьи о Active Directory

Подключение к копии AD сохраненной с помощью Windows Backup

В этой небольшой заметке мы покажем, как можно подключится к сохранений резервной копии базы Active Directory, созданной с помощью стандартного средства резервного копирования Windows Backup. Данная методика позволит использовать старую копию базы Active Directory для просмотра значений объектов AD (групп, пользователей, компьютеров) на некий момент времени,  восстановления удаленных или изменённых объектов AD, либо при разборе инцидентов, связанных с их модификацией.

Временное членство в группах Active Directory

В версии Active Directory, представленной в Windows Server 2016 появился ряд довольно интересных изменений. Сегодня мы рассмотрим возможность обеспечить временное членство пользователей в группах Active Directory. Этот функционал можно использовать, когда нужно предоставить пользователю на определенное время некие права, основанные на членстве в группе безопасности AD, а по истечению времени, автоматически (без привлечения администратора) этих прав его лишить.

Используем фото из AD в качестве аватарки пользователя Windows 10

В этой статье мы покажем как с помощью групповых политик и PowerShell получить фотографию пользователя из Active Directory и использовать ее в качестве рисунка учётной записи пользователя Windows, которое отображается при входе в систему, на экране блокировки, в стартовом меню и т.д. Алгоритм должен работать следующим образом: при входе пользователя в систему, система должна получать картинку пользователя из атрибута thumbnailPhoto в Active Directory, сохранять ее на диск и задавать в качестве аватарки пользователя Windows. Решение должно одинаково работать на всех поддерживаемых клиентах: Windows 10, Windows 8 и Windows 7.

Загрузка фотографии пользователя в Active Directory c помощью PowerShell

Среди атрибутов пользователя, начиная с версии схемы Active Directory в Windows Server 2000, присутствует специальный атрибут thumbnailPhoto, в котором можно в виде бинарных данных хранить фото пользователя (или любые другие картинки ).  Outlook, начиная с версии 2010 Lync, SharePoint  (и другие приложения) могут использовать данные хранящиеся в этом атрибуте для отображении фотографии пользователя в своем интерфейсе. Кроме того, эти фотографии можно использовать в качестве аватар пользователей Windows.

Аудит паролей пользователей в Active Directory

Сложность пароля пользователя домена Active Directory это один из важнейших элементов безопасности как данных пользователя, так и домена целиком. Как правило, пользователи, чтобы облегчить себе жизнь, предпочитают использовать простые, легко запоминаемые пароли. Но тем самым, они серьезно уменьшают уровень защиты своих аккаунтов от злоумышленников. В этой статье мы покажем, как провести аудит используемых паролей пользователей в Active Directory с помощью PowerShell.

Как узнать SID пользователя по имени и наоборот

В среде Windows каждому доменному и локальному пользователю, группе и другим объектам безопасности, присваивается уникальный идентификатор — Security Identifier или SID.  Именно SID, а не имя пользователя используется для контроля доступа к различным ресурсам: сетевым каталогам, ключам реестра, объектам файловой системы и т.д. В этой статье мы покажем несколько простых способов узнать SID пользователя и обратной процедуры – определения имени пользователя Windows по его SID.

Обновление членства в группах AD без перезагрузки / перелогина

Известный всем администраторам факт, что после добавления компьютера или пользователя в группу Active Directory, для обновления членства в группах и применения назначенных прав / политик, нужно перезагрузить компьютер (если в доменную группу добавлялась учетная запись компьютера) или перезайти в систему (для пользователя). Это связано с тем, что членство в группах AD обновляется при создании билета Kerberos, которое происходит при загрузке системы и при входе пользователя.

Установка оснастки Active Directory в Windows 10

Одной из наиболее часто используемых консолей управления объектами в домене Active Directory – MMC оснастка Active Directory Users and Computers (или ADUC). Чтобы пользоваться этой оснастку с клиентского компьютера с Windows 10, необходимо установить компонент Microsoft Remote Server Administration Tools (RSAT). RSAT представляет собой набор различных инструментов и утилит для управления серверами Windows Servers, доменом Active Directory и другими ролями и функциями Windows.

Заполняем описание компьютеров в Active Directory

В этой статье мы продемонстрируем технику заполнения данных компьютеров  в Active Directory при помощи Poweshell. В качестве примера мы покажем, как сохранить информацию о модели компьютера в поле Description (Описание) объектов  типа «Компьютер» в Active Directory.

Размер билета Kerberos и проблемы его роста

На днях столкнулся с довольно интересной проблемой у некоторых пользователей, заключающейся в невозможности  аутентифицироваться на ряде доменных сервисов из-за превышения максимального размера билета (токена) Kerberos. В этой статье мы попробуем рассмотреть особенности формирования токена Kerberos, методику определения его размера для конкретного пользователя и увеличения буфера для его хранения.



MAXCACHE: 0.24MB/0.00173 sec