![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
статьи по Active Directory
Jun. 8th, 2016 03:48 pm
раскрыть тему
Настраиваем и автоматизируем развёртывание Active Directory
Полное руководство по Active Directory, от установки и настройки до аудита безопасности. Ч. 1: Введение в Active Directory (понятия, применение, отличие от Workgroup)
Работаем с защищёнными группами, SDProp и AdminSDHolder
Группы Windows NT и Active Directory – детально
Работаем с LAPS (Local Administrator Password Solution)
LDAP Policy в Active Directory
NTDS Quotas и Forest Trust Quotas в Active Directory
Active Directory. Клонирование виртуального контролера домена в Windows Server 2012
Настройка Active Directory Domain Services
Делегирование административных задач в Active Directory
Восстановление Active Directory
Как обнаружить, включить и отключить протоколы SMB версий 1, 2 и 3 в Windows и Windows Server
Разворачиваем контроллер домена на базе Windows Server 2012 R2. Настройка служб AD DS, DNS, DHCP.
Разворачиваем дополнительный контроллер домена на базе Windows Server 2012 R2. Репликация, настройка работы DHCP с основным контроллером домена.
Перекрестное опыление: управляем Linux из-под Windows, и наоборот
Анализ реестра Windows
FSMO
FSMO Roles, или хозяева операций
Мастера операций – FSMO-роль Infrastructure Master
Мастера операций – FSMO-роль Schema Master
Мастера операций – FSMO-роль Domain Naming Master
Мастера операций – FSMO-роль RID Master
Перенос ролей FSMO
Передача и захват ролей FSMO
Миграция роли Active Directory и перенос контроллера домена на другой сервер
Передача и захват ролей FSMO с главного контроллера домена Windows Server 2012 R2 на резервный контроллер домена Windows Server 2012 R2.
GPO
Восстанавливаем состояние GPO по умолчанию
Резервное копирование и восстановление GPO
Применение групповых политик (часть 1)
Применение групповых политик (часть 2)
Применение групповых политик (часть 3)
Резервное копирование и восстановление GPO
Перенос групповых политик между доменами
Сброс локальных групповых политик в Windows
Настройка синхронизации времени в домене Windows Server 2008 R2/2012 R2
Автоматизируем процесс создания бекапов групповых политик (GPO) на Windows Server 2008 R2, с помощью скриптов для PowerShell.
Задаем настройки прокси-сервера с помощью групповых политик домена Windows server 2008 R2
Запрещаем изменения параметров прокси-сервера через GPO Windows server 2008 R2
Как разрешить / запретить пользователям вход на компьютеры в домене AD
Запрет использования USB накопителей с помощью групповых политик (GPO) Windows
Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies
Меняем ассоциации файлов в Windows с помощью групповой политики
Как создать ярлык на всех машинах в домене
Как добавить статические маршруты через доменную политику
Автоматически запускаемые сценарии в Windows 2000
Отменяем действие групповых политик на локальном компьютере
[конспект админа] Меньше администраторов всем
Погружение в шаблоны и приручение GPO Windows
Отладочный журнал обработки GPO на клиентах — gpsvc.log
Почему не применяется групповая политика, решаем за минуту
Руководство по отладке групповых политик
удаление 1с через GPO
самым простым способом будет удаление через cmd
msiexec /x {8FA22A4C-8B09-4257-BC37-B4C677DB00DE}
где {8FA22A4C-8B09-4257-BC37-B4C677DB00DE} id установки 1с, можно найти в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Group Managed Service Accounts (MSA) в Windows Server 2016
Managed Service Accounts – MSA
Защита Lan Manager в корпоративной сети: LM, NTLMv1, NTLMv2 – настройка и тюнинг
Миграция Windows Server 2003 на Windows Server 2012 R2: Active Directory
Аудит доменных служб Active Directory в Windows Server 2008 R2
PowerShell Web Access в Windows Server 2012
powershell команды управления виртуальными машинами
Как сбросить пароль администратора домена
Сброс или изменение пароля Windows с помощью Linux
Как сбросить пароль Windows
Как УЗНАТЬ пароль Windows?
http://www.atraining.ru/kb/
восстановление AD
Dsquery
Dsquery или Управление AD в командной строке
Мы хотим увидеть всех юзеров домена. Нет ничего проще, выполним.
net user /domain
Однако вывод в 3 столбца нас не порадует, особенно если мы захотим использовать его в скрипте. Очень неудобно. Вот тут нам и придет на помощь DSQUERY что бы представить результат в одну колонку удобную для использования в скриптах.
Посмотреть информацию о конкретном пользователе можно так
Создать нового пользователя тоже не проблема
Список групп доступных в домене
Добавляем вновь созданного пользователя в группу
Получение списка неактивных пользователей/ компьютеров с помощью dsquery
http://pk-help.com/server/dsquery
опции:
dsquery computer - поиск компьютеров в каталоге.
dsquery contact - поиск контактов в каталоге.
dsquery subnet - поиск подсетей в каталоге.
dsquery group - поиск групп в каталоге.
dsquery ou - поиск подразделений в каталоге.
dsquery site - поиск сайтов в каталоге.
dsquery server - поиск контроллеров домена Active Directory или экземпляров
службы Active Directory облегченного доступа к каталогам в
каталоге.
dsquery user - поиск пользователей в каталоге.
dsquery quota - поиск квоты в каталоге.
dsquery partition - поиск разделов в каталоге.
dsquery * - поиск в каталоге любых объектов с помощью общего запроса LDAP.
Для получения справки о конкретной команде введите "dsquery <тип_объекта> /?",
где <тип_объекта> - один из вышеперечисленных типов.
Для получения справки о конкретной команде введите "dsquery <тип_объекта> /?",
Где <тип_объекта> один из вышеперечисленных типов.
Например, dsquery computer /?
Предлагаю разобрать эту команду на примерах:
1) В домене test.ru необходимо получить список пользователей не подключавшихся более 10 недель из подразделения User (без указания подразделения «ou=User,ou=Departments,dc=test, dc=ru» данные будут со всего домена) и импортировать данные в файл User.csv на диск С в папку temp:
dsquery user -inactive 10 ou=User,ou=Departments,dc=test, dc=ru -limit 1000 >c:/temp/User.csv
2) В домене test.ru определяем компьютеры не подключавшиеся к домену в течении 10 недель и этот список экспортируем в файл Computers.csv на диск С в папку temp.
dsquery computer -inactive 10 -limit 1000 >c:/temp/Computers.csv
Как вы можете понять с помощью dsquery можно получить гораздо больше информации, чем выяснить неактивных пользователей и компьютеров в AD, надеюсь я указал вам правильное направление для получения необходимой информации из AD.
dsquery user -inactive 8 -o samid -s DC -limit 1000 >c:/temp/User.csv
Добавил параметр -o samid- выводит логин пользователя (по умолчанию выдается DistingushedName, что может быть неудобно).
Команда Dsquery для поиска объектов в Active Directory
общие понятия, работающий пример см ниже
dsquery group ‘DC=vmblog,DC=ru’ -name ‘domain admins’ | dsget group -members > ExportUsersinGroup.txt
Либо вы можете отключить учетные записи найденных пользователей:
dsquery user –name Seme* | dsmod user -disabled yes
Найти и удалить из AD все компьютеры, которые неактивны более 10 недель:
dsquery computer -inactive 10 | dsrm
Добавить всех пользователей из определенной OU в группу безопасности AD:
dsquery user ‘ou=SPB,dc=vmblog,dc=ru’ | dsmod group ’cn=SPBUsers,ou= SPB,dc=vmblog,dc=ru -addmbr
Чтобы получить список пользователей, которые не меняли свой пароль в домене более 60 дней, выполните:
dsquery user -stalepwd 60 -limit 0
поиск неактивных пользователей
dsquery user -inactive 4 -limit 1000 > inactive-user.txt
dsquery user -inactive 4 -o samid -limit 1000 > inactive-user1.txt
dsquery user -inactive 4 -limit 1000 | dsget user -display > inactive-user.txt
удаление компов из AD
dsquery computer –inactive 10 | dsrm -noprompt -c
dsquery computer –disabled | dsrm -noprompt -c
dsquery computer -inactive 30 -limit 400 | dsrm -noprompt -subtree -c
https://ss64.com/nt/dsquery-user.html
Ищем объекты командой DSQUERY
активация
Узнать ключ активации Windows
