главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Выпуск тестовых сборок Windows 10 приостановлен
  • В Windows 10 Mobile теперь тоже можно читать EPUB в браузере
  • Служба Каталогов (Active Directory Services) — действующий стандарт для инициализации учётных записей, базового системного управления и DNS-идентификации в большинстве сред. Ведение отчётности для определения изменений в скором времени может стать необходимым требованием. Ниже приведены несколько стратегий для внедрения отчётности в среду Службы Каталогов (Active Directory, далее AD). Они послужат дополнением к уже существующим стратегиям, расширят возможности тестирования и предоставят удобный набор данных для определения изменений при решении проблем.

    Экспорт при помощи CSVDE

    Множество AD-инструментов можно применять для сбора информации о текущем состоянии на разных уровнях. Мой любимый — CSVDE, так как действует сравнительно быстро, может работать по расписанию, и его отчёт распознаётся в Excel. Я ежемесячно экспортирую определённые данные по организационным единицам (OU) в виде отчёта по учётным записям пользователей. При помощи этих отчётов я могу видеть, что изменилось в ходе установки причины проблемы, которая по началу не была ясна. Это особенно позлено при работе с крупной средой AD.

    Копирование учётных записей для быстрой проверки

    Я получил отличные результаты, создав временные копии учётных записей пользователей для проверки полномочий в Службе Каталогов. Главное при этом, что большинство (если не все) полномочий назначаются группам. При групповом членстве в качестве главного механизма для предоставления доступа, копирование учётной записи пользователя — наиболее быстрый и лёгкий способ проверить доступ, учётные записи служб, задач и других ограничительных операций, не мешая работе самого пользователя. После тестов не забудьте удалить все копии.

    Копирование домена перед началом проверки

    Коренные изменения AD крайне трудно имитировать и тестировать. Можно попробовать экспериментальный домен, но его конфигурация не будет в точности соответствовать той, что используется на рабочем. Наличие тестового домена идентичного рабочему поможет проверить расширения схемы, изменения Групповой политики (Group Policy) и новую политику безопасности.

    Существуют два основных способа создания такой среды. Первый — создать новый контроллер домена в домене, перенести его в тестовую сеть и уже в ней отсоединить контроллер домена от рабочего домена. Когда этот контроллер будет находиться в тестовой сети, другие контроллеры доменов будут отключены. Но если ему будут присвоены все необходимые роли, он начнёт обрабатывать запросы на вход и служить тестовой средой для проверки изменений и новых политик. Другой метод заключается в использовании инструментами для конвертирования системы, например Symantec BackupExec System Recovery, Symantec Ghost, Acronis True Image, VMware Converter или PlateSpin PowerConvert, позволяющими различными способами создавать образ котроллера домена и переносить его в физическую или виртуальную тестовую среду.

    LDIFDE для всего домена!

    Утилита для экспорта LDIFDE помогает переносить целый домен и делать его доступным для импорта. Я не рекомендовал бы её в качестве механизма для создания резервных копий и восстановления. Но для того чтобы создать точную копию рабочего домена, перенести её в тестовую среду и обновлять динамически в последствии, LDIFDE подходит идеально. Главный недостаток тестовых доменов, на мой взгляд, в том, что они никак не связаны с рабочими, а обновлять их конфигурацию является важным условием. Экспортировать рабочий домен можно при помощи этой простой команды:

    LDIFDE –f C:\domain-out.file

    LDIFDE способна распознавать этот файл как импортированный, таким образом, его можно будет прочесть в текстовом редакторе. Прочитав описания LDIFDE и CSVDE, можно понять, что разница между ними не велика, мне больше по нраву CSVDE, поскольку эта утилита позволяет экспортировать отдельные организационные единицы (OU). Это очень удобно, в то время как LDIFDE переносит всю директорию целиком, которая помимо учётных записей пользователей содержит также записи принтеров и компьютеров, контроллеры доменов и прочие объекты AD. LDIFDE создаёт более экспортные файлы более крупных размеров для возможности широкого их применения.

    Сохранение запросов в Активной директории

    Все ли мы включаем эту первую опцию оснастки Active Directory Users And Computers («Active Directory: пользователи и компьютеры»)? Сохранение запросов помогает администраторам повторять повседневные задачи и с лёгкостью обнаруживать нарушения политики. Я часто посылаю запросы на отключенные учётные записи пользователей, которые не входили в сеть в течение последних 60 дней. На снимке справа показан этот запрос.

    10 способов проверки среды Службы Каталогов (Active Directory)


    Ответ на AD-запрос — список объектов, удовлетворяющих поставленному условию. С его помощью можно выполнять крупномасштабные операции с учётными записями, например удаление, добавление в группу, присоединение к записи, включение или выключение. Также результаты запросов позволяют выполнять различные операции с учётными записями Exchange.

    Использование DSGET для отдельных объектов AD

    CSVDE и LDIFDE хороши для работы с большими объёмами данных. Для более детальной информации используется команда DSGET. DSGET — это инструмент службы Активной директории, состоящий из серии команд: DSADD, DSQUERY, DSMOVE, DSRM и DSMOD. DSGET является удобным средством документирования и тестирования AD, поскольку позволяет получить информацию по конкретным объектам домена. Каждый тип объектов в директории запускается посредством DSGET. При использовании DSQUERY в связке с DSGET можно оптимизировать процесс работы с характерными именами директорий.

    Экспорт объектов Групповой политики

    Управление объектами Групповой политики (Group Policy, далее GP) в среде AD требует немалых усилий. Насколько сложно определить проблему в сложной GP? Экспортируя GP, можно проверить конфигурацию в определённый момент времени. Инструмент ADMX.EXE из набора Windows Resource Kit позволяет экспортировать объекты GP из AD для последующей архивации и сравнения.

    Экспорт встроенной в AD DNS-зоны

    Если IP-адресация управляется или через AD, можно экспортировать зону, которая содержит доменные системы. Это позволит увидеть, как используются адреса и где находятся адреса доменных систем во всех сетях домена. DNSCMD — лучшая утилита для экспорта зоны DNS. Например, команда экспорта DNS-зоны для зоны WS2K3DEV.LOCAL сервера DC001 будет выглядеть так:

    DNSCMD DC001 /zoneprint WS2K3DEV.LOCAL

    По желанию можно направить команду на файл для архивации. Для импорта и модификации можно также использовать DNSCMD, выходные функции весьма полезны для тестирования среды AD. Соответствующая выходная информация будет расположена в третьей строчке снизу. Результаты по индивидуальным системам и их адресации (в форме записей DNS A records) показана ниже:

    DC001 [Aging:3569020] 3600 A 192.168.1.100

    ADFind.exe

    ADFind.exe позволяет быстро создать образ, не используя оснастку «Active Directory: пользователи и компьютеры» и права администратора. ADFind не требует специальных доменных привилегий и полномочий при использовании мастера Delegation Of Control (Делегирования полномочий). Таким образом, операторы, временные работники, младшие администраторы и все те, кому не следует предоставлять дополнительные права, могут удобно вести отчёты в AD-среде.

    Использование ADFind немного отличается от применения обычных утилит, потому что это не инструмент от Microsoft. Но посещение раздела на сайте Joewarel избавит от необходимости создавать запросы. Вот пример использования команды на тестовом домене (WS2K3DEV.LOCAL):

    adfind -b dc=WS2K3DEV,DC=LOCAL -f "objectcategory=computer"

    Вернулись все записи компьютеров в следующем формате:

    dn:CN=VM-SERVER1,OU=VServers,DC=WS2K3DEV,DC=LOCAL
    >objectClass: top
    >objectClass: person
    >objectClass: organizationalPerson
    >objectClass: user
    >objectClass: computer
    >cn: VM-SERVER1
    >distinguishedName: CN=VM-SERVER1,OU=VServers,DC=WS2K3DEV,DC=LOCAL
    >instanceType: 4
    >whenCreated: 20071109010719.0Z
    >whenChanged: 20071109010838.0Z
    >displayName: VM-SERVER1$
    >uSNCreated: 98317
    >uSNChanged: 98336
    >name: VM-SERVER1
    >objectGUID: {305864AA-98F3-4F0C-A813-5832F73F7BD1}
    >userAccountControl: 4096
    >badPwdCount: 0
    >codePage: 0
    >countryCode: 0
    >badPasswordTime: 0
    >lastLogoff: 0
    >lastLogon: 128390526426562500
    >localPolicyFlags: 0
    >pwdLastSet: 128390440401406250
    >primaryGroupID: 515
    >objectSid: S-1-5-21-1529256218-1546654017-687563949-1123
    >accountExpires: 9223372036854775807
    >logonCount: 5
    >sAMAccountName: VM-SERVER1$
    >sAMAccountType: 805306369
    >operatingSystem: Windows Server 2003
    >operatingSystemVersion: 5.2 (3790)
    >operatingSystemServicePack: Service Pack 2
    >dNSHostName: VM-SERVER1.WS2K3DEV.LOCAL
    >servicePrincipalName: HOST/VM-SERVER1
    >servicePrincipalName: HOST/VM-SERVER1.WS2K3DEV.LOCAL
    >objectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=WS2K3DEV,DC=LOCAL
    >isCriticalSystemObject: FALSE
    >dSCorePropagationData: 20071109010838.0Z
    >dSCorePropagationData: 20071109010838.0Z
    >dSCorePropagationData: 20071109010838.0Z
    >dSCorePropagationData: 16010108151056.0Z

    Перед началом выполнения любой процедуры и работы с хорошей утилитой рекомендуется изучить азы тестирования среды. Поскольку эта утилита предназначена в основном для запросов и поиска, следует убедиться в том, котроллеры домена способны выдержать любую нагрузку в виде больших запросов и экспорта. Чтобы избежать нежелательных проблем от последствий работы этих утилит на рабочем домене, их лучше сначала проверить в тестовой среде.

    Минимизация разрастания групп безопасности (security groups)

    Известно, что назначение полномочий группам является наиболее удобной практикой в большинстве ситуаций. Однако наличие большого числа групп в среде AD влечёт сложности в их управлении. Весьма полезно будет выяснить, какие группы содержат малое количество пользователей или не содержат ни одного, чтобы объединить или удалить такие группы соответственно. Для быстрого просмотра количества членов выбранной группы в организационной единице можно использовать команду CSVDE. Таким образом, чем меньше групп, тем легче ими управлять.

    Автор: Rick Vanover


    Оцените статью:
    Голосов 3

    Материалы по теме:
  • Запуск домена контроллера только для чтения Windows Server 2008
  • Перемещение объектов из Active Directory при помощи команды dsmove
  • Согласование IP-адресов DNS Active Directory для поддоменов Windows Server 2003
  • 10 советов по обеспечению безопасности Active Directory
  • 11 незаменимых средств управления Active Directory


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет один минус один?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+