Active Directory on Записки IT специалиста

Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP на базе Windows Server Core

Tue, 07 Mar 2023 20:08:29 +0300

Windows Server Core не пользуется большой популярностью у ряда администраторов и, на наш взгляд, совершенно зря. Благодаря меньшему количеству работающих приложений и служб он более прост в обслуживании, ему требуется меньшее количество обновлений, а также он безопаснее, за счет сужения возможного периметра атаки. Windows Server Core отлично подходит для тех систем, где от пользователя не требуется интерактивное взаимодействие с рабочим столом, например, контроллеров домена. В этой статье мы рассмотрим, как развернуть минимальную конфигурацию Active Directory с отказоустойчивым DHCP.

Восстановление репликации SYSVOL при помощи DFSR в Active Directory

Wed, 30 Nov 2022 22:08:31 +0300

В современных системах Active Directory для синхронизации каталогов SYSVOL использует службу репликации DFS (DFSR), для которой намеренно убрана возможность внесения любых изменений через интерфейсы управления, чтобы избежать аварийных ситуаций. Но случается, что файловая репликация в домене перестает работать и администраторы начинают испытывать существенные затруднения с ее диагностикой и восстановлением. Но не все так плохо, при помощи нашей статьи вы быстро и без особых затруднений сможете исправить ситуацию.

Мифы и легенды Active Directory. Хозяева ролей FSMO

Sun, 19 Jun 2022 14:57:11 +0300

Active Directory, как и любая серьезная система с долгой историей успела приобрести свой фольклор, неотъемлемой частью которого являются мифы и легенды. А одной из самых мифологизированных тем являются хозяева операций, они же роли FSMO, большее количество фантазий и суеверий существует разве что на тему равноправия контроллеров домена, но о них мы поговорим в другой раз. Сегодня же попытаемся понять, что делают и чего не делают хозяева операций, для чего они вообще нужны и можно ли жить без них.

Отключаем обновление Windows на следующую версию при помощи установки целевого выпуска

Sun, 29 May 2022 22:43:29 +0300

Вопрос управления процессом обновления клиентских версий Windows достаточно остро стоит перед системными администраторами и одной из проблем является автоматическое обновление системы на следующую версию, что может быть не всегда желательно. Ранее этот вопрос можно было решить отложив обновления, но теперь такая возможность недоступна. Как быть? Ответ прост - настроить целевую версию операционной системы, новую возможность тонкой настройки службы обновлений, а как это сделать мы расскажем в нашей статье.

Усиливаем безопасность учетных данных пользователей при помощи групповых политик

Fri, 03 Dec 2021 00:39:31 +0300

Безопасность - это всегда компромисс и соразмерность предпринимаемых мер с возможными угрозами, поэтому современные системы предоставляют многие возможности, повышающие удобство использования, но снижающие уровень безопасности. Одним из таких инструментов является кнопка отображения вводимого пароля. В целом это удобно, так как позволяет быстро проверить правильность ввода, избегая многократного ввода неверного пароля и блокировки учетной записи, но бывают сценарии, когда такое поведение крайне нежелательно.

Автоматическое отключение локальных учетных записей через GPO

Tue, 08 Jun 2021 15:56:59 +0300

Локальные учетные записи являются слабым звеном в вопросе обеспечения безопасности Active Directory, позволяя получить доступ к системе в обход существующих политик, особенно если это учетные записи группы локальных администраторов. Поэтому, если безопасность для вас играет не последнюю роль, то локальные учетные записи следует отключить, лучше всего сразу после установки ОС. Но если по какой-либо причине это не было сделано, то самое время выполнить отключение централизовано, а поможет нам в этом инструмент групповых политик.

Как через групповые политики включить запрос на перезагрузку после установки обновлений для Windows 10

Wed, 26 May 2021 23:00:49 +0300

Windows 10 - во многом удивительная операционная система. Вот уже на протяжении многих лет разработчики пытаются кардинально пересмотреть пользовательский интерфейс и отказаться от старых инструментов настройки к новым параметрам. В итоге получается затянувшаяся жизнь "на два дома", когда одни настройки доступны только в панели управления, а другие только в параметрах. Но это еще полбеды, гораздо хуже, когда левая рука не знает, что делает правая и в итоге перестают работать такие мощные и привычные администратору вещи, как групповые политики.

Включаем отображение значков на рабочем столе Windows 10 через групповые политики

Fri, 23 Apr 2021 21:46:26 +0300

Active Directory предоставляет широкие возможности по централизованному управлению инфраструктурой, один из предназначенных для этого инструментов - групповые политики (GPO), в умелых руках они позволяют легко решать самые разнообразные задачи. Сегодня мы рассмотрим один из таких случаев, задача, в общем и целом, простая, но решение оказалось не столь очевидным и нашему читателю пришлось потратить некоторое время на поиски решения. А затем применить его централизованно при помощи групповых политик.

Очистка метаданных контроллера домена в Active Directory

Tue, 23 Jun 2020 00:17:32 +0300

Довольно часто встречаются ситуации, когда контроллер домена оказывается удален без понижения роли, это может быть связано как с ошибками при понижении, так и с физическим выходом из строя, после чего в структуре Active Directiry остается информация (метаданные) несуществующего контроллера, что может приводить к различным ошибкам. Поэтому, если у вас произошла такая ситуация, следует обязательно выполнить очистку связанных с удаленным контроллером метаданных в базе Active Directory.

Active Directory. Управление ролями FSMO с помощью PowerShell

Fri, 29 May 2020 22:08:04 +0300

Как известно - все контроллеры домена в Active Directory равнозначны, но у некоторых из них есть особые функции, которые должны быть уникальны в пределах домена или леса. Это хозяева операций или FSMO-роли, которые отвечают за ряд критически важных операций, но при этом практически не участвуют в повседневной жизни службы каталогов. Для управления хозяевами предусмотрены различные инструменты, начиная от оснасток MMC и заканчивая инструментами PowerShell, о которых сегодня и поговорим.

Синхронизация времени Active Directory с внешним источником

Thu, 07 May 2020 02:14:45 +0300

Синхронизация времени - важный и во многом достаточно критичный аспект работы Active Directory, особенно сегодня, когда широко используется взаимодействие с внешними системами и работа с сотрудниками, которые могут находиться в различных часовых поясах. Применение систем виртуализации вносит дополнительные особенности, которые также следует учитывать. Поэтому данный вопрос может оказаться не столь простым, как кажется, а синхронизация с внешним источником точного времени становится одной из актуальных задач.

Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP

Sun, 03 May 2020 20:46:32 +0300

Довольно часто коллеги и читатели обращаются к нам с просьбой создать руководство по быстрому практическому развертыванию минимально работоспособной конфигурации Active Directory и сопутствующих служб. Хотя у нас на сайте уже есть цикл по развертыванию AD, вполне актуальный, несмотря на дату написания, он рассчитан прежде всего на пошаговое изучение вопроса как в теоретической, так и практической областях. Поэтому создание именно руководства нацеленного на быстрое получение результата имеет смысл и дает хороший повод еще раз обобщить и обновить информацию по этому вопросу.

Замедляет ли групповая политика загрузку ПК?

Thu, 06 Dec 2018 18:59:35 +0300

Представляем перевод статьи TechNet "Is Group Policy Slowing Me Down?" которая, на наш взгляд, будет интересна широкому кругу русскоязычных читателей.

WPAD или автоматическая настройка параметров прокси

Sat, 21 May 2016 23:22:13 +0300

Если автоматическая настройка сетевых параметров сегодня стала "нормой жизни" даже в небольших сетях, то автоматическое получение настроек прокси-сервера по-прежнему вызывает некоторые затруднения. Для этих целей существует протокол автоматической настройки прокси - WPAD, который позволяет достаточно гибко управлять трафиком и избежать необходимости настраивать браузеры и иное сетевое ПО вручную.

Настраиваем Squid для работы с Active Directory. Часть 3 - Авторизация на основе групп AD

Thu, 23 Jul 2015 10:40:57 +0300

В прошлых частях нашего цикла мы рассмотрели, как настроить Squid для аутентификации пользователей через ActiveDirectory, однако просто проверять подлинность пользователя в большинстве случаев недостаточно. Требуется гибко управлять доступом пользователей к сети интернет основываясь на их членстве в группах безопасности AD, такая схема позволит администраторам использовать привычную и понятную модель управления, в тоже время задействовав все возможности прокси-сервера Sqiud.

Настраиваем высокодоступный DHCP-сервер в Windows Server 2012

Thu, 09 Jul 2015 16:22:00 +0300

DHCP-сервера являются одними из ключевых элементов сетевой инфраструктуры, однако, в отличии от DNS-серверов или контроллеров домена, в Windows Server отсутствовали штатные механизмы обеспечения высокой доступности. Начиная с Windows Server 2012 появилась возможность создания отказоустойчивых конфигураций DHCP, о чем мы сегодня и расскажем.

Настраиваем Squid для работы с Active Directory. Часть 2 - Kerberos-аутентификация

Tue, 30 Jun 2015 20:21:05 +0300

Продолжаем цикл статей об интеграции прокси-сервера Squid и Active Directory. Одним из наиболее важных вопросов является прозрачная аутентификация пользователей домена на прокси-сервере. В этой части мы расскажем, как настроить аутентификацию по протоколу Kerberos, которая позволит использовать единую точку входа, когда пользователь вводит логин и пароль один раз - при входе в систему.

Настраиваем Squid для работы с Active Directory. Часть 1 - базовые настройки

Sat, 20 Jun 2015 21:09:03 +0300

Материалы о построении роутера на базе Squid - одни из самых популярных на нашем сайте. Такое решение позволяет с минимальными затратами (прежде всего на программную часть) организовать и упорядочить доступ к сети интернет на предприятии. Но рассматриваемые нами варианты предназначались преимущественно для работы в составе рабочей группы. Отсутствие интеграции с Active Directory резко снижало удобство применения такого роутера в доменных сетях, поэтому мы решили исправить это упущение.

Восстанавливаем доверительные отношения в домене

Sat, 28 Feb 2015 11:47:00 +0300

С ошибкой "Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом" время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.

Управление ролями FSMO при помощи Ntdsutil

Sun, 18 Aug 2013 09:40:24 +0300

Управление ролями FSMO при помощи стандартных оснасток MMC не совсем удобный процесс, так как для доступа к разным ролям приходится использовать различные оснастки, а к некоторым из них еще и не так просто добраться. Кроме того оснастки MMC не позволяют производить операции захвата ролей в случае выхода из строя контроллера домена на котором они были расположены. Гораздо удобнее для этих целей использовать утилиту ntdsutil, о чем и пойдет речь в данной статье.

Обновление схемы Active Directory

Tue, 14 May 2013 23:47:56 +0300

Как известно - ничего вечного нет, все меняется, особенно в такой отрасли как IT. Развернутая один раз инфраструктура постоянно развивается, расширяется, совершенствуется и наступает момент когда в вашу Active Directory требуется ввести контроллер домена под управлением более поздней версии операционной системы.

Установка сертификата при помощи групповых политик

Tue, 09 Apr 2013 18:47:17 +0300

Установка самоподписанных сертификатов весьма частая задача для системного администратора. Обычно это делается вручную, но если машин не один десяток? И как быть при переустановке системы или покупке нового ПК, ведь сертификат может быть и не один. Писать шпаргалки-напоминалки? Зачем, когда есть гораздо более простой и удобный способ - групповые политики ActiveDirectory. Один раз настроив политику можно больше не беспокоится о наличии у пользователей необходимых сертификатов.

Active Directory - от теории к практике. Часть 4 - перенос учетных записей в домен

Sun, 02 Dec 2012 14:27:29 +0300

В прошлых материалах мы рассказали как правильно развернуть и настроить инфраструктуру Active Directory, сегодня мы поговорим о том, как правильно ввести в структуру AD уже существующие рабочие станции и учетные записи пользователей. Следуя нашим рекомендациям вы сможете избежать ряда потенциальных проблем и осуществить переход к AD наиболее безболезненно.

Active Directory - от теории к практике. Часть 3 - настройка DHCP

Tue, 14 Aug 2012 23:19:30 +0300

В прошлой статье мы подробно рассмотрели процесс создания контроллеров домена для вашей структуры AD. Сегодня мы хотим поговорить о правильной настройке службы DHCP, которой обычно не придают особого внимания. А зря, от правильной работы этой службы во многом зависит бесперебойная работа вашей локальной сети.

Active Directory - от теории к практике. Часть 2 - разворачиваем доменную структуру

Fri, 20 Jul 2012 18:32:02 +0300

В прошлой части нашей статьи мы разобрали тот минимум теоретического материала, который необходимо знать перед развертыванием доменных служб Active Directory. Сегодня мы начнем практическую часть цикла, в которой подробно рассмотрим создание и переход к доменной структуре сети. Начнем, как всегда, сначала - в данной статье мы расскажем как правильно развернуть контроллеры домена.

Active Directory - от теории к практике. Часть 1 - общие вопросы

Sat, 05 May 2012 19:38:54 +0300

В наших прошлых материалах мы разобрали общие вопросы касающиеся служб каталогов и Active Directory. Теперь пришла пора переходить к практике. Но не спешите бежать к серверу, перед развертыванием доменной структуры в вашей сети необходимо ее спланировать и иметь четкое представление о назначении отдельных серверов и процессах взаимодействия между ними.

Windows XP. Проблемы с подключением к контроллеру домена и применением групповых политик на ПК с Gigabit Ethernet

Thu, 18 Aug 2011 21:25:28 +0300

Не будет преувеличением сказать, что неисправности в AD - кошмар любого системного администратора, особенно когда внезапно перестают применяться групповые политики. А еще хуже когда неисправность плавающая, здесь проявляется, а там нет. В такие моменты неволей начинаешь верить в восстание машин, но не стоит отчаиваться и наш сегодняшний случай тому пример.

Openfire - особенности установки на платформе Windows Server

Sun, 26 Jun 2011 23:22:01 +0300

Не столь давно мы рассматривали настройку корпоративного IM-сервера Openfire на платформе Ubuntu Server. Как показали читательские отклики, интерес к этой теме достаточно велик, в том числе и к реализации данного решения в среде Windows. В данной статье мы решили рассмотреть особенности, с которыми придется столкнуться администратору, решившему установить Openfire на данной платформе.

Openfire - корпоративный IM-сервер с интеграцией в AD

Tue, 26 Apr 2011 19:20:44 +0300

Не так давно мы рассматривали одну из реализаций IM-сервера на базе ejabberd. Сегодня мы расскажем еще об одном Jabber-сервере Openfire, который является неплохим решением для среднего размера сетей, на примере практической реализации корпоративной службы коротких сообщений с интеграцией в службу каталогов Active Directory.

Быстрое восстановление удаленных объектов Active Directory

Sat, 05 Mar 2011 17:10:21 +0300

Сегодня с одним из наших сотрудников произошел неприятный случай, он случайно удалил учетную запись пользователя в AD. Возможно всему виной были приближающиеся праздники (и три дня выходных), а может недостаток опыта и нежелание читать системные предупреждения. Однако в тот момент это интересовало нас в последнюю очередь, требовалось быстро исправить ситуацию.