ad-ds-server-core-deployment-000.pngWindows Server Core не пользуется большой популярностью у ряда администраторов и, на наш взгляд, совершенно зря. Благодаря меньшему количеству работающих приложений и служб он более прост в обслуживании, ему требуется меньшее количество обновлений, а также он безопаснее, за счет сужения возможного периметра атаки. Windows Server Core отлично подходит для тех систем, где от пользователя не требуется интерактивное взаимодействие с рабочим столом, например, контроллеров домена. В этой статье мы рассмотрим, как развернуть минимальную конфигурацию Active Directory с отказоустойчивым DHCP.

dfsr-sysvol-authoritative-restore-000.pngВ современных системах Active Directory для синхронизации каталогов SYSVOL использует службу репликации DFS (DFSR), для которой намеренно убрана возможность внесения любых изменений через интерфейсы управления, чтобы избежать аварийных ситуаций. Но случается, что файловая репликация в домене перестает работать и администраторы начинают испытывать существенные затруднения с ее диагностикой и восстановлением. Но не все так плохо, при помощи нашей статьи вы быстро и без особых затруднений сможете исправить ситуацию.

Active-Directory-myths-legends-FSMO-000.pngActive Directory, как и любая серьезная система с долгой историей успела приобрести свой фольклор, неотъемлемой частью которого являются мифы и легенды. А одной из самых мифологизированных тем являются хозяева операций, они же роли FSMO, большее количество фантазий и суеверий существует разве что на тему равноправия контроллеров домена, но о них мы поговорим в другой раз. Сегодня же попытаемся понять, что делают и чего не делают хозяева операций, для чего они вообще нужны и можно ли жить без них.

Windows-10-TargetReleaseVersion-000.pngВопрос управления процессом обновления клиентских версий Windows достаточно остро стоит перед системными администраторами и одной из проблем является автоматическое обновление системы на следующую версию, что может быть не всегда желательно. Ранее этот вопрос можно было решить отложив обновления, но теперь такая возможность недоступна. Как быть? Ответ прост - настроить целевую версию операционной системы, новую возможность тонкой настройки службы обновлений, а как это сделать мы расскажем в нашей статье.

GPO-Credential-User-Interface-000.pngБезопасность - это всегда компромисс и соразмерность предпринимаемых мер с возможными угрозами, поэтому современные системы предоставляют многие возможности, повышающие удобство использования, но снижающие уровень безопасности. Одним из таких инструментов является кнопка отображения вводимого пароля. В целом это удобно, так как позволяет быстро проверить правильность ввода, избегая многократного ввода неверного пароля и блокировки учетной записи, но бывают сценарии, когда такое поведение крайне нежелательно.

disable-local-user-via-gpo-000.pngЛокальные учетные записи являются слабым звеном в вопросе обеспечения безопасности Active Directory, позволяя получить доступ к системе в обход существующих политик, особенно если это учетные записи группы локальных администраторов. Поэтому, если безопасность для вас играет не последнюю роль, то локальные учетные записи следует отключить, лучше всего сразу после установки ОС. Но если по какой-либо причине это не было сделано, то самое время выполнить отключение централизовано, а поможет нам в этом инструмент групповых политик.

GPO-RestartNotificationsAllowed-000.pngWindows 10 - во многом удивительная операционная система. Вот уже на протяжении многих лет разработчики пытаются кардинально пересмотреть пользовательский интерфейс и отказаться от старых инструментов настройки к новым параметрам. В итоге получается затянувшаяся жизнь "на два дома", когда одни настройки доступны только в панели управления, а другие только в параметрах. Но это еще полбеды, гораздо хуже, когда левая рука не знает, что делает правая и в итоге перестают работать такие мощные и привычные администратору вещи, как групповые политики.

GPO-DesktopIcons-000.pngActive Directory предоставляет широкие возможности по централизованному управлению инфраструктурой, один из предназначенных для этого инструментов - групповые политики (GPO), в умелых руках они позволяют легко решать самые разнообразные задачи. Сегодня мы рассмотрим один из таких случаев, задача, в общем и целом, простая, но решение оказалось не столь очевидным и нашему читателю пришлось потратить некоторое время на поиски решения. А затем применить его централизованно при помощи групповых политик.

ad-ds-metadata-cleanup-000.pngДовольно часто встречаются ситуации, когда контроллер домена оказывается удален без понижения роли, это может быть связано как с ошибками при понижении, так и с физическим выходом из строя, после чего в структуре Active Directiry остается информация (метаданные) несуществующего контроллера, что может приводить к различным ошибкам. Поэтому, если у вас произошла такая ситуация, следует обязательно выполнить очистку связанных с удаленным контроллером метаданных в базе Active Directory.

ad-powershell-fsmo-management-000.pngКак известно - все контроллеры домена в Active Directory равнозначны, но у некоторых из них есть особые функции, которые должны быть уникальны в пределах домена или леса. Это хозяева операций или FSMO-роли, которые отвечают за ряд критически важных операций, но при этом практически не участвуют в повседневной жизни службы каталогов. Для управления хозяевами предусмотрены различные инструменты, начиная от оснасток MMC и заканчивая инструментами PowerShell, о которых сегодня и поговорим.