Задать вопрос
Ответы пользователя по тегу Active Directory
  • Почему рабочая станция не дает войти в отсутствие связи с DC?

    hint000
    @hint000
    у админа три руки
    (50) - параметр в групповой политике Interactive logon: Number of previous logons to cache (in case domain controller is not available).
    Проверьте, применилась ли эта политика на Win11. Вы говорите о том, что этот параметр задан политикой на сервере. А дошла ли эта политика до ноутбуков - неизвестно.
    Ответ написан
    2 комментария
  • Вопрос к знатокам АД, что будет в следующей ситуации, забекапили контроллер домена, потом сменили пароль админа и забекапили другие сервера?

    hint000
    @hint000
    у админа три руки
    После запуска бэкапов, пустит под старым паролем или выпадет в какую-то ошибку ?
    Звучит, как после новогоднего бокала шампанского, :) но по смыслу предполагаю, что под "запуском бэкапов" подразумевается "восстановление из бэкапов". Если так, то пустит под старым паролем при доступности восстановленного AD DC; но если контроллер по какой-то причине будет недоступен, то зависит от состояния кэша логинов - можно представить ситуацию, что до бэкапа совершался логин уже с новым паролем и после восстановления при недоступности контроллера пустит локально по кэшу с новым паролем;
    Ответ написан
    2 комментария
  • Портал для изменения паролей учётных записей AD?

    hint000
    @hint000
    у админа три руки
    Где-то обсуждали, но не уверен, что найду источник. Может даже на Хабр Q&A.

    В качестве такого портала можно использовать любую винду (1) в домене, (2) с включенным удалённым доступом (роль RDS не требуется), (3) с выключенным требованием NLA и (4) с выключенными для простых смертных правами на удалённый доступ. Все пункты существенные. Отключение NLA нужно, чтобы не отфутболивало пользователя с галкой "требовать смену пароля", либо с просроденным паролем. Отсутствие же прав на доступ нивелирует дыру, создаваемую отключением NLA. Фактически, простые смертные не смогут сделать ничего, кроме смены пароля, после чего пользователя выкинет.
    Ответ написан
    1 комментарий
  • Как автоматически добавлять список баз 1с всем новым пользователям?

    hint000
    @hint000
    у админа три руки
    copy "C:\Users\nitro80\AppData\Roaming\1C\1CEStart\ibases.v8i" "C:\Users\Default User\AppData\Roaming\1C\1CEStart\"
    (предполагается, что у пользователя nitro80 были прописаны ровно те базы, которые нужны будут всем новым пользователям).
    Но AppData\Roaming\1C\1CEStart\ibases.v8i - это простой текстовый файл, который можно хоть Блокнотом редактировать, удаляя оттуда ненужные и вставляя нужные базы, исправляя понятные пользователю названия баз, исправляя пути к базам...

    Общий принцип: то, что вы закинули в профиль Default User, будет появляться у новых пользователей (например, ярлыки на рабочем столе и т.п.).

    spoiler
    Оказывается, я уже отвечал 5 месяцев назад про файлик ibases.v8i
    Как собрать список баз в 1С? :)
    Ответ написан
    1 комментарий
  • Как организовать систему балансировки нагрузки во время работы доменных пользователей Active Directory?

    hint000
    @hint000
    у админа три руки
    1. Вы пишите, что у вас только один контроллер домена. Второй сервер вы только собираетесь сделать контроллером домена? Делается в два шага: (а) ввести сервер в существующий домен, (б) добавить на нём роль AD DC и объявить его новым контроллером.

    2. Два контроллера домена нужны не для балансировки нагрузки, а для надёжности работы всего домена.

    3. О какой-то нагрузке на контроллер домена можно начинать рассуждать, когда в домене 1000+ пользователей; в этом случае у вас уже будет развитая сетевая инфраструктура, и вы можете два контроллера разместить в двух сайтах (в терминах AD), каждому сайту назначить подсеть, пользователи из определённой подсети будут обслуживаться своим контроллером;
    Но если у вас пользователи распределены территориально и работают в разных подсетях, то даже при малом количестве пользователей есть смысл распределить контроллеры по тому же принципу - не для распределения нагрузки, а для надёжности.
    Ответ написан
    3 комментария
  • Как в Ubuntu монтировать несколько путей с одной шары виндового доменного сервака?

    hint000
    @hint000
    у админа три руки
    Есть ли способ обойти это?
    Монтировать \\fileserver\UsersData\ в папку, которую не видит пользователь (ну как не видит, прав на чтение нет, а права на исполнение нужны), а потом оттуда надёргать символьных ссылок на подпапки, которые должны быть доступны и показать пользователю только эти символьные ссылки. Про хреновую безопасность уже сказали в комментариях и при таком варианте она не хуже и не лучше, наверное.
    Ответ написан
    Комментировать
  • Не передаются права локального админа через powershell, что делать?

    hint000
    @hint000
    у админа три руки
    Пользователь появляется в членах группы, но не получает права на ...
    Чтобы права появились, пользователю нужно перелогиниться - выйти из системы и снова зайти под своим именем. Это не зависит от Active Directory, это не зависит от Powershell. Тот же принцип работает, даже если пользователь локальный и вы добавите его в групу вручную без скриптов - перелогиниваться всё равно нужно, что права группы подействовали.
    Ответ написан
    5 комментариев
  • Доступ к приложению в среде active directory?

    hint000
    @hint000
    у админа три руки
    Active Directory не имеет отношения к вопросу.
    Очевидно, что при поставленных ограничениях остаётся вариант - поставить приложение на компьютеры пользователей локально.
    _______________|__________
      |                       |
    работа                  работа
    приложения              приложения
    удалённо                локально
    (отказались)      ________|____________
                     |                     |
                приложение            приложение
                на сетевой шаре       установлено локально
            _________|________        (нам сюда)
           |                  |
      скорость сети	      требуется
      устраивает          более быстрая сеть
      (нет)               (не сейчас)

    spoiler
    по ряду причин от терминального сервера принято решение отказаться
    Можно догадаться, что причины политического, а не технического характера. А также можно догадаться, что принятое решение не подлежит пересмотру (для политических решений это характерно).
    Ответ написан
    Комментировать
  • Как соединиться с доменом AD, развернутом на WMWare WinServer 2022 через библиотеку ldap3, python3?

    hint000
    @hint000
    у админа три руки
    Нужно настраивать DNS. Пропишите DNS-сервером 192.168.242.131 и доступ к домену появится. Но, скорее всего, пропадёт доступ в интернет, потому что forward DNS не настроен. Короче, для начала гуглите вопросы настройки DNS, там много интересного узнаете, здесь всё описывать слишком долго.
    Ответ написан
    1 комментарий
  • Как подключить компьютеры при недоступности старого домена?

    hint000
    @hint000
    у админа три руки
    потому что недоступен domen.local. Хотя командой пинг я вижу отклик от старого домена domen.local
    Команда nslookup не видит domen.local

    поскольку
    переехали другой офис одного и того же холдинга,
    то имеет смысл сразу навести порядок с DNS - подружить DNS domen2.local c DNS domen.local. Чтобы DNS domen2.local знал, куда форвардить запросы про domen.local.
    Думаю, примерно что-то такое имел в виду Alexey Dmitriev в своём комментарии.
    Вариант от Andrey Barbolin тоже рабочий и несложный. Но всё-таки это кратковременный костыль до решения проблемы. Я же предлагаю вариант, который решит навсегда будущие аналогичные проблемы.

    spoiler
    Что целый холдинг имеет в доменах бардак, обычно свойственный малому бизнесу, это прискорбно.
    Ответ написан
  • Как разрешить пользователям доступ к серверу по RDP?

    hint000
    @hint000
    у админа три руки
    Идея в том, что заходит рядовой пользователь на контроллер домена, эксплуатирует любой свежий баг с подъёмом привелегий - и вы сливаете в унитаз безопасность всего домена, всё предприятие разом, с сотнями или тысячами пользователей, с доступом к файлам пользователей, к рабочим машинам пользователей. Дальше можно делать в сети предприятия что вздумается. Всё зашифровать. Или получить доступ к финансам. Или годами скрытно воровать коммерческую информацию...
    Такие вещи эникейщик должен выучивать в первый месяц стажировки на первом рабочем месте (если только там был поднят AD). И именно поэтому работодатели не хотят принимать на работу людей совсем без опыта - слишком велика ответственность, слишком легко одним неверным действием обанкротить всю контору.
    Ответ написан
    Комментировать
  • Возможно ли перенести конфигурацию контроллера домена AD с одного сервера на другой?

    hint000
    @hint000
    у админа три руки
    Это делается совсем иначе.
    1. Включаете новый сервер в домен;
    2. Добавляете на новом сервере роли DNS и AD DC;
    3. Повышаете роль нового сервера до контроллера домена (гуглить команду dcpromo);
    4. Ждёте некоторое время (от нескольких минут в идеальном случае), пока все данные реплицируются на новый DC (в том числе и DNS); можно глазами смотреть в оснастках (иногда F5 не помогает, тогда закрыть и открыть оснастку), а можно воспользоваться командами dcdiag и repadmin;
    5. Когда на ваш взгляд всё реплицировалось, выключаете старый DC и смотрите, как всё работает с новым DC (перезагружаете или перелогиниваете пользовательские ПК, при возможности перезагружаете другие серверы в домене и проверяете, что можете нормально зайти на них,..)
      Это момент, когда ещё не поздно включить старый DC и решить возникшие проблемы, если таковые действительно возникли. Я предпочитаю дать "отстояться" выключенному серверу хотя бы несколько дней. Но если сроки поджимают, то хотя бы полный рабочий день (пользователи разлогинились вечером, залогинились утром, поработали день и никаких проблем не выявлено).
    6. После этого вы принимаете решение о "точке невозврата": понижаете роль старого DC до обычного компьютера в домене;

    На этом всё.

    Проблема только в том, что у вас, вероятно, сейчас всего один контроллер домена, а должно быть не меньше двух (официальная рекомендация MS и best practices миллионов айтишников во всём мире).

    Update: п.4.1. передать FSMO со старого DC новому DC.
    Ответ написан
    3 комментария
  • Порты для работы контроллеров домена вне корпоративной сети?

    hint000
    @hint000
    у админа три руки
    1024-65535/TCP/UDP
    Не надо фильтровать по номерам исходящих портов (Client Port). Вернее, такого рода фильтрация требуется в очень редких случаях и при полном понимании, что именно она требуется; у вас не такой случай. Фильтруйте только входящие пакеты по номерам входящих портов (Server Port).
    Номера портов перечислены здесь (и они соответствуют написанным вами).
    https://docs.microsoft.com/en-US/troubleshoot/wind...
    Ответ написан
    Комментировать
  • Как перенести данные профиля одного пользователя в другой новый созданный?

    hint000
    @hint000
    у админа три руки
    Уже были ответы на ваш вопрос:
    https://qna.habr.com/q/1044384
    https://qna.habr.com/q/374061
    Там и ссылка на утилиту, и лайфхак для лёгкого копирования вручную.
    Ответ написан
    Комментировать
  • Компьютер после ввода в домен не появился в AD. Это как так?

    hint000
    @hint000
    у админа три руки
    Это легко может быть, если в сети больше одного контроллера домена (а только так и должно быть в продакшене). Компютер появился на каком-то из контроллеров, но не на том, на котором вы смотрели. Пройдёт некоторое время и контроллеры синхронизируются, это рабочая ситуация. С добавлением пользователей аналогично.
    Ответ написан
  • Почему не работает RDP?

    hint000
    @hint000
    у админа три руки
    В локальную группу "Пользователи удалённого рабочего стола" включите доменную группу "Пользователи удалённого рабочего стола". Доменных пользователей включайте в доменную группу. И всё, не нужно никаких заморочек с политиками.

    В условиях, когда новые сервера появляются не каждый день, мне проще на новом терминальном сервере один раз добавить группу руками (и всё работает железобетонно), чем разбираться, почему какие-то политики не применились или неправильно применились.
    Ответ написан
    1 комментарий
  • Как правильно заменить старый Active Directory?

    hint000
    @hint000
    у админа три руки
    поменять сервер Windows Server 2008 на новое железо с Windows Server 2019 (БЕЗ миграции настроек, из-за большого количества глюков)
    Не вполне ясно, что значит "без миграции настроек". Означает ли это, что хотите поднимать новый домен? Если да, то вам придётся заново заводить в домен каждый компьютер, заново заводить каждого пользователя, переносить файлы каждого пользователя на каждом компьютере. Куча работы, и непонятно, есть ли в ней смысл.

    Если нет желания такую фигню разгребать, то поднимаете новый сервер, заводите его в имеющийся домен, поднимаете на нём роли DNS и контроллера домена, повышаете его до контроллера домена в своём домене, передаёте новому серверу роли FSMO, выключаете старый и проверяете, как работает домен на новом. Если всё нормально, то включаете старый и понижаете его с контроллера до обычного компьютера. Потом можете и вовсе вывести старый из домена.
    Ответ написан
    6 комментариев
  • Утилиты для мониторинга/логирования серверов в Active Directory?

    hint000
    @hint000
    у админа три руки
    для нормального отображения логов в AD(например кто последний удалил/редактировал файл)
    Вы уже настроили advanced audit policy, чтобы в принципе велись те логи, которые хотите "нормально отображать"?

    Скрипты и самописы не предлагайте, это достаточно неудобно
    Т.е. хотите платное ПО.
    Ответ написан
    Комментировать
  • Какие могут быть подводные камни заведения сервера в домен?

    hint000
    @hint000
    у админа три руки
    Или я упустил какой либо важный момент?
    Упустили. Случился какой-нибудь мелкий сбой и виртуальная машина не запустилась автоматически при старте железного сервера. Вы хотите разобраться в проблеме, а вас на терминальный сервер не пускает, потому что контроллера домена нет (и так совпало, что под админской учётной записью за последний месяц не логинились)... Ничего совсем уж безвыходного в такой ситуации нет, но цена огорчает: весь офис на ушах стоит, начальство злится, админ взмыленый бегает...

    Первое правило бойцовского клуба: контроллер домена не должен быть один. Контроллер домена может быть виртуализирован (и само по себе это даже хорошо), но две виртуальные машины контроллеров должны быть на разных хостах. Сбой одного контроллера не должен обрушивать работу всего офиса.

    Там делов-то: если даже дефицит ресурсов, то для второго контроллера хватит какого-нибудь древнего целерона с двумя гигами оперативки.

    чисто в теории, пользователи которые заходили на него под локальной учёткой, так и смогу заходить, а я уже смогу постепенно создавать доменные учётки, и так же постепенно избавляться от локальных.
    Это верно. Можно постепенно.
    Ответ написан
    4 комментария