Но это я так-можно сказать в порядке бреда, ни в коем случае не повод для дальнейшей дискуссии.
Чтобы восстановить "корректную связь между сервером и компьютером", необходимо поднять уровень домена и леса Active Directory хотя бы до минимального по требованиям к Windows 11 24H2.
Интересно, каким образом шифрование ipsec работает, если счётчик ipsec-esp на нуле?
git push --force
Архитектура RBAC
Базовый элемент RBAC - роль (management role).
Роли делятся
по способу создания на
встроенные(builtin)
созданные на основе встроенных (custom)
верхнего уровня без области действия (Unscoped top-level), см. раздел ниже
по области применения на
административные (Administrative or specialist)
пользовательские (User-focused)
приложений или специальные (Specialty)
Встроенная роль - это набор элементов роли (role entries)
Элементы роли могут иметь типы: Cmdlet, Script,WebService, ApplicationPermission
элемент типа Cmdlet/Script имеет имя, совпадающее с именем комадлета/скрипта
и список допустимых параметров командлета
Роли, созданные на основе встроенных, содержат в себе ссылку на родительскую роль и список удаленных из неё
элементов роли или параметров (для элементов типа Cmdlet)
Субъектами RBAC (к кому применяются правила управления доступом) для ролей администраторов и приложений могут быть:
ролевые группы
другие универсальные группы безопасности
пользователи (или компьютеры)
Примененные к ролевым и прочим универсальным группам права применяются, в конечном итоге к входящим в них пользователям (или компьютерам)
Ролевые группы -базируются на универсальных группах безопасности. Их членами могут быть пользователи и другие универсальные группы безопасности и членством в них можно управлять через командлеты Exchange
Области действия (management scope)
Области действия по своему происхождению бывают:
Implicit Scopes - унаследованы от ролей:
(Recipient scopes):
Organization: all recipients in organization
MyGAL: recipients in the current user's GAL
Self: current user
MyDistributionGroups: Groups owned by current user
MailboxICanDelegate: mailboxes with write access to their Personal-Information property group(Extended Right)
(Configuration scopes):
OrganizationConfig: All Exchange configuration objects in the organization
(Universal scope):
None: Scope of this type is not available for the role
Explicit Scopes - определены в назначениях ролей, только Write Scopes (Read scopes всегда Implicit):
Predefined Relative Scopes: (all - recipient scopes, see above)
Organization, MyGAL, Self, MyDistributionGroups
Custom scopes:
Recipient scopes:
OU scopes - получатели из указанного OU
Recipient Filter scopes - получатели, попадающие под указанный фильтр
Configuration scopes:
Server Scopes - серверы и БД на серверах, попадающих в Scope
Server Filter scope - попадание определяется фильтром
Server List scope - попадание определяется списком серверов (фактически преобразуется в фильтр по DistinguishedName)
Database Scopes - базы данных, попадающие в Scope
Database Filter scope - попадание определяется фильтром
Database List scope - попадание определяется списком БД (фактически преобразуется в фильтр по DistinguishedName)
Типы Custom Scopes по ограниченю области действия: Regular & Exclusive
Все другие типы Scope относятся к категории Regular
Exclusive scope: блокирует доступ к попадающим в него объектам через все Regular Scope, в которые эти объекты также попадают.
Если объекты попадают также в другой Exclusive Scope, то доступ через этот другой Exclusive Scope не блокируется.
Роли для администраторов и приложений связаны с субъектами RBAC при помощи назначений ролей (management role assignment).
Назначение роли содержит субъект RBAC, назначенную роль и область действия (см.plan and configure a custom-scoped role group ниже)
Встроенные роли имеют неявные области действия - чтения и записи.
При назначении роли область действия не может выходить за пределы области действия родительской роли
Помимо обычных (regular) назначений ролей существуют назначения делегирования (delegating).
Эти назнчения не предоставляют разрешений, которые доступны через роли,
а предоставляют право назначать делегированные роли другим субъектам RBAC (в т.ч. - себе самому).
Role Group бывают типов Standard (обычная група с членами группы из леса Exchange)
и Linked (связанная с USG в другом лесу)
Get-ManagementScope – displays defined scopes, or details of a individual scope.
Get-ManagementRole
-GetChildren – enumerate roles of immediate children
-Recurse – enumerate roles of children and the children of those roles
-Cmdlet – enumerate roles include this specific cmdlet
-CmdletParameters – enumerate roles include this specific parameter
-RoleType
Get-ManagementRoleEntry – shows all the role entries in a Management role
Get-RoleGroup – shows all the groups or if you specify one with –ID will give you details on that group
Get-RoleGroupMember – shows all the group’s members
Get-RoleAssignmentPolicy – Shows the role assignment policies
Get-ManagementRoleAssignment
-GetEffectiveUser - users, to which assignment in effect
-WritableRecipient/Server/Database - all assignments to which the object falls
-Exclusive $ true | $false - search for all exclusive scopes (may be combined with previous)
Get-ManagementRoleAssignment -Role -GetEffectiveUsers | select EffectiveUserName -Unique - пользователи, которые имею назначенную роль
Get-ManagementRole -Cmdlet Set-SendConnectorА у нас кроме физических хостов и Hyper-V больше ничего нет?
Лучше иметь кластер как минимум из двух серверов Hyper-V
1. По RDP могут ходить только админы. Даже если службы терминалов не включены.
Ну и КД надо минимум 2, а максимум - не ограничено.
Линух - вырос из многопользовательской (изначально, идеологически) системы для научных расчетов, работавшей на майнфреймах (гуглим историю UNIX)
Они могут внутри себя обновить ключи шифрования и притащить их с репликацией.
все верно, GC может быть любой и каждый - но на 2003 КД он нам не нужен :)
kisaa, там пишут, не что SMB1 выпилили, а что в 24H2 нельзя ииспользовать гостевой доступ (который - не про случай автора вопроса) и что нужно включить SMB Signing (если чо, то на Win2K3 это сделать можно ЕМНИП).