• Как использовать скрипты на практике в системном администрировании?

    Если инфраструктура на вин - Power Shell, и все, что происходит вокруг, только через него. Отличная задача, к примеру - делегируйте заведение пользователей в АД и их движение внутри организации отделу кадров. Скорее всего используется 1С с сиквельной БД (или другие решения, в зависимости от решения сложность реализации может варьироваться). Читаете БД, скажем раз в 2-3 часа, по ключевым полям определяете изменения в кадровом составе, дальше проводите соответствующие действия в АД. К примеру, пришел сотрудник, увидели новую запись в БД, стригерили заведение в АД, отправили письмо с учетными данными начальнику отдела, куда принят, на личную почту сотрудника внутренние инструкции. Перевод в другое подразделение - смена состава групп и доступов, и т.д.
    Ну и дальше смотрите, если есть моменты, когда приходится что то делать пару раз в неделю - первая очередь на автоматизацию. Та же верификация бекапов, с получением отчетов, что все ок, или есть проблемы (что то мне подсказывает, что оно и в ручном режиме сейчас не делается, в силу скучности)) ).
    Ответ написан
    2 комментария
  • С чего и как правильно начинать поэтапную миграцию AD в облако?

    Я бы начал с того, что нужно определить, что вы хотите на выходе? Какие цели вы преследуете? Вы говорите о чем, о возможности авторизоваться, используя ваши доменные аккаунты в облаке/сервисе, или о полноценном переносе AD DS (domain services)? У различных облачных провайдеров различные варианты.
    Самый общий ответ, исходя из данных вопроса:
    Поднимите VPN туннель, или другим способом постройте сетевую связь с облаком, заведите там контроллер, дождитесь окончания репликации данных, и все, у вас в облаке контроллер вашего домена, с вашей AD.
    Ответ написан
    2 комментария
  • AD PowerShell ошибка в коде?

    Пока на вскидку - у вас OU некорректно указан.
    Ответ написан
  • Есть ли софт по управлению биосом на windows, для HP компов?

    Вы наверное имеете ввиду доступ c помощью ILO. Погуглите что то вроде "HP ILO". Это пошире чем просто доступ к "BIOS".
    Ответ написан
  • Правильно ли под DFS роль использовать отдельный сервер?

    Вы не совсем разобрались с DFS-R/N. DFS сам по себе, не существует (начиная с сервака 2008, до этого это была одна роль, возможно старые статьи вас немного запутали). Есть 2 раздельные роли DFS-R (replication) и DFS-N (namespaces). Обе они представлены уже в вашей сети, чуть только вы подняли контроллер домена, и синкают и предоставляют доступ к папкам SYSVOL и NETLOGON.
    Вам нужно решить, куда и какие роли хотите вынести - под неймспейсами (DFS-N) понимают роли, которые настраивают доступ к шарам, т.е. юзерские линки настраиваются. В вашем описании - это "ретрансляторы", клиент идет к ним за ссылкой, а они перенаправляют уже на конкретную шару, которая хостится где угодно в сети (не обязательно на реплике - реплика нужна для отказоустойчивости, не более). А реплики (DFS-R) - это, соответсвенно, серваки, которые синкают настроенные на это дело шары с другими репликами, включенными в одну группу репликации для нужного фолдера.
    Эти роли можно совмещать, или разносить по разным сервакам как вам удобно. Неймспейсами можно сделать и сами же контроллеры домена, а под реплики уже выделять файлопомойки. Если у вас не тысячи юзеров постоянно работающих с шаренными доками и шастающих по шарам, то нагрузки от неймспейсов особо не будет, и я бы не отдавал под это дело отдельный сервак - дорага.) Можно и на сами реплики отдать неймспейсы, они там так же не сильно помешают, просто будете терять сразу по 2 роли в случае чего.
    Ответ написан
    Комментировать
  • Не могу понять как создать, кластеру шару на windows server 2012r2?

    Есть такая хрень со сторадж спейсами. Если посмотрите через пош Get-PhysicalDisk, там есть свойство CannotPoolReason - здесь указана причина, по которой вы не можете диск заюзать под сторадж пул. В большинстве своем, на виртуалках это будет Insufficient Capacity. В результате, как показала практика - здесь важен размер диска, который вы пытаетесь подсунуть. В документации, из всего, что смог найти, упоминание о мин диске в 4ГБ. Но есть еще один интересный момент - сайз в HyperV вы указываете в GiB, что не равно GB. А сторадж спейсы к этому, как оказывается, очень чувствительны на моменте создания. Т.е. нужно сконвертить сайз в GB. Например, для дисков в 6GB нужно создать диск на 6.44245 GiB. И такой диск подойдет.
    Самый прикол, что если вы создали пул - потом туда накидывать можно уже не заморачиваясь, указывая все те же, привычные глазу 6 GiB.
    Ответ написан
  • (решено) Что не так с зонами на DNS сервере?

    Вам черным по монитору написали, что зоны Intarnal не существует. Еще раз сравните ваши команды)
    Ответ написан
    4 комментария
  • Как добавить домен в домен контроллер?

    А зачем вам перехватывать всю зону .com?) Ищете чем занять ДНС, чтоб не простаивал?))
    Создайте зону по имени вашего сайта - example.com. И создайте А-запись с пустым именем и укажите нужный адрес.
    Ответ написан
    Комментировать
  • Active Directory: как авторизовать пользователя вне локальной сети?

    Если человек возит ноут с собой, и вам нужна только авторизация на нем под УЗ домена - то вообще не парьтесь. Винда кэширует креды последних (точно не помню, вроде 10-ти) пользователей, залогинившихся в системе. Т.е. юзеру нужно хотя бы 1 раз залогинится на бук, подключенный к сети, имеющей доступ к КД, и дальше он будет спокойно под тем же юзером работать офлайн (относительно домена). Есть нюанс - срок действия пароля. Если затем сотрудник/бук долго не будут авторизовываться в сети с доступом к КД (2 срока пароля в домене), то бук вылетит из домена - нужно будет переввести в домен, а сотруднику нужно будет ресетить пароль (должно при логине сразу предложить юзеру, по дефолту) при подключении к сети с доступом к КД.
    *ВПН нужен уже для доступа к ресурсам сети.
    **Про SSO вы не дочитали, но вряд ли вам это нужно на текущем этапе.
    Ответ написан
    2 комментария
  • Возможно ли в AD изменить время истечения пароля?

    Геморная затея. Может помогу придумать удобный для вас способ:
    У УЗ есть свойство pwdLastSet - ровно от этого значения отсчитывается срок действия пароля. Руками взять и поменять это свойство нельзя - можно обмануть. К примеру, чтобы продлить срок действия пароля на установленный срок (в вашем случае еще на 7 дней) - поставьте у УЗ галку "User must change password at next log on" и сохраните УЗ. Потом снова зайдите в свойства, и переставьте на "Other password options" и сохраните. Это действие изменит вышеуказанное поле на текущее время, и отсчет пойдет сначала, при этом пасс останется прежним.
    Есть еще Fine-grained password policy - это возможность настраивать гранулярно политики паролей на группы/УЗ. Можно с этим поиграться, добавляя в группы с кастомными настройками, может сделаете нужную логику - но на счет этого варианта не проверял, как оно будет себя вести для УЗ с уже истекшим паролем.
    Ну и совсем в лоб - в политике паролей продлить, но тут уже не гранулярно, плюс обновление политик - до 2 часов.
    Ответ написан
  • Как создать особых пользователей AD?

    Почитайте Fine-Grained Password Policies in AD
    Ответ написан
    Комментировать
  • Как правильно расставить права доступа к папке Windows Server 2012?

    Для того, чтобы что то запустить/выполнить системе нужно получить определенные команды. Для того, чтобы получить эти команды - ей нужно прочитать их. Если запуск тригерит юзер - попытка прочитать и выполнить команды из бинарников происходит в контексте пользователя, т.е. у пользователя должны быть права на чтение. Другой вопрос - что после выполнения вы хотите получить? Если вам нужен запущенный в системе инстанс какой то софтины, к которой стучатся "клиенты", и не нужно никакого интерактивного взаимодействия запускающего пользователя с этой софтиной - то тогда можно посмотреть на создание bat/ps1 скриптика или шедулера, который будет ранать от имени сервисной УЗ или системы, а тригерить запуск будет юзер.
    Ответ написан
    Комментировать
  • Как получить информацию с помощью PowerShell о учётной записи в другом домене?

    У вас имя dc и имя домена поиска совпадают. Вероятнее, -SearchBase 'OU=FN,DC=xx,DC=local'.
    При запросе просто любого объекта из соседнего домена вы что-нибудь получаете? Какая ошибка?
    Ответ написан
    Комментировать
  • Как востановить работоспособность домена AD?

    Официально - этот кейс микрософт решает только перевведением машины в домен. К сожалению, это единственный верный способ - все остальные кустарные методы могут сработать, могут нет на случайной машинке (в подавляющем большинстве случаев - нет). Из того, что могло произойти - самое похожее - сбой питания, системная ошибка на контроллере, приведшая к ребуту. При загрузке ОС произошло восстановление автоматом на последнюю имеющуюся точку восстановления, т.к. это идет по дефолту при очередном включении после непредвиженного сбоя. Эта точка скорее всего была довольно давно создана, и ряд компьютеров, обновивших не так давно пароли оказались в восстановленной базе АД со старыми паролями - соответсвенно потеряли доверие контроллера, т.к. суют не те пароли. Это решается только перевводом машины в домен. У вас только один контроллер домена?
    Ответ написан
    2 комментария
  • Почему ПК видит не все компьютеры в локальной сети, если везде настройки одинаковые?

    Можно подробней про DNSMasq? У вас нет AD, вы подняли только DNS и DHCP? Или что вы подразумеваете под dnsmasq на win?
    Ответ написан
  • Windows server 2012r2 dhcp+dns не появляется А запись, что не так?

    Ваши DHCP сервера в каких группах состоят (при стандартной настройке, они должны быть в группе DnsUpdateProxy). Так же чекните в событиях ДК - новые записи кем регистрируются, когда вы передергиваете адрес на клиенте - ДХЦП сервером, или клиент сам регистрирует?
    Ответ написан