Ответы пользователя по тегу Windows Server
  • Как использовать скрипты на практике в системном администрировании?

    Если инфраструктура на вин - Power Shell, и все, что происходит вокруг, только через него. Отличная задача, к примеру - делегируйте заведение пользователей в АД и их движение внутри организации отделу кадров. Скорее всего используется 1С с сиквельной БД (или другие решения, в зависимости от решения сложность реализации может варьироваться). Читаете БД, скажем раз в 2-3 часа, по ключевым полям определяете изменения в кадровом составе, дальше проводите соответствующие действия в АД. К примеру, пришел сотрудник, увидели новую запись в БД, стригерили заведение в АД, отправили письмо с учетными данными начальнику отдела, куда принят, на личную почту сотрудника внутренние инструкции. Перевод в другое подразделение - смена состава групп и доступов, и т.д.
    Ну и дальше смотрите, если есть моменты, когда приходится что то делать пару раз в неделю - первая очередь на автоматизацию. Та же верификация бекапов, с получением отчетов, что все ок, или есть проблемы (что то мне подсказывает, что оно и в ручном режиме сейчас не делается, в силу скучности)) ).
    Ответ написан
    2 комментария
  • С чего и как правильно начинать поэтапную миграцию AD в облако?

    Я бы начал с того, что нужно определить, что вы хотите на выходе? Какие цели вы преследуете? Вы говорите о чем, о возможности авторизоваться, используя ваши доменные аккаунты в облаке/сервисе, или о полноценном переносе AD DS (domain services)? У различных облачных провайдеров различные варианты.
    Самый общий ответ, исходя из данных вопроса:
    Поднимите VPN туннель, или другим способом постройте сетевую связь с облаком, заведите там контроллер, дождитесь окончания репликации данных, и все, у вас в облаке контроллер вашего домена, с вашей AD.
    Ответ написан
    2 комментария
  • AD PowerShell ошибка в коде?

    Пока на вскидку - у вас OU некорректно указан.
    Ответ написан
  • Правильно ли под DFS роль использовать отдельный сервер?

    Вы не совсем разобрались с DFS-R/N. DFS сам по себе, не существует (начиная с сервака 2008, до этого это была одна роль, возможно старые статьи вас немного запутали). Есть 2 раздельные роли DFS-R (replication) и DFS-N (namespaces). Обе они представлены уже в вашей сети, чуть только вы подняли контроллер домена, и синкают и предоставляют доступ к папкам SYSVOL и NETLOGON.
    Вам нужно решить, куда и какие роли хотите вынести - под неймспейсами (DFS-N) понимают роли, которые настраивают доступ к шарам, т.е. юзерские линки настраиваются. В вашем описании - это "ретрансляторы", клиент идет к ним за ссылкой, а они перенаправляют уже на конкретную шару, которая хостится где угодно в сети (не обязательно на реплике - реплика нужна для отказоустойчивости, не более). А реплики (DFS-R) - это, соответсвенно, серваки, которые синкают настроенные на это дело шары с другими репликами, включенными в одну группу репликации для нужного фолдера.
    Эти роли можно совмещать, или разносить по разным сервакам как вам удобно. Неймспейсами можно сделать и сами же контроллеры домена, а под реплики уже выделять файлопомойки. Если у вас не тысячи юзеров постоянно работающих с шаренными доками и шастающих по шарам, то нагрузки от неймспейсов особо не будет, и я бы не отдавал под это дело отдельный сервак - дорага.) Можно и на сами реплики отдать неймспейсы, они там так же не сильно помешают, просто будете терять сразу по 2 роли в случае чего.
    Ответ написан
    Комментировать
  • Не могу понять как создать, кластеру шару на windows server 2012r2?

    Есть такая хрень со сторадж спейсами. Если посмотрите через пош Get-PhysicalDisk, там есть свойство CannotPoolReason - здесь указана причина, по которой вы не можете диск заюзать под сторадж пул. В большинстве своем, на виртуалках это будет Insufficient Capacity. В результате, как показала практика - здесь важен размер диска, который вы пытаетесь подсунуть. В документации, из всего, что смог найти, упоминание о мин диске в 4ГБ. Но есть еще один интересный момент - сайз в HyperV вы указываете в GiB, что не равно GB. А сторадж спейсы к этому, как оказывается, очень чувствительны на моменте создания. Т.е. нужно сконвертить сайз в GB. Например, для дисков в 6GB нужно создать диск на 6.44245 GiB. И такой диск подойдет.
    Самый прикол, что если вы создали пул - потом туда накидывать можно уже не заморачиваясь, указывая все те же, привычные глазу 6 GiB.
    Ответ написан
  • Возможно ли в AD изменить время истечения пароля?

    Геморная затея. Может помогу придумать удобный для вас способ:
    У УЗ есть свойство pwdLastSet - ровно от этого значения отсчитывается срок действия пароля. Руками взять и поменять это свойство нельзя - можно обмануть. К примеру, чтобы продлить срок действия пароля на установленный срок (в вашем случае еще на 7 дней) - поставьте у УЗ галку "User must change password at next log on" и сохраните УЗ. Потом снова зайдите в свойства, и переставьте на "Other password options" и сохраните. Это действие изменит вышеуказанное поле на текущее время, и отсчет пойдет сначала, при этом пасс останется прежним.
    Есть еще Fine-grained password policy - это возможность настраивать гранулярно политики паролей на группы/УЗ. Можно с этим поиграться, добавляя в группы с кастомными настройками, может сделаете нужную логику - но на счет этого варианта не проверял, как оно будет себя вести для УЗ с уже истекшим паролем.
    Ну и совсем в лоб - в политике паролей продлить, но тут уже не гранулярно, плюс обновление политик - до 2 часов.
    Ответ написан
  • Как создать особых пользователей AD?

    Почитайте Fine-Grained Password Policies in AD
    Ответ написан
    Комментировать
  • Как правильно расставить права доступа к папке Windows Server 2012?

    Для того, чтобы что то запустить/выполнить системе нужно получить определенные команды. Для того, чтобы получить эти команды - ей нужно прочитать их. Если запуск тригерит юзер - попытка прочитать и выполнить команды из бинарников происходит в контексте пользователя, т.е. у пользователя должны быть права на чтение. Другой вопрос - что после выполнения вы хотите получить? Если вам нужен запущенный в системе инстанс какой то софтины, к которой стучатся "клиенты", и не нужно никакого интерактивного взаимодействия запускающего пользователя с этой софтиной - то тогда можно посмотреть на создание bat/ps1 скриптика или шедулера, который будет ранать от имени сервисной УЗ или системы, а тригерить запуск будет юзер.
    Ответ написан
    Комментировать
  • Как востановить работоспособность домена AD?

    Официально - этот кейс микрософт решает только перевведением машины в домен. К сожалению, это единственный верный способ - все остальные кустарные методы могут сработать, могут нет на случайной машинке (в подавляющем большинстве случаев - нет). Из того, что могло произойти - самое похожее - сбой питания, системная ошибка на контроллере, приведшая к ребуту. При загрузке ОС произошло восстановление автоматом на последнюю имеющуюся точку восстановления, т.к. это идет по дефолту при очередном включении после непредвиженного сбоя. Эта точка скорее всего была довольно давно создана, и ряд компьютеров, обновивших не так давно пароли оказались в восстановленной базе АД со старыми паролями - соответсвенно потеряли доверие контроллера, т.к. суют не те пароли. Это решается только перевводом машины в домен. У вас только один контроллер домена?
    Ответ написан
    2 комментария
  • Windows server 2012r2 dhcp+dns не появляется А запись, что не так?

    Ваши DHCP сервера в каких группах состоят (при стандартной настройке, они должны быть в группе DnsUpdateProxy). Так же чекните в событиях ДК - новые записи кем регистрируются, когда вы передергиваете адрес на клиенте - ДХЦП сервером, или клиент сам регистрирует?
    Ответ написан
  • AD как разобрать атрибут cn?

    ПоШем, тут только вопрос, насколько у вас стандартизирован этот атрибут. А так - это обычная строка, парсите ее по пробелу, и после второго забирайте. Почитайте операции со строками в power shell. Как пример:

    $cn = (Get-ADUser -Properties cn).cn
    $cn.Split(" ")[3]
    Ответ написан
    Комментировать
  • Неактивен пункт в оснастке локальной политике безопасности. Как исправить?

    Групповые политики для того и нужны, что бы типизировать конфигурацию внутри домена, и запретить всяким очумелым ручкам кастомизировать все почем зря. Перечитайте, как работают политики, прежде чем что то изменять, особенно на домен контроллере.
    PS Если хотите выставить политику паролей отличающуюся от доменной, почитайте про Fine-Grained Password Policies
    Ответ написан
    Комментировать
  • Почему не применяется групповая политика?

    Что у вас в результирующей? Что в секурити фильтре? В делегации у вас есть authenticated users или domain computers, или вы их удалили?
    Ответ написан
    1 комментарий
  • DNS+DHCP. Как правильно настроить временные интервалы для очистки устаревших записей?

    Если в кратце, вот пример: Вы выдали dhcp адрес на x дней. С точки зрения DHCP адрес будет жить х дней, из которых х/2 дней он будет неизменям, по истечение х/2 первых дней жизни (половины срока лиза) клиент сам начинает обращаться на dhcp-сервер за продлением лиза - если клиент успел обратиться до окончания полного срока лиза - аренда продлевается.
    Что происходит на стороне DNS - dhcp выдал адрес, и тут же зарегил запись в DNS - dhcp НЕ волнуется за жизнь записи в DNS, его дело - аренда адресов, и сообщение DNSу о новых арендах и продлении старых - удаление записей в DNS - дело самого DNS. Срок лиза адреса в dhcp никак не влияет на срок жизни ресурсной записи заводимой в DNS. На срок жизни записи в DNS влияют интервалы блокирования и обновления. Интервал блокирования - это период, в течение которого запись не может обновлятся, она может быть только полностью удалена. Интервал обновления - это интервал, в течение которого запись ожидает обновления (можно обновить дату создания, и тогда срок блокирования начнет новый отсчет), т.е. что dhcp придет и скажет - "пациент жив, продлевать буду" - это происходит как только "пациент" обратился к DHCP после истечения срока половины аренды, а запись еще не успела попасть в DNS под очистку, даже при условии, что истекли сроки блокировки и обновления, но она еще есть - у нее обновится дата создания, и сроки пойдут считаться с новой даты. Если прошли и срок блокирования и срок обновления записи на DNS - то при следующем запуске очистки запись будет удалена.
    Т.е. срок блокировки и обновления записи желательно держать равными времени лиза - т.е. в вашем случае по 12 часов каждый. А срок очистки поставить скажем каждый час. Это увеличит нагрузку на сервер, но избавит вас от головной боли о дублирующихся записях. Чем чаще будет проходить очистка - тем меньше шансов дублирования будет. Но прямо пропорционально будет и рост нагрузки на DNS (если записей не много - не критично).
    Ответ написан
    Комментировать
  • Как настроить безопасное подключение WinRM?

    Ну, то что у вас на "огненной стене" дропаются пакеты - эт к настройкой самой "стены")) а по winRM - что вы подразумеваете под словом "безопасное"? На прикладном уровне - это, к примеру HTTP/HTTPS. Вы же, насколько я понял, хотите ограничить подключение по сурсу. Инструменты нужно использовать по своему непосредственному назначению. Если вам нужно ограничить доступ куда-либо от каких-либо источников как раз и существует "огненная стена", ее настройками и займитесь. А в политиках есть Trusted Hosts - но это ограничение не по сурсам, а по целям. Создано для админов, чтобы можно было оградить спокойно важные ресурсы.
    Ответ написан
    Комментировать
  • Как защититься от подбора пароля на Windows 2008?

    ip виновного - никак. К вам прилетает пакет, в котором ip отправителя - это последнее маршрутизирующее устройство. Так сеть работает.
    А по поводу защиты - политики, файрвол. К примеру парольная политика, на количество неверных попыток ввода пароля.
    Чтобы к вам не стучались - вариант только один - закрыть входящие подключения, поменять порт и т.п.))
    Ответ написан
    Комментировать
  • Как создать ssl сертификат на CA Windows 2012?

    Если не знаете, как обратиться напрямую к CA, проще сформировать на бубунте реквест на серт, в соответсвие с требуемыми параметрами в подходящем шаблоне на CA. Передайте сформированный файл реквеста не CA, там оформите сертификат (к примеру через certreq), и верните готовый серт на бубунту. Установите и радуйтесь жизни. Если конечно у вас CA не для красоты, а его корневой у вас опубликован в AD или распихивается в корневые политиками.
    Ответ написан
  • Как "на лету" бекапить Microsoft Exchange 2010?

    Любая вменяемая система бекапирования. Родной - DPM, а так на вкус и цвет. Veeam agent отлично справляется, плюс он еще и бесплатный.
    Ответ написан