Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.

Active Directory



Active Directory обеспечивает точную синхронизацию времени в домене, которая гарантирует, что зависимые от точного времени протоколы (например Kerberos) будут работать корректно.Контроллер домена с ролью PDC emulator в корневом домене леса должен быть сконфигурирован для синхронизации времени с внешних источников - аппаратных часов, государственных источников времени или других NTP серверов. Для предотвращения инцидентов рассмотрите возможность дополнительной настройки дочернего контроллера домена с ролью PDC Emulator, прописав на нем также синхронизацию с внешним источником времени. В этом случае, если вы переместите роль PDC, вам не нужно будет перенастраивать службу времени на новом контроллере домена. В качестве бонуса предлагаю посмотреть на рисунок, который демонстрирует, как работает иерархия синхронизации времени в мульти-доменном лесу: 

Далее...



Любой системный администратор знает о существовании поля Описание у объектов Active Directory. Очень редко какие IT отделы регулярно используют данное поле для чего-либо полезного и поддерживают данную информацию в актуальном состоянии.

Я думаю, что было бы очень полезно для компьютеров иметь в данном поле информацию по последнему залогинному пользователю. С помощью небольших изменений в настройки безопасности AD и простенького скрипта мы выполним данную задачу. Также я добавил в данное поле сервис тэг и номер модели компьютера.

Первое что нам необходимо сделать – разрешить всем прошедшим проверку пользователям изменить данное поле. Необходимо понимать, что после данного изменения любой опытный пользователь может самостоятельно указывать в данном поле любую информацию. Для этого выполним следующее действие:    Далее...

Настройка входящей и исходящей почты в SharePoint 2010, часть 4

Понедельник, 16 января 2012 г.
Рубрика: Sharepoint
Метки: |
Просмотров: 13331
Подписаться на комментарии по RSS


В этой части данной серии статей мы настроим Active Directory на отображение создаваемых контактов в адресной книге Outlook. Запустите оснастку Active Directory Users and Computers и создайте новое подразделение с именем SP Contacts.

Далее делегируем управление данным подразделением с помощью меню Delegate Control.

Нам необходимо делегировать контроль аккаунту под которым запущен пул приложений SharePoint, в моем случае это SP Admin. Нажмем кнопку Add.

Найдите нужный аккаунт и выберите его. После этого нажмите Next.

Интересное
Отличное оборудование для вибропрессования доступно на сайте beteh.ru. Причем цены очень радуют, рекомендую всем заинтересованным в подобном оборудовании ознакомиться.

Далее...



С помощью SCOM 2007 R2 мы можем создавать оповещения, когда любой аккаунт добавляется в определенную важную доменную группу, например Domain Admins, Schema Admins, Enterprise Admins… Посмотрим как это сделать!

• Создайте новое правило

• Выберите пункт Alert Generating Rules > Event based > NT Event Log (Alert).

• Поместите правило в нужный Management Pack и нажмите ‘Next’

• Укажите имя правилаДалее...

Ввод Mac в домен Windows

Понедельник, 28 марта 2011 г.
Рубрика: Разное
Метки: |
Просмотров: 63361
Подписаться на комментарии по RSS


Для начала я расскажу вам небольшую историю и если она вам знакома то данная статья для вас. Одним прекрасным утром вы пришли на работу и ваш босс позвонил вам и рассказал, что он приобрел новый ноутбук, который нужно срочно подключить к сети и всем сетевым ресурсам. Вы пришли к нему и поняли, что босс купит Mac. Он хочет чтобы вы ввели его новый ноутбук в домен для доступа ко всем сетевым ресурсам без авторизации. Или может быть рассказ немного отличается. Ваша организация решила расширятся и появился новый департамент графического дизайна и маркетинга, и все сотрудники этого департамента будут использовать Mac.

Что же делать в подобной ситуации? Не волнуйтесь, вы можете присоединить Mac в Windows домен и сегодня я покажу вам как это делать. В данной статье мы будем подключать Snow Leopard к домену Windows Server 2008.

Настройка сети и аккаунта в Mac

Домен Windows полностью зависит от корректной настройки DNS поэтому первое что вам нужно сделать это установить корректный адрес DNS сервера, который в моем случаем является также контроллером домена. Для этого запустите System Preferences и нажмите Network для открытия сетевых настроек.Далее...

Переименование домена Windows 2008

Вторник, 9 ноября 2010 г.
Рубрика: Windows 7 -> Администрирование Windows
Метки: | |
Просмотров: 21263
Подписаться на комментарии по RSS


Недавно я уже публиковал статью, посвященную переимнованию контроллера домена Windows Server 2008. Сегодня я собираюсь опубликовать связанную, но совершенно другую задачу - переимнование домена. Переименование домена это процедура, которую выполняют очень редко в реальном окружении, если вообще когда либо выполняют. Однако например в тестовом окружении это бывает полезно, да и просто для широты кругозора это не помешает знать.

У Microsoft имеется много информации в документации, посвященной переименованию домена и я рекомендую использовать её(ссылка будет в конце статьи), особенно если дело касается домена в промышленной среде. Однако шаги ниже впринципе вполне полностью описывают процедуру переименования и достаточны для тестовых целей. Для начала опишем первоначальные требования к переименованию домена в среде с одним доменом в лесу:

Далее...



Процедура переименования рядового сервера (Windows 2000/2003/2008) очень проста. Достаточно зайти в свойства системы, изменить имя и перегрузиться. Однако для контроллеров домена данный подход не годится. В этой статье мы рассмотрим правильную процедуру переименования контроллера.

Команда

Для переименования контроллера домена нам необходимо использовать команду NETDOM. В Windows Server 2008 данная команда встроена в операционную систему и не требует отдельной установки как в предыдущих версиях ОС.

Для начала вам необходимо указать новое полное доменное имя для контроллера домена. Все остальные контроллеры домена должны содержать обновленный SPN атрибут и все DNS сервера в домене должны содержать A запись нового имени. Оба имени – и старое и новое поддерживаются до тех пор, пока вы не удалите старое имя. Это гарантирует что не будет никаких проблем с аутентификацией клиентов.Далее...

AD Tidy

Понедельник, 11 октября 2010 г.
Рубрика: Администрирование Windows
Метки:
Просмотров: 10521
Подписаться на комментарии по RSS


Сегодня я хочу познакомить вас с одной небольшой, но очень гордой полезной утилитой - AD Tidy.Утилита полностью бесплатна и поможет вам определить список аккаунтов пользователей или компьютеров, которые не логинились в домен очень долгое время. В общем и целом эту информацию можно без проблем получить с помощью например Powershell, однако я знаю целый ряд администраторов, которые очень не любят любые скриптовые языки, для них подобная утилита будет очень и очень полезна.

Далее...

Как создать MSI файл для Outlook Social Connector

Пятница, 8 октября 2010 г.
Рубрика: Exchange Server
Метки:
Просмотров: 8328
Подписаться на комментарии по RSS


Если вы хотите развернуть Outlook Social Connector для своих пользователей с помощью групповых политик, вам потребуется MSI файл. Для его получения необходимо выполнить следующие действия.

Итак, приступаем…

  1. Скачиваем файл OSC с сайт Microsoft по ссылке http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b638cc14-11e5-448a-b5a6-4f553ce81b94
  2. Запускаем следующую команду из командной строки: outlooksocialconnector-x86-en-us.exe /extract:C:\osc\
  3. В результате в папке c:\osc\ появится нужный нам msi файл.
  4. Именно его мы и можем уже использовать для развертывания OSC! <img src=" />Далее...



Ввод компьютера в домен позволяет использовать все преимущества домена, такие как централизированное управление, групповые политики и многое, многое другое.

Предварительные требования

Перед вводом компьютера под управлением Windows 7 в домен убедитесь что следующие предварительные требования соблюдены:

Используется Windows 7 Professional, Ultimate или Enterprise - только эти редакции Windows 7 могут быть подключены к домену.

У вас есть сетевая карта - собсвенно без комментариев, думаю вы не забыли об этом smile

Вы подключены к локальной сети- Убедитесь что вы подключены к локальной сети. Хотя Windows 7 может быть присоединена к домену Windows Server 2008 R2 в оффлайн режca, это тема для отдельной статьи.Далее...

Ошибка “RPC Server is unavailable” при запросе сертификата

Воскресенье, 7 февраля 2010 г.
Рубрика: Администрирование Windows
Метки: | |
Просмотров: 14905
Подписаться на комментарии по RSS


При попытке запроса сертификата из оснастки MMC Certificates на компьютере с установленным ISA Server, Threat Management Gateway (TMG) или Unified Access Gateway (UAG) вы можете получить следующее сообщение об ошибке:

“The RPC Server is unavailable”

Данная ошибка может проявится в следствии использования фильтра RPC в ISA Server/TMG. Фильтр RPC гарантирует безопасность проходящего через файервол трафика. DCOM трафик также попадает под действие данного фильтра и может отвергаться. Однако именно DCOM требуется для запроса сертификата.Далее...

Как делегировать права на поддержание RODC

Вторник, 26 января 2010 г.
Рубрика: Windows Server 2008 -> Администрирование Windows
Метки:
Просмотров: 10843
Подписаться на комментарии по RSS


В данной статье я расскажу как делегировать администрирование RODC доменному пользователю.

RODC - это копия базы данных Active Directory, доступная только для чтения. RODC разработан для мест, где администраторы менее опытны и не могут корректно управлять Active Directory. Пользователь или доменный администратор не могут выполнять LDAP запросы на запись в RODC. Однако тем не менее сервер RODC необходимо поддерживать, устанавливать патчи, обновлять антивирус и прочее.... Эти задачи может выполнять локальный администратор сервера, но RODC не имеет локального администратора, так как он является контроллером домена.

Далее...

Поиск ProxyAddresses с помощью ADUC и ADFIND

Среда, 13 января 2010 г.
Рубрика: Администрирование Windows
Метки: | |
Просмотров: 8974
Подписаться на комментарии по RSS


Одним из наиболее частных запросов от администраторов Exchange является способ определения, кто владеет определенным SMTP адресом в домене. Одним из способов определения является вставка адреса в поле "TO" Outlook. После чего нажимаем кнопку проверить имя и если адрес существует, Outlook найдет объект, содержащий данный адрес.

Более продвинутый способ заключается в использовании функции поиска консоли ADUC.

Рассмотрим данный способ:

Нажмите Пуск - Выполнить, наберите Dsa.msc, нажмите Enter.

Нажмите кнопку поиск, выберите особый поиск:

Затем перейдите в вкладку дополнительно и наберите LDAP запрос:Далее...



Этот небольшой, но очень полезный код поможет вам быстро узнать, когда пользователь Active Directory менял свой пароль в последний раз. Вместо аккаунта user1 используйте интересующий вас аккаунт.

$user = "user1"
 $searcher=New-Object DirectoryServices.DirectorySearcher
 $searcher.Filter="(&(samaccountname=$user))"
 $results=$searcher.findone()
 $changedtime  = [datetime]::fromfiletime($results.properties.pwdlastset[0])
 write-host -b blue -f red The user, $user has changed password last time at $changedtime

Далее...

Метод тестирования подключения LDAP через SSL

Четверг, 19 ноября 2009 г.
Рубрика: Администрирование Windows
Метки: | |
Просмотров: 15345
Подписаться на комментарии по RSS


В данной статье объясняется как протестировать правильность настроек LDAP/SSL на сервере каталогов (например контроллер домена).

Сперва вам необходимо получить утилиту LDP.exe. LDP это - это клиент для Lightweight Directory Access Protocol (LDAP), который позволяет вам выполнять операции на любом LDAP-совместимом сервере каталогов, подобном Active Directory, ADLDS или ADAM.

LDP для различных платформ распологается в разных местах:

  • Windows XP Service Pack 2 Support Tools
  • Для Windows 2000, Support tools распложен в папке Support\Tools на диске с Windows 2000
  • Windows Server 2003 Service Pack 2 32-bit Support Tools
  • LDP.exe установлен по умолчанию в Windows Server 2008 и Windows Server 2008 R2

 

Далее...

Рекомендации для изменения схемы Active Directory

Воскресенье, 30 августа 2009 г.
Рубрика: Администрирование Windows
Метки:
Просмотров: 11475
Подписаться на комментарии по RSS


Часть моей работы заключается в расширении схемы AD для поддержки новых версий продуктов, к примеру Exchange и OCS. Некоторые из последних продуктов, требовавших расширения схемы:

  • Exchange 2007 SP2.
  • Exchange 2010.
  • OCS 2007 R1 или R2.

В дополнение к расширениям схемы, эти же рекомендации применимы при повышении уровня леса или домена.Далее...

Авторизация в Active Directory в системе Ubuntu 8.04 и 8.10

Пятница, 27 февраля 2009 г.
Рубрика: Ubuntu
Метки: |
Просмотров: 14258
Подписаться на комментарии по RSS


Для системе Ubuntu 8.04 (Hardy Heron), и Ubuntu 8.10 (Intrepid Ibex) доступен пакет Likewise Open, с помощью которого задача авторизации в Active Directory становиться довольно легкой задачей.Далее...

Как проверить работает ли PDC Emulator

Четверг, 5 февраля 2009 г.
Метки: |
Просмотров: 15011
Подписаться на комментарии по RSS


В данной статье объясняется как проверить работает ли роль PDC Emulator в домене Active Directory.

Роль PDC Emulator играет очень большое значение в Active Directory. Если PDC Emulator не работает, некоторые функции домена будут работать некорректно. Если что то из следующего списка происходит, вам необходимо проверить, что роль PDC Emulator работает правильно: Далее...



Active Directory взаимодействует с клиентскими компьютерами по различным портам. Эти порты используются и клиентами и контроллером домена. К примеру когда компьютер пытается найти контроллер домена он всегда посылает DNS запрос на порт 53.Далее...

HOWTO: Managing Active Directory users under Linux with adtool

Суббота, 8 ноября 2008 г.
Метки: | |
Просмотров: 10455
Подписаться на комментарии по RSS


Это вполне обычная ситуация когда люди администрируют Linux сервера используя Windows клиентов. Но иногда кое-кому (к примеру мне)нужно использовать Linux клиента для управления Windows серверами.

По моему мнению, Active Directory это один из лучших продуктов Microsoft, может быть благодаря тому что он базируется на хорошо известном стандарте X.500 (ака LDAP).

Хотя существует отличная утилита PHPLdapAdmin, если вам нужно автоматизировать управление пользователями и группами, нет ничего лучше использования утилиты командной строки. Подобной утилитой является adtool.

Далее...

Повышение роли Server Core до контроллера домена

Пятница, 20 июня 2008 г.
Метки: |
Просмотров: 11316
Подписаться на комментарии по RSS


Обычно для повышения роли сервера с Windows Server 2003/2008 до роли котроллера домена используется либо консоль управлением сервера либо утилита dcpromo. Обе эти утилиты однако графические, и как же нам сделать эту операцию в чистой командой строке под управлением Windows Server 2008 Server Core?

К счастью, утилита dcpromo может быть запущена под Server Core, однако это требует небольших приготовлений.  Dcpromo требует файл автоматической установки для запуска под Server Core. Вы можете создать этот файл либо вручную, либо сгенерировать стандартными средствами Windows Server 2008.

После генерации файла автоматической установки вы можете запустить следующую команду для повышения роли:

Dcpromo /unattend:C:\unattendfile.txt


Adprep /ForestPrep должно быть выполнено для введения сервера под управлением Windows Server

2008 в существующее доменное окружение под управлением Windows 2000 или Windows 2003. Adprep /ForestPrep для Windows Server 2008 расширяет схему и устанавливает атрибут “ObjectVersion” в значение 44, если Addprep был выполнен успешно.

Для проверки значения “ObjectVersion”:

  1. Установите LDP.exe c Support Tools на доменном контроллере под управление Windows 2000 или Windows 2003.
  2. Запустите LDP.exe, перейдите в Connection и далее нажмите Bind.
  3. Нажмите Ok. Потом нажмите View, Tree и выберите следующий LDAP путь из выпадающего списка: CN=Schema,CN=Configuration,DC=domain,DC=com
  4. Нажмите Ok для запуска LDP запроса по выбранному LDAP пути.
  5. В правой панели, проверьте objectVersion: атрибут 44. Если там действительно верный атрибут, значит Adprep /ForestPrep был выполнен успешно.


Для более эффективного исполнения групповых политик в отношении административных шаблонов Windows Server 2008 и Windows Vista используют ADMX формат. Вы можете эффективнее управлять административными шаблонами групповой политики с помощью центрального хранилища.Далее...

Введение в RODC

Вторник, 3 июня 2008 г.
Метки: | |
Просмотров: 13404
Подписаться на комментарии по RSS


Сегодня мы посмотрим на новую, сильно восхваляемую возможность в Windows Server 2008, называемую  контроллер домена на чтение, RODC (Read Only Domain Controller). Давайте посмотри, какие возможности дает нам данная технология.

Windows Server 2008 имеет достаточно много новых возможностей, которые делают его приятным для всех. Одна из этих возможностей - RODC. Далее...