... Komentáre ... bezpečnostné technológie ...
Príspevky Tagged s Active Directory
Čo je nové v oblasti služieb AD?
23.marca
Neváhajte a prečítajte si najnovšie článok " Čo je nové v Active Directory Domain Services Windows Server 2008 R2 . "
"Active Directory služby sú kľúčovým zdrojom moderného podnikania. Od vydania systému Windows Server 2008, oni začali prekrývať meniť (napr. AD stala systémová služba) veľmi dôležité pre správcov. Najnovšie verzie R2 priniesol niekoľko zaujímavých funkcií, ktoré každý profesionál musí vedieť IT. "
Zmena doba skladovania Active Directory odstránené objekty
10.března
Odstránenie objektu z domény nespôsobí jeho okamžité odstránenie, je ešte stále uložený na dobu určitú (ale už nemôžu byť použité), aby sa replikovať zmeny ostatné radiče domény. V závislosti na vašej verzii systému Windows Server tentoraz je od 60 dní (WS2003) na 180 dní (WS2008/R2). Okrem toho, Windows Server 2008 R2 rozširuje čas na ďalší 180 deň uloženia objektu v Active Directory koša - ako som spomenul v predchádzajúcej záznam.
Skladovacia doba je trvalo odstránená predmetov uložených v systéme, ale môže byť potlačené úpravou atribútu CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration. Akcie, ktoré sa majú prijať na atribúty:
- tombstoneLifetime - po dobu skladovacích zariadení na zneškodňovanie bez použitia koša alebo po dobu skladovania v AD Kôš
- MSDS-DeletedObjectLifeTime - v prípade WS2008 R2, v ktorých sa objavujú odpadky korzytsa
V predvolenom nastavení, každý z týchto atribútov je "null" a odkazuje na predvolený operačný systém. Ak chcete zmeniť tieto hodnoty by mali byť použité Ldp.exe driectory aktívne alebo modul pre Windows PowerShell.
Modifikácia pomocou PowerShell (WS2008 R2)
Vykonajte nasledujúci príkaz z PowerShell konzoly s modulom aktívny AD.
Set-ADObject-identita "CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = Skalský, DC = info-oddiel" CN = Configuration, DC = Skalský, DC = info ", replace: @ ("tombstoneLifetime" = 365)
Set-ADObject-identita "CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = Skalský, DC = info-oddiel" CN = Configuration, DC = Skalský, DC = info ", replace: @ ("MSDS-DeletedObjectLifetime" = 365)
Modifikácia s Ldp.exe (WS2003 - 2008 R2)
1. Spustiť príkaz visí Ldp.exe
2. Pripojenie k doméne výberom Pripojenie -> Pripojenie na poľa Názov servera zadajte názov radiča domény, potom vyberte "Bind
3. Vstupné dvere do kontajnera, vyberte Zobraziť -> Tree a dávať cestu CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = Skalský, DC = info, akonáhle bude schválený vyberte Zmeniť na kontajnera
4. V zmene stavu parametrov:
Upraviť Vstup atribútov: tombstoneLifetime
Hodnota: 365
zmeniť dobu trvania dosky alebo náhrobný kameň ...
Upraviť vlastnosti položky Atribút: MSD-DeletedObjectLifeTime
Hodnota: 365
o zmene skladu v koši Acitive Directory
5. Potvrdiť zmeny výberom Nahradiť, Enter pre potvrdenie operácie, a potom na tlačidlo Spustiť vykonať zmeny
Skontrolujte kompatibilitu konfiguráciou osvedčených postupov
4.marca
V predchádzajúcich poznámok som ukázal niekoľko noviniek v systéme Windows Server 2008 R2, teraz na prelome Best Practices Analyzer (BPA). Ako už názov napovedá s týmto nástrojom, môžete skontrolovať nastavenia servera je v súlade s osvedčenými postupmi. Nástroj je inštalovaný s každú podporovanú úlohu (podmienkou je mať vhodný vzor pre BPA) a jeho aktivácia sa vykonáva jeho výberom sekcie zhrnúť role (Server Manager Console). Skoršie verzie tohto nástroja boli samostatné aplikácie, a prvá verzia bola sprístupnená v roku 2006.
Spustenie analýza sa vykoná výberom príkazu "Scan to úloha, ktorá sa po niekoľkých sekundách je pripravený na overenie. Pre každé odporúčanie vytvára podrobnú správu o dôvodoch, ktoré nespĺňajú požiadavky, o možných dôsledkoch havárie a odporúčaného riešenia. Stojí za zmienku, že v súčasnosti podporuje nasledujúce úlohy:
- Active Directory Služby zhode
- Active Directory Domain Služby
- Domain Name System (DNS)
- Dynamic Host Configuration Protocol (DHCP)
- Internet Information Services (IIS)
- Pripojenie k vzdialenej ploche Services (RDS)
- Politika v oblasti sietí a prístup k službám
Všimnite si, že podobné nástroje pre rôzne aplikácie sú k dispozícii v Download Centre na stránkach spoločnosti Microsoft.
Offline Spojovacie domény, virtuálne stroje a DATA_BLOB
2. marca
Pokračovanie cyklu nových riešení Windows Server 2008 R2 teraz prelome spojované pripojenie počítača k doméne (doména vstup offline). Jedná sa o nové riešenie pre vytvorenie účtu počítača v Active Directory a prevod domény informácií do počítača, ktorý sa stal členom domény.
Prvým krokom je zaregistrovať si účet v doméne a zároveň vytvoriť súbor odpovedí, do ktorého bude informácie odovzdaná do siete nie je pripojený k počítaču (s Windows 7 alebo Windows Server 2008 R2). To sa vykonáva pomocou: DJOIN / Provision / DOMAIN skalski.info / MACHINEOU "OU = Test Lab, DC = Skalský, DC = info / off-stroj client1 / Savefile c: \ off-client1.djoin
Djoin príkaz umožňuje ako vytvoriť súbor odpovedí, a jeho použitie pre bezpołączeniowego stanicu sa pripojiť k doméne. Najdôležitejšie parametre sú:
- Provision - určuje rezervácia účtu počítača v doméne stanovenej ďalšie parametre
- Doména - označuje oblasť, ku ktorému sa pripojiť počítač
- MACHINEOU - definuje umiestnenie účtu počítača v štruktúre organizačných jednotiek
- MACHINE - dáva názov počítača, ktorý je pripojený. Poznámka: Pripojiť počítač zmeniť jeho názov uvedený v tomto parametri
- Savefile - Zadajte cestu, v ktorom môžete vytvoriť súbor odpovedí slúži k ďalšiemu pripojenie cieľového počítača
Ďalším krokom je prevod odpoveďou súbor, ktorý ste vytvorili skôr (v tomto prípade, off-client1.djoin) do cieľového počítača a jeho použitie. To sa vykonáva pomocou: DJOIN / REQUESTODJ / loadFile c: \ off-client1.djoin / localos / WINDOWSPATH C: \ Windows
Výsledkom plnenia vyššie. Príkaz stanice je poskytnúť informácie o jeho členstvo v doméne. Ak chcete dokončiť tento proces je potrebné reštartovať počítač. Parametre použité v príkaze sa rozumie:
- REQUESTODJ - podáva žiadosť o pripojenie k doméne bezpołączeniowego
- LoadFile - ukazuje cestu k súboru odpovedí
- Localos - umožňuje zadať cieľ operačný systém beží
- WINDOWSPATH - ukazuje cestu k systémovej zložky jednoducho pripojený staníc
Je pozoruhodné, že príprava scenára virtuálnych strojov pomocou tejto metódy:
- Pripravte odpovedí súbor
- Pripojenie virtuálneho počítača disk, aby sa člen domény
- Napojíme WINDOWSPATH dávať cestu k systému nainštalovaný na virtuálny disk
Posledná otázka sa bude riešiť, je bezpečnosť tohto prístupu. Odpoveď súbor obsahuje veľké množstvo informácií, na ktorých by mali byť dostatočne chránené. Suiche Matthieu vytvoril nástroj (dinfo.exe), ktorý dekóduje odpovedí súbor a zverejniť informácie obsiahnuté v DATA_BLOB.
Je potrebné venovať osobitnú pozornosť heslo do poľa lpMachinePassword, doménové meno, a les, a veľa informácií o pokrytí potvrdenia a doklady.
Obnoviť zmazané objekty v Active Directory
25. februára
Nastal čas popísať niekoľko nových funkcií systému Windows Server 2008 R2. Dnes je prvý kôš v adresárovej služby Active Directory AD Recyklované Bin. Jeho úlohou je zjednodušiť obnoviť zmazané objekty, ktoré boli vykonané zmenou atribútu isDeleted alebo zálohovania.
Prvým krokom je začleniť AD Kôš príkazom (pre doménu napr. skalski.info):
Enable-ADOptionalFeature-identita 'CN = funkcia Kôš, CN = voliteľné, CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = Skalský, DC = info' Skalský ForestOrConfigurationSet-Scope-cieľ ' . info '
Ďalšie práce s košom nájsť vypúšťa objekt a príkaz obnoviť:
Get-ADObject-Filter (DisplayName-eq "Kamil Skalský")-IncludeDeletedObjects | Obnovenie-ADObject
