Ошибка: Failed to parse the Currency Converter XML document.
$19 480.63
|
Ошибка: Failed to parse the Currency Converter XML document.
$21 526.37
|
Ошибка: Failed to parse the Currency Converter XML document.
$15 729.37
|
10 способов проверки среды Службы Каталогов (Active Directory)
Служба Каталогов (Active Directory Services) — действующий стандарт для инициализации учётных записей, базового системного управления и DNS-идентификации в большинстве сред. Ведение отчётности для определения изменений в скором времени может стать необходимым требованием. Ниже приведены несколько стратегий для внедрения отчётности в среду Службы Каталогов (Active Directory, далее AD). Они послужат дополнением к уже существующим стратегиям, расширят возможности тестирования и предоставят удобный набор данных для определения изменений при решении проблем.
Экспорт при помощи CSVDE
Множество AD-инструментов можно применять для сбора информации о текущем состоянии на разных уровнях. Мой любимый — CSVDE, так как действует сравнительно быстро, может работать по расписанию, и его отчёт распознаётся в Excel. Я ежемесячно экспортирую определённые данные по организационным единицам (OU) в виде отчёта по учётным записям пользователей. При помощи этих отчётов я могу видеть, что изменилось в ходе установки причины проблемы, которая по началу не была ясна. Это особенно позлено при работе с крупной средой AD.
Копирование учётных записей для быстрой проверки
Я получил отличные результаты, создав временные копии учётных записей пользователей для проверки полномочий в Службе Каталогов. Главное при этом, что большинство (если не все) полномочий назначаются группам. При групповом членстве в качестве главного механизма для предоставления доступа, копирование учётной записи пользователя — наиболее быстрый и лёгкий способ проверить доступ, учётные записи служб, задач и других ограничительных операций, не мешая работе самого пользователя. После тестов не забудьте удалить все копии.
Копирование домена перед началом проверки
Коренные изменения AD крайне трудно имитировать и тестировать. Можно попробовать экспериментальный домен, но его конфигурация не будет в точности соответствовать той, что используется на рабочем. Наличие тестового домена идентичного рабочему поможет проверить расширения схемы, изменения Групповой политики (Group Policy) и новую политику безопасности.
Существуют два основных способа создания такой среды. Первый — создать новый контроллер домена в домене, перенести его в тестовую сеть и уже в ней отсоединить контроллер домена от рабочего домена. Когда этот контроллер будет находиться в тестовой сети, другие контроллеры доменов будут отключены. Но если ему будут присвоены все необходимые роли, он начнёт обрабатывать запросы на вход и служить тестовой средой для проверки изменений и новых политик. Другой метод заключается в использовании инструментами для конвертирования системы, например Symantec BackupExec System Recovery, Symantec Ghost, Acronis True Image, VMware Converter или PlateSpin PowerConvert, позволяющими различными способами создавать образ котроллера домена и переносить его в физическую или виртуальную тестовую среду.
LDIFDE для всего домена!
Утилита для экспорта LDIFDE помогает переносить целый домен и делать его доступным для импорта. Я не рекомендовал бы её в качестве механизма для создания резервных копий и восстановления. Но для того чтобы создать точную копию рабочего домена, перенести её в тестовую среду и обновлять динамически в последствии, LDIFDE подходит идеально. Главный недостаток тестовых доменов, на мой взгляд, в том, что они никак не связаны с рабочими, а обновлять их конфигурацию является важным условием. Экспортировать рабочий домен можно при помощи этой простой команды:
LDIFDE способна распознавать этот файл как импортированный, таким образом, его можно будет прочесть в текстовом редакторе. Прочитав описания LDIFDE и CSVDE, можно понять, что разница между ними не велика, мне больше по нраву CSVDE, поскольку эта утилита позволяет экспортировать отдельные организационные единицы (OU). Это очень удобно, в то время как LDIFDE переносит всю директорию целиком, которая помимо учётных записей пользователей содержит также записи принтеров и компьютеров, контроллеры доменов и прочие объекты AD. LDIFDE создаёт более экспортные файлы более крупных размеров для возможности широкого их применения.
Сохранение запросов в Активной директории
Все ли мы включаем эту первую опцию оснастки Active Directory Users And Computers («Active Directory: пользователи и компьютеры»)? Сохранение запросов помогает администраторам повторять повседневные задачи и с лёгкостью обнаруживать нарушения политики. Я часто посылаю запросы на отключенные учётные записи пользователей, которые не входили в сеть в течение последних 60 дней. На снимке справа показан этот запрос.
Ответ на AD-запрос — список объектов, удовлетворяющих поставленному условию. С его помощью можно выполнять крупномасштабные операции с учётными записями, например удаление, добавление в группу, присоединение к записи, включение или выключение. Также результаты запросов позволяют выполнять различные операции с учётными записями Exchange.
Использование DSGET для отдельных объектов AD
CSVDE и LDIFDE хороши для работы с большими объёмами данных. Для более детальной информации используется команда DSGET. DSGET — это инструмент службы Активной директории, состоящий из серии команд: DSADD, DSQUERY, DSMOVE, DSRM и DSMOD. DSGET является удобным средством документирования и тестирования AD, поскольку позволяет получить информацию по конкретным объектам домена. Каждый тип объектов в директории запускается посредством DSGET. При использовании DSQUERY в связке с DSGET можно оптимизировать процесс работы с характерными именами директорий.
Экспорт объектов Групповой политики
Управление объектами Групповой политики (Group Policy, далее GP) в среде AD требует немалых усилий. Насколько сложно определить проблему в сложной GP? Экспортируя GP, можно проверить конфигурацию в определённый момент времени. Инструмент ADMX.EXE из набора Windows Resource Kit позволяет экспортировать объекты GP из AD для последующей архивации и сравнения.
Экспорт встроенной в AD DNS-зоны
Если IP-адресация управляется или через AD, можно экспортировать зону, которая содержит доменные системы. Это позволит увидеть, как используются адреса и где находятся адреса доменных систем во всех сетях домена. DNSCMD — лучшая утилита для экспорта зоны DNS. Например, команда экспорта DNS-зоны для зоны WS2K3DEV.LOCAL сервера DC001 будет выглядеть так:
DNSCMD DC001 /zoneprint WS2K3DEV.LOCAL
По желанию можно направить команду на файл для архивации. Для импорта и модификации можно также использовать DNSCMD, выходные функции весьма полезны для тестирования среды AD. Соответствующая выходная информация будет расположена в третьей строчке снизу. Результаты по индивидуальным системам и их адресации (в форме записей DNS A records) показана ниже:
DC001 [Aging:3569020] 3600 A 192.168.1.100
ADFind.exe
ADFind.exe позволяет быстро создать образ, не используя оснастку «Active Directory: пользователи и компьютеры» и права администратора. ADFind не требует специальных доменных привилегий и полномочий при использовании мастера Delegation Of Control (Делегирования полномочий). Таким образом, операторы, временные работники, младшие администраторы и все те, кому не следует предоставлять дополнительные права, могут удобно вести отчёты в AD-среде.
Использование ADFind немного отличается от применения обычных утилит, потому что это не инструмент от Microsoft. Но посещение раздела на сайте Joewarel избавит от необходимости создавать запросы. Вот пример использования команды на тестовом домене (WS2K3DEV.LOCAL):
Вернулись все записи компьютеров в следующем формате:
dn:CN=VM-SERVER1,OU=VServers,DC=WS2K3DEV,DC=LOCAL
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>objectClass: computer
>cn: VM-SERVER1
>distinguishedName: CN=VM-SERVER1,OU=VServers,DC=WS2K3DEV,DC=LOCAL
>instanceType: 4
>whenCreated: 20071109010719.0Z
>whenChanged: 20071109010838.0Z
>displayName: VM-SERVER1$
>uSNCreated: 98317
>uSNChanged: 98336
>name: VM-SERVER1
>objectGUID: {305864AA 98F3-4F0C-A813-5832F73F7BD1}
>userAccountControl: 4096
>badPwdCount: 0
>codePage: 0
>countryCode: 0
>badPasswordTime: 0
>lastLogoff: 0
>lastLogon: 128390526426562500
>localPolicyFlags: 0
>pwdLastSet: 128390440401406250
>primaryGroupID: 515
>objectSid: S 1-5-21-1529256218-1546654017-687563949-1123
>accountExpires: 9223372036854775807
>logonCount: 5
>sAMAccountName: VM-SERVER1$
>sAMAccountType: 805306369
>operatingSystem: Windows Server 2003
>operatingSystemVersion: 5.2 (3790)
>operatingSystemServicePack: Service Pack 2
>dNSHostName: VM-SERVER1.WS2K3DEV.LOCAL
>servicePrincipalName: HOST/VM-SERVER1
>servicePrincipalName: HOST/VM-SERVER1.WS2K3DEV.LOCAL
>objectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=WS2K3DEV,DC=LOCAL
>isCriticalSystemObject: FALSE
>dSCorePropagationData: 20071109010838.0Z
>dSCorePropagationData: 20071109010838.0Z
>dSCorePropagationData: 20071109010838.0Z
>dSCorePropagationData: 16010108151056.0Z
Перед началом выполнения любой процедуры и работы с хорошей утилитой рекомендуется изучить азы тестирования среды. Поскольку эта утилита предназначена в основном для запросов и поиска, следует убедиться в том, котроллеры домена способны выдержать любую нагрузку в виде больших запросов и экспорта. Чтобы избежать нежелательных проблем от последствий работы этих утилит на рабочем домене, их лучше сначала проверить в тестовой среде.
Минимизация разрастания групп безопасности (security groups)
Известно, что назначение полномочий группам является наиболее удобной практикой в большинстве ситуаций. Однако наличие большого числа групп в среде AD влечёт сложности в их управлении. Весьма полезно будет выяснить, какие группы содержат малое количество пользователей или не содержат ни одного, чтобы объединить или удалить такие группы соответственно. Для быстрого просмотра количества членов выбранной группы в организационной единице можно использовать команду CSVDE. Таким образом, чем меньше групп, тем легче ими управлять.