$425.47


$249.93


$181.77


10 способов проверки среды Службы Каталогов (Active Directory)

Служба Каталогов (Active Directory Services) — действующий стандарт для инициализации учётных записей, базового системного управления и DNS-идентификации в большинстве сред. Ведение отчётности для определения изменений в скором времени может стать необходимым требованием. Ниже приведены несколько стратегий для внедрения отчётности в среду Службы Каталогов (Active Directory, далее AD). Они послужат дополнением к уже существующим стратегиям, расширят возможности тестирования и предоставят удобный набор данных для определения изменений при решении проблем.

Экспорт при помощи CSVDE

Множество AD-инструментов можно применять для сбора информации о текущем состоянии на разных уровнях. Мой любимый — CSVDE, так как действует сравнительно быстро, может работать по расписанию, и его отчёт распознаётся в Excel. Я ежемесячно экспортирую определённые данные по организационным единицам (OU) в виде отчёта по учётным записям пользователей. При помощи этих отчётов я могу видеть, что изменилось в ходе установки причины проблемы, которая по началу не была ясна. Это особенно позлено при работе с крупной средой AD.


Копирование учётных записей для быстрой проверки

Я получил отличные результаты, создав временные копии учётных записей пользователей для проверки полномочий в Службе Каталогов. Главное при этом, что большинство (если не все) полномочий назначаются группам. При групповом членстве в качестве главного механизма для предоставления доступа, копирование учётной записи пользователя — наиболее быстрый и лёгкий способ проверить доступ, учётные записи служб, задач и других ограничительных операций, не мешая работе самого пользователя. После тестов не забудьте удалить все копии.


Копирование домена перед началом проверки

Коренные изменения AD крайне трудно имитировать и тестировать. Можно попробовать экспериментальный домен, но его конфигурация не будет в точности соответствовать той, что используется на рабочем. Наличие тестового домена идентичного рабочему поможет проверить расширения схемы, изменения Групповой политики (Group Policy) и новую политику безопасности.

Существуют два основных способа создания такой среды. Первый — создать новый контроллер домена в домене, перенести его в тестовую сеть и уже в ней отсоединить контроллер домена от рабочего домена. Когда этот контроллер будет находиться в тестовой сети, другие контроллеры доменов будут отключены. Но если ему будут присвоены все необходимые роли, он начнёт обрабатывать запросы на вход и служить тестовой средой для проверки изменений и новых политик. Другой метод заключается в использовании инструментами для конвертирования системы, например Symantec BackupExec System Recovery, Symantec Ghost, Acronis True Image, VMware Converter или PlateSpin PowerConvert, позволяющими различными способами создавать образ котроллера домена и переносить его в физическую или виртуальную тестовую среду.

LDIFDE для всего домена!

Утилита для экспорта LDIFDE помогает переносить целый домен и делать его доступным для импорта. Я не рекомендовал бы её в качестве механизма для создания резервных копий и восстановления. Но для того чтобы создать точную копию рабочего домена, перенести её в тестовую среду и обновлять динамически в последствии, LDIFDE подходит идеально. Главный недостаток тестовых доменов, на мой взгляд, в том, что они никак не связаны с рабочими, а обновлять их конфигурацию является важным условием. Экспортировать рабочий домен можно при помощи этой простой команды:

LDIFDE –f C:\domain-out.file

LDIFDE способна распознавать этот файл как импортированный, таким образом, его можно будет прочесть в текстовом редакторе. Прочитав описания LDIFDE и CSVDE, можно понять, что разница между ними не велика, мне больше по нраву CSVDE, поскольку эта утилита позволяет экспортировать отдельные организационные единицы (OU). Это очень удобно, в то время как LDIFDE переносит всю директорию целиком, которая помимо учётных записей пользователей содержит также записи принтеров и компьютеров, контроллеры доменов и прочие объекты AD. LDIFDE создаёт более экспортные файлы более крупных размеров для возможности широкого их применения.

Сохранение запросов в Активной директории

Все ли мы включаем эту первую опцию оснастки Active Directory Users And Computers («Active Directory: пользователи и компьютеры»)? Сохранение запросов помогает администраторам повторять повседневные задачи и с лёгкостью обнаруживать нарушения политики. Я часто посылаю запросы на отключенные учётные записи пользователей, которые не входили в сеть в течение последних 60 дней. На снимке справа показан этот запрос.

10 способов проверки среды Службы Каталогов (Active Directory)
Ответ на AD-запрос — список объектов, удовлетворяющих поставленному условию. С его помощью можно выполнять крупномасштабные операции с учётными записями, например удаление, добавление в группу, присоединение к записи, включение или выключение. Также результаты запросов позволяют выполнять различные операции с учётными записями Exchange.

Использование DSGET для отдельных объектов AD

CSVDE и LDIFDE хороши для работы с большими объёмами данных. Для более детальной информации используется команда DSGET. DSGET — это инструмент службы Активной директории, состоящий из серии команд: DSADD, DSQUERY, DSMOVE, DSRM и DSMOD. DSGET является удобным средством документирования и тестирования AD, поскольку позволяет получить информацию по конкретным объектам домена. Каждый тип объектов в директории запускается посредством DSGET. При использовании DSQUERY в связке с DSGET можно оптимизировать процесс работы с характерными именами директорий.

Экспорт объектов Групповой политики

Управление объектами Групповой политики (Group Policy, далее GP) в среде AD требует немалых усилий. Насколько сложно определить проблему в сложной GP? Экспортируя GP, можно проверить конфигурацию в определённый момент времени. Инструмент ADMX.EXE из набора Windows Resource Kit позволяет экспортировать объекты GP из AD для последующей архивации и сравнения.

Экспорт встроенной в AD DNS-зоны

Если IP-адресация управляется или через AD, можно экспортировать зону, которая содержит доменные системы. Это позволит увидеть, как используются адреса и где находятся адреса доменных систем во всех сетях домена. DNSCMD — лучшая утилита для экспорта зоны DNS. Например, команда экспорта DNS-зоны для зоны WS2K3DEV.LOCAL сервера DC001 будет выглядеть так:

DNSCMD DC001 /zoneprint WS2K3DEV.LOCAL

По желанию можно направить команду на файл для архивации. Для импорта и модификации можно также использовать DNSCMD, выходные функции весьма полезны для тестирования среды AD. Соответствующая выходная информация будет расположена в третьей строчке снизу. Результаты по индивидуальным системам и их адресации (в форме записей DNS A records) показана ниже:

DC001 [Aging:3569020] 3600 A 192.168.1.100

ADFind.exe

ADFind.exe позволяет быстро создать образ, не используя оснастку «Active Directory: пользователи и компьютеры» и права администратора. ADFind не требует специальных доменных привилегий и полномочий при использовании мастера Delegation Of Control (Делегирования полномочий). Таким образом, операторы, временные работники, младшие администраторы и все те, кому не следует предоставлять дополнительные права, могут удобно вести отчёты в AD-среде.

Использование ADFind немного отличается от применения обычных утилит, потому что это не инструмент от Microsoft. Но посещение раздела на сайте Joewarel избавит от необходимости создавать запросы. Вот пример использования команды на тестовом домене (WS2K3DEV.LOCAL):

adfind -b dc=WS2K3DEV,DC=LOCAL -f «objectcategory=computer»

Вернулись все записи компьютеров в следующем формате:

dn:CN=VM-SERVER1,OU=VServers,DC=WS2K3DEV,DC=LOCAL
>objectClass: top
>objectClass: person
>objectClass: organizationalPerson
>objectClass: user
>objectClass: computer
>cn: VM-SERVER1
>distinguishedName: CN=VM-SERVER1,OU=VServers,DC=WS2K3DEV,DC=LOCAL
>instanceType: 4
>whenCreated: 20071109010719.0Z
>whenChanged: 20071109010838.0Z
>displayName: VM-SERVER1$
>uSNCreated: 98317
>uSNChanged: 98336
>name: VM-SERVER1
>objectGUID: {305864AA — 98F3-4F0C-A813-5832F73F7BD1}
>userAccountControl: 4096
>badPwdCount: 0
>codePage: 0
>countryCode: 0
>badPasswordTime: 0
>lastLogoff: 0
>lastLogon: 128390526426562500
>localPolicyFlags: 0
>pwdLastSet: 128390440401406250
>primaryGroupID: 515
>objectSid: S — 1-5-21-1529256218-1546654017-687563949-1123
>accountExpires: 9223372036854775807
>logonCount: 5
>sAMAccountName: VM-SERVER1$
>sAMAccountType: 805306369
>operatingSystem: Windows Server 2003
>operatingSystemVersion: 5.2 (3790)
>operatingSystemServicePack: Service Pack 2
>dNSHostName: VM-SERVER1.WS2K3DEV.LOCAL
>servicePrincipalName: HOST/VM-SERVER1
>servicePrincipalName: HOST/VM-SERVER1.WS2K3DEV.LOCAL
>objectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=WS2K3DEV,DC=LOCAL
>isCriticalSystemObject: FALSE
>dSCorePropagationData: 20071109010838.0Z
>dSCorePropagationData: 20071109010838.0Z
>dSCorePropagationData: 20071109010838.0Z
>dSCorePropagationData: 16010108151056.0Z

Перед началом выполнения любой процедуры и работы с хорошей утилитой рекомендуется изучить азы тестирования среды. Поскольку эта утилита предназначена в основном для запросов и поиска, следует убедиться в том, котроллеры домена способны выдержать любую нагрузку в виде больших запросов и экспорта. Чтобы избежать нежелательных проблем от последствий работы этих утилит на рабочем домене, их лучше сначала проверить в тестовой среде.

Минимизация разрастания групп безопасности (security groups)

Известно, что назначение полномочий группам является наиболее удобной практикой в большинстве ситуаций. Однако наличие большого числа групп в среде AD влечёт сложности в их управлении. Весьма полезно будет выяснить, какие группы содержат малое количество пользователей или не содержат ни одного, чтобы объединить или удалить такие группы соответственно. Для быстрого просмотра количества членов выбранной группы в организационной единице можно использовать команду CSVDE. Таким образом, чем меньше групп, тем легче ими управлять.

 

Интересное

Миф о QoS
Нет ни одного человека, который бы хоть раз не прочитал какой-нибудь FAQ по Windows XP. А раз так, то каждый знает, что есть такая вредная служба Quality of Service — сокращенно QoS. При...
Подробнее...
Список служб, которые, в...
automatic updates (Автоматичесткое обновление). Учитывая, что обновлять систему можно и вручную,имеет смысл отключить эту службу. Особенно в том случае, если нет постоянного соединения с...
Подробнее...
Важность шифрования
Люди часто жалуются на неудобство использования шифрования электронных писем. Порой это действительно сложно, особенно для новичков. Сначала приходится разбираться в управлении общими и частными...
Подробнее...
Скрытая загрузка
Не для кого не секрет, что в наше время Интернет-странички просто переполнены различной графикой (баннеры, дизайн странички, графические счетчики) — без этого уже почти невозможно представить...
Подробнее...
Использование сессий в PHP
Очень часто при написании скриптов на php необходимо хранить некоторую информацию о посетителе в течение всего сеанса его работы. Типичным примером такой ситуации является необходимость...
Подробнее...
Увеличиваем быстродействие...
Однако, по умолчанию, вне зависимости от установленного объема памяти, Windows XP нерационально использует дополнительный объем памяти, что значительно ограничивает производительность системы в...
Подробнее...
Поэтапная оптимизация сайта
Термин «оптимизация сайтов» в последнее время на слуху у многих компаний, предоставляющих те или иные услуги в глобальной сети. Но это и не удивительно, учитывая огромную выгоду, которую можно...
Подробнее...
Что делать, если Windows...
Если Windows не может корректно завершить работу, в большинстве случаев это связано либо с системой управления электропитанием, либо с неправильно работающими драйверами. Могут существовать и...
Подробнее...
2 способа обойти...
Инсталляция Windows Server 2008 возможна только с DVD-носителя. При необходимости установки этой платформы на компьютер, не имеющий DVD-привода или загрузки с USB-диска, неизбежно возникают...
Подробнее...
Интернет в розетке
Многие наверняка слышали о возможности подключению к интернету через обыкновенную бытовую электросеть. Эта технология обладает тем важнейшим преимуществом, что электросеть куда более развита и...
Подробнее...