FAQ по Active Directory

Q. Как быстро выполнить очистку метаданных (clean up metadata) при удалении контроллера домена?
A. В Windows Server 2008 и позднее, если вы удаляете контроллер домена в консоле Active Directory Sites and Services, все связанные с этим контроллером домена метаданные также удаляются. Однако, в ранних версиях Windows Server это не происходит.

Для ранних версий Windows Server, Microsoft предлагает использовать скрипт с графическим интерфейсом.

Q. Какие службы необходимы для нормальной работы Active Directory Domain Services?
A. Для нормального функционирования AD DS необходима работа следующих служб:

• Active Directory Domain Services
• DNS Client
• NetLogon
• TCP/IP NetBIOS Helper
• Windows Time
• Workstation
• Distributed File System
• DNS Server
• File Replication Service
• Remoute Procedure Call (RPC) Locator
• Intersite Messaging
• Kerberos Key Distribution Center

Q. Не выполняется команда adprep из Windows Server 2008 R2 на 32-х битных контроллерах домена, в чем ошибка?
A. Windows Server 2008 R2 использует только 64 битную платформу, команда adprep выполняется только в 64-х разрядных средах. Выполните команду adprep32, находящуюся в той же папке, для работы в 32-х битной среде.

Q. Контроллеры домена с ролью RODC могут быть использованы в качестве серверов глобального каталога?
A. Контроллеры домена с ролью RODC могут быть использованы как серверы глобального каталога, если во всех доменах леса выполнена команда adprep /domainprep и используются контроллеры с Windows Server 2008 и выше.

В. Как создать список пользователей определенной группы?
О. Наиболее быстрый способ это экспортировать список пользователей группы в текстовый файл, используя команду
Net group “Name_Group” /domain >listusers.txt

В. Как найти все заблокированные учетные записи в домене?
О. Что бы найти всех заблокированных пользователей в Active Directory необходимо воспользоваться  PowerShell
Search-ADAccount -accountdisabled | FL SamAccountName

В. Как можно посмотреть ДНС кеш локального компьютера?
О. Иногда для выяснения проблем разрешения имен необходимо узнать соответствие IP адреса компьютера и его доменного имени. Для этого нужно использовать команду:
ipconfig /displaydns

Групповая политика

Q. Что такое предпочтения групповой политики (Group Policy Preferences)?
A. Предпочтения групповой политики (новая функция в операционной системе Windows Server 2008) включают в себя более двадцати новых расширений групповой политики, увеличивающих диапазон настраиваемых параметров в объекте групповой политики (GPO). Предпочтения групповой политики обеспечивают более точную настройку благодаря режимам действий и воздействию на уровне элементов. Помимо этого, пользовательские интерфейсы с расширенной функциональностью и XML-конфигурации на основе стандартов предоставляют больше возможностей и обеспечивают большую гибкость при работе с управляемыми компьютерами через администрирование объектов групповой политики.

Q. Какие возможности представляет расширение Group Policy Preferences?
A, Всего в набор Group Policy Preferences входит 21 функция. Основные из них:

Развертывание принтеров

Данная функция дает возможность развертывать принтеры TCP/IP и локальные принтеры (для пользователя или для компьютера) либо совместно используемые принтеры (только для пользователя).

Управление энергопитанием

Настройки Group Policy Preferences Power Options располагаются в разделах Computer Configuration и User Configuration папки PreferencesControl Panel SettingsPower Options. Эти настройки дают возможность использовать в настольных системах новые средства управления электропитанием на базе групповых политик.

Управление файлами

С помощью расширения Group Policy Preferences Files, расположенного в разделе Computer ConfigurationPreferencesWindows SettingsFiles можно доставить на клиентскую систему файл или несколько файлов. А с помощью настроек политики Group Policy File Security, расположенных в разделе Computer ConfigurationPoliciesWindows SettingsSecurity Settings File System, можно применить к этим файлам список управления доступом.

Настройка служб

Настройки Group Policy Preferences Services (Computer ConfigurationPreferencesControl Panel SettingsServices) позволяют изменять пароль локальной системной учетной записи, изменять параметры восстановления в случае сбоя службы, назначать другую программу, выполняемую в случае отказа службы, или предусматривать перезапуск компьютера при сбое.

Управление браузером IE

Установки Group Policy Preferences подобны настройкам IE Maintenance групповой политики. Настройки Internet Settings набора Group Policy Preferences несколько расширяют возможности групповой политики. Настройки IE размещаются в папке User ConfigurationPreferencesControl Panel SettingsInternet Settings. Указание установок (preferences) означает следующее: администратор задает первоначальные настройки, но пользователи могут изменять их.

Обслуживание реестра

Данный элемент конфигурации позволяет размещать параметры реестра практически в любой его области.

Ограничение на использование устройств

Механизм действия расширения Group Policy Preferences Devices отключает устройство или порт. Однако, пользователи обладающие правами локального администратора могут включить устройство в Device Manager.

Работа с пользователями и группами

Параметр Group Policy Preferences Local Users and Groups размещается в двух узлах — Users и Computer — в разделе PreferencesControl Panel SettingsLocal Users and Groups. С помощью расширения Local Users and Groups можно удалять локальные группы и указывать для удаления из групп тех или иных пользователей; например, исключить из группы локальных администраторов одного пользователя.

Настройка меню Start

настройки Group Policy Preferences Start Menu в разделе User ConfigurationPreferencesControl Panel SettingsStart Menu, представляют собой предпочтительные установки, их можно рассматривать скорее как рекомендации для пользователя. Если пользователям не нравятся предложенные настройки меню Start, он может их изменить. Существует возможность запрета изменения настроек пользователем через параметр Apply once and do not reapply соответствующего элемента Group Policy Preferences.

Q. Требования к системе и установка  для использования предпочтений групповой политики
A. Чтобы использовать предпочтения групповой политики, выполните следующие действия.

Установите набор клиентских расширений на клиентские компьютеры. Поддерживаемые операционные системы: Windows Vista RTM или более поздняя версия, Windows XP с пакетом обновления 2 (SP2) или более поздняя версия, Windows Server 2003 с пакетом обновления 1 (SP1) или более поздняя версия. Расположения загрузки:
Windows Vista (x86): http://go.microsoft.com/fwlink/?LinkId=111859
Windows Vista (x64): http://go.microsoft.com/fwlink/?LinkID=111857
Windows XP (x86): http://go.microsoft.com/fwlink/?LinkId=111851
Windows XP (x64): http://go.microsoft.com/fwlink/?LinkId=111862
Windows Server 2003 (x86): http://go.microsoft.com/fwlink/?LinkId=111852
Windows Server 2003 (x64): http://go.microsoft.com/fwlink/?LinkId=111863
Дополнительные сведения см. в статье 943729 базы знаний Microsoft.
Установите XMLLite, средство анализа XML низкого уровня, на клиентские компьютеры, работающие не под управлением ОС Windows Vista. Поддерживаемые операционные системы: Windows XP с пакетом обновления 2 (SP2) или более поздняя версия, Windows Server 2003 с пакетом обновления 1 (SP1) или более поздняя версия. Расположение загрузки: http://go.microsoft.com/fwlink/?LinkId=111843 (возможно, на английском языке)
Чтобы настроить предпочтения групповой политики на компьютере под управлением ОС Windows Server 2008, используйте окно редактора управления групповыми политиками в консоли управления групповыми политиками. В этом случае ничего загружать не требуется, поскольку предпочтения групповой политики входят в консоль управления групповыми политиками в Windows Server 2008. Дополнительную информацию о просмотре предпочтений групповой политики см. в следующем подразделе «Просмотр предпочтений групповой политики».

Q.Просмотр предпочтений групповой политики
A. Откройте консоль управления групповой политикой. Чтобы открыть консоль управления групповыми политиками, нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Управление групповой политикой.
В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащих изменяемый объект групповой политики.
Щелкните правой кнопкой мыши объект групповой политики, который нужно изменить, и выберите команду Изменить.
В дереве консоли разверните узел Конфигурация компьютера или Конфигурация пользователя, затем разверните узел Предпочтения, а затем разверните или выберите элементы по необходимости. В дереве консоли выберите элемент, чтобы просмотреть связанные с ним параметры в области сведений.

Q. Возможности Fine Grained Password Policy
A. Функция гранулированной настройки парольных политик (Fine Grained Password Policy) - новая возможность в Windows 2008, позволяет использовать различные политики паролей для пользователей и групп. Данная возможность снимает гораничение прошлых версий Windows, раньше было возможно настраивать только одну парольную политику в каждом домене. Теперь их можно настраивать несколько.

Q. Какие утилиты используются для создания объектов параметров паролей?
А. Существует два способа создания объектов параметров паролей (Password Settings Object - PSO):

с помощью редактора ADSI;
с помощью команды ldifde.

Q. Какие существуют особенности использования Fine Grained Password Policy
А. Чтобы обеспечить правильную работу детальных политик блокировки учетных записей и паролей в конкретном домене, необходимо

Установить для режима работы этого домена значение Windows Server 2008.

Для хранения подробных политик паролей в Windows Server 2008 используются два новых класса объектов в схеме доменных служб Active Directory (AD DS):
контейнер параметров паролей (Password Settings Container - PSC);
параметры пароля (Password Settings Object - PSO).

Класс объекта Контейнер параметров паролей создается по умолчанию в системном контейнере домена. В нем хранятся объекты параметров паролей для этого домена. Этот контейнер невозможно переименовать, переместить или удалить.

Если пользователи объединены в подразделения, можно создать для этих подразделений "теневые" группы, к которым затем применить созданные детальные политики блокировки учетных записей и паролей. Теневая группа - это глобальная группа безопасности, которая логически ставится в соответствие подразделению для введения в действие детальной политики блокировки учетных записей и паролей. После добавления пользователей или членов подразделения во вновь созданную теневую группу к ней можно применить детальную политику блокировки учетных записей и паролей. При перемещении пользователя из одного подразделения в другое необходимо обновить его членство в соответствующих теневых группах.

К объекту пользователя или группы может быть привязано несколько объектов параметров паролей.

Для разрешения конфликтов политики паролей используется приоритет

Меньшее значение атрибута приоритета указывает на то, что данный объект параметров паролей имеет более высокий приоритет.

Объект параметров паролей PSO свзанный с пользователем, имеет приоритет над PSO группы этого пользователя.

Пошаговое руководство по детальной настройке политик блокировки учетных записей и паролей.

Q: При использовании fine-grained password policies, как определить какая политика применяется к конкретному пользователю?
A: Новая возможность Fine-grained password policies появилась в Windows Server 2008. Она позволяет использовать различные политики паролей и блокировки пользователей для групп, вместо применения политики ко всему домену.
Для проверки, какая политика паролей применяется к пользователю, используйте следующую команду на контроллере домена:

dsquery user -samid <username> | dsget user -effectivepso

Q. Что такое software restriction policy?
A. Software restriction policy (политика ограниченного использования программ) - это основанный на политике механизм, который идентифицирует и контролирует использование программного обеспечения на клиентских компьютерах. Software restriction policy использует правила для определения возможности запуска программного обеспечения.

Q. Какие способы использует Software restriction policy для определения возможности запуска программного обеспечения?
A. Software restriction policy поддерживает следующие возможности идентификации программного обеспечения:

Hash—хэш файла.
Certificate— подпись файла цифровым сертификатом.
Path— локальный или сетевой ресурс, где расположен файл.
Zone— Зона интернет.

В. Почему консоль Server Manager (консоль Диспетчер сервера) не подключается к удаленному компьютеру?
О. В Windows Server 2008 консоль Server Manager (консоль Диспетчер сервера) существует непонятное ограничение. Вы можете использовать ее только для управления локальным компьютером. Для удаленного управления компьютерами приходилось использовать старую консоль Computer Management (Управление компьютером).
Однако, в Windows Server 2008 R2 появилась возможность управлять другими Windows Server 2008 R2 компьютерами с помощью Server Manager. Для этого на сервере необходимо разрешить remote management.
Откройте консоль Server Manager, щелкните на Configure Server Manager Remote Management (Настроить удаленное управление с помощью диспетчера серверов).

Установите чекбокс, разрешающий удаленное подключение консоли Server Manager.

В. Что представляет собой корзина Active Directory?
О. Корзина Active Directory помогает уменьшить время простоя службы каталогов, улучшая таким образом возможность сохранения и восстановления случайно удаленных объектов Active Directory без необходимости восстановления данных Active Directory из архивов, перезапуска доменных служб Active Directory (AD DS) или перезагрузки контроллеров домена.
Если корзина Active Directory включена, все ссылочные и нессылочные атрибуты удаленных объектов сохраняются, а объекты полностью восстанавливаются в том же логически согласованном состоянии, в котором они находились непосредственно перед удалением. Например, восстановленные учетные записи пользователя автоматически восстанавливают все членства в группах и соответствующие права доступа, которыми они обладали внутри и вне доменов в момент перед удалением.
Корзина Active Directory работает как для среды доменных служб Active Directory, так и для среды служб Active Directory облегченного доступа к каталогам (AD LDS).

В. Какие условия необходимы для включения корзины Active Directory?
О. По умолчанию в Windows Server 2008 R2 корзина Active Directory отключена. Для включения корзины Active Directory среда должна удовлетворять требованиям:

• все контроллеры домена в лесе Active Directory работают под управлением Windows Server 2008 R2.
• режим работы леса Active Directory - Windows Server 2008 R2

В. Как включить корзину Active Directory?
О. В данной версии Windows Server 2008 R2 процесс включения корзины Active Directory необратим. После включения корзины Active Directory для конкретной среды отключить ее будет нельзя. После установки Windows Server 2008 R2 в качестве режима работы леса можно включить корзину Active Directory с помощью командлета Enable-ADOptionalFeature модуля Active Directory.
Нажмите кнопку Пуск, выберите пункт Администрирование, щелкните правой кнопкой мыши пункт Модуль Active Directory для Windows PowerShell и выберите команду Запуск от имени администратора.

В командной строке Active Directory module for Windows PowerShell введите следующую команду и нажмите клавишу ВВОД:

Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>

Различающееся имя (DN) корзины Active Directory — CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=<домен>,DC=<com>, где <домен> и <com> представляют имя корневого домена соответствующего леса среды доменных служб Active Directory (AD DS).

Например, чтобы включить корзину Active Directory для contoso.com, введите следующую команду и нажмите клавишу ВВОД:

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=contoso,DC=com’ –Scope ForestOrConfigurationSet –Target ‘contoso.com’

В. Как выполнить восстановление удаленного объекта Active Directory?
О. Восстановить удаленный объект Active Directory можно с помощью командлетов Get-ADObject и Restore-ADObject Модуль Active Directory для Windows PowerShell. Рекомендуется использовать командлет Get-ADObject для извлечения удаленного объекта, а затем передавать его с помощью конвейера в командлет Restore-ADObject.
Восстановление одного удаленного объекта Active Directory с помощью командлетов Get-ADObject и Restore-ADObject
Нажмите кнопку Пуск, выберите пункт Администрирование, щелкните правой кнопкой мыши пункт Модуль Active Directory для Windows PowerShell и выберите команду Запуск от имени администратора.

В командной строке Active Directory module for Windows PowerShell введите следующую команду и нажмите клавишу ВВОД:

Get-ADObject -Filter {String} -IncludeDeletedObjects | Restore-ADObject

Например, чтобы восстановить случайно удаленный объект — пользователя с отображаемым именем Elen, введите следующую команду и нажмите клавишу ВВОД:

Get-ADObject -Filter {displayName -eq "Elen"} -IncludeDeletedObjects | Restore-ADObject

Для получения дополнительных сведений о командлетах Get-ADObject и Restore-ADObject в командной строке Active Directory module for Windows PowerShell введите Get-Help Get-ADObject или Get-Help Restore-ADObject и нажмите клавишу ВВОД.

В. Мы используем SCOM для мониторинга ИТ инфраструктуры. Довольно часто появляется сообщение вида:
AD Replication Monitoring : encountered a runtime error.
Failed to obtain the InfrastructureMaster using a well known GUID.
The error returned was: 'Failed to get the 'fSMORoleOwner' attribute from the object 'LDAP://DC1.contoso.loc/<WKGUID=2fbac1870ade11d297c400c04fd8d5cd,DC=DomainDnsZones,DC=contoso,DC=loc>'.
The error returned was: 'There is no such object on the server.'  (0x80072030)' (0x80072030)
Как исправить?
О. Данное сообщение генерируется после некорректного удаления контроллера домена. Что бы исправить ситуацию выполните следующие действия.

1. Откройте консоль Adsiedit.msc.
2. В меню выберите подключиться к DC=DomainDnsZones,DC=<domain>,DC=<suffix>.
3. Откройте свойства объекта Infrastructure.
4. Проверьте атрибут fSMORoleOwner.

Значение должно быть такого вида:
CN=NTDS Settings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>,DC=<suffix>
Проверьте значение данного атрибута подключившись к DC=ForestDnsZones,DC=<domain>,DC=<suffix>.

В. Как с помощью PowerShell определить на каких контроллерах домена расположены роли Flexible Single Master Operation (FSMO)?
О. Если у Вас один лес можно не указывать атрибуты <forestFQDN> и <DomainFQDN> в командах указаных ниже.
Сначала необходимо загрузить модуль Active Directory PowerShell (модуль доступен на контроллерах домена 2008 R2 или на серверах Windows Server 2008 R2 с установленной AD DS ролью.
Import-module ActiveDirectory
Затем введите команды для леса
Get-AdForest <forestFQDN> | fl SchemaMaster, DomainNamingMaster
и для домена
Get-AdDomain <domainFQDN> | fl PDCEmulator, RIDMaster, InfrastructureMaster

Внимание! Необходимо что бы в вашей среде работал AD Web Services.
http://technet.microsoft.com/en-us/library/dd391908(WS.10).aspx

В. Как узнать количество групповых политик в домене и их название, используя PowerShell?

О. Откройте консоль PowerShell на контроллере домена и выполните Import-module grouppolicy.
Что бы узнать общее количество групповых политик выполните:
(Get-GPO -All).count

Вывод названий групповых политик:
Get-GPO -All | ft displayname

В. Как узнать общее количество учетных записей пользователей в домене, количество заблокированных и не заблокированных?

О. Для ответа на эти вопросы выполните команды PowerShaell
количество учетных записей пользователей в домене
(get-aduser –filter ).count

Количество не заблокированных учетных записей пользователей в домене
(get-aduser -filter *|where {$_.enabled -eq "True"}).count

Количество заблокированных учетных записей пользователей в домене
(get-aduser -filter *|where {$_.enabled -ne "False"}).count