Появилась задача- из excel файла для всех пользователей домена поменять должность. Для некоторых эта задача элементарная и все можно сделать вручную, проблемы возникают если изменения нужно сделать у нескольких тысяч пользователей. Кстати подобная статья подойдет не только для изменения должностей, но и для изменения других атрибутов AD (сделать по аналогии).

В этой статье хочу описать роли контроллера домена или FSMO (Flexible single-master operations- операции с одним исполнителем). Эта статья позволит вам понять сколько существует ролей, зачем нужна каждая из них и каким образом посмотреть какой сервер, какую роль выполняет. Особенно пригодится тем у кого большой домен с несколькими контроллерами домена, сайтами.

Не понимание сути ролей может привести вас к непониманию тех или иных ошибок в Active Directory и как следствие к невозможности их решить.

RODC (Read-Only Domain Controller)- тип контроллера домена, появившийся в Windows Server 2008, предназначенный для установки в офисы где не гарантируется физическая сохранность контроллера домена. Основной задачей RODC является улучшение безопасности в офисах филиалов компании, поскольку контроллер RODC поддерживает копию всех объектов в домене и всех атрибутов, кроме паролей пользователей. Если контроллер RODC будет похищен, злоумышленники кроме как физического железа ни чего не получат, в частности- список паролей будет не доступен, и за сохранность домена можно не переживать.

Ввод пароля при входе на компьютер, является неотъемлемой составляющей безопасности в домене. Контроль за политикой паролей пользователей (сложность пароля, минимальная длина и т.д.) является одной из важных задач для администраторов. В этой статье я подробно опишу изменение политики паролей с помощью GPO для всех пользователей домена, а так же опишу способ как сделать исключения политик паролей для некоторых пользователей или группы пользователей.

Компьютеры относятся к еще одному типу объектов Active Directory, но в отличие от пользователей и групп AD к ним нет должно внимания и соответственно администраторы пренебрегают их администрированием. Но компьютеры так же как и группы, пользователи AD имеют свой SID и соответственно их можно заключать в группы, назначать им доступ к ресурсам, управлять ими средствами групповых политик.

В этой статье хотел бы подробно рассказать о таком понятии как группы в AD. Группы содержат элементы (пользователей, компьютеры, другие группы), управление которыми осуществляется как одним объектом. В Windows Server существует семь типов групп- две группы доменов с тремя областями действий в каждой и локальная группа безопасности.

Многие системные администраторы думают, что только они имеют права изменять данные о пользователе- имя, телефон, адрес и т.д. На самом деле это не совсем так, каждый пользователь может сам изменить свои данные/ атрибуты без дополнительных прав в AD (пользователь может изменять только свою учетную запись).  Сначала можно испугаться, что пользователи имеют много прав на свои же атрибуты в AD, но на самом деле это можно использовать во благо, например, если вы интегрируете информацию из AD с телефонным справочником (или любым другим справочником), телефонией и т.д. то вам не придется самим вносить данные о изменении атрибута у пользователя, поскольку пользователю самому будет выгодно иметь актуальную информацию о себе. Тем самым вы сэкономите не мало своих нерв и времени. 

Контроллер домена (Domain Controller)- сервер, контролирующий область компьютерной сети (домен). Если более подробно, то DC позволяет централизованно администрировать все сетевые ресурсы, включая пользователей, файлы, периферийные устройства, доступ к службам, сетевым ресурсам, веб-узлам, базам данных и так далее. В компаниях в которых более 10 компьютеров рекомендуется для централизованного управления, рекомендуется создать доменную сеть, само собой первый сервер который должен появиться в доменной сети это контроллер домена. В этой статье пошагово опишу как установить роль контроллера домена на сервер Windows Server 2008\ 2008 R2.

Существует несколько относительно честных способов получить список пользователей подразделения AD в CSV. В данном примере рассмотрим один из них, скрипт PowerShell по получению списка пользователей AD:

Формат обмена данными LDAP (LDIF) — это предварительный веб-стандарт формата файлов, который можно использовать для выполнения пакетных операций над каталогами, соответствующими стандартам LDAP. Формат LDIF поддерживает экспорт и импорт данных, позволяя выполнять с Active Directory пакетные операции добавления, создания и изменения.

Страница 1 из 2
Войти Регистрация

Войти

Как увеличить скорость Интернета 3g/4g


Copyright © 2012- 2014
Копирование и размещение материалов сайта pk-help.com возможно только с проставлением обязательной активной ссылки на источник.