Средства удаленного администрирования Active Directory в Windows 10

dcdiag /n:local /e /v /f:c:\adtest.log[/code]

Что это такое?

Наличие общих каталогов для доступа к определенным документам и файлам является важной проблемой в бизнес-среде. Системным администраторам необходимо найти удобное решение для обмена общими данными.

Distributed File System (DFS) (Распределенная файловая система) — это продукт Microsoft для упрощенного доступа пользователей к географически распределенным файлам. DFS позволяет создавать деревья виртуальных каталогов, объединяющих общие папки по всей сети.

Существует два типа DFS:

  1. Namespace DFS (Пространство имен DFS) — виртуальное дерево, объединяющее общие папки из всей сети. Возможно настроить несколько пространств имен DFS.
  2. Replication DFS (Репликация DFS) — создает реплицированную общую папку и отслеживает изменения в файлах.

Как работают активные директории

Основными принципами работы являются:

Объекты и атрибуты

Объект — совокупность атрибутов, объединенных под собственным названием, представляющих собой ресурс сети.

Атрибут — характеристики объекта в каталоге. Например, к таким относятся ФИО пользователя, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.

Пример:

“Сотрудник” – объект, который обладает атрибутами “ФИО”, “Должность” и “ТабN”.

Контейнер и имя LDAP

Контейнер — тип объектов, которые могут состоять из других объектов. Домен, к примеру, может включать в себя объекты учетных записей.

Основное их назначение — упорядочивание объектов по видам признаков. Чаще всего контейнеры применяют для группировки объектов с одинаковыми атрибутами.

Почти все контейнеры отображают совокупность объектов, а ресурсы отображаются уникальным объектом Active Directory. Один из главных видов контейнеров AD — модуль организации, или OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат только домену, в котором они созданы.

Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) —  основной алгоритм подключений TCP/IP. Он создан с целью снизить количество нюанс во время доступа к службам каталога. Также, в LDAP установлены действия, используемые для запроса и редактирования данных каталога.

Дерево и сайт

Дерево доменов – это структура, совокупность доменов, имеющих общие схему и конфигурацию, которые образуют общее пространство имен и связаны доверительными отношениями.

Лес доменов – совокупность деревьев, связанных между собою.

Сайт — совокупность устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность создания n-ного количества сайтов или объединения n-ного количества доменов под одним сайтом.

Подключение оснастки ADUC к AD через компьютер не присоединенный к домену

Основная задача подключиться к ADUC, либо к консоли MMC от имени другого пользователя.

В windows 10 c этим могут возникнуть трудности. Чтобы их решить, советую прочитать про способы запуска программ от имени другого пользователя в windows 10.

Самым тривиальным способом является зажать клавишу Shift и кликом ПКМ по сохранённому файлу консоли управления MMC вызвать меню, в котором останется только выбрать способ запуск от имени другого пользователя. Можно это сделать непосредственно с ярлыком ADUC [Панель управления] -> [Администрирование], но телодвижений будет чуть больше.

Для таких операций, соответственно необходимо добавить права в «локальные пользователи и группы» пользователю, через которого хотите открыть консоль MMC, так как компьютер находится не в домене и скептически относится к незнакомцам.

Сводка по синтаксису атрибутов

Поскольку события аудита изменений записывают как старые, так и новые значения, разные значения могут иметь разный синтаксис. В следующей таблице показаны примеры синтаксиса атрибутов службы каталогов и их представление в журнале событий безопасности.

Строковые значения имеют ограничение на количество байтов, записываемых в журнал событий. Это ограничение предотвращает переполнение журнала большими строковыми значениями, что может привести к замедлению работы системы.

Сведения о параметре реестра выглядят указанным ниже образом.

  • Расположение: HKLM\System\CurrentControlSet\Services\NTDS\Parameters, может настраиваться администратором для управления ограничением на длину строк
  • Имя параметра: MaximumStringBytesToAudit
  • Тип: REG_DWORD
  • Значения
    • Значение реестра по умолчанию: 1000
    • Минимальное значение реестра: 0
    • Максимальное значение реестра: 64000

Двоичные значения заменяются словом <двоичное> (локализованным в соответствии с языком системы). Следовательно, если существует атрибут с именем JpegPhoto, и изменяется фотография в этом атрибуте, изменение заносится в журнал, но ни в старом, ни в новом занесенном в журнал значении атрибута не отображается ни старая, ни новая фотография. Вместо этого отображается слово <двоичное>.

Синтаксис Идентификатор объекта синтаксиса атрибута Ограничение строки Пример Примечание

Различающееся имя

2.5.5.1

CN=Users, DC=ntdev, DC=com

Идентификатор объекта

2.5.5.2

Строка (чувствительная к регистру)

2.5.5.3

Да

Привет, мир!

Строка (нечувствительная к регистру)

2.5.5.4

Да

Привет, мир!

Строка (заглавными буквами)

Строка (IA5)

2.5.5.5

Да

Привет, мир!

Строка (числа)

2.5.5.6

Да

12345

Двоичное различающееся имя

ИЛИ имя

2.5.5.7

B:32:3F67…:CN=User, DC=ntdev, DC=com

Будет выглядеть следующим образом:

B:32:<двоичное>:CN=User, DC=ntdev, DC=com

Логическое

2.5.5.8

TRUE

Целое

Перечисление

Перечисление (механизм доставки)

Перечисление (уровень экспорта информации)

Перечисление (предпочитаемый метод доставки)

2.5.5.9

588

Строка октета

Объект (Ссылка репликации)

x5a x74 x03 …

Будет выглядеть следующим образом:

<двоичный>

Время (обобщенно)

(OM ID =24)

ГГГГММДД

ГГГГММДД

ЧЧММСС.0

[+/-]ЧЧММ

Время (в формате UTC)

(OM ID =23)

910131145503З

ГГММДДЧЧ

ММССЗ

ГГММДДЧЧ

ММСС[+/-]ЧЧММ

Строка Юникода

Да

Привет, мир!

Представление – Адрес

Да

Привет, мир!

Различающееся имя – Строка

Точка доступа

Да*

S:32:строка:CN=Users, DC=ntdev, DC=com

* Ограничение касается строки, но не различающегося имени

Дескриптор безопасности NT

O:AOG:DAD:(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-0-0)

Выраженный в SDDL

Большое целое

Интервал

75859769

ИД безопасности

S-1-….

Строковый формат ИД безопасности

Как посмотреть количество изменений атрибутов

Хотя команда repadmin /showobjmeta отображает количество изменений атрибутов объекта и контроллер домена, которые вносили эти изменения, команда repadmin /showattr отображает фактические значения для объекта. Команда repadmin /showattr также может отображать значения для объектов, которые возвращаются запросом LDAP-протокола.

На объект может ссылаться его distinguished name или глобальный уникальный идентификатор объекта (GUID).

По умолчанию repadmin /showattr использует порт 389 LDAP для запроса доступных для записи разделов каталога. Однако repadmin /showattr может дополнительно использовать порт 3268 LDAP для запроса разделов, доступных только для чтения, на сервере глобального каталога. (Советую освежить в памяти какие порты использует Active Directory).

Как посмотреть количество изменений атрибутов

Основные параметры команды:

  • — Задает имя хоста контроллера домена или списка контроллеров домена, разделенных в списке одним пробелом.
  • — Определяет различающееся имя или GUID объекта для объекта, атрибуты которого вы хотите перечислить. Когда вы выполняете запрос LDAP из командной строки, этот параметр формирует базовый путь различаемого имени для поиска. Заключите в кавычки отличительные имена, содержащие пробелы.
  • /atts — Возвращает значения только для указанных атрибутов. Вы можете отображать значения для нескольких атрибутов, разделяя их запятыми.
  • /allvalues — Отображает все значения атрибутов. По умолчанию этот параметр отображает только 20 значений атрибута для атрибута.
  • /gc — Указывает использование TCP-порта 3268 для запроса разделов глобального каталога только для чтения.
  • /long — Отображает одну строку для каждого значения атрибута.
  • /dumpallblob — Отображает все двоичные значения атрибута. Эта команда похожа на /allvalues, но отображает двоичные значения атрибутов.

В следующем примере выполняется запрос к конкретному контроллеру домена.

В следующем примере запрашиваются все контроллеры домена, имена компьютеров которых начинаются с dc, и показывает значение для определенного атрибута msDS-Behavior-Version, который обозначает функциональный уровень домена.

В следующем примере запрашивается один контроллер домена с именем dc01 и возвращается версия операционной системы и версия пакета обновления для всех компьютеров с целевым идентификатором основной группы = 516.

Как посмотреть количество изменений атрибутов

Источник

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
Понравилась статья? Поделиться с друзьями:
Adblock
detector