Despre gasiti aici:

http://technet.microsoft.com/en-us/library/cc738772(WS.10).aspx

Si download aici:

http://www.microsoft.com/downloads/details.aspx?familyid=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

Parte din acest packet este si Acctinfo.dll care adauga un nou tab in AD Users and Computers destul de folositor pentru taskurile de administrare.

Problema e ca acest dll functioneaza numai pe Windows x86 si cum W2K8 R2 vine numai in versiune x64 nu o sa mai functioneze. Mai nou umbla pe net si versiunea Acctinfo2.dll care mai avea cateva optiuni in plus dar nu era suportata de MS.

Recent am gasit si versiunea x64 a lui Acctinfo2.dll care merge inclusiv pe W2K8 R2. O gasiti aici http://www.activedir.org/ACCTINFO2_64BIT.zip

Pentru prima versiune era nevoie doar sa inregistrezi dll-ul, acum e nevoie de mai multi pasi. Ii gasiti pe toti in documentul din arhiva.

Dupa ce faceti ce scrie acolo tab-ul din ADUC o sa arate cam asa:

Optiunea Most Recent Logon iti arata serverul care a autentificat ultima data acel cont.

Poti vedea si replication metadata pentru acel obiect fara a mai fi nevoie de repadmin.

Si pe baza lui lastlogon poti afla site-ul in care se afla utilizatorul si ii poti schimba parola chiar in acel site.

Nota: Acctinfo2.dll nu este suportat de MS. Nu numai ca nu e suportat, MS nu a publicat niciodata oficial acest dll. So use it on your own risk.

Spor!

Andrei.

http://support.microsoft.com/kb/944043

KB-ul descrie problemele care pot aparea atunci cand ai un RODC in retea si contine update-uri care trebuie instalate pe Windows 2003, XP si Vista.

Deci, de retinut: daca folosesti RODC e obligatoriu sa instalezi updateurile de mai sus pe clienti si chiar si pe domain controllerele care mai ruleaza Windows 2003 in domeniu.

Sa vedem cum procedam. Deschidem ADAC ( Active Directory Administrative Center) din Administrative Tools :

Mergem la Global Search si, in partea dreapta, expandam Add criteria. Bifam “Users with enabled accounts who have not logged on for more than a given numbers of days” si dam click pe Add :

Acum putem selecta numar de zile :

Sa zicem 60 de zile. Dupa care dam un click pe Search si avem rezultatul. Acum, ii putem selecta si, cu click dreapta sau din partea dreapta a consolei ( Tasks ), ii putem dezactiva sau sterge din Active Directory :

Traducerea in LDAP a acestei cautari arata cam asa : cautam obiecte de tip user – persoana, enabled (vezi atributul UserAccountControl) inactive in perioada data curenta minus 60 zile, folosindu-ne de atributul lastLogonTimestamp. Valoarea acestuia din urma este updatata implicit la interval de 14 zile asa ca sfatul meu e sa nu folositi intervalul de 15 sau chiar 30 de zile pentru clean up, ca sa nu riscati sa stergeti conturi active. Convertirea valorii in format standard de timp este descrisa aici .

Cum putem cauta computerele inactive timp de 60 de zile? Editam query-ul, inlocuind valoarea “person” a atributului objectCategory cu “computer”. Click pe Apply si gasim si computerele inactive pe care, de asemenea, le putem dezactiva sau sterge:

Spuneam ca ADAC a aparut de la Windows Server 2008 R2. Consola poate fi folosita totusi si cu Active Directory 2003 si 2008. Vedeti aici conditiile. Sunt valabile si pentru ADAC.

Zilele astea am fost nevoit sa fortez o replicare de SYSVOL intre doua DC-uri cu Windows 2008 R2 si am descoperit o metoda interesanta de a face asta. inainte de toate trebuie sa spun ca replicarea SYSVOL-ului urmareste programul de replicare definit in Sites & Services. Deci SYSVOL-ul se va replica la acelasi interval cu restul informatiilor din AD. Fortand replicarea folosind REPADMIN automat fortam si replicarea SYSVOL-ului.

Dar cum as putea sa fac sa replic doar SYSVOL-ul? Cu DFSRDIAG:

Comanda din imaginea de mai sus forteaza sincronizarea cu replica de pe server1 si mentine aceasta sincronizare timp de un minut (tot ce va aparea in backlog pe server1 in interval de un minut va fi replicat).

HTH,

Andrei.

De ce am avea nevoie de al doilea? Pai AD-ul devine pilonul principal de autentificare si autorizare in infrastructura si daca se intampla sa nu functioneze, e de rau. Asa ca mai instalezi un domain controller.

NOTA: backup-ul e backup si adaugarea unui DC aditional nu il inlocuieste. Backup-ul trebuie facut, indiferent de scenariu.

Si scenariile pot continua: infrastructuri raspandite in mai multe locatii in care ai nevoie de un punct de autentificare local, numar mare de useri si nevoia de balansare a serviciului de autentificare, aplicatii care folosesc intensiv serviciul directory.

Bun. Inainte sa incepem instalarea o sa incerc sa definesc conceputul de SITE. Site in terminologia AD se refera la o retea in care toate sistemele sunt conectate prin legaturi de mare viteza. Putem face o comparatie cu retea locala dintr-un sediu al unei firme. Toate sistemele de acolo sunt conectate prin legaturi 100Mb.

In Active Directory putem defini un obiect de tip site pe care il declaram ceva de genul: toate sistemele care fac parte din subnetul 192.168.1.0/24 apartin locatiei (site-ului) Bucuresti. Si pot continua asa pentru toate locatiile mele.

Intrebarea e, la ce ne foloseste sa definim aceste obiecte de tip Site? Simplu, site-ul ne ajuta sa controlam autentificarea si replicarea datelor intre domain controllere. Si o sa dau din nou cateva exemple:

- asociez domain controllerul meu (sa-i spunem DC1) cu site-ul Bucuresti ceea ce inseamna ca toti clientii din subnetul asociat cu site-ul Bucuresti vor incerca sa se autentifice mai intai pe DC1, si nu pe nu stiu ce domain controller aflat in alta locatie la care conexiunea se face peste un VPN de 512Kbps.

- asociez DC2 cu site-ul Constanta, redirectez cererile de autentificare catre DC2 in interiorul site-ului si pot face reguli de control al replicarii intre domain controllere. Exemplu: la ce interval sa se efectueze replicarea intre domain controllerele aflate in site-urile Bucuresti si Constanta (pentru DC-urile aflate in acelasi site nu poti influenta modul in care se face replicarea).

Cam asta e scopul lor. Nimic mai mult. Ar mai fi cate ceva, insa in 99.99% din cazuri, sunt folosite numai pentru scenariile de mai sus: autentificare si replicare.

Trecem mai departe si continuam cu instalarea celuilalt domain controller, care se afla in alt site. Pentru inceput, ii configuram adresa IP statica iar la DNS punem adresa primului DC (daca el e responsabil pentru zona DNS AD).

Putem declara noul site in AD si acum si dupa promovare. Recomand sa il facem acum. Si tot acum o sa fac si pentru primul site – avand doar un DC pana acum, nu a fost nevoie sa declar un site.

Implicit exista un site numit Default-First-Site-Name, in care apare si primul meu DC numit acum SERVER1. O sa-l redenumesc.

Si o sa-i asociez un subnet (pe care mai intai trebuie sa-l declar).

Si acum subnetul 192.168.0.0/24 e asociat cu site-ul Bucuresti.

Sa ne apucam si de site-ul Constanta.

In acest punct selectati DEFAULTIPSITELINK si o sa vedem mai tarziu la ce se refera.

Ii asociem un subnet:

Acum e momentul sa pornim promovarea celui de-al doilea DC (numit DC2) aflat in subnetul din Constanta.

Rulam DCPROMO.

Introducem numele domeniului si setam credentialele contului de admin din domeniul existent

Si automat wizardul se ofera sa puna noul DC in site-ul corespunzator.

Verificati sa aveti selectata si bifa pentru DNS.

Selectam YES.

Setam parola pentru DSRM.

Dupa reboot ne logam cu contul de domeniu.

Si putem observa ca avem o replica ce contine toate informatiile de pe primul domain controller.

Acum e momentul sa schimbam setarile pentru DNS pe noul server (doar daca am instalat si serviciul de DNS – by default la promovare) si sa setam IP-ul local primul in lista de DNS resolvere (e logic, nu? de ce sa interoghez un DNS remote, cand zona mea DNS responsabila pentru domeniul AD, este replicata si pe acest DC; aici e mult de vorbit – pentru alte detalii just ask).

Acum sa aruncam un ochi si pe acel DEFAULTIPSITELINK

Putem observa ca avem cele doua site-uri existente asociate cu acest obiect – ceea ce inseamna ca replicarea intre aceste domain controllerele din aceste doua locatii se va face pe baza setarilor acestui link: replicarea se efectueaza o data la 180 de minute.

Iar in schedule vedem intervalele in care e permisa aceasta replicare.

Dar, acest obiect doar stabileste niste reguli, care sunt folosite de un process numit KCC, responsabil pentru generarea conexiunilor de replicare intre DC-uri. deci site link-ul nu face nici un enforcement, ci este doar un sablon folosit de un proces automat de generare a topologiei de replicare.

Link-urile de replicare le gasim aici:

Dupa cum vedeti conexiunea de replicare generata automat are un schedule ce respecta regulile definite in site link.

Se pot genera si conexiuni de replicare manuale, insa va recomand sa setati sitelink-urile bine si sa lasati KCC-ul sa-si faca treaba.

Sper sa fie suficient pentru instalarea celui de-al doilea DC si sper ca toata lumea a inteles la ce folosesc site-urile in AD.

Have fun!

Nota: Domain controller este serverul care hosteaza (tine/ofera) serviciul Active Directory.

Pentru inceput trebuie sa verificam setarile TCP/IP ale placii de retea de pe server. Recomandat e ca serverul sa aiba doar o placa de retea si nu mai multe (se accepta doar in cazul in care se face team).

IP-ul serverului trebuie sa fie unul fix si il configuram ca mai jos, iar adresa serverului de DNS ar cam trebui sa fie acceasi cu IP-ul serverului. Asta pentru ca zona DNS necesara pentru buna functionare a Active Directory va fi tinuta tot de acest server.

Promovarea serverului la rolul de Domain Controller se face prin comanda DCPROMO.

Pana aici ajungem prin Next, iar acum trebuie sa selectam daca serverul nostru este primul domain controller (in continuare o sa prescurtez prin DC) dintr-un domeniu nou sau un DC aditional la un domeniu existent. Alegem “Create a new domain in a new forest”.

In momentul promovarii, contul local Administrator va deveni contul de administrator de domeniu, asa ca daca nu aveti o parola setata, in acest moment va trebui sa setati una.

Alegem numele domeniului, care e indicat sa nu fie single label (gen winadmin). Adaugati un suffix care sa nu va creeze probleme (conflicte) pe viitor, gen local, net, org, orice care nu intra in conflict cu un nume de domeniu existent.

Fiind primul DC din domeniu putem merge linistiti pe optiunea Windows Server 2008 R2. Celelalte optiuni sunt pentru compatibilitatea cu alte DC-uri din acelasi domeniu care ruleaza OS-uri mai vechi. Avand un singur DC optiunea e simpla.

Wizard-ul se ofera sa instaleze pentru noi serviciul DNS (va amintiti ca la inceput ca server de DNS am ales IP-ul propriu?) si sa faca acest server Global Catalog (detalii alta data).

Just ignore this, cititi doar “no action is required”.

Acum trebuie sa alegem locatiile pentru cateva componente ale AD-ului: baza de date, transaction logurile si folderul SYSVOL. Fiind un DC pentru un scenariu de test, putem sa lasam locatiile default. puteti sa lasati default si in scenarii de productie. Schimbarea locatiei default e necesara in special pentru imbunatatirea performantei serviciului si se intampla atunci cand ai mii de useri care acceseaza serviciul simultan.

AD-ul mai are si un mod special de mentenanta. E un fel de Safe Mode in care pornesti serverul cu AD-ul oprit.

Inca un next …

Dupa reboot trebuie sa ne logam in formatul numedomeniu\username.

Vedem ca au fost instalate si aplicatiile de management pentru AD.

Iata si principala consola folosita pentru administrarea informatiilor din AD.

Aruncam un ochi si pe DNs, sa vedem ce s-a intamplat aici.

Si cam asta e tot. Simplu, nu?

PS: sper sa nu mai vad pe forumuri intrebari despre cum sa instalezi AD. E prea simplu.

Atunci cand avem mai multe domain controllere si facem greseala sa nu documentam aceasta parola la instalarea fiecarui DC, o sa avem o problema atunci cand vom fi nevoiti sa bootam DC-ul in DSRM mode.

Parola pentru DSRM poate fi schimbata atunci cand serverul este pornit in modul Active Directory din NTDSUTIL folosind urmatoarea secventa de comenzi:

ntdsutil

set dsrm password

reset password on server null

In cazul in care se doreste schimbarea parolei pe un server remote, se poate specifica numele serverului in loc de null. Null se refera la serverul local.

Comanda mai merge scrisa si astfel:

ntdsutil "set dsrm password" "reset password on server null”

Dupa un anumit service pack in Windows 2000 mai exista si comanda setpwd in afara NTDSUTIL, insa aceasta nu mai este folosita in Windows 2008, asa ca nu o sa mai detaliem.

In afara de varianta de mai sus, mai exista ceva mai comod aparut odata cu Windows 2008 R2 si 2008 SP2. Putem sincroniza DSRM password cu un cont de domeniu. Pentru asta folosim:

ntdsutil "set dsrm password" "sync from domain account " "sync from domain account DSRMaccount"

Unde DSRMaccount reprezinta contul de domeniu folosit pentru sincronizare.

Recomand ca dupa ce faceti acest cont sa il dezactivati si sa-i setati o parola complexa.

Mai departe puteti sa setati taskuri pe fiecare domain controller care sa sincronizeze DSRM password cu acest cont. Pentru task-uri comanda se modifica putin:

ntdsutil "set dsrm password" "sync from domain account " "sync from domain account DSRMaccount" q q

In acest fel scapati de taskurile time consuming de schimbare a acestei parole, distributia ei si storage-ul facandu-se securizat prin Active Directory.

Sunt incluse, atat pentru computere, cat si pentru useri, extensii care ne permit sa configuram anumite setari pentru care obisnuiam (de fapt eram nevoiti) sa folosim scripturi. De exemplu, folosind Group Policy Preferences, putem seta parola userului local Administrator sau adauga un user in grupul de administratori locali pe toate computerele sau pe o parte din ele, putem mapa Network Drives, putem face deploy de imprimante, putem configura Power Options, Folder Options, Registry settings si multe altele.

Toate aceste setari se pot aplica pe toate computerele, pe toti userii sau in functie de filtrele pe care le aplicam folosind Item-Level Targeting. Putem filtra aplicarea politicii dupa numele computerului sau al userului, dupa apartenenta la un grup sau OU, dupa sistemul de operare si multe alte criterii.

Pentru a putea folosi Group Policy Preferences, avem nevoie de urmatoarele:

- Pe computerele din domeniu trebuie instalat KB943729 – Group Policy Client-Side Extensions, disponibil pentru Windows XP minim SP2, Windows Server 2003 minim SP1, Windows Vista; XMLLite pe statiile cu Windows XP (KB915865) si Windows 2003 ( KB914783).

- Un server/statie de lucru cu Windows Server 2008/2008 R2 sau Windows Vista/7 cu RSAT.

Scopul scriptului care il voi prezenta mai jos este de a cauta in Active Directory dupa delegarile facute la nivel de Organizational Unit-uri. Intr-un domeniu in care facem delegari pentru alti admini, daca acestea nu sunt documentate si sunt facute folosind useri si nu de grupuri, in timp sunt uitate iar userul va avea acces in continuare la resursele delegate chiar daca nu face parte din grupurile de administratori.

Scriptul arata cam asa:

‘Script created by Andrei Ungureanu
‘www.winadmin.ro

On error resume next
Const ADS_SCOPE_SUBTREE = 2
Const ADS_ACEFLAG_INHERITED_ACE = &H10

Set objConnection = CreateObject("ADODB.Connection")
Set objCommand =   CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"

Set objCOmmand.ActiveConnection = objConnection
objCommand.CommandText = _
    "Select Name, distinguishedName from ‘LDAP://DC=itboard,DC=local’ " _
        & "Where objectClass=’organizationalUnit’" 
objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
Set objRecordSet = objCommand.Execute
objRecordSet.MoveFirst

Do Until objRecordSet.EOF
        strOU = objRecordSet.Fields("distinguishedName") 
Set ObjUser = GetObject("LDAP://" & strOU)
Set objsd = objUser.Get("ntSecurityDescriptor")
Set dacl = objsd.DiscretionaryAcl

For Each ace In dacl
If ace.Trustee = "ITBOARD\andreiu" Then
    iAceFlags = ace.AceFlags

        If(iAceFlags And ADS_ACEFLAG_INHERITED_ACE)Then
         Exit For
        End If

    wscript.echo strOU
    Exit For
End If
next

    objRecordSet.MoveNext
Loop

E nevoie sa inlocuiti in script ITBOARD\andreiu cu userul pe care il cautati si la fel numele domeniului din dc=itboard,dc=local in numele domeniului pe care rulati scriptul. Scriptul va verifica toata ierarhia de OU-uri si va afisa doar locatiile in care userul are permisiuni (daca exista deja permisiuni mostenite de la un OU parinte nu va mai verifica alte permisiuni pe acel OU).

Atentie ca numele userului si domeniul sunt case sensitive. Acestea trebuie puse in script exact asa cum apar in proprietatile userului:

Scriptul nu este bullet proof si e posibila sa existe cazuri in care sa nu detecteze tot. Pentru a-i imbunatati viteza am decis sa fac skip la OU-urile unde exista deja drepturi mostenite pentru acel user.

PS: Atentie ca scripturile postate aici sunt modificate de wordpress si anumite caractere trebuie modificate de mana cand faceti copy/paste la script.

Initial, conditia necesara ca sa poti utiliza acest modul era sa ai in organizatie cel putin un DC cu Windows 2008 R2, deoarece modul de conectare la Active Directory este prin intermediul Active Directory Web Services, alta noutate adusa de Windows 2008 R2, nedisponibil in versiunile anterioare.

Intre timp, s-au schimbat cerintele : ai nevoie doar de Windows 7 cu RSAT instalate si de cateva update-uri pe un DC care ruleaza Windows Server 2003 SP2, 2003 R2 SP2, 2008 sau 2008 SP2. Am testat intr-un mediu virtual cu un DC Windows 2003 R2 SP2 Standard Edition si o statie Windows 7 Enterprise si voi descrie in continuare procedura:

Am instalat urmatoarele pe DC:

- .NET Framework 3.5 cu SP1 http://www.microsoft.com/downloads/details.aspx?FamilyID=AB99342F-5D1A-413D-8319-81DA479AB0D7&displaylang=en

- Windows Management Framework Core for Windows Server 2003 (include Windows PowerShell 2.0 si Windows Remote Management 2.0)

http://www.microsoft.com/downloads/details.aspx?FamilyId=f002462b-c8f2-417a-92a3-287f5f81407e&displaylang=en

- Hotfix-ul descris aici http://support.microsoft.com/kb/969166 si care poate fi descarcat de aici http://connect.microsoft.com/VisualStudio/Downloads/DownloadDetails.aspx?DownloadID=20556

- Hotfix-ul descris aici http://support.microsoft.com/kb/969429/en-us . Request download de aici http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=969429&kbln=en-us

Dupa restart :

- am instalat Active Directory Management Gateway Service, am ales versiunea pentru Windows 2003 x86. http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=008940c6-0296-4597-be3e-1d24c1cf0dda

Pe o statie cu Windows 7 :

- am instalat Remote Server Administration Tools

http://www.microsoft.com/downloads/details.aspx?FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d&displaylang=en

- am activat, din Control Panel, Programs and Features, Turn Windows features on or off, Remote Server Administration Tools, Role Administration Tools, AD and AD LDS Tools, Active Directory Module for Windows Powershell

Dupa toate acestea, am trecut la faza de testare :

Deci functioneaza.

Si mai obtinem inca ceva odata cu instalarea Active Directory Web Services. Intram iar in Control Panel, Programs and Features, Turn Windows features on or off, Remote Server Administration Tools, Role Administration Tools, AD and AD LDS Tools, AD DS Tools,

si avem si Active Directory Administrative Center, pe care il putem folosi pentru administrarea de la distanta a Active Directory, precum si pentru search dupa diverse obiecte si atribute :

De retinut ca Active Directory Module nu poate fi importat direct pe DC-uri Windows Server 2003 sau 2008, administrarea se face doar de pe o statie cu Windows 7 cu RSAT sau cu Windows 2008 R2.

Spor la treaba.