Fedoseyev.ru

Опытные системные администраторы в своей работе придерживаются правила максимально автоматизировать все процессы, которые могут быть автоматизированы. Причиной этому является вовсе не лень (хотя лень – тоже неплохой мотиватор. Если бы не она, то человечество до сей поры проживало бы в пещерах и ярангах и питалось бы подножным кормом), как думают далекие от ИТ люди, а необходимость минимизировать риски допущения ошибок, исключив из администрирования человеческий фактор.

Примером рутинной операции, которую человек всегда сделает хуже, чем машина, является работа с объектами пользователей Active Directory.

Представим себе ситуацию: вы администрируете домен AD крупной компании с сетью филиалов, разбросанных по всей России. Согласно установленному регламенту, вы отвечаете за создание учетных записей пользователей (любого подразделения, любого филиала) в AD и для каждого объекта обязаны заполнять следующие атрибуты:

— имя и фамилия;
— выводимое имя;
— почтовый индекс;
— почтовый ящик (неэлектронный!);
— город;
— страна или регион;
— путь к перемещаемому профилю пользователя (в каждом филиале используются свои серверы хранения профилей);
— отдел;
— организация;
— руководитель.

Кроме того, учетные записи пользователей необходимо сразу вносить в нужные группы безопасности согласно, например, принадлежности к определенному отделу.

Пускай в день вам приходится создавать до 10 учетных записей для сотрудников организации, естественно, в разных филиалах и подразделениях.

Перспектива заниматься этим вручную, прямо скажем, удручает. Во-первых, это долго и нудно. Во-вторых, как я уже упоминал, всегда есть шанс допустить ошибку, которая может привести не только к необходимости ее исправить, но и к дисциплинарным взысканиям, если таковые предусмотрены вашим трудовым договором.

Я расскажу, как этого избежать.

Один из способов автоматизировать создание учетных записей пользователей – создавать их из шаблонов. Но сперва нужно создать сами шаблоны.

Допустим, грядет существенное увеличение штата финансового отдела главного, московского, подразделения организации, и нам предстоит создать довольно много учетных записей для его новых сотрудников.

В оснастке управления пользователями и компьютерами AD развернем OU Finance и создадим нового пользователя со следующими учетными данными:

Теперь откроем его свойства и заполним вышеуказанные атрибуты:

Заодно сразу же присоединим его к группе безопасности финансового отдела:

Готово. Обратите внимание, что я сразу отключил шаблонную учетную запись, чтобы ее невозможно было использовать для авторизации в домене.

Теперь мы можем использовать эту учетную запись для создания новых. Для этого необходимо вызвать контекстное меню учетной записи и выполнить команду Копировать…

При ее выполнении будет вызвано окно копирования объекта с пустыми атрибутами Имя, Фамилия, Полное имя, UPN и пр. Заполним их данными гипотетического сотрудника финансового отдела Ивана Петрова:

После выполнения копирования, учетная запись будет создана со всеми атрибутами, заполненными для _user_finance_template. Приведу в качестве примера скриншот свойств учетной записи во вкладке Член групп:

Вуаля. Итак, однажды потрудившись создать пару-тройку десятков шаблонов для новых пользователей, можно существенно упростить себе жизнь и сэкономить кучу времени.

admin Default AD, Windows Server

Управление Active Directory – не просто работа, а целое искусство, требующее, помимо академических знаний об ее архитектуре, навыки проектирования согласно бизнес-требованиям организации в ИТ-инфраструктуре и умения автоматизировать рутинные операции с целью минимизации допущения ошибок.

В рамках данного поста я рассмотрю управление объектами AD из командной строки.

В Windows Server 2008 существуют следующие инструменты командной строки для управления AD:
— Dsadd – создание объекта в каталоге;
— Dsget – возврат указанных атрибутов объекта;
— Dsmod – модификация указанных атрибутов объекта;
— Dsmove – перемещение объекта;
— Dsrm – удаление объекта и его дочерних объектов;
— Dsquery – выполнение запроса на основе параметров и возврат списков объектов с такими параметрами.

Большинство команд DS имеют 2 модификатора: тип и имя DN объектов.  К примеру, для создания учетной записи пользователя Ivan Ivanov в подразделении Finances, используется команда:

В данном случае модификатор user указывает на тип создаваемого объекта (User, он же Пользователь), имя DN – Ivan Ivanov. Так как имя пользователя содержит пробел, то имя DN целиком заключается в кавычки.

Для выполнения манипуляций с атрибутами объектов используются Dsquery, Dsget и Dsmod. Например, отыщем всех пользователей AD, имя которых начинается с Ivan:

Dsquery возвратила нам имя DN объекта Ivan Ivanov.

Модифицируем ему атрибут Office, содержащий номер кабинета, в котором сидит сотрудник:

Заполненные атрибуты объектов AD могут существенно упростить управление AD, послужив критериями поиска объектов и их модификации. Команды DS поддерживают конвейеризацию входных данных. Это позволяет использовать результаты выполнения Dsquery или Dsget в качестве входных данных.

Чтобы стало понятнее, я приведу пример.

Скажем, вы управляете территориально-распределенным доменом с большим количеством филиалов. Для создания списков рассылки, отдел кадров просит вас предоставить им адреса электронной почты всех сотрудников, например, тамбовского и воронежского филиалов. Сбор такой информации вручную может занять довольно много времени, да и мало кого вдохновит. Но если при создании учетных записей пользователей в AD тамбовские и воронежские администраторы сразу же заполняли атрибуты объектов пользователей, то это будет для вас пустяковым делом на одну минуту.

Я не стал заполнять лабораторную среду большим количеством объектов и их атрибутами, чтобы можно было выполнять поиск с такими условиями. Однако, запросить для примера номера кабинетов, в которых сидят пользователи с именем Ivan, в ней можно:

Все просто, не правда ли?

Для закрепления материала, рассмотрим мини-сценарий:
1. Просмотрим список учетных записей пользователей, имена которых начинаются с Ivan;
2. создадим новый OU под названием Tr;
3. перенесем учетную запись пользователя Ivan Ivanov в OU Tr;
4. удалим OU Tr вместе со всеми дочерними объектами;
5. Еще раз просмотрим список учетных записей пользователей, имена которых начинаюся с Ivan.

Я создал в корне диска сценарий командной строки scenario.cmd следующего содержания:

Его выполнение происходило так:

Как видите, выполнение шага 5 выдало пустой результат. Это значит, что сценарий отработал верно.

Таким образом мы убедились в том, что управление объектами AD может быть довольно простым занятием, а инструменты командной строки позволяют не только успешно решать административные задачи, но и максимально автоматизировать их.

admin Default AD, Windows Server

Типовая задача — типовое решение, к тому же доступное на официальном сайте Apple: Best Practices: Integrating Mac OS X with Active Directory.

admin Default AD, Mac OS X

Случается, возникает необходимость восстановить исходное состояние политик для домена и для контроллеров домена (например, настроить все заново проще, чем перестроить после предыдущего системного администратора; либо возникают ошибки при применении GPO, а RSoP не выявляет ошибочно настроенную политику). Для этого существует программа dcgpofix.

При ее запуске, будут утеряны все изменения объектов групповой политики Default Domain Policy и Default Domain Controllers Policy (даже в том случае, если они были переименованы). Отдельно восстановить политики по умолчанию для домена или для контроллеров домена можно, используя ключ /target с указанием параметра dc или domain. Для использования dcgpofix в среде с различными версиями Active Directory, следует использовать ключ /ignoreschema.

Перейдем к примерам. Восстановим исходное состояние политики контроллеров домена в среде с разными версиями AD:

Результат выполнения команды можно увидеть, запустив редактор объектов групповых политик и проверив «дефолтность» Default Domain Controllers Policy.

admin Default AD, Windows Server, Дела админские

Краткий конспект по переносу DC (единственного в домене), являющегося по совместительству сервером глобального каталога и носителем ролей FSMO, на новый сервер:

1. Делаем опись ресурсов на старом DC (чаще всего это DNS, DHCP, WINS, File Server, Print Server).

2. Создаем на старом сервере резервную копию system state с помощью ntbackup.

3. Инсталлируем на новый сервер Windows Server 2003.

4. Поднимаем его до дополнительного контроллера домена и перезагружаем.

5. Поднимаем его до сервера глобального каталога и перезагружаем.

6. Инсталлируем DNS-сервер на новый контроллер.

7. Если на старом DC есть WINS, то инсталлируем его на новый и переносим базу данных.

8. Переносим роли FSMO на новый DC.

9. Снимаем роль глобального каталога со старого сервера и перезагружаем его.

10. Понижаем старый контроллер до рядового сервера.

11. Переносим настройки сервера печати (например, с помощью Windows Print Migrator).

12. Переносим настройки файлового сервера (с помощью Microsoft File Server Migration Toolkit).

13. Инсталлируем DHCP-сервер на новый контроллер и переносим на него параметры со старого (указав в параметрах сервера IP-адреса новых DNS и WINS).

14. Перерегистрируем клиентские компьютеры на новый DHCP с помощью команд ipconfig /release и ipconfig /renew.

admin Default AD, How-To, Windows Server

Рассмотрим пример с доменом domain.local. Запускаем ADSIEdit.msc, в окне навигации идем в CN=Schema,CN=Configuration,DC=domain,DC=local. Атрибут, в котором записана версия схемы AD, называется objectVersion. Версия схемы Exchange хранится в атрибуте rangeUpper ветки CN=ms-Exch-Schema-Version-Pt,CN=Schema,CN=Configuration,DC=doman,DC=local.

admin Default AD, Exchange, F.A.Q., Windows