redircmp "DN_подразделения для новых объектов компьютеров"
redirusr "DN_подразделения для новых объектов пользователей"
Присоединение компьютера к домену через командную строку
netdom join Имя_машины /Domain:Имя_домена [/OU: «DN_подразделения»] [/User0:Имя_локального_пользователя][/Password0:{Локальный_пароль|*}][/UserD:Имя_пользователя_домена][/PasswordD:{Доменный_пароль|*}][/SecurePasswordPrompt][/REBoot[:Время_в_секундах]]
Проверка диска в MacOS X
В MacOS, прочем как и в GNU/Linux, есть утилита, которая может проверить и вылечить жесткий диск. Это своего рода аналог chkdsk ОС “Windows”, которая мне больше по душе ? Для того,чтобы запустить проверку диска и лечить сбойные сектора на нем, необходимо запустить команду
fsck -fy
Своего рода man-страницу для этой утилиты можно прочитать здесь
Как сбросить пароль пользователя в MacOS через терминал
Если Вы вдруг забыли пароль от компьютера, на котором установлена MacOS X, то не отчаивайтесь. Самый простой способ его сбросить это перезагрузить компьютер и перед загрузкой ОС держать нажатыми клавиши Cmd + S. Откроется терминальный доступ к компьютеру и далее делаем следующие шаги:
- mount -uw /
- launchctl load /System/Library/LaunchDaemons/com.apple.DirectoryServices.plist
- ls /Users
- dscl . -passwd /Users/имя_пользователя новый_пароль
- reboot
Группы по умолчанию в Active Directory
После установки роли AD на Windows Server появляются несколько стандартных групп безопасности, которые в основном связаны с управлением Active Directory. Какие же группы создаются?
1) Администраторы предприятия (Enterprise Admins) – находится в контейнере Users корневого домена леса. Эта группа – член группы Администраторы (Administrators) в каждом домене леса; она представляет полный доступ к конфигурации всех контроллеров домена. Данная группа также является владельцем раздела Конфигурация (Configuration) каталога и имеет полный доступ к содержимому именования домена во всех доменах леса.
2) Администраторы схемы (Schema Admins) – находится в контейнере Users корневого домена леса. Эта группа имеет полный доступ к схеме Active Directory.
3) Администраторы (Administrators) – находится в контейнере Builtin каждого домена. Эта группа имеет полный доступ ко всем контроллерам домена и данным в контексте именования домена. Она может изменять членство во всех административных группах домена, а группа Администраторы (Administrators) в корневом домене леса может изменять членство в группах Администраторы предприятия (Enterprise Admins), Администраторы Схемы (Schema Admins) и Администраторы домена (Domain Admins). Группа Администраторы в корневом домене леса имеет наибольшие полномочия среди групп администрирования в лесу.
4) Администраторы домена (Domain Admins) – находится в контейнере Users каждого домена. Эта группа входит в группу Администраторы своего домена. Поэтому она наследует все полномочия группы Администраторы. Кроме того, она по умолчанию входит в локальную группу Администраторы каждого рядового компьютера домена, в результате чего администраторы домена получают в свое распоряжение все компьютеры домена.
5) Операторы сервера (Server Operators) – находится в контейнере Builtin каждого домена. Эта группа может решать задачи технической поддержки на контроллерах домена. Операторы сервера могут локально входить в систему, запускать и останавливать службы, выполнять резервное копирование и восстановление, форматировать диски, создавать и удалять общие ресурсы, а также завершать работу контроллеров доменов. По умолчанию данная группа не содержит членов.
6) Операторы учета (Account Operators) – находится в контейнере Builtin каждого домена. Эта группа может создавать, модифицировать и удалять учетные записи пользователей, групп и компьютеров в любом подразделении домена (кроме подразделения Domain Controllers), а также в контейнерах Users и Computers. Операторы учета не могут модифицировать учетные записи, включенные в группы Администраторы и Администраторы домена, а также не могут модифицировать эти группы. Операторы учета также могут локально входить на контроллеры домена. По умолчанию эта группа не содержит членов.
7) Операторы архива (Backup Operators) – находится в контейнере Builtin каждого домена. Эта группа может выполнять операции резервного копирования и восстановления на контроллерах домена, а также локально входить на контроллеры домена и завершать их работу. По умолчанию эта группа не содержит членов.
8 ) Операторы печати (Print Operators) – находится в контейнере Builtin каждого домена. Эта группа может обеспечивать поддержку очередей заданий печати на контроллерах домена. Она также может локально входить на контроллеры домена и завершать их работу.
Автоматизация создания групп в Active Directory и контроля за ними
Создание групп с помощью команды Dsadd
dsadd group "DN_группы"
Могут использоваться следующие ключи:
-secgrp {yes|no} – тип группы
-scope {l|g|u} – область действия группы
-samid – указывает атрибут sAMAccountName. Если он не указан, то используется имя группы из DN.
-desc – описание группы
-members DN_члена – добавляет члены в группу
-memberof DN_группы – назначает создаваемую группы членом одной или нескольких существующих групп
Извлечение данных о членстве в группе с помощью команды Dsget
Извлечь полный список членов группы, включая вложенные члены можно так:
dsget group "DN_группы" -members [-expand]
где опция expand извлекает члены вложенных групп
Для извлечения полного списка групп, к которым принадлежит пользователь или компьютер (указав опцию expand) можно так:
dsget user "DN_пользователя" -memberof [-expand]
dsget computer "DN_компьютера" -memberof [-expand]
Изменение членства в группе с помощью команды Dsmod
dsmod group "DN_группы" [options]
В опции входят, например, атрибуты samid и desc, с помощью которых можно модифицировать атрибуты sAMAccountName и description группы. Однако, есть ещё две дополнительные опции:
-addmbr “DN_члена” – добавляет члены в группу;
-rmmbr “DN_члена” – удаляет член из группы
Перемещение и переименование групп с помощью команды Dsmove
dsmove DN_объекта [-newname Новое_имя] [-newparent DN_конечного_подразделения]
Удаление групп с помощью команды Dsrm
dsrm DN_группы [-subtree[-exclude]][-noprompt][-c]
Если не указать параметр noprompt, команда предложит подтверждать удаление каждого объекта. Переключатель -сзапускает команду Dsrm в режиме, когда выводятся сообщения об ошибках, однако при этом команда продолжает обработку дополнительных объектов. Без этого переключателя обработка остановится при первой же ошибке.
Управление членством в группе с помощью Windows PowerShell И VBScript
$MemberADSPath = "LDAP://CN=Иван Иванов,OU=Кадры,DC=contoso,DC=com" //определение атрибута aDSPath члена
$objGroup = [ADSI]"LDAP://CN=Анализ,OU=Группы,DC=contoso,DC=com" //подключение к группе
$objGroup.Add ($MemberADSPath) //использование метода Add или Remove
MemberADSPath = "LDAP://CN=Иван Иванов,OU=Кадры,DC=contoso,DC=com"
Set objGroup = GetObject("LDAP://CN=Анализ,OU=Группы,DC=contoso,DC=com")
objGroup.Add MemberADSPath
Изменение типа и области действия группы через командную строку
Для изменение типа и области действия группы через командную строку используется утилита dsmod
dsmod group DN_группы -secgrp { yes | no } -scope { l | g | u }
В качестве DN_группы нужно указать отличительное имя модифицируемой группы.
-
- Параметр -secgrp { yes | no } указывает на тип группы: безопасность (yes) или распространение (no)
Параметр -scope { l | g | u } определяет область действия группы: локальная в домене (l), глобальная (g) или универсальная (u).
Область действия и члены группы
|
Область действия группы |
Члены группы из того же домена |
Члены группы из другого домена в том же лесу |
Члены группы из доверенного внешнего домена |
|
Локальная |
Пользователи, компьютеры, глобальные группы, универсальные группы, локальные группы в домене, локальные пользователи (определенные на том же компьютере, где определена локальная группа) | Пользователи, компьютеры, глобальные группы и универсальные группы | Пользователи, компьютеры, глобальные группы |
|
Локальная в домене |
Пользователи, компьютеры, глобальные группы, универсальные группы, локальные группы в домене | Пользователи, компьютеры, глобальные группы и универсальные группы, | Пользователи, компьютеры, глобальные группы |
|
Универсальная |
Пользователи, компьютеры, глобальные группы и универсальные группы | Пользователи, компьютеры, глобальные группы и универсальные группы | Нет доступа |
|
Глобальная |
Пользователи, компьютеры, глобальные группы | Нет доступа | Нет доступа |
Переименование учетной записи пользователя Active Directory
Сделать это можно следующими способами
1) через командную строку
dsmod user DN_пользователя [-upn UPN_имя][-fn Имя][-mi Инициалы][-ln Фамилия][-dn Выводимое_имя][-email Электронный_адрес]
Атрибут sAMAccountName и общее имя (CN) объекта нельзя изменить с помощью команды Dsmod.exe
2) PowerShell
$objUser=[ADSI]"LDAP://DN_пользователя"
$objUser.psbase.rename("CN=Новое_имя_CN_пользователя")
Другие атрибуты можно поменять, воспользовавшись методом Put объекта пользователя.
3) VBScript
Set objOU = GetObject(“LDAP://DN_текущего_подразделения”)
objOU.MoveHere “LDAP://DN_пользователя”, “CN=Новое_имя_CN_пользователя”
Перемещение учетной записи пользователя Active Directory
Можно уже привычно воспользоваться 3 способами (про перенос через графический интерфейс естественно умалчивается, так как понятен)
1)из командной строки с помощью команды DSMOVE
dsmove DN_пользователя -newparent DN_конечного_подразделения
2) с помощью PS
$objUser=[ADSI]"LDAP://DN_пользователя"
$objUser.psbase.MoveTo("LDAP://DN_конечного_подразделения")
3) с помощью VBScript
Set objOU = GetObject("LDAP://DN_конечного_подразделения")
objOU.MoveHere "LDAP://DN_пользователя", vbNullString