Vostrej trablšůting
Nedávno po mě někdo chtěl nějaký pikantní zážitek z natáčení. Takže tu je jeden.
Hromadná změna oprávnění v AD
Tak jsem opět potřeboval pro více objektů současně nastavit nějaká oprávnění v Active Directory. Jenže DSACLS neumí přijímat pajpovaný ( pipe |) vstup z DSQUERY.
Vypomohl jsem si tedy příkazem FOR:
FOR /F "tokens=1" %i IN ('
DSQUERY * "DC=idtt,DC=local" –filter "(objectCategory=user)"
') DO (
DSACLS %i /G "Windows Access Authorization Group:
RP;tokenGroupsGlobalAndUniversal"
)
V tomhle případě se jednalo o opravu zabezpečení starých účtů kvůli tomu, že nefungovalo přihlašování čipovou kartou ( smart card logon za použití Kerberos protocol transition) přes ISA / TMG server.
Jen pro zajímavost. Totiž pokud jste vyrobili účty už ve Windows 2000 nebo Windows 2003 RTM, tak tam skupina Windows Access Authorization Group neexistovala. Dříve se používala skupina Pre-Windows 2000 Compatible Access. Jenže best-practice velí tuto skupinu vyprázdnit.
Změna schématu (ve skutečnosti přesně změněný default security descriptor na user třídě) od Windows 2003 SP1 opravuje zabezpečení pro tuto skupinu. Jenže jen pro nově vytvořené účty. Dříve již existující účty to neopravilo a potom jsou s nimi problémky :-)
AD Kalkulačka
Pokud chcete, můžete si stáhnout moji AD kalkulačku. Je to dost speciální, tak to moc neprezentuji :-)
Vyšel mi članek na TechNet Blogu
Ohledně některých novinek v Active Directory ve Windows Server 2008
Dobrý ne?
V pátek jsem tady psal o resetu hesla doménového administrátora. Proč to nevyzkoušet a nespustit si rovnou konzoli Active Directory Users and Computers? Stačí zadat DSA.MSC do příkazové řádky :-)
Reset hesla doménového Administrator za 5 minut
Zapomněli jste heslo na uživatele Administrator ve Windows Vista, Windows 2008 a novějších? Nebo nějaký jiný účet? Může to být klidně i člen Domain Admins nebo klidně i built-in domain Administrator.
GPO pro Windows Vista, 7, XP a servery
Běžný problém je, že byste rádi měli separátní GPO (tzv. Group Policy Object) pro jednotlivé skupiny počítačů. Je často potřeba třídit zásady na různé verze operačního systému…
Zálohování na síť
Existuje takové tvrzení, že s nástrojem Windows Server Backup se nedá zálohovat na síť. Nebo možná že ano, ale že to nelze naplánovat. Nesmysl :-)
Password Filter pro logování hesel
Měl jsem tady na TechEdu přednášku na bezpečnost Active Directory. Ukazoval jsem jednu takovou šikovnou utilitku na zachytávání clear-text hesel na DC při jejich změně.
Pokud o to máte zájem, tak je ke stažení tady.
Jenom POZOR! je to jenom na testování. Může vám to něco poničit! V žádném případě nezkoušet v reálu.
Jen pro informaci, jedná se o normální, tzv. Active Directory Password Filter).aspx, který se prostě nainstaluje na každé DC, které máte. Když si uživatel mění heslo, změna hesla jde vždy (i bez tohoto filtru) na doménu v plné formě.
Tedy, je sice zašifrovaná (původním heslem), ale DC nakonec vidí heslo v čisté formě. Potřeba to je kvůli kontrole komplexnosti například. Druhým důvodem je, že někdy chcete (například MIIS/ILM) synchronizovat změnu hesel z AD do jiných databází. A to bez toho, abyste viděli čisté heslo, neuděláte.
DLL knihovna se registruje na DC do registrů:
HKLM\System\CurrentControlSet\Control\LSA Notification Packages = REG_MULTI_SZ
No a tam nakonec prostě přidáte jméno té DLL bez přípony. Tedy přesně sevecekPWDfilter. A restartnete.
DNS aliasy a sdílené soubory
Někdy potřebujete udělat CNAME alias v DNS na jméno serveru (například nějaký starý po migraci apod.). Všechno pojede, jenom ne sdílené soubory. Ty totiž kontrolují, co uživatel zadal za jméno serveru.
Tzn. že jestli mám server, který se jmenuje NOVY-SERVER, tak pokud se na něho snažím dostat pomocí jména STARY-SERVER, tak to nepojede.
Aby to jelo, je treba na NOVY-SERVER udělat úpravu v registrech a povolit aliasy.
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters DisableStrictNameChecking = DWORD = 1
A restart. Tak jen do toho!
