Читал вчера статью Сергея Мариничева про RODC и вспомнил, что у меня тоже был черновик на эту тему.
Есть много RODC-контроллеров, раскиданных по площадкам. Как проверить, что на них разрешено кэширование правильных групп? Ответ прост – Powershell.
Список разрешенных к кэшированию групп содержит параметр компьютера msDS-RevealOnDemandGroup.
(Get-ADComputer site1-dc02 -Properties "msDS-RevealOnDemandGroup")."msDS-RevealOnDemandGroup"
CN=site1-users,CN=Users,DC=holding,DC=com
CN=Domain Computers,CN=Users,DC=holding,DC=com
Как видим, разрешено кэширование паролей для двух групп.
Разбор данных
$test=(Get-ADComputer site1-dc02 -Properties "msDS-RevealOnDemandGroup")."msDS-RevealOnDemandGroup"
$test.count
2
(Get-ADComputer site1-dc02 -Properties "msDS-RevealOnDemandGroup")."msDS-RevealOnDemandGroup"[0]
CN=site1-users,CN=Users,DC=holding,DC=com
(Get-ADComputer site1-dc02 -Properties "msDS-RevealOnDemandGroup")."msDS-RevealOnDemandGroup"[1]
CN=Domain Computers,CN=Users,DC=holding,DC=com
Вносим изменения
$comp=get-adcomputer -properties * rodc01
$Allow=@()
$Allow+="DN1"
$Allow+="DN2"
Для перезаписи параметра делаем так:
$comp."msDS-RevealOnDemandGroup"=$allow
Для добавления:
$comp."msDS-RevealOnDemandGroup"+=$allow
Вносим изменения в AD
Set-adcomputer -instance $comp