Category: Domain Controller

Продолжаем перепечатку статей Алексея Максимова.

В одной из прошлых заметок я уже писал о проблеме выбора ближайшего RWDC при вводе в домен компьютера попадающего в сайт с RODC. В процессе перевода RODC на Windows Server 2012 на одной из удалённых площадок столкнулся с ситуацией, до боли напоминающей старую проблему… В процессе работы мастера повышения сервера до RODC при попытке выбрать в домене группу для Администраторов RODC или же группы для репликации паролей, диалоговое окно выбора доменных объектов не открывалось и возникала странная ошибка, говорящая о невозможности определения состояния RWDC находящегося совершенно “в другой степи” и не имеющего отношения ни к местному сайту ни к ближайшему RWDC.

Continue reading “Windows Server 2012 – Поднимаем RODC через PowerShell”

Возникла задача по однотипной настройке групповых политик на ряде орг.подразделений (OU).

Поиск сразу же подсказал готовый вариант.

• На контроллере домена (с версией ОС не ниже 2008) или сервере с оснасткой GPMC запустите PowerShell;
• Загрузите командлеты import-module grouppolicy;
• Я использовал New-GPLink и Set-GPInheritance, но у вас могут быть свои наборы командлетов;
• Profit.

Читал вчера статью Сергея Мариничева про RODC и вспомнил, что у меня тоже был черновик на эту тему.
Есть много RODC-контроллеров, раскиданных по площадкам. Как проверить, что на них разрешено кэширование правильных групп? Ответ прост – Powershell.
Список разрешенных к кэшированию групп содержит параметр компьютера msDS-RevealOnDemandGroup.

(Get-ADComputer site1-dc02 -Properties "msDS-RevealOnDemandGroup")."msDS-RevealOnDemandGroup"
CN=site1-users,CN=Users,DC=holding,DC=com
CN=Domain Computers,CN=Users,DC=holding,DC=com
Как видим, разрешено кэширование паролей для двух групп.

Разбор данных
$test=(Get-ADComputer site1-dc02 -Properties "msDS-RevealOnDemandGroup")."msDS-RevealOnDemandGroup"
$test.count
2
(Get-ADComputer site1-dc02 -Properties "msDS-RevealOnDemandGroup")."msDS-RevealOnDemandGroup"[0]
CN=site1-users,CN=Users,DC=holding,DC=com
(Get-ADComputer site1-dc02 -Properties "msDS-RevealOnDemandGroup")."msDS-RevealOnDemandGroup"[1]
CN=Domain Computers,CN=Users,DC=holding,DC=com

Вносим изменения
$comp=get-adcomputer -properties * rodc01
$Allow=@()
$Allow+="DN1"
$Allow+="DN2"
Для перезаписи параметра делаем так:
$comp."msDS-RevealOnDemandGroup"=$allow
Для добавления:
$comp."msDS-RevealOnDemandGroup"+=$allow
Вносим изменения в AD
Set-adcomputer -instance $comp

Понадобилось проверить текущее время на всех контроллерах домена. Решил соорудить скрипт., использующий дополнительные командлеты для Active Directory от MS. Буду признателен, если в комментариях подскажут, как сделать список контроллеров домена без дополнительных командлетов.

UPD: Изменил скрипт по совету Васильева Александра. Теперь он не требует командлетов под AD.

Вот что из этого получилось:

$dc=Get-ADObject -LDAPFilter "(objectclass=computer)" -searchbase "ou=domain controllers,dc=holding,dc=com" | sort name

$dc = ([System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).domaincontrollers | sort name
$i=0
$array=0..($dc.count-1) | %{
$obj = New-Object psobject
$obj | Add-Member -type noteproperty -name Name -Value $dc[$i].Name
$temp=(gwmi Win32_LocalTime -computer $dc[$i].Name)
$obj | Add-Member -type noteproperty -name Hour -Value $temp.hour
$obj | Add-Member -type noteproperty -name Minute -Value $temp.minute
$obj
$i=$i+1
}
$array | out-file c:\tmp\dc_time.txt

Результатом работы скрипта становится таблица, содержащая в строке имя контроллера и его текущее время. В результате работы скрипта нашлось два контроллера с неправильным часовым поясом и один контроллер, выключенный в прошлом году.

P.S. Напоминаю, что рассинхронизацию времени на контроллерах домена можно посмотреть с помощью команды w32tm /monitor

Правда, если контроллеров много, лучше перенаправлять ее вывод в файл, например так – w32tm /monitor >> dc_time.txt.