Приложение г. защита встроенных учетных записей администраторов в active directory

Предоставление групповая политика разрешений для CORP\User1

Используйте эту процедуру, чтобы предоставить пользователю CORP\User1 полные разрешения на создание и изменение объектов corp2 групповая политика.

Предоставление групповая политика разрешений

1. На начальном экране введитеGPMC. mscи нажмите клавишу ВВОД.

2. В консоли управления групповая политика откройте лес: Corp.contoso.com/Domains/corp2.Corp.contoso.com.

3. В области сведений перейдите на вкладку Делегирование . В раскрывающемся списке разрешения выберите связать объекты GPO.

4. Нажмите кнопку Добавитьи в диалоговом окне новый Выбор пользователя, компьютера или группы щелкните расположения.

5. В диалоговом окне расположения в дереве Расположение щелкните Corp.contoso.comи нажмите кнопку ОК.

6. В поле введите имя объекта выберите тип Пользователь1, нажмите кнопку ОК, а затем в диалоговом окне Добавление группы или пользователя нажмите кнопку ОК.

7. В консоли управления групповая политика в дереве щелкните Групповая политика объекты, а затем в области сведений щелкните вкладку Делегирование .

8. Нажмите кнопку Добавитьи в диалоговом окне новый Выбор пользователя, компьютера или группы щелкните расположения.

9. В диалоговом окне расположения в дереве Расположение щелкните Corp.contoso.comи нажмите кнопку ОК.

10. В поле введите имя объекта, чтобы выбрать тип Пользователь1, нажмите кнопку ОК.

11. В консоли управления групповая политика в дереве щелкните фильтры WMI, а затем в области сведений щелкните вкладку Делегирование .

12. Нажмите кнопку Добавитьи в диалоговом окне новый Выбор пользователя, компьютера или группы щелкните расположения.

13. В диалоговом окне расположения в дереве Расположение щелкните Corp.contoso.comи нажмите кнопку ОК.

14. В поле введите имя объекта, чтобы выбрать тип Пользователь1, нажмите кнопку ОК. В диалоговом окне Добавление группы или пользователя убедитесь, что для разрешений задан полныйдоступ, а затем нажмите кнопку ОК.

15. Закройте консоль управления групповыми политиками.

Подготовка к включению Active Directory

Среди служб Active Directory имеется служба DNS. Каждый компьютер уже пользуется услугами того или иного DNS сервера, но для работы Active Directory необходимо настроить DNS роль сервера, по сути, DNS сервер, который будет обеспечивать преобразование (разрешение) имён компьютеров в IP адреса, сторонний DNS сервер не подойдёт. Включение DNS будет выполнено вместе с установкой Active Directory. Для того, чтобы DNS сервер работал правильно, необходимо, чтобы у всех компьютеров в Active Directory были статичные IP адреса. Поэтому вам нужно настроить ваши компьютеры и ваш Windows Server на работу со статичными IP. Всю необходимую теорию и инструкции по настройке вы найдёте в статье «Как веб-сервер на своём компьютере сделать доступным для других» (статичные IP нужны для многих сетевых служб). В предыдущей части было показано, как настроить статичные IP на сетевых интерфейсах Windows. Под спойлером пример присвоения статичных IP на роутере.

Второе, на что следует обратить внимание, это на имена компьютеров. У всех компьютеров Windows есть имена, которые генерируются автоматически и являются неинформативными, например, WIN-M30RTOJQTFM

Поэтому рекомендуется воспользоваться рассмотренными в предыдущей части инструментами или инструкцией «Имя компьютера Windows: как изменить и использовать» и присвоить вашим компьютерам имена, описывающие их функции или другим образом помогающие вам понять, о каком компьютере идёт речь.

Последствия присоединения к Домену Active Directory

В самой первой части уже описаны некоторые из последствий присоединения компьютера к Домену. Остановимся на этом чуть подробнее, чтобы вам в дальнейшем не пришлось переустанавливать ОС на рабочей станции чтобы покинуть домен и чтобы не потерять важные для вас файлы.

1. DNS настройки

Рабочая станция должна использовать Контроллер домена в качестве DNS сервера. Поэтому если вы включаете рабочую станцию когда Контроллер домена недоступен (офлайн), это может привести к проблемам с сетевыми подключениями.

2. Выход из домена

На рабочей станции должна иметься учётная запись локального администратора, при выходе запрашивается логин и пароль пользователя домена, имеющего полномочия на отсоединение от домена!

3. Пользовательские файлы

В зависимости от настроек пользователя, созданные пользователем домена файлы могут храниться как на локальной рабочей станции, так и на сервере.

В общем, если вы настраиваете тестовое окружение Active Directory и подсоединяете к домену свой рабочий компьютер, то прежде чем удалить тестовое окружение, выполните выход из домена, иначе впоследствии вы можете столкнуться с трудностями.

Результаты

На этой странице можно просмотреть результаты установки.

Здесь также можно перезагрузить целевой сервер после окончания работы мастера, однако в случае успешной установки сервер всегда будет перезагружаться независимо от того, выбран этот параметр или нет. В некоторых случаях после завершения работы мастера на целевом сервере, не привязанном к домену перед установкой, состояние системы целевого сервера может не позволять подключиться к нему в сети или получить разрешение на управление удаленным сервером.

Если в таком случае целевой сервер не перезагружается автоматически, необходимо перезагрузить его вручную. Перезагрузить сервер с помощью таких служебных программ, как shutdown.exe или Windows PowerShell, нельзя. Можно использовать службы удаленных рабочих столов для входа в систему и удаленного завершения работы целевого сервера.

Список флагов свойств

Эти атрибуты можно просматривать и изменять с помощью Ldp.exe или оснастки Adsiedit.msc.

В следующей таблице перечислены возможные флаги, которые можно назначить. Некоторые значения на объекте пользователя или компьютера установить нельзя, так как эти значения можно установить или сбросить только службой каталогов. Ldp.exe показывает значения в hexadecimal. Adsiedit.msc отображает значения в десятичной. Флаги являются накопительными. Чтобы отключить учетную запись пользователя, установите атрибут UserAccountControl 0x0202 (0x002 + 0x0200). В десятичной , это 514 (2 + 512).

Примечание

Вы можете непосредственно изменить Active Directory как в Ldp.exe, так и в Adsiedit.msc. Только опытные администраторы должны использовать эти средства для редактирования Active Directory. Оба средства доступны после установки средств поддержки из исходного Windows установки.

Флаг свойства	Значение в hexadecimal	Значение в десятичной
SCRIPT	0x0001	1
ACCOUNTDISABLE	0x0002	2
HOMEDIR_REQUIRED	0x0008	8
ЛОКАУТ	0x0010	16
PASSWD_NOTREQD	0x0020	32
PASSWD_CANT_CHANGEЭто разрешение нельзя назначить путем непосредственного изменения атрибута UserAccountControl. Сведения о том, как настроить разрешение программным путем, см. в разделе	0x0040	64
ENCRYPTED_TEXT_PWD_ALLOWED	0x0080	128
TEMP_DUPLICATE_ACCOUNT	0x0100	256
NORMAL_ACCOUNT	0x0200	512
INTERDOMAIN_TRUST_ACCOUNT	0x0800	2048
WORKSTATION_TRUST_ACCOUNT	0x1000	4096
SERVER_TRUST_ACCOUNT	0x2000	8192
DONT_EXPIRE_PASSWORD	0x10000	65536
MNS_LOGON_ACCOUNT	0x20000	131072
SMARTCARD_REQUIRED	0x40000	262144
TRUSTED_FOR_DELEGATION	0x80000	524288
NOT_DELEGATED	0x100000	1048576
USE_DES_KEY_ONLY	0x200000	2097152
DONT_REQ_PREAUTH	0x400000	4194304
PASSWORD_EXPIRED	0x800000	8388608
TRUSTED_TO_AUTH_FOR_DELEGATION	0x1000000	16777216
PARTIAL_SECRETS_ACCOUNT	0x04000000	67108864

Примечание

В домене Windows Server 2003 LOCK_OUT и PASSWORD_EXPIRED заменены новым атрибутом ms-DS-User-Account-Control-Computed. Дополнительные сведения об этом новом атрибуте см. в атрибуте ms-DS-User-Account-Control-Computed.

Настройка контроллера домена Windows Server

Запустите «Мастер настройки доменных служб Active Directory», для чего нажмите на иконку «Уведомления» в диспетчере сервера, затем нажмите «Повысить роль этого сервера до уровня контроллера домена».
Выберите пункт «Добавить новый лес», затем введите имя домена в поле «Имя корневого домена». Домены в сети Windows имеют аналогичные названия с доменами в интернете. Я ввел имя домена buzov.com. Нажимаем «Далее».
На этом шаге можно изменить совместимость режима работы леса и корневого домена. Оставьте настройки по умолчанию. Задайте пароль для DSRM (Directory Service Restore Mode – режим восстановления службы каталога) и нажмите «Далее».

Затем нажимайте «Далее» несколько раз до процесса установки.

Когда контроллер домена установиться компьютер будет перезагружен.

Подготовка системы

Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.

Перенос ролей контроллера домена

Active Directory насчитывает 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:

Get-ADForest dmosk.local | ft DomainNamingMaster, SchemaMaster

Get-ADDomain dmosk.local | ft InfrastructureMaster, PDCEmulator, RIDMaster

* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO.

Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:

Move-ADDirectoryServerOperationMasterRole <имя сервера, куда переносим> <название роли>

… передать роль.

Подробнее о передаче и захвате в инструкции Управление FSMO ролями Active Directory с помощью Powershell.

Проверка состояния AD

На любом из контроллеров домена вводим команду:

dcdiag /a /q

Данная команда запустит проверку состояния среды AD и выдаст ошибки, если такие будут

Необходимо обратить внимание на сообщения и, по возможности, решить проблемы

Как отследить, какой процесс блокирует учётную запись домена

Итак, мы выяснили, с какого компьютера или сервера была заблокирована учётная запись. Теперь было бы здорово узнать, какая программа или процесс являются источником блокировки учётной записи.

Часто пользователи начинают жаловаться на блокировку своих учётных записей домена после изменения паролей. Это говорит о том, что старый (неправильный) пароль сохраняется в определённой программе, скрипте или службе, которая периодически пытается аутентифицироваться на контроллере домена с неверным паролем. Рассмотрим наиболее распространённые места, в которых пользователь мог сохранить старый пароль:

• Подключённые сетевые диски (через net use);
• Работы Windows Task Scheduler (Планировщика заданий Windows);
• Службы Windows, настроенные для запуска из учётной записи домена;
• Сохранённые учётные данные в Credential Manager (Диспетчере учётных данных) (в Панели управления);
• Браузеры;
• Мобильные устройства (например, те, которые используются для доступа к корпоративному почтовому ящику);
• Программы с автоматическим входом или настроенная функция автоматического входа в Windows;
• Отключённые/незанятые сеансы RDP на других компьютерах или серверах RDS (поэтому рекомендуется установить ограничения для сеансов RDP);

Подсказка: существует ряд сторонних инструментов (в основном коммерческих), которые позволяют администратору проверять удалённый компьютер и определять источник блокировки учётной записи. В качестве достаточно популярного решения отметим Lockout Examiner от Netwrix.

Чтобы выполнить подробный аудит блокировки учётной записи на найденном компьютере, необходимо включить ряд локальных политик аудита Windows. Для этого откройте локальный редактор групповой политики (gpedit.msc) на компьютере (на котором вы хотите отслеживать источник блокировки) и включите следующие политики в разделе Computer Configurations → Windows Settings → Security Settings → Local Policies → Audit Policy:

• Audit process tracking: Success , Failure
• Audit logon events: Success , Failure

В русскоязычной версии это соответственно: Конфигурации компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита:

• Аудит отслеживания событий: Успех, Отказ
• Аудит событий входа в систему: Успех, Отказ

Дождитесь следующей блокировки учётной записи и найдите события с идентификатором события 4625 в журнале безопасности. В нашем случае это событие выглядит так:

An account failed to log on.
Failure Reason: Account locked out.

На русском это:

Учетной записи не удалось выполнить вход в систему.
Причина ошибки: Учетная запись блокирована.

Как видно из описания события, источником блокировки учётной записи является процесс mssdmn.exe (компонент Sharepoint). В этом случае пользователю необходимо обновить пароль на веб-портале Sharepoint.

После завершения анализа и выявления и устранения причины блокировки не забудьте отключить локальные политики аудита.

Если вам по-прежнему не удаётся найти источник блокировки учётной записи на определённом компьютере, просто попробуйте переименовать имя учётной записи пользователя в Active Directory. Обычно это наиболее эффективный метод защиты от внезапных блокировок конкретного пользователя, если вы не смогли установить источник блокировки.

Вы также можете вывести список событий с кодом 4625 в PowerShell:

Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; }

Следующую команду вы можете использовать для вывода событий блокировки для конкретного пользователя (впишите его вместо MiAl):

Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; Data="MiAl" }

Следующая команда выведет подробную информацию о каждом событии блокировки для указанного пользователя (в том числе процесс, вызвавший блокировку):

Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; Data="MiAl" } | Format-List

Эта команда аналогична предыдущей, но покажет события только за последние 2 дня:

$Date = (Get-Date).AddDays(-2); Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; Data="MiAl"; StartTime=$Date; } | Format-List

Действия по выполнению автономного присоединение к домену DirectAccess

Процесс автономного присоединение к домену включает следующие шаги.

1. Создайте новую учетную запись компьютера для каждого удаленного клиента и создайте пакет подготовки с помощью команды Djoin.exe из компьютера, присоединенного к домену в корпоративной сети.

2. Добавление клиентского компьютера в группу безопасности Директакцессклиентс

3. Безопасно перенесите пакет подготовки на удаленные компьютеры, которые будут присоединены к домену.

4. Примените пакет подготовки и присоедините клиент к домену.

5. Перезагрузите клиент, чтобы завершить присоединение к домену и установить подключение.

При создании пакета подготовки для клиента необходимо учитывать два варианта. Если для установки DirectAccess без PKI используется мастер начало работы, следует использовать вариант 1 ниже. Если для установки DirectAccess с помощью PKI использовался мастер расширенной установки, следует использовать вариант 2 ниже.

Чтобы выполнить автономное присоединение к домену, выполните следующие действия.

Параметр1: создание пакета подготовки для клиента без PKI

1. В командной строке сервера удаленного доступа введите следующую команду для подготовки учетной записи компьютера:

Параметр2: создание пакета подготовки для клиента с помощью PKI

1. В командной строке сервера удаленного доступа введите следующую команду для подготовки учетной записи компьютера:

Добавление клиентского компьютера в группу безопасности Директакцессклиентс

1. На начальном экране контроллера домена введите активный и выберите Active Directory пользователи и компьютеры из приложений .

2. Разверните дерево в своем домене и выберите контейнер Пользователи .

3. В области сведений щелкните правой кнопкой мыши директакцессклиентси выберите пункт свойства.

4. На вкладке Члены группы щелкните Добавить.

5. Щелкните типы объектов, выберите Компьютеры, а затем нажмите кнопку ОК.

6. Введите имя добавляемого клиента и нажмите кнопку ОК.

7. Нажмите кнопку ОК , чтобы закрыть диалоговое окно свойства директакцессклиентс , а затем закройте Active Directory пользователи и компьютеры.

Скопируйте и примените пакет подготовки к клиентскому компьютеру.

1. Скопируйте пакет подготовки из c:\files\provision.txt на сервере удаленного доступа, где он был сохранен, чтобы c:\provision\provision.txt на клиентском компьютере.

2. На клиентском компьютере откройте командную строку с повышенными привилегиями и введите следующую команду, чтобы запросить присоединение к домену:

3. Перезагрузите клиентский компьютер. Компьютер будет присоединен к домену. После перезагрузки клиент будет присоединен к домену и иметь возможность подключения к корпоративной сети с DirectAccess.

Устанавливаем роль

RSAT или локальный сервер с GUI:

Сначала нужно добавить сервер в RSAT. Добавляется он на главной странице с помощью доменного имени или ip адреса. Убедитесь, что вы вводите логин в формате local\Administrator, иначе сервер не примет пароль.

Переходим в добавление компонентов и выбираем AD DS.

Powershell:

Если вы не знаете, как называется компонент системы, можно выполнить команду и получить список доступных компонентов, их зависимостей и их имена. Get-WindowsFeature

Копируем имя компонента и приступаем к установке. Install-WindowsFeature -Name AD-Domain-Services Windows Admin Center:

Переходим в «Роли и компоненты» и выбираем ADDS (Active Directory Domain Services).

И это буквально всё. Управлять Active Directory через Windows Admin Center на текущий момент невозможно. Его упоминание не более чем напоминание о том, насколько он пока что бесполезен.

Процесс присоединение к домену вне сети

Запустите Djoin.exe в командной строке с повышенными привилегиями, чтобы подготавливать метаданные учетной записи компьютера. При выполнении команды подготовки метаданные учетной записи компьютера создаются в двоичном файле, указанном в качестве части команды.

Дополнительные сведения о функции Нетпровисионкомпутераккаунт, которая используется для предоставления учетной записи компьютера во время приподключения к автономному домену, см. в разделе функция нетпровисионкомпутераккаунт ( ). Дополнительные сведения о функции Нетрекуестоффлинедомаинжоин, которая выполняется локально на конечном компьютере, см. в разделе функция нетрекуестоффлинедомаинжоин ( ).

Установите RSAT для версий 1803 и ниже

Установка RSAT и включение Active Directory в более старой версии Windows 10 занимает немного больше времени. Имейте в виду, что ограничение для редакций Enterprise и Professional по-прежнему действует. Давайте посмотрим, как включить Active Directory в версиях 1803 и ниже.

1. Запустите браузер вашего компьютера.
2. Перейдите в Центр загрузки Microsoft и найдите Средства удаленного администрирования сервера для Windows 10.
3. Нажмите кнопку «Скачать».
4. Выберите последнюю версию, чтобы обеспечить максимальную совместимость.
5. Нажмите кнопку «Далее» и дождитесь завершения загрузки.
6. Затем нажмите клавишу «Win» на клавиатуре.
7. Поиск панели управления.
8. На панели управления нажмите на вкладку «Программы».
9. Далее выберите «Программы и компоненты».
10. Нажмите «Включить или отключить функции Windows».
11. Разверните раздел «Инструменты удаленного администрирования сервера» в меню.
12. Далее выберите «Инструменты администрирования ролей».
13. Выберите «Инструменты AD LDS и AD DS».
14. Установите флажок «Инструменты AD DS».
15. Нажмите кнопку «ОК».

Параметр «Администрирование» теперь должен появиться в меню «Пуск». Вы должны найти там все инструменты Active Directory, и вы можете использовать и изменять их через это меню.

Настройка свойств TCP/IP

Настройте протокол TCP/IP со статическими IP-адресами.

Настройка TCP/IP в 2-DC1

1. В консоли диспетчер сервера щелкните локальный сервер, а затем в области свойства рядом с проводным Ethernet подключениемщелкните ссылку.

2. На панели управления Сетевые подключения щелкните правой кнопкой мыши Проводное Ethernet-подключение и затем выберите пункт Свойства.

3. Щелкните пункт IP версия 4 (TCP/IPv4) и нажмите кнопку Свойства.

4. Выберите вариант Использовать следующий IP-адрес. В списке IP-адресвведите 10.2.0.1. В поле Маска подсети введите 255.255.255.0. В качестве шлюза по умолчаниювведите 10.2.0.254. Щелкните использовать следующие адреса DNS-серверов, в поле Предпочитаемый DNS-сервер, введите 10.2.0.1и в поле Альтернативный DNS-сервервведите 10.0.0.1.

5. Нажмите кнопку «Дополнительно» и перейдите на вкладку «DNS» .

6. В качестве DNS-суффикса для этого подключениявведите corp2.Corp.contoso.com, а затем дважды нажмите кнопку ОК .

7. Выберите Протокол IP версии 6 (TCP/IPv6), а затем Свойства.

8. Щелкните использовать следующий IPv6-адрес. В качестве адреса IPv6введите 2001: db8:2:: 1. В качестве длины префикса подсетивведите 64. В качестве шлюза по умолчаниювведите 2001: db8:2:: FE. Щелкните использовать следующие адреса DNS-серверовв поле Предпочитаемый DNS-сервер, введите 2001: db8:2:: 1, а в Альтернативный DNS-сервервведите 2001: db8:1:: 1.

9. Нажмите кнопку «Дополнительно» и перейдите на вкладку «DNS» .

10. В качестве DNS-суффикса для этого подключениявведите corp2.Corp.contoso.com, а затем дважды нажмите кнопку ОК .

11. В диалоговом окне Свойства проводного подключения Ethernet нажмите кнопку Закрыть.

12. Закройте окно Сетевые подключения.

13. В консоли диспетчер сервера в области Свойства на локальном серверещелкните ссылку рядом с полем имя компьютера.

14. В диалоговом окне Свойства системы на вкладке Имя компьютера щелкните Изменить.

15. В диалоговом окне изменения имени компьютера или домена в поле имя компьютеравведите 2-DC1и нажмите кнопку ОК.

16. При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.

17. В диалоговом окне Свойства системы нажмите Закрыть.

18. При появлении запроса на перезагрузку компьютера нажмите кнопку Перезагрузить сейчас.

19. После перезагрузки войдите с учетной записью локального администратора.

Microsoft Account Lockout and Management Tools (Инструменты блокировки и управления учётной записью от Microsoft)

Запустите средство Lockoutstatus.exe, укажите имя заблокированной учётной записи (Target User Name) и имя домена (Target Domain Name).

Появившийся список будет содержать список контроллеров домена и статус учётной записи (Locked или Non Locked). Кроме того, отображается время блокировки и компьютер, на котором эта учётная запись заблокирована (Orig Lock), но в моём случае компьютер, который стал причиной блокировки, показан неверно.

Атрибуты badPwdCount и LastBadPasswordAttempt не реплицируются между контроллерами домена.

Вы можете разблокировать учётную запись пользователя или изменить пароль прямо из окна Lockoutstatus.

Основным недостатком инструмента LockoutStatus является то, что он опрашивает все контроллеры домена, некоторые из них могут быть недоступны, что вызывает задержку в выдачи результатов.

Дополнительная информация

Пользователи, компьютеры и группы, созданные API более ранней версии, создают объекты в пути DN, указанном в атрибуте WellKnownObjects. Атрибут WellKnownObjects расположен в главе NC домена. В следующем примере кода показаны соответствующие пути в атрибуте WellKnownObjects из CONTOSO.COM области NC.

Dn: DC=CONTOSO,DC=COM

Например, в следующих операциях используются API более ранней версии, которые отвечают на пути, определенные в атрибуте WellKnownObjects:

Операция	Версии операционной системы
Пользовательский интерфейс «Регистрация домена»	Windows NT версии4.0Windows 2000Windows XP ProfessionalWindows XP UltimateWindows Server 2003Windows Server 2003 R2Windows VistaWindows Server 2008Windows 7Windows Server 2008 R2
NET COMPUTER	Все версии
NET GROUP	Все версии
NET USER	Все версии
ДОБАВЛЕНИЕ NETDOM, где команда /ou не указана или поддерживается	Все версии

Полезно сделать контейнер по умолчанию для групп пользователей, компьютеров и безопасности OU по нескольким причинам, в том числе:

• Групповые политики можно применять в контейнерах OU, но не в контейнерах класса CN, где по умолчанию ставятся основные принципы безопасности.

• Передовая практика — упорядочность принципов безопасности в иерархию OU, которая отражает организационную структуру, географическое расположение или модель администрирования.

При перенаправлении папок CN=Users и CN=Computers следует помнить о следующих проблемах:

• Целевой домен должен быть настроен для запуска на уровне Windows Server 2003 или выше. Для функционального уровня Windows Server 2003 это означает:

  • Windows Сервер 2003 или более новый
  • Windows Сервер 2003 или более новый
  • Все контроллеры домена в целевом домене должны работать Windows Server 2003 или более новые.
  • Windows Необходимо включить функциональный уровень домена Server 2003 или более высокий.

• В отличие от CN=USERS и CN=COMPUTERS, контейнеры OU подвергаются случайным удалениям привилегированных учетных записей пользователей, в том числе администраторов.

  Контейнеры CN=USERS и CN=COMPUTERS — это объекты, защищенные системой, которые не могут и не должны удаляться для обратной совместимости. Но их можно переименовать. Организационные подразделения могут быть удалены администраторами случайно.

  Windows Версии сервера 2003 для пользователей Active Directory & компьютеров могут выполнять действия в Области Защиты организационного подразделения от случайного удаления.

  Windows Сервер 2008 и более новые версии оснастки пользователей и компьютеров Active Directory имеют объект Protect от случайного удаления, который можно выбрать при создании нового контейнера OU. Вы также можете выбрать его на вкладке Объект в диалоговом окне Свойства для существующего контейнера OU.

  Сценарий задокументирован в script to Protect Organizational Units (OUs) от случайного удаления.

• Exchange Server 2000 и 2003 годах с ошибками.

Добавление дополнительного контроллера домена в существующий домен AD

Прежде всего, нам нужно установить роль Active Directory Domain Services на сервере, который будет новым DC.

Установка роли ADDS

Прежде всего, откройте консоль Server Manager. Когда откроется Server Manager, нажмите «Add roles and features», чтобы открыть консоль установки ролей сервера.

Пропустите страницу «Before you Begin». Выберите «Role-based or featured-based installation» нажмите кнопку «Next». На странице «Server Selection» снова нажмите кнопку «Next».

Выберите роль Active Directory Domain Services. В открывшемся окне нажмите кнопку «Add Features», чтобы добавить необходимые инструменты управления Active Directory Management Tools.

Когда процесс установки будет завершен, перезагрузите сервер, войдите в систему под администратором и выполните следующие действия.

Вывод сервера из домена

В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.

Графика

Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:

В открывшемся окне нажимаем на Изменить:

И переводим компьютер в рабочую группу:

* в данном примере в группу с названием WORKGROUP.

Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.

Если все сделано верно, мы должны увидеть окно:

После перезагружаем сервер или выключаем его.

Powershell

Запускаем Powershell от имени администратора и вводим:

Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose

* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD.

Соглашаемся продолжить, ознакомившись с предупреждением:

Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
 администратора. Вы хотите продолжить?
Да — Y   Нет — N   Приостановить — S   Справка (значением по умолчанию является «Y»): Y

Перезагружаем компьютер:

shutdown -r -t 0

… или выключаем:

shutdown -s -t 0