Установка модуля Active Directory для Windows PowerShell
По умолчанию в системе установлены не все модули Windows PowerShell, некоторые из них добавляются во время установки соответствующей роли или компонента. Например, если Ваш сервер не является контроллером домена, соответствующего модуля PowerShell (RSAT-AD-PowerShell) для администрирования Active Directory в нем нет, т.е. использовать командлеты PowerShell для управления AD Вы не сможете. Однако Вы можете установить модуль PowerShell для работы с Active Directory. Именно это мы сейчас и рассмотрим, при этом я покажу два варианта установки модуля RSAT-AD-PowerShell — это с помощью «Мастера добавления ролей и компонентов», т.е. используя графический интерфейс и, конечно же, с помощью Windows PowerShell.
Процесс установки модуля Active Directory для Windows PowerShell такой же, как и установка остальных компонентов и средств удаленного администрирования в Windows Server 2016, поэтому если Вы умеете устанавливать роли или компоненты сервера, то с установкой RSAT-AD-PowerShell Вы легко справитесь.
Запускаем «Диспетчер серверов» и нажимаем «Управление ->Добавить роли или компоненты».
На первом окне можем сразу нажать «Далее».
Шаг 3
Далее выбираем тип установки, мы хотим установить компонент, поэтому выбираем первый пункт «Установка ролей или компонентов», жмем «Далее».
Затем выбираем сервер, на который будут установлены роли и компоненты, жмем «Далее».
Шаг 5
На этом шаге нам предлагают выбрать роли для установки, а так как мы не собираемся устанавливать роли, сразу жмем «Далее».
Шаг 6
На шаге выбора компонентов мы ищем пункт «Средства удаленного администрирования сервера -> Средства администрирования ролей -> Средства AD DS и AD LDS -> Модуль Active Directory для Windows PowerShell» и отмечаем его галочкой, жмем «Далее».
Шаг 7
Проверяем выбор компонентов и жмем «Установить».
Начнется процесс установки модуля Active Directory для Windows PowerShell.
Он будет завершен, когда мы увидим сообщение «Установка выполнена на …», нажимаем «Закрыть».
Установка модуля RSAT-AD-PowerShell с помощью PowerShell
Если Вы не хотите щелкать мышкой по окошкам мастера, то Вы можете легко выполнить процедуру установки компонентов с помощью нашего любимого Windows PowerShell, кстати, таким способом это делается, на мой взгляд, гораздо проще и быстрей.
Для установки модуля Active Directory для Windows PowerShell запустите оболочку PowerShell и выполните следующие команды (вместо командлета Add-WindowsFeature можно использовать Install-WindowsFeature).
Import-Module ServerManager Add-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature
Смотрим список командлетов PowerShell для работы с Active Directory
Для того чтобы проверить, что у нас установился необходимый модуль PowerShell давайте, выполним команды, которые покажут нам количество командлетов для работы с Active Directory и сам список этих командлетов.
Чтобы узнать, сколько у нас командлетов для администрирования Active Directory пишем вот такую команду
Get-Command -Module ActiveDirectory | Measure-Object
А для того чтобы посмотреть полный перечень командлетов пишем следующую команду, т.е. результат работы Get-Command мы не передаем по конвейеру командлету Measure-Object.
Get-Command -Module ActiveDirectory
Мы видим, что нас появилось 147 командлетов для работы с Active Directory, которые мы теперь можем использовать для администрирования AD.
На этом все, надеюсь, материал был Вам полезен, удачи!
Нравится2Не нравится
Является ли мой компьютер частью домена?
Если у вас есть домашний компьютер, он почти наверняка не является частью домена. Вы можете настроить контроллер домена дома, но нет причин для этого, если вам действительно это не нужно для чего-то. Если вы используете компьютер на работе или в школе, скорее всего, ваш компьютер является частью домена. Если у вас есть портативный компьютер, предоставленный вам на работе или в школе, он также может быть частью домена.
Вы можете быстро проверить, является ли ваш компьютер частью домена. Откройте приложение «Параметры» (Win+x).
Нажмите «Система».
Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:
Если вы видите «Домен»: за которым следует имя домена, ваш компьютер присоединён к домену.
Если вы видите «Рабочая группа»: за которым следует имя рабочей группы, ваш компьютер присоединён к рабочей группе, а не к домену.
В англоязычной версии это соответственно «Settings» → «System» → «About» → «Rename this PC (advanced)».
Используя командную строку (PowerShell) вы также можете узнать, прикреплён ли компьютер к домену или входит в рабочую группу.
Для этого выполните команду (можно за один раз всё скопировать-вставить в окно терминала):
$ComputerSystem = Get-CimInstance -Class Win32_ComputerSystem; $ComputerName = $ComputerSystem.DNSHostName if ($ComputerName -eq $null) { $ComputerName = $ComputerSystem.Name } $fqdn = (::GetHostByName($ComputerName)).HostName $ComputerSystem | Microsoft.PowerShell.Utility\Select-Object ` @{ Name = "ComputerName"; Expression = { $ComputerName }}, @{ Name = "Domain"; Expression = { if ($_.PartOfDomain) { $_.Domain } else { $null } }}, @{ Name = "DomainJoined"; Expression = { $_.PartOfDomain }}, @{ Name = "FullComputerName"; Expression = { $fqdn }}, @{ Name = "Workgroup"; Expression = { if ($_.PartOfDomain) { $null } else { $_.Workgroup } }}
Подробности смотрите в статье: Как в PowerShell узнать, прикреплён ли компьютер к домену или к рабочей группе
Создание снапшота AD через NTDSUTIL
Ntdsutil — это мега мощная утилита по управлению базой данных Active Directory, логично предположить, что она умеет делать моментальные снимки. Открываем командную строку от имени администратора домена и пишем:
ntdsutil
В итоге мы с вами попали в контекст утилиты, о чем говорит знак «:».
Далее переходим в раздел Snapshot, пишем:
snapshot и нажимаем Enter, тем самым попал в раздел «Снимок»
Далее мы подключаемся к текущей базе NTDS:
activate instance ntds
Если все хорошо, то вы увидите статус «активный экземпляр ntds (Active instance set to «ntds»)».
Теперь вы можете создавать снапшоты, для этого используем команду:
create
Если все указано верно, то вы увидите сообщение по типу «Успешно создан набор снимков {e8d656d9-75e7-49fd-8a0b-31a057846b44}»
Чтобы отобразить существующие снимки Active Directory введите:
List All
В итоге будет, что то вроде этого:
снимок: List All
- : 2019/07/22:17:04 {e8d656d9-75e7-49fd-8a0b-31a057846b44}
- : C: {f4b6b2c2-2fa6-435c-a338-96745a60742a}
Вы увидите дату снапшотов, их GUID.
После создания снапшота, вам нужно корректно завершить работу с базой AD, для этого введите:
quit нажимаем Enter quit нажимаем Enter
How to Install Active Directory Users and Computers in Windows 10?
By default, RSAT is not installed in Windows 10 (and other Windows desktop operating systems). Remote Server Administration Tools (RSAT) allows IT administrators to remotely manage roles and components on Windows Server 2020, 2020, 2012 R2, 2012, 2008 R2 from user’s workstations running Windows 10, 8.1, 8 and Windows 7. The RSAT resembles Windows Server 2003 Administration Tools Pack (adminpak.msi) that was installed on clients running Windows 2003 or Windows XP and was used for remote server management. RSAT can’t be installed on computers with the Home editions of Windows. To install RSAT, you must have Professional or Enterprise edition of Windows 10.
Depending on the Windows 10 build, the ADUC console is installed differently.
Installing ADUC in Windows 10 Version 1803 and Below
You can download the latest version of Remote Server Administration Tools for Windows 10 (Version: 1803 1.0, Date Published: 5/2/2018) using the following link .
Tip. As you can see, the RSAT package is available for the latest version of Windows 10 1803. WindowsTH-RSAT_WS_1709 and WindowsTH-RSAT_WS_1803 are used to manage Windows Server 2020 1709 and 1803 respectively. If you are using a previous version of Windows Server 2020 or Windows Server 2012 R2 / 2012/2008 R2, you need to use the WindowsTH-RSAT_WS2016 package.
Справочники
Этот параметр политики определяет, могут ли операторы серверов использоватькоманду для отправки заданий. Если включить этот параметр политики, задания, созданные операторами **** серверов с помощью командного запуска в контексте учетной записи, которая выполняет службу Планиров задач. По умолчанию это учетная запись локальной системы.
Включение этого параметра политики означает, что задания, **** созданные операторами серверов через команду, будут выполняться в контексте учетной записи, которая выполняется этой службой по умолчанию, то есть учетной записи локальной системы. Это означает, что операторы серверов могут выполнять задачи, которые может выполнять учетная запись локальной системы, но операторы серверов обычно не смогут этого сделать, например добавить свою учетную запись в местную группу администраторов.
Влияние включения этого параметра политики должно быть небольшим для большинства организаций. Пользователи, в том числе в группе операторов серверов, по-прежнему смогут создавать задания с помощью мастера планиров задач, но эти задания будут работать в контексте учетной записи, с помощью которых пользователь подает проверку подлинности при настройке задания.
Рекомендации
Передовая практика для этой политики зависит от ваших требований к безопасности и операционным требованиям для планирования задач.
Значения по умолчанию
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
Тип сервера или объект групповой политики | Значение по умолчанию |
---|---|
Default Domain Policy | Не определено |
Политика контроллера домена по умолчанию | Не определено |
Параметры по умолчанию для автономного сервера | Не определено |
Dc Effective Default Параметры | Не определено |
Действующие параметры по умолчанию для рядового сервера | Не определено |
Действующие параметры по умолчанию для клиентского компьютера | Не определено |
NetWrix USB Blocker
NetWrix USB Blocker обеспечивает централизованный контроль доступа, предотвращая несанкционированное использование сменных носителей, подключаемых к USB-портам компьютера (карты памяти, внешние жесткие диски, устройства iPod и др.). Независимо от возможностей антивируса и межсетевого экрана, контроль доступа через USB-порты — важный аспект защиты компьютеров сети. Блокировка USB-устройств защищает сеть от вредоносного ПО, предотвращает кражу секретной корпоративной информации
Решение основывается на встроенных механизмах групповых политик и легко интегрируется в существующую среду. Одним из преимуществ программы является ее простота в установке и настройке.
Скачать: netwrix.com/ru/usb_blocker_freeware.html
DcDiag
Утилиту DcDiag из комплекта Support Tools при обнаружении проблем с DС необходимо запустить в первую очередь. При запуске утилиты без указания параметров запускается 27 тестов указанного DC (на пять больше, чем в Windows 2000).
Ключ /s — задается для целевого контроллера домена;
Можно применить ключ /a для тестирования всех контроллеров домена сайта.
С помощью ключа /e можно протестировать все DС в лесу. В большом лесу необходимо запускать утилиту с ключом /e в период наименьшей загрузки сети и контроллеров домена.
Ключ /dcpromo — новая полезная возможность, позволяющая протестировать настройки серверов домена на предмет готовности стать контроллером домена. Ключ dcpromo единственный, который не работает на контроллерах домена.
Ключ /dnsall — запускает дополнительно все тесты DNS (эти тесты пропускаются при запуске без указания типов тестов).
Ключ /fix разрешает утилите dcdiag исправлять тривиальные ошибки.
Примеры:
тестирование конкретного контроллера домена:
тестирование всех контроллеров домена сайта:
тестирование всех контроллеров домена в лесу:
тестирование всех контроллеров домена в лесу, тесты DNS:
тестирование всех контроллеров домена в лесу, исправление тривиальных ошибок:
Using the Active Directory Administrative Center Windows PowerShell History Viewer
The future of Windows management is Windows PowerShell. By layering graphical tools on top of a task automation framework, management of the most complex distributed systems becomes consistent and efficient. You need to understand how Windows PowerShell works in order to reach your full potential and maximize your computing investments.
The Active Directory Administrative Center now provides a complete history of all the Windows PowerShell cmdlets it runs and their arguments and values. You can copy the cmdlet history elsewhere for study or modification and re-use. You can create Task notes to assist in isolating what your Active Directory Administrative Center commands resulted in Windows PowerShell. You can also filter the history to find points of interest.
The Active Directory Administrative Center Windows PowerShell History Viewer’s purpose is for you to learn through practical experience.
Click the chevron (arrow) to show Windows PowerShell History Viewer.
Then, create a user or modify a group’s membership. The history viewer continually updates with a collapsed view of each cmdlet that the Active Directory Administrative Center ran with the arguments specified.
Expand any line item of interest to see all values provided to the cmdlet’s arguments:
Click the Start Task menu to create a manual notation before you use Active Directory Administrative Center to create, modify, or delete an object. Type in what you were doing. When done with your change, select End Task. The task note groups all of those actions performed into a collapsible note you can use for better understanding.
For example, to see the Windows PowerShell commands used to change a user’s password and remove him from a group:
Selecting the Show All check box also shows the Get-* verb Windows PowerShell cmdlets that only retrieve data.
The history viewer shows the literal commands run by the Active Directory Administrative Center and you might note that some cmdlets appear to run unnecessarily. For example, you can create a new user with:
and do not need to use:
The Active Directory Administrative Center’s design required minimal code usage and modularity. Therefore, instead of a set of functions that create new users and another set that modify existing users, it minimally does each function and then chains them together with the cmdlets. Keep this in mind when you are learning Active Directory Windows PowerShell. You can also use that as a learning technique, where you see how simply you can use Windows PowerShell to complete a single task.
Как работают активные директории
Основными принципами работы являются:
- Авторизация, с помощью которой появляется возможность воспользоваться ПК в сети просто введя личный пароль. При этом, вся информация из учетной записи переносится.
- Защищенность. Active Directory содержит функции распознавания пользователя. Для любого объекта сети можно удаленно, с одного устройства, выставить нужные права, которые будут зависеть от категорий и конкретных юзеров.
- Администрирование сети из одной точки. Во время работы с Актив Директори сисадмину не требуется заново настраивать все ПК, если нужно изменить права на доступ, например, к принтеру. Изменения проводятся удаленно и глобально.
- Полная интеграция с DNS. С его помощью в AD не возникает путаниц, все устройства обозначаются точно так же, как и во всемирной паутине.
- Крупные масштабы. Совокупность серверов способна контролироваться одной Active Directory.
- Поиск производится по различным параметрам, например, имя компьютера, логин.
Объекты и атрибуты
Объект — совокупность атрибутов, объединенных под собственным названием, представляющих собой ресурс сети.
Атрибут — характеристики объекта в каталоге. Например, к таким относятся ФИО пользователя, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.
Процессы Atieclxx, Atiedxx, Ati2evxx – зачем используются и какой утилите принадлежат
Пример:
“Сотрудник” – объект, который обладает атрибутами “ФИО”, “Должность” и “ТабN”.
Контейнер и имя LDAP
Контейнер — тип объектов, которые могут состоять из других объектов. Домен, к примеру, может включать в себя объекты учетных записей.
Основное их назначение — упорядочивание объектов по видам признаков. Чаще всего контейнеры применяют для группировки объектов с одинаковыми атрибутами.
Почти все контейнеры отображают совокупность объектов, а ресурсы отображаются уникальным объектом Active Directory. Один из главных видов контейнеров AD — модуль организации, или OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат только домену, в котором они созданы.
Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) — основной алгоритм подключений TCP/IP. Он создан с целью снизить количество нюанс во время доступа к службам каталога. Также, в LDAP установлены действия, используемые для запроса и редактирования данных каталога.
Дерево и сайт
Дерево доменов – это структура, совокупность доменов, имеющих общие схему и конфигурацию, которые образуют общее пространство имен и связаны доверительными отношениями.
Лес доменов – совокупность деревьев, связанных между собою.
Сайт — совокупность устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность создания n-ного количества сайтов или объединения n-ного количества доменов под одним сайтом.
Базовые сведения
Когда два Windows Server 2003 на основе Windows xp или Windows 2000 компьютеров взаимодействуют по сети, они используют протокол высокого уровня, называемый блоком сообщений сервера (SMB). Команды SMB встроены в транспортные протоколы, такие как Расширенный пользовательский интерфейс NetBIOS (NetBEUI) или TCP/IP. Например, когда клиентский компьютер выполняет команду, отправляется кадр «Установка сеансов SMB и X».
В Windows SMB «Установка сеансов» включает учетную запись пользователя, функцию hash зашифрованного пароля и домена logon. Контроллер домена изучит все эти сведения, чтобы определить, есть ли у клиента разрешения на завершение команды NET USE.
Возможные проблемы
В процессе активации AD и RSAT может возникнуть ряд трудностей, например, заранее не активирована опция запуска программ от имени иного пользователя. К тому же надо помнить, что средство удаленного управления невозможно установить на ПК, работающем на Домашней или Стандартной версии Win 10. Инструмент RSAT удастся добавить только в Корпоративную или Профессиональную ОС.
Находится это средство на сайте «Майкрософт». Разработчики предлагают программы для конкретной версии Win 10. Если тип редакции не указан, нужно использовать RTM (полный выпуск ОС Виндовс) для скачивания RSAT.
Для того чтобы загрузить дополнительные компоненты для работы на удаленном сервере, не нужно искать специальное ПО. Выполнить это действие удастся с помощью Мастера Add Features Wizard. Рекомендуется заранее добавить дублер контроллера домена для предупреждения возможных сбоев в работе.
Установка и настройка удостоверяющего центра
Запустите консоль управления Microsoft (пуск, выполнить, mmc).
Далее нажмите файл, а затем добавить или удалить оснастку.
В левой части нужно выбрать пункт «Сертификаты» и нажать кнопку добавить.
В появившемся окне выбрать пункт учетной записи компьютера.
В следующем окне ничего не меняем и нажимаем кнопку готово. Оснастка добавлена.
В левой части окна можно увидеть папки, в которых хранятся сертификаты (11 штук). Они сортированы по типам сертификатов. Если нажать на папку «Личное» то можно посмотреть сертификаты в этой папке.
Запросим новый ключ, для этого нужно нажать на сертификате и выбрать меню «все задачи», а затем «запросить сертификат с новым ключом».
Появится окно перед началом работы. Жмем далее.
Видим окно запрос сертификатов и нажимаем «заявка».
Запускается процесс установки сертификата. После успешной установки появиться следующая надпись «Состояние: Успешно».
Теперь нам нужно связать сертификат с веб-сервером. Для этого нужно запустить диспетчер служб IIS.
В левой части окна нажать сайты, default web site, изменить привязки.
В появившемся окне нажмите добавить и введите данные как на изображении ниже.
Сохраните изменения и закройте окно.
Для проверки работоспособности Центра сертификации запустите браузер Internet Explorer и в строке навигации наберите адрес «https://192.168.0.1/certsrv/» (ip-адрес может отличаться от того, который указали вы).
Обновление офисного пакета и операционной системы
Обновления программ для печати, таких как «Ворд» и «Ексель» не будет лишним в нашей ситуации. А установка последних обновлений для ОС должна стать привычным делом пользователя. Но ее можно настроить и на автоматическую работу. Как показывает практика, отсутствие критических пакетов обновлений часто бывает причиной недоступности службы «Актив Директори».
- Для обновления «Microsoft Office» откройте документ Word или Excel. Перейдите в меню «Файл» и в конце найдите ярлык «Спавка», а потом нажмите на «Проверить наличие обновлений». Следуйте инструкциям мастера установки.
- Для настройки обновлений самой «Виндовс» в панели управления найдите раздел «Центр обновлений». Зайдите туда и выполните поиск новых пакетов. При наличии таких произведите их инсталляцию.
Чем рабочие группы отличаются от доменов
Рабочая группа — это термин Microsoft для компьютеров Windows, подключённых через одноранговую сеть. Рабочие группы — это ещё одна организационная единица для компьютеров Windows в сети. Рабочие группы позволяют этим машинам обмениваться файлами, доступом в Интернет, принтерами и другими ресурсами по сети. Одноранговая сеть устраняет необходимость в сервере для аутентификации.
Каждый компьютер Windows, не присоединённый к домену, является частью рабочей группы. Рабочая группа — это группа компьютеров в одной локальной сети. В отличие от домена, ни один компьютер в рабочей группе не контролирует другие компьютеры — все они объединены на равных. Для рабочей группы пароль также не требуется.
Рабочие группы использовались для общего доступа к домашним файлам и принтерам в предыдущих версиях Windows. Теперь вы можете использовать домашнюю группу чтобы легко обмениваться файлами и принтерами между домашними ПК. Рабочие группы теперь переведены в фоновый режим, поэтому вам не нужно о них беспокоиться — просто оставьте имя рабочей группы по умолчанию WORKGROUP и настройте общий доступ к файлам домашней группы.
Есть несколько различий между доменами и рабочими группами:
- В доменах, в отличие от рабочих групп, могут размещаться компьютеры из разных локальных сетей.
- Домены могут использоваться для размещения гораздо большего числа компьютеров, чем рабочие группы. Домены могут включать тысячи компьютеров, в отличие от рабочих групп, у которых обычно есть верхний предел, близкий к 20.
- В доменах имеется по крайней мере один сервер — это компьютер, который используется для управления разрешениями и функциями безопасности для каждого компьютера в домене. В рабочих группах нет сервера, и все компьютеры равноправны.
- Пользователям домена обычно требуются идентификаторы безопасности, такие как логины и пароли, в отличие от рабочих групп.
Что нужно для Active Directory
Active Directory можно включить на компьютерах с Windows Server. На не серверных компьютерах (например, с Windows 10), можно установить и включить Active Directory Lightweight Directory Services, то есть средства удалённого администрирования сервера: средства доменных служб Active Directory и служб облегчённого доступа к каталогам. Они предоставляют сервер LDAP (Lightweight Directory Access Protocol, облегчённый протокол доступа к каталогам). Он работает как служба Windows и предоставляет каталог для аутентификации пользователей в сети. Это лёгкая альтернатива полноценному серверу Active Directory, которая будет полезна только в определённых бизнес-сетях.
NetWrix Server Configuration Change Reporter
Server Configuration Change Reporter — бесплатный инструмент для автоматического аудита и создания отчетов по всем изменениям в конфигурациях серверов: в аппаратных устройствах, драйверах, ПО, службах, сетевых настройках и пр. Решение централизованно контролирует группу серверов и ежедневно отправляет итоговые отчеты со всеми обнаруженными за последний день изменениями. Новые устройства, обновления драйверов, изменения в службах и приложениях — ни одна модификация не останется незамеченной, независимо от того, кто и как ее сделал. Достаточно установить Server Configuration Change Reporter, и вам останется лишь получать ежедневные отчеты обо всех изменениях, сгруппированных по именам серверов.
Скачать: netwrix.com/windows_server_auditing.html
Основные команды csptest.exe¶
Просмотр списка контейнеров закрытых ключей
Список контейнеров выводится с помощью параметра :
csptest.exe -keyset -enum_cont -verifycontext -fqcn
Для просмотра списка контейнеров на съемных носителях используется параметр . В данном случае не будут показаны ключи, установленные в реестр:
csptest.exe -keyset -enum_cont -verifycontext -fqcn -machinekeys
Пример вывода команды:
CSP (Type75) v3.6.5365 KC1 Release Ver3.6.7777 OSWindows CPUIA32 FastCodeREADYSSE2. AcquireContext OK. HCRYPTPROV 2433328 \\.\REGISTRY\2015ZAO_ \\.\Aktiv Co. ruToken \86425052@2015-02-11-ЗАО ПФ СКБ Контур \\.\Aktiv Co. ruToken \2015ZAO \\.\FAT12_H\2015ZAO_flash \\.\FAT12_H\2015ZAO_2 OK. Total SYS ,609 sec USR ,234 sec UTC 4,688 sec ErrorCode 0x00000000
Примечание
Флешки и дискеты обозначаются как , где и буква, присвоенная съемному носителю.
Носитель будет отображен данной командной только в том случае, если на нем есть контейнеры.
Копирование контейнера
Копирование контейнера осуществляется с помощью параметра :
csptest.exe -keycopy -src «Имя исходного контейнера» -pinsrc=пароль -dest «Имя конечного контейнера» -pindest=пароль
- — имя контейнера. Имена контейнеров уникальны, поэтому можно не указывать путь к носителю, КриптоПро сама найдет путь к контейнеру.
- — имя скопированного контейнера, оно должно отличаться от исходного имени. Так же можно указать путь к контейнеру, например, если указать , то контейнер будет скопирован на флэшку. Если не указать путь к носителю, а просто задать название контейнеру, то крипто про выведет графический диалог выбора носителя для копирования.
- — пароль от исходного контейнера, если пинкода нет, то данный параметр можно не указывать.
- — пароль на скопированный контейнер. Чтобы подавить графический диалог установки пароля при автоматическом копировании контейнеров, можно указать пустой пароль, выполнив
Например, рассмотрим копирование контейнера с рутокена в реестр:
csptest.exe -keycopy -src 2015ZAO -pinsrc=12345678 -dest "\\.\REGISTRY\2015ZAO_3" -pindest=""
Примечание
Аналогичная ситуация с рутокенами, в данном случае программа не различает понятия пароль и пин-код. Т.е. чтобы скопировать контейнер с рутокена на носитель можно команде присвоить стандарнтный пин-код от Рутокена . В таком случае не будет выводиться запрос на ввод пин-кода Рутокена.
Копирование на Рутокен
К сожалению, копирование контейнера на Рутокен работает не совсем гладко. Если параметру указать значение , то будет выведено пустое окно КриптоПро для выбора ключевого носителя.
В данном случае лучше передать параметру просто название контейнера, без указания пути к носителю, но тогда при копировании каждого контейнера будет появляться уже не пустое окно КриптоПро для выбора ключевого носителя, в котором надо будет вручную выбирать нужный Рутокен.
С другой стороны, такое поведения достаточно удобно при копировании большого числа контейнеров на разные Рутокены. Можно контролировать заполненность носителя.
csptest.exe -property -cinstall -cont "Имя контейнера"
Использование AD Explorer
AD Explorer, это один из полезнейших инструментов Active Directory, является часть знаменитого сборника Sysinternals.
Скачать AD Explorer https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer
Это на мой взгляд самый удобный из бесплатных инструментов, по просмотру атрибутов вашего AD. Запускаем утилиту, для того чтобы создать новый снапшот, вам нужно выбрать раздел контекста именования имен, после чего открыть меню «File» и выбрать там пункт «Create Snapshot».
У вас откроется окно «Snapshot Active Directory», где вам необходимо задать имя снапшота и название файла, сохраняемого вами в нужное расположение, обратите внимание, что он будет иметь формат dat
Обратите внимание, что полученный файл со снимком Active Directory раз в 10 меньше по размеры, чем сам файл NTDS.DIT
Далее вы скопировали данный файл и хотели бы его потом просмотреть, что вы делаете. Открываете снова AD Explorer, но уже выбираете пункт «Enter the path of a previous snapshot to load», где вы указываете путь до вашего файла dat.
После того, когда все выбрано правильно нажимаем «Ok».
В итоге мы видим, что снимок успешно подключен, вы видите схему, конфигурацию и контекст именование имен. Теперь вы можете его исследовать, права доступа, членства в группах, свойства атрибутов и многое другое, согласитесь, что очень удобно.
Еще одной классной функцией AD Explorer является возможность сравнивать снапшоты на предмет расхождений. Предположим вы сняли снапшот неделю назад, Active Directory живет своей жизнью, вдруг у вас что то ломается, аудит AD не всегда позволяет быстро найти изменение, но сделав новый моментальный снимок вы можете его легко сравнить с предыдущим и понять, что именно было исправлено и где. Для демонстрации я создам новое организационное подразделение Managers, а так же исключу пользователя Барбоскина Геннадия Викторовича из групп администраторов. Делаю новый снапшот в AD Explorer. Теперь когда у вас есть два снапшота, можно попытаться их сравнить, для этого подключитесь, как показано выше к первому снапшоту, далее выберите в меню «Compare — Compare Snapshot».
В поле «Select an archive to compare to: выберите вас второй снимок.
Нажимаем кнопку «Compare»
Обратите внимание, что у вас есть возможность более избирательно задать какие изменения искать
На выходе вы получите сводный список с подробной картой изменений. Так например мы видим, OU Managers, и у нее статус, что она отсутствует на первом снимке (Object missing in first).
Вот пример того, что изменилось членство в группе Администраторы схемы, видно, что на втором снимке нет Геннадия Викторовича Барбоскина. Вот таким образом вы можете сравнить изменения между двумя снимками Active Directory.