WebCon

Wyświetlanie użytkowników, którzy nie zmienili hasła

Wiedza dotycząca zarządzania polityką haseł w domenie Windows Server jest bardzo ważnym aspektem funkcjonowania każdej organizacji i firmy. Temat ten postaramy się wkrótce szerzej opisać. Dziś natomiast zaprezentujemy kilka rad w jaki sposób uprościć sobie zarządzanie użytkownikami mającymi problemy z okresową zmianą hasła. Dokładniej to postaramy się pokazać w jaki sposób takich usków skutecznie wyszukać.

Pierwszym ułatwieniem będzie dodatkowa zakładka w strukturze Active Directory zawierająca informację o ostatnich zmianach hasła. W tym celu konieczne jest zainstalowanie dodatku Windows 2003 Resource Kit Support Tools a następnie zarejestrowanie dll'ki acctinfo.dll w systemie. W tym celu wpisujemy polecenie:
regsvr32 %systemroot%\system32\
Dzięki temu zostanie dodana nowa zakładka zawierająca te informacje.


W miejscu tym istnieje możliwość szybkiego wglądu do podstawowych informacji dotyczących zmian hasła przez danego użytkownika.

Druga opcja jest jeszcze skuteczniejsza. Pozwala stworzyć listę, użytkowników którzy nie zmienili hasła przez daną ilość dni. Rozwiązanie proste jednak wielce przydatne i nawet bardziej polecane niż powyższe. Wystarczy bowiem wpisać poniższe polecenie by uzyskać listę użytkowników, którzy nie zmienili hasła.
Oto i ono:
DSQUERY USER -o DN -STALEPWD LICZBA_DNI

Źródło: Forum wss.pl, Screen: Petri.co.il

Etykiety: Active Directory, Administracja

autor: Pientka @ 16:01 Komentarze (0)

Warto mieć #13: Świetna literatura dostępna online

Ostatnimi czasy sporo czasu poświęcam na uzupełnianiu wiedzy na temat domeny, Active Directory oraz wszystkiego związanego z lasami domen. W poszukiwaniach tych przebyłem sporo zapytań w Google oraz sporo testów na wirtualnych maszynach. Dziś jednak pragnę wam polecić dwie książki dostępne online dotyczące Active Directory, na które się natchnąłem podczas moich poszukiwań. Obie książki są możliwe do przeglądania poprzez przeglądarkę i obie odnoszą się nieco innych tematów związanych z AD.

Pierwszy tytuł - Active Directory Bible omawia bardzo szczegółowo tematykę domeny w środowisku Windows Server 2003. Dużą zaletą tego tytułu (w moim subiektywnym odczuciu) jest spora liczba instrukcji "How to" pozwalających łatwiej uporać się z podstawowymi problemami początkującego administratora. Tytuł jest bardzo obszerny i warto posiadać go zapisanego w zakładkach/ulubionych swojej przeglądarki. Tytuł gorąco polecam!
>>> Active Directory Bible

Drugi tytuł nie jest klasycznym przewodnikiem po danym temacie. Skupia się on na replikacji i zarządzaniu bazą Active Directory. Szerzej opisuje podstawy konfiguracji lasu serwerów w domenie poprzez instrukcje opisujące w jaki sposób należy konfigurować takie usługi jak DHCP oraz DNS. Dodatkowo książka zawiera spory zbiór rozwiązań najczęściej pojawiających się błędów i problemów. Mimo, że objętościowo jest znacznie mniejsza od wcześniej opisanej "biblii" tytuł jest bardzo przydatny.
>>> Microsoft Active Directory Storage and Replication Impact

Etykiety: Active Directory, eLearning, Książki

autor: Pientka @ 09:52 Komentarze (0)

Event ID: 6702 - DNS nie mogący skojarzyć się z Active Directory

Po raz kolejny zatrzymujemy się by przeanalizować zawartość "Dziennika zdarzeń" naszego serwera. Tym razem pod lupę, na krótką chwilę weźmiemy błąd oznaczony numerem 6702. Błąd ten, gdy już występuje zazwyczaj nie daje o sobie zapomnieć i co chwila zasypuje logi.

Można więc się lekko przestraszyć widząc same "czerwone" wpisy. Zwłaszcza gdy zobaczy się treść jaką opisuje występujący problem:
Event Type: Error Event Source: DNS Event Category: None Event ID: 6702 Date: 2008-11-14 Time: 08:46:53 User: N/A Computer: TEMPLATE Description: DNS server has updated its own host (A) records. In order to ensure that its DS-integrated peer DNS servers are able to replicate with this server, an attempt was made to update them with the new records through dynamic update. An error was encountered during this update, the record data is the error code. If this DNS server does not have any DS-integrated peers, then this error should be ignored. If this DNS server's Active Directory replication partners do not have the correct IP address(es) for this server, they will be unable to replicate with it. To ensure proper replication: 1) Find this server's Active Directory replication partners that run the DNS server. 2) Open DnsManager and connect in turn to each of the replication partners. 3) On each server, check the host (A record) registration for THIS server. 4) Delete any A records that do NOT correspond to IP addresses of this server. 5) If there are no A records for this server, add at least one A record corresponding to an address on this server, that the replication partner can contact. (In other words, if there multiple IP addresses for this DNS server, add at least one that is on the same network as the Active Directory DNS server you are updating.) 6) Note, that is not necessary to update EVERY replication partner. It is only necessary that the records are fixed up on enough replication partners so that every server that replicates with this server will receive (through replication) the new data. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Problem wydaje się być poważny jednak tak naprawdę nie niesie ze sobą żadnych problemów z funkcjonowaniem usług, o których wspomina to jest DNSu i Active Directory. Sytuacja wydaje się więc nieco dziwna :) I taka też jest ;)

Okazuje się powiem, że system Windows Server 2003 nie jest w stanie skojarzyć usługi DNS z domeną, którą nie może z całą pewnością zaklasyfikować jako lokalną. Sytuacja taka występuje gdy w nazwie naszej domeny nie używamy formy NAZWA_DOMENY.local lub też używamy domeny NAZWA_DOMENY.pl lub nazwę jednoczłonową NAZWA_DOMENY. Sytuacja jest więc nieco głupia co szerzej opisano również na stronach wsparcia technicznego Microsoftu. Z przytoczonego wcześniej artykułu wynika jasno, że możemy ten błąd świadomie zignorować. Docelowo problem ten powinien zostać rozwiązany w kolejnym zbiorze poprawek do systemu Windows Server 2003. Kiedy to nastąpi? Tego nie wiedzą nawet najstarsi górale ...

Etykiety: Active Directory, Administracja, Błędy, DNS

autor: Pientka @ 09:52 Komentarze (0)

Event ID: 1126 - Problem z dostepem do Global Catalog

Kilka ostatnich dni spędzam na walce z domenami oraz subdomenami w strukturze Active Directory. Jako, że temat staram się zgłębić dosyć mocno musiały pojawić się i problemy. Skoro nie wszystko działa prawidłowo pierwsze swe kroki skierowałem do EventLoga (Dziennika Zdarzeń). Stąd i dzisiejszy post.

Po tym przydługawym wstępie przechodzę do bardzo krótkiej solucji dla tego błędu. Komunikat na jaki natrafiamy brzmi:
Active Directory was unable to establish a connection with the global catalog. Additional Data Error value: 1355 The specified domain either does not exist or could not be contacted. Internal ID: 3200d33 User Action: Make sure a global catalog is available in the forest, and is reachable from this domain controller. You may use the nltest utility to diagnose this problem. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
W sumie już sama treść mówi nam co zrobić jednak nakieruję was nieco, bo i sam szukałem rozwiązania w sieci.
Otwieramy Active Directory Sites and Services w Administrative Tools. W wyświetlonym oknie rozwijamy:
Sites -> Default-First-Site-Name -> Servers -> Nazwa_SERWERA -> NTDS Settings.
Wybieramy właściwości ostatniego pola i w zakładce General zaznaczamy opcję Global Catalog.

Rozwiązanie to włącza Global Catalog i zarazem usuwa problem z łącznością z nim.

>>> Więcej przykładowych rozwiązań

Etykiety: Active Directory, Administracja, Błędy

autor: Pientka @ 10:53 Komentarze (0)

BASICS: Dodawanie komputera do domeny

Drugi odcinek serii artykułów dla początkujących. Tym razem opiszemy w jaki sposób należy dodać komputer do domeny w środowisku opartym o Windows Server. Oczywiście chcąc korzystać z dobrodziejstw zintegrowanego systemu z domeną najlepiej komputer dodać do domeny przed udostępnieniem go użytkownikowi. Zaoszczędzi nam to późniejszym problemów z przenoszeniem skonfigurowanego, lokalnego profilu danego użytkownika do domeny.

1. Pierwszym krokiem jest oczywiście utworzenie konta użytkownika w Active Directory. Dodajemy więc nowe konto oraz je konfigurujemy.
2. Logujemy się na konto Administracyjne do systemu.Zazwyczaj konto domyśle jest kontem administracyjnym, warto to jednak wcześniej sprawdzić.
3 . W tym momencie pozostaje nam już otworzenie właściwości sytemu operacyjnego, zakładkę Nazwa komputera.

W oknie tym wybieramy przycisk Zmień. W nowo wyświetlonym oknie podajemy nazwę domeny i wybieramy OK. Warto również wprowadzić jakąś rozpoznawalną nazwę dla komputera, np. ImięNazwisko użytkownika.

W tym momencie komputer spróbuje skomunikować się z kontrolerem domeny (wymagana komunikacja). Gdy uda mu się połączyć wymagana będzie autoryzacja polegająca na zalogowaniu się danymi użytkownika domenowego. Gdy kontroler domeny autoryzuje nas pojawi się komunikat "Witaj w domenie NazwaDomeny".
4. Ostatnim krokiem jaki nam pozostał jest ponowne uruchomienie komputera i podczas logowania wybranie logowania do domeny.


Powyżej opisany proces jest może niezbyt skomplikowany, jednak przy większej ilości komputerów mających być dodanych do domeny może to być bardzo mozolne działanie. Poniżej prezentujemy w jaki sposób można powyższą metodę nieco usprawnić.
A mianowicie można napisać prosty skrypt dodający komputer do domeny. Do poniższego przykładu konieczne jest posiadanie w folderze skryptu pliku netdom.exe z opisanego miesiąc temu przez nas zestawu. Prosty skrypt może wyglądać tak
NETDOM JOIN %computername% /Domain:NAZWADOMENY /UserD:NAZWAADMINA /PasswordD:HASŁOADMINA /REBoot
Wystarczy powyższy skrypt dostosować do swojej domeny i zapisać w pliku .bat. Po uruchomieniu skryptu komputer zostanie dodany do zdefiniowanej domeny i uruchomi się ponownie po 30 sekundach. Prawda, że prościej ;)

Etykiety: Active Directory, BASICS

autor: Pientka @ 16:13 Komentarze (0)

Warto mieć #5: Windows XP Support Tools

Kolejny wartościowy dodatek dla każdego administratora sieci Windows Server. Tym razem przeznaczony jest dla Windowsa XP. Windows XP Support Tools jest zestawem wielu narzędzi pozwalających na zarządzanie komputerem z systemem Windows Xp. Między innymi zawiera on:
-bitsadmin.exe
-extract.exe
-httpcfg.exe
-iadstools.dll
-ipseccmd.exe
-netdom.exe
-replmon.exe

Nie będziemy się tu zagłębiać w działanie każdego z tych narzędzi, do tego jest dokumentacja nazwa polecenia /?, natomiast polecić możemy szczególnie program netdom.exe. Jest on szczególnie pomocny podczas zarządzania komputerami w domenie. Pozwala na tworzenie bardzo małych i prostych skryptów do dodawania komputerów do domeny czy też zmieniania nazw tych komputerów. Funkcjonalności ma oczywiście znacznie więcej. Zachęcamy was do zapoznania się z tymi aplikacjami.

>>> Pobierz Windows XP Support Tools

Etykiety: Active Directory, Administracja, Warto mieć, Windows XP

autor: Pientka @ 13:31 Komentarze (0)

Warto mieć #3: Domain Rename Tool

Kolejnym darmowym narzędziem, które będziemy wam polecać jest tytułowy Domain Rename Tool. Jest to darmowy mały, ale wielce przydatny program stworzony przez Microsoft. Pozwala on jak sama nazwa mówi na zamianę nazwy domeny Active Directory. W wstępnym etapie konfiguracji narzędzie to jest wielce przydatne. Pozwala ono na bezpieczną zmianę nazwy domeny DNS lub NetBios dla korzenia lasu bez konieczności tworzenia nowej domeny. Po dokonanych zmianach nie zmienia się GUID a także SID (Security ID), co dodatkowo ułatwia stosowanie tego programu.

Oczywiście proces zmiany nazwy domeny nie jest operacją prostą i należy o tym pamiętać. Przed decyzją o rozpoczęciu procesu zmiany nazwy domeny zalecam zapoznać się z problemami jakie niesie ze sobą dokonanie takiej operacji. Więcej w tym temacie przeczytacie w tym artykule.
Rozwiązanie to jest wbudowane w platformę Windows Server 2008.

>>> Pobierz program
>>> Pobierz instrukcję - How it works (ang)
>>> Pobierz instrukcję - User guide (ang)

Etykiety: Active Directory, Administracja, Warto mieć

autor: Pientka @ 14:29 Komentarze (0)