Linux и Windows

Метка: Active Directory

  • Настройка двухфакторной аутентификации (2FA) в Windows с помощью MultiOTP

    В этой статье мы покажем, как внедрить двухфакторную аутентификацию пользователей в домене Windows с помощью open source продукта multiOTP. MultiOTP эта набор php скриптов и утилит, который реализует протокол OATH для HOTP/TOTP (Time-based One Time Password). Возможно использовать как в Windows, (далее…)

  • Получить список версий и билдов Windows в домене Active Directory

    В статье рассмотрим несколько способов инвентаризации версии и билдов Windows (особенно актуально это для Windows 10) в домене Active Directory. Если у вас средств автоматизации сбора конфигураций компьютеров, например SCCM, GLPI c FusionInventory, или хотя бы сервер обновлений WSUS (он также позволяет показать версию Windows на обнаруженных компьютерах), вы можете использовать PowerShell скрипт для получения билдов Windows на компьютерах.

    На отдельно-стоящем компьютере Windows можно получить номер билда из реестра или из SystemInfo:

    Get-ItemProperty 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersion' | Select-Object ProductName, ReleaseID, CurrentBuild

    Get-ComputerInfo | select WindowsProductName, WindowsVersion, OsHardwareAbstractionLayer

    Для получения списка активных компьютеров в домене Active Directory и версий (билдов) Windows на них можно использовать командлет Get-ADComputers.

    Не забывайте периодически отключать и удалять неактивные учетные записи компьютеров в домене.

    Убедитесь, что на вашем компьютере установлен модуль Active Directory PowerShell и выполните команду:

    Get-ADComputer -Filter {(Enabled -eq $True)} -Property * | Select-Object Name,OperatingSystem,OperatingSystemVersion

    Чтобы преобразовать номер билда Windows 10 и 11 в более привычный формат (21H1, 21H2 и т.д.), нужно использовать дополнительную функцию.

    function ConvertWindowsBuild{
    [CmdletBinding()]
    param(
    [string] $OperatingSystem,

    [string] $OperatingSystemVersion
    )
    if (($OperatingSystem -like '*Windows 10*') –or ($OperatingSystem -like 'Windows 11*')) {
    $WinBuilds= @{
    '10.0 (22000)' = "Windows 11 21H2"
    '10.0 (19044)' = "Windows 10 21H2"
    '10.0 (19043)' = "Windows 10 21H1"
    '10.0 (19042)' = "Windows 10 20H2"
    '10.0 (18362)' = "Windows 10 1903"
    '10.0 (17763)' = "Windows 10 1809"
    '10.0 (17134)' = "Windows 10 1803"
    '10.0 (16299)' = "Windows 10 1709"
    '10.0 (15063)' = "Windows 10 1703"
    '10.0 (14393)' = "Windows 10 1607"
    '10.0 (10586)' = "Windows 10 1511"
    '10.0 (10240)' = "Windows 10 1507"
    '10.0 (18898)' = 'Windows 10 Insider Preview'
    }
    $WinBuild= $WinBuilds[$OperatingSystemVersion]

    }
    else {$WinBuild = $OperatingSystem}
    if ($WinBuild) {
    $WinBuild
    } else {
    'Unknown'
    }
    }

    Теперь, чтобы получить список версий Windows с названиями билдов, IP адресами, и датой последнего входа (регистрации) компьютера в домене, выполните следующий PowerShell скрипт:

    $Comps= Get-ADComputer -Filter {(Enabled -eq $True)} -properties *
    $CompList = foreach ($Comp in $Comps) {
    [PSCustomObject] @{
    Name = $Comp.Name
    IPv4Address = $Comp.IPv4Address
    OperatingSystem = $Comp.OperatingSystem
    Build = ConvertWindowsBuild -OperatingSystem $Comp.OperatingSystem -OperatingSystemVersion $Comp.OperatingSystemVersion
    LastLogonDate = $Comp.LastLogonDate
    }
    }
    $CompList | Out-GridView

    Результат предоставлен в виде таблицы Out-Gridview либо экспортировать в CSV ( Export-Csv -Path .win_builds_report.csv -NoTypeInformation ).

    Чтобы вывести суммарную статистику по количеству компьютеров с разными версиями Windows в домене:

    $CompList | Group-Object -Property Build | Format-Table -Property Name, Count

    Также можно удаленно опрашивать компьютеры и получить версию Windows на них через PowerShell Remoting. Этот метод намного более медленный, но позволить получить версию Windows на компьютерах, которые находятся в рабочей группе (как через PSRemoting удаленно подключиться к компьютеру в рабочей группе). Для получения информации с удаленных компьютеров можно использовать командлет Invoke-Command:

    Invoke-Command -ScriptBlock {Get-ItemProperty 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersion' | Select-Object ProductName, ReleaseID, CurrentBuild} -ComputerName wsk-w10BO1| Select-Object PSComputerName,ProductName, ReleaseID, CurrentBuild

    Можно получить версию Windows на нескольких компьютеров по списку из txt файла:

    Invoke-Command –ComputerName (Get-Content c:pscomps.txt) -ScriptBlock {Get-ItemProperty 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersion' | Select-Object ProductName, ReleaseID, CurrentBuild}|Select-Object PSComputerName,ProductName, ReleaseID, CurrentBuild

    С помощью рассмотренных PowerShell скриптов вы сможете определить версии и билды Windows на компьютерах домена, найти компьютеры с устаревшими билдами Windows 10 и обновить их (пример обновления билда Windows 10 из командной строки).

  • Корректное удаление контроллера домена в Active Directory

    В этой статье мы рассмотрим процедуры корректного удаления контроллера домена Active Directory на Windows Server 2022/2019/2016/2012R2. Обычно при удалении контроллера домена рассматривается один из сценариев:

    Содержание:

  • Оптимизации доставки (Delivery Optimization) обновлений Windows в локальной сети

    Функцию оптимизации доставки (Windows Update Delivery Optimization, WUDO) в Windows 10 можно использовать для более эффективного распространения обновлений Windows (полученных через Windows Update или WSUS), и пакетов Configuration Manager в корпоративной сети с множеством сайтов/филиалов. (далее…)

  • Создаем структуру OU в Active Directory с помощью PowerShell

    Довольно часто администратору Active Directory при создании новых организационных единиц (OU — Organizational Units) нужно сразу создать определенную структуру вложенных контейнеров внутри новой OU. Например, при открытии нового филиала вам нужно создать в новом OU контейнеры для пользователей, (далее…)

  • Групповые политики: запуск скрипта только один раз

    Логон (логоф) скрипты групповых политик позволяют запустить bat или PowerShell скрипт при загрузке компьютера или входе (выходе) пользователя. В некоторых случаях администратору нужно, чтобы определенный скрипт (команда) запускались для каждого пользователя или компьютера только один раз, и не (далее…)

  • Управление групповыми политиками (GPO) в Active Directory с помощью PowerShell

    Основной классический инструмент для управления групповыми политиками (GPO) в домене Active Directory — графическая консоль Group Policy Management Console (gpmc.msc). Однако для автоматизации и повышения эффективности некоторых задач управления GPO в Active Directory, вы можно использовать (далее…)

  • Не загружается контроллер домена: ошибка 0xc00002e2

    После аварийного отключения физического сервера с ролью контроллера домена Active Directory при загрузке сервера столкнулись с BSOD ошибкой stop code 0x00002e2. Данная ошибка указывает на то, что база Active Directory (файл NTDS.DIT) повреждена. В этой статье мы разберемся, как исправить файл (далее…)

  • Логирование входа (аутентификации) пользователей и компьютеров в домене в базу MSSQL

    Давным-давно, еще во времена Windows Server 2003, у меня возникла необходимость логировать информацию о входах пользователей на компьютеры домене в удобном виде. Тогда задача решалась простым батник, который запускался как логон скрипт в GPO. Батник записывал в блокнот логин пользователя, имя (далее…)

  • Назначение лицензий пользователям в Microsoft 365 (AzureAD) с помощью PowerShell

    В этой статье мы рассмотрим управление лицензиями (подписками) у пользователей в Microsoft 365 (Office 365) с помощью PowerShell. Рассмотрим, как назначить или удалить лицензию, получить статистку по назначенным лицензиям и настроить автоматическое назначение лицензий с помощью групп Azure.

    Вы (далее…)