Впервые функционал контроллера домена, доступного только на чтение (RODC — read-only domain controller), был представлен в Windows Server 2008. Основная цель RODC контроллера домена — возможность безопасной установки собственного контролера домена в удаленных филиалах и офисах с плохими WAN (далее…)
Метка: Windows Server 2019
-
Обновление членства в группах AD без перезагрузки/перелогина
После добавления учетной записи компьютера или пользователя в группу безопасности Active Directory, новые полномочия доступа к ресурсам или новые GPO применяются не сразу. Чтобы обновить членство в группах и применить назначенные права/политики, нужно перезагрузить компьютер или перелогиниться в (далее…)
-
Как создать, изменить или удалить параметр реестра через GPO?
В этой статье мы рассмотрим, как с помощью групповых политик (GPO) централизованно создавать, изменять значения, импортировать и удалять любые ключи и параметры реестра на компьютерах домена.
Для управления параметрами реестра в групповых политиках есть специальные расширения — предпочтения (далее…)
-
Установка сертификата на компьютеры AD с помощью групповых политик
С помощью групповых политик Windows вы можете централизованно установить определенный сертификат на все компьютеры домена, добавив его в хранилище доверенных корневых сертификатов каждого компьютера. Это может понадобиться, когда вы развертываете собственный Certification Authority (CA) и вам нужно (далее…)
-
Автоматическое добавление полезной информации в описание компьютеров в Active Directory
В описании объектов типа “Компьютер” в Active Directory можно хранить различную полезную информацию. Например, информацию о модели компьютера или имя пользователя, который работает на этом компьютере. В этой статье мы рассмотрим, как автоматически добавлять и обновлять информацию в поле Description (далее…)
-
Как разрешить обычным пользователям RDP доступ к Windows Server?
По умолчанию удаленный RDP доступ к рабочему столу рядовых серверов с Windows Server или к контроллерам домена Active Directory разрешен только пользователям, добавленных в локальную группу Administrators, или администраторам домена (Domain Admins). В этой статье мы покажем, как предоставить RDP (далее…)
-
Команда GPResult: диагностика результирующих групповых политик
Утилита командной строки GPResult.exe используется для получения результирующего набора групповых политик (Resultant Set of Policy, RSOP), которые применяются к пользователю и/или компьютеру в домене Active Directory. Gpresult позволяет вывести список доменных политик (GPO), которые применяются на (далее…)
-
Ищем источник блокировки учетной записи пользователя в Active Directory
В этой статье мы покажем, как отслеживать события блокировки учетных записей пользователей на котроллерах домена Active Directory, определять с какого компьютера и из какой конкретно программы постоянно блокируется учетная запись. Для поиска источника блокировки аккаунтов пользователей можно (далее…)
-
Используем сервисные учетные записи AD (MSA и gMSA) для запуска сервисов и заданий Windows
Для безопасного запуска служб, приложений и заданий планировщика на серверах и рабочих станциях домена Active Directory можно использовать управляемые учетные записи служб (Managed Service Accounts – MSA). MSA – это специальный тип учетной записи, для которых AD генерирует сложный пароль (240 (далее…)
-
Использование WMI фильтров групповых политик (GPO) в домене AD
WMI фильтры групповых политики позволяют создать дополнительные условия, в которых определяются параметры компьютеров, к которым нужно нужно применять настройки GPO. Например, с помощью WMI фильтра вы можете применить политику к компьютерам с определенным версией Windows; с определенными (далее…)