Анализ AD паролей


Для анализа безопасности паролей в Active Directory нужно выгрузить хэши паролей и потом прогонять их через специальные программы, которые делают проверки на «хорошо известные» пароли и пытаются взломать хэши. Здесь пойдет речь о простейшем способе выгрузки хэшей паролей. Читать далее

Изменения в применении групповых политик GPO


С появлением обновления безопасности KB3163622 могут возникнуть проблемы с применением групповых политик. Суть в том, что фильтрация применения GPO, основанная на учетных записях пользователей (и группах пользователей), работать не будет. В то же время для GPP фильтрация Item-Level Targeting будет работать как и прежде.

Подробнее у Дмитрия Разборнова

И в статьях KB3163622 и KB3159398

Скрипт для поиска проблемных GPO

Централизованная система управления паролями встроенных учётных записей администраторов


Долгое время у администраторов корпоративных сетей на базе Active Directory существовала головная боль по поводу встроенных административных локальных учётных записей (Built-In Administrator) и их паролей. Читать далее

Скрипт инвентаризации структуры DFS


Distributed File System (DFS) достаточно удобная вещь для консолидации ресурсов файловых серверов. По мере разрастания структуры DFS становится актуальным её аудит и очистка от мусора. Читать далее

Sharepoint Server 2013 и группы Active Directory


Чем проще ситуация, тем иной раз дольше соображаешь, как с ней справиться. Вот на днях нужно было настроить доступ к ресурсу на Sharepoint Server 2013 для пользователей, которые внесены в группу Active Directory. Вообще для Sharepoint предоставление доступа на основе групп AD рекомендуется при большом количестве пользователей: это увеличивает производительность. После настройки доступа и проверки, что он работает, прошло какое-то время, и от пользователей пришла жалоба: «Нет доступа». Выясняется странная ситуация: у части пользователей доступ есть, у части пользователей доступа нет. Причём все они в группе AD присутствуют. Читать далее

Powershell – установка флага защиты от удаления в Active Directory


При запуске на домен-контроллере BPA (Best Practice Analyzer) и получил предупреждение: «All OUs in this domain should be protected from accidental deletion».

Логично и полезно. Только как разобраться среди сотен OU, где настройка стоит, а где нет? Оказывается это легко сделать с помощью Powershell. Читать далее

Exchange Server и SIDHistory


При миграции из одного леса в другой традиционно используется специальный инструмент – ADMT. Так как ресурсы, к которым имеют доступ пользователи мигрируются на втором этапе после миграции учётных записей, то для сохранения доступа к ещё несмигрированным ресурсам используется SIDHistory. ADMT имеет возможности для миграции некоторых видов ресурсов: миграция заключается в замене старых SID на новые, например, при доступе к файлам.

Почтовые ящики также являются ресурсом и имеют некоторые особенности, которые нужно учитывать при миграции. Но ADMT нам тут не помощник: этот инструмент не имеет средств для исправления нюансов связанных с особенностями доступа к почтовым ящикам. Читать далее