В следующем году будет 20 лет с момента создания службы каталогов Active Directory. За это время служба обросла функционалом, протоколами, различными клиентами. Но необходимость поддерживать совместимость с рядом устаревших клиентов вынуждает иметь настройки по-умолчанию, ориентированные на совместимость. Администраторы часто не меняют их, а это создает большой риск. В этой статье мы рассмотрим обнаружение атак, которые могут привести к domain dominance.
Рубрика «active directory» - 3
Обнаружение атак на Active Directory с помощью Azure
2018-04-19 в 15:41, admin, рубрики: active directory, azure, event, microsoft, Microsoft Azure, security, system administration, Блог компании Microsoft, информационная безопасность, облако, Облачные вычисления, системное администрированиеПодчищаем хвосты за Microsoft Exchange Server 2016 используя Powershell
2017-05-18 в 12:11, admin, рубрики: active directory, exchange, powershell, автоматизация, системное администрирование
Работая в течении полугода с Microsoft Exchange Server 2016 в компании, где более 500 сотрудников использует корпоративную почту, я столкнулся с проблемой полноценного удаления информации о пользователях, отключенных в Active Directory.
Читать полностью »
Корпоративный телефонный справочник с картой
2017-05-13 в 11:49, admin, рубрики: active directory, ajax, html, javascript, mysql, phonebook, php, метки: phonebookВсем привет! Хочу поделиться корпоративным телефонным справочником с картой офиса. Удобен для ориентирования в большой организации. Особенно будет полезен новым сотрудникам, которые еще не запомнили кто из коллег где сидит.
Восстановление объектов групповых политик (GPO) с помощью Veeam Explorer для Active Directory
2017-04-17 в 11:07, admin, рубрики: active directory, veeam backup and replication, veeam explorer для active directory, Блог компании «Veeam Software», виртуализация, Восстановление данных, резервное копированиеВ завершение серии статей о резервном копировании и восстановлении Active Directory сегодня мне бы хотелось остановиться на функциональности Veeam Explorer для Microsoft Active Directory в составе Veeam Backup & Replication версий 9 и 9.5.
Отмечу, что инструменты линейки Veeam Explorers обновляются с каждым релизом Veeam Backup & Replication, поэтому советую, во-первых, всегда уточнять номер имеющейся у вас версии, чтобы понимать, с каким набором фичей вы будете иметь дело. Во-вторых, рекомендую следить за тем, чтобы у вас в инфраструктуре всегда была развернута наиболее актуальная из поддерживаемых версий продуктов Veeam.
Итак, добро пожаловать под кат.
Openfire + Miranda NG. Удаленная помощь в один клик и еще пара фич
2017-04-06 в 20:38, admin, рубрики: active directory, actman, miranda ng, openfire, variables, системное администрированиеЭта статья — ремейк нескольких старых заметок о том, как, используя миранду, упростить регулярные задачи по саппорту пользователей. В статье вы не встретите 1001ый хау ту по установке Openfire на linux со сквозной аутентификацией, зато будет описано что делает:
?replace(?dbsetting(%subject%,?cinfo(%subject%,protocol),MirVer),Miranda NG Jabber 0.95.5.17337 x86 [,,],)
И как, используя эту фигню, получить удаленный доступ к пользовательскому рабочему столу, например, средствами того же VNC или radmin, просто кликнув по нужному значку прямо в окне беседы с пользователем.
Читать полностью »
Корзина Active Directory: рекомендации по использованию
2017-03-20 в 8:36, admin, рубрики: active directory, veeam backup and repication, veeam explorer для active directory, Блог компании «Veeam Software», виртуализация, Восстановление данных, резервное копирование, Серверное администрирование, метки: veeam backup and repication, veeam explorer для active directoryПродолжаем публиковать серию статей, посвященных восстановлению объектов Active Directory и применяемым для этого инструментам.
В предыдущей статье мы разбирали случаи, когда администраторам приходится работать с контроллерами домена, где в Active Directory установлен функциональный режим работы леса Windows Server 2003 или Windows Server 2008. Как вы помните, мы подробно рассмотрели шаги, необходимые для восстановления tombstone-объектов с помощью утилиты LDP и инструмента Veeam Explorer для Microsoft Active Directory.
Сегодня перейдем к более современным системам, которые позволяют использовать функцию корзины Active Directory. За подробностями прошу под кат.
nodejs: SSO-авторизация через Kerberos
2017-02-16 в 9:16, admin, рубрики: active directory, kerberos, node.js, SSO, криптография, Разработка веб-сайтовВсё гениальное просто. Но до этой простоты нужно перечитать тысячи мануалов. Поэтому, разобравшись, мне захотелось написать quick start по тому, как сделать прозрачную авторизацию в Web-приложении для пользователя, авторизованного в AD, и поделиться своим тестовым проектом. Интересен взгляд со стороны.
Что нового в Active Directory в Windows Server 2016
2017-01-10 в 5:20, admin, рубрики: active directory, microsoft, windows, Windows Server, windows server 2016, ит-инфраструктура, Серверное администрирование, системное администрированиеПоследнее время, очень много говорится о нововведениях Windows Server 2016 связанных с виртуализацией, хранилищами данных и службами удалённого рабочего стола. Однако это не единственные компоненты серверной ОС Microsoft, получившие масштабные обновления. Наиболее незаслуженно, на мой взгляд, обойдена вниманием служба Active Directory. Поэтому ниже вашему вниманию будет представлен перевод статьи Джозефа Муди (Joseph Moody) посвящённой именно этой службе.
С выходом Windows Server 2016, служба Active Directory получила три важных новых функции. В этой статье мы обсудим Access Management, Azure AD Join и Microsoft Passport.
Лейтмотив большей части нововведений в Windows Server 2016 — безопасность. Вы можете увидеть это во всех ролях и службах. Shielded VM в Hyper-V, code integrity в сервере приложений и Privileged Access Management в Active Directory Domain Services.
Однако, не все новое в Active Directory связано с безопасностью. Особенно выделяются две новых функции. Вы еще много услышите про первую из них — Azure Active Directory Join в ближайшие месяцы (особенно если вы поддерживаете небольшие/средние организации). Вторая важная функция, которую мы упомянем — Microsoft Passport. Хотя ещё рано утверждать это, Microsoft Passport, потенциально, может избавить пользователей от их головной боли (и IT специалистов от их проблем) связанной с паролями. Достаточно введений. Перейдём к делу!
Читать полностью »
Восстановление удаленных объектов виртуализованной Active Directory из tombstone-объектов
2016-12-12 в 6:43, admin, рубрики: active directory, recovery, tombstone objects, Veeam, Блог компании «Veeam Software», виртуализация, Восстановление данных, восстановление удаленных объектов, резервное копирование, Серверное администрированиеПродолжаем публиковать статьи, посвященные резервному копированию и восстановлению после сбоев виртуализованной Active Directory. В предыдущей статье речь шла о восстановлении контроллера домена целиком. Однако системным администраторам гораздо чаще приходится сталкиваться с запросами на восстановление отдельных объектов Active Directory. Поэтому сегодня мы рассмотрим восстановление из tombstone объектов виртуализованной Active Directory в системах с функциональным режимом работы леса не выше Windows Server 2008. В принципе, сейчас они встречаются довольно редко, но где-то наверняка еще используются. О более новых системах и таких возможностях, как корзина Active Directory, будет рассказано в следующей статье.
Squid с фильтрацией HTTPS без подмены сертификата, интеграция с Active Directory 2012R2 + WPAD
2016-11-10 в 11:53, admin, рубрики: active directory, squid, wpad, Настройка Linux, системное администрированиеЭтот мануал был написан в связи производственной необходимостью мониторить трафик (http и https) пользователей, а также распределения доступа по белым и черным спискам. За основу были взяты статьи: эта и вот эта , в которых использовалась технология peek-n-splice. В данных статьях конфигурация предполагает использование хоста со squid как шлюз, после доработки конфига, получился полноценный прокси-сервер с возможностью распределения прав доступа по группам из Active Directory. По завершению конфигурирования встал вопрос передачи настроек прокси-сервера для пользователей. В виду того, что в офисе часто ноутбуки берут домой — вся затея зашла в тупик. Изначально рассматривался вариант выдачи настроек прокси-сервера через DHCP, но он не самый лучший, т. к. офисы в разных подсетях, и разное оборудование, выходом из данной ситуации стал WPAD. Вкратце о данной технологии можно сказать так, клиентские машины на OS Windows ищут хост с именем wpad.example.ru (вплоть до доменов третьего уровня), чтобы запросить файл настроек для работы в сети. Исходя из такого принципа, нужно поднять веб-сервер, который просто бы отдавал файл wpad.pac Можно на самом хосте с прокси-сервером поднять веб-сервер (что и было сделано), а в DNS-сервере создать cname wpad на прокси-сервер. Прокси-сервер лучше использовать с возможностью сбора и просмотра статистики, благо выбор предостаточный. В виду некоторых консервативных соображений, было решено выбрать SARG. Он легкий в настройке, достаточно приемлемая статистика для офиса со штатом до 100 сотрудников.
Читать полностью »