Архивы Active Directory

Patchman : Kerberos аутентификация и LDAP авторизация в Django в домене Active Directory

19.11.2024 Автор:Алексей Максимов
1 743 Просмотров Комментариев нет

Рассмотренный ранее сервер Patchman на базе веб-фреймворка Django, в нашем случае функционирует в инфраструктуре, имеющей службу каталогов Microsoft Active Directory, поэтому для большего удобства работы с веб-интерфейсом Patchman возникает желание настроить на веб-сервере аутентификацию пользователей с помощью протокола Kerberos, а также авторизацию с помощью протокола LDAP через доменные группы безопасности. То есть, предполагается реализация механизма SSO (Single Sign-On) для того, чтобы пользователи не вводили какие-то локальные учётные записи каждый раз при входе в веб-интерфейс Patchman, а прозрачно получали доступ к сайту на основе своей доменной учётной записи, в контексте которой запущен клиентский браузер. Читать далее...
Развёртывание Icinga 2 на базе Debian 12. Часть 6. Конфигурация веб-сервера Apache для интеграции Icinga Web 2 c Active Directory

01.07.2024 Автор:Алексей Максимов
1 760 Просмотров Комментариев нет

В этой заключительной части нашего плана развёртывания Icinga на Debian GNU/Linux 12 "Bookworm" мы коротко обозначим основные моменты конфигурации веб-сервера Apache для интеграции Icinga Web 2 со службой каталогов Microsoft Active Directory, опираясь на более подробный материал, изложенный ранее в статье "Аутентификация и авторизация пользователей Active Directory в Icinga Web 2 (Kerberos и SSO)".

Читать далее...
Медленная работа SUDO при использовании SSSD

14.03.2024 Автор:Алексей Максимов
4 398 Просмотров Комментариев нет

Замечено, что на Linux системе, подключенной к домену Active Directory с помощью SSSD, после некоторого времени простоя системы при попытке выполнить команду sudo происходит длительное ожидание запроса на ввод пароля (от 10 до 15 секунд). Последующие попытки использования sudo отрабатывают уже быстро. Проблема также воспроизводится, если выполнить принудительное аннулирование всех записей кеша sssd командой типа "sss_cache -E". Экспериментальным путём подтверждено, что проблема может проявлять себя более выраженно в случае, если выполняющий команду sudo пользователь в домене имеет учётную запись, являющуюся членом большого количества групп безопасности и при этом есть группы, включающие в себя большое количество других учётных записей.

Читать далее...
Конфликт групповых политик для серверов RDS c User Profile Disk с сетевыми профилями доменных пользователей

22.03.2023 Автор:Алексей Максимов
4 031 Просмотров Комментариев нет

При настройке пользовательской среды для серверов RDS с ролью Remote Desktop Session Host могут использоваться дополнительные меры усиления безопасности, которые могут быть реализованы путём внедрения разного рода ограничений, диктуемых специальными групповыми политиками действующими только на серверах фермы RDS. И ранее мы рассматривали пример политики "User Group Policy loopback processing mode", которая включает форсированное применение параметров пользовательской среды на серверах RDS. Практика показала, что такие настройки могут вызывать проблемы у тех доменных пользователей, для которых в свойствах учётной записи в домене назначено сетевое расположение профиля.

Читать далее...
Использование учётной записи gMSA для службы "Агент сервера 1С:Предприятие 8.3" на серверах кластера 1С:Предприятие

15.03.2023 Автор:Алексей Максимов
6 240 Просмотров 4 комментария

Первичный опыт развёртывания кластера 1С:Предприятие 8.3 (в варианте инсталляции с настройками "по умолчанию") и его начальной тестовой эксплуатации выявил некоторые неочевидные особенности функционирования службы агента сервера 1С ("1C:Enterprise 8.3 Server Agent"), выполняющейся в контексте локальной сервисной учётной записи USR1CV8. Изучение этих особенностей и подтолкнуло к мысли о том, что для запуска этой службы на серверах 1С в составе доменной инфраструктуры Active Directory, вместо обычной локальной учётной записи, логичней и безопасней будет использовать учётную запись Group Managed Service Account (gMSA).

Читать далее...
Ошибка обнаружения контроллеров домена в SCOM 2016 Discovery Wizard "Discovery failed. There were no computers discovered that met your criteria … Computer verification failure 0x80070005. Access is denied"

19.01.2023 Автор:Алексей Максимов
1 423 Просмотров Комментариев нет

При централизованном развёртывании агентов мониторинга System Center 2016 Operations Manager (SCOM) на множество серверных систем в доменной инфраструктуре можно столкнуться с проблемой невозможности обнаружения серверов с ролью контроллера домена Active Directory. Работа мастера "Computer and Device Management Wizard" при явном указании списка контроллеров домена и учётной записи администратора домена может заканчиваться сообщением "Discovery failed … There were no computers discovered that met your criteria".

Читать далее...
Как принудительно обновить групповые политики на удаленных компьютерах в домене Active Directory

09.06.2022 Автор:Пётр Окунев
28 719 Просмотров 7 комментариев

Данный материал является переводом оригинальной статьи "Active Directory Pro : Robert Allen : How to Update Group Policy on Remote Computers" и рассчитан на начинающих администраторов Windows.

В конфигурации по умолчанию доменные компьютеры обновляют групповые политики (Group Policy) при запуске операционной системы, а затем политики автоматически обновляются в фоновом режиме каждые 90 минут. Но бывают случаи, когда вы вносите изменения в существующие объекты групповой политики (Group Policy Objects/GPO) или создаете новые GPO, и вам нужно, чтобы изменения вступили в силу немедленно.

Далее мы рассмотрим три различных способа удаленного обновления групповой политики. Первый способ лучше всего подходит для старых клиентов Windows, второй и третий способы - для систем, работающих под управлением 2012 года и более поздних версий.

Читать далее...
Январские накопительные обновления Windows Server могут вызывать циклические перезагрузки контроллеров домена ADDS, сломать ВМ с UEFI в Hyper-V и вызвать отказ в работе ReFS

17.01.2022 Автор:Алексей Максимов
4 265 Просмотров 2 комментария
По появившейся на днях информации, развёртывание Январских кумулятивных обновлений для ОС Windows Server 2012 R2 (KB5009624) может привести к проблемам в работе служб Active Directory Services (ADDS), так как серверы с ролью контроллера домена могут начать циклические перезагрузки. Microsoft уже подтвердили наличие проблемы, о чём можно прочитать по соответствующим ссылкам на Microsoft Docs:
Можно встретить сообщения о том, что после установки KB5009624 на Windows Server 2012 R2 могут возникнуть проблемы с запуском виртуальных машин с использованием UEFI в Hyper-V. Опять же, это подтверждается со стороны Microsoft: Virtual machines (VMs) in Hyper-V might fail to start.

Также есть информация о замеченных проблемах с дисковыми томами с файловой системой ReFS, которые после установки Январских обновлений могут перестать монтироваться и начать отображаться как RAW. На данный момент времени Microsoft со своей стороны при проявлении данной проблемы предлагает удалять Январское обновление: KB5010691: ReFS-formatted removable media may fail to mount or mounts as RAW after installing the January 11, 2022 Windows updates.

Кроме того, есть информация о том, что и обновления, выпущенные в Январе для серверных ОС Windows Server 20H2 и клиентских ОС Windows 10 (KB5009543), а также Windows 11 (KB5009566) могут вызвать проблему использования L2TP VPN, сложности с RDP и всё те же внезапные перезагрузки серверов с ролью контроллера домена. Для получения подробностей и обходном решении, читайте раздел "Известные проблемы, связанные с этим обновлением" в соответствующих KB.

Есть информация о том, что проблемные обновления уже отозваны из каталога Windows Update, однако они всё ещё могут оставаться в метаданных локальных служб WSUS. Поэтому стоит воздержаться от их развёртывания в продуктивных средах до тех пор, пока со стороны Microsoft не будут выпущены корректирующие обновления.
Запуск HPE Product Bulletin Gateway в контексте учётной записи gMSA

13.10.2019 Автор:Алексей Максимов
6 639 Просмотров Комментариев нет

С тех пор, как мы в одной из прошлых заметок рассматривали процесс развёртывания HP Product Bulletin, прошло немало времени. За это время продукт успел побывать в фазе активной поддержки, после чего был "заморожен" со стороны HP и его обновления какое-то время не выпускались, затем уже в HPE провели его ребрендинг и снова вернули к жизни. Поэтому для тех, кто активно работает с оборудованием HP/HPE, на сегодняшний день этот продукт может быть всё ещё полезен. В этой заметке мы сделаем акцент на то, как развернуть актуальную версию HPE Product Bulletin Gateway таким образом, чтобы она выполнялась в контексте сервисной учётной записи Group Managed Service Account (gMSA).

Читать далее...
Исправляем имя доменной группы в SharePoint 2013 после переименования в Active Directory

29.10.2018 Автор:Алексей Максимов
4 794 Просмотров 2 комментария

В SharePoint Server 2013 есть проблема, которая тянется с предыдущих версий SharePoint. Суть её заключается в том, что информация о той или иной доменной группе безопасности, единожды попав в SharePoint из каталога Active Directory, не обновляется в SharePoint в дальнейшем. И если в последствии в Active Directory группа безопасности будет переименована, то получится так, что на всех веб-узлах SharePoint эта группа останется со старым именем, что в некоторых ситуациях может привести к путанице. В этой заметке мы рассмотрим действия, которые можно предпринять на стороне SharePoint Server для актуализации информации об именах групп безопасности.

Читать далее...