Архивы Active Directory

Как принудительно обновить групповые политики на удаленных компьютерах в домене Active Directory

09.06.2022 Автор:Пётр Окунев
2 162 Просмотров 7 комментариев

Данный материал является переводом оригинальной статьи "Active Directory Pro : Robert Allen : How to Update Group Policy on Remote Computers" и рассчитан на начинающих администраторов Windows.

В конфигурации по умолчанию доменные компьютеры обновляют групповые политики (Group Policy) при запуске операционной системы, а затем политики автоматически обновляются в фоновом режиме каждые 90 минут. Но бывают случаи, когда вы вносите изменения в существующие объекты групповой политики (Group Policy Objects/GPO) или создаете новые GPO, и вам нужно, чтобы изменения вступили в силу немедленно.

Далее мы рассмотрим три различных способа удаленного обновления групповой политики. Первый способ лучше всего подходит для старых клиентов Windows, второй и третий способы - для систем, работающих под управлением 2012 года и более поздних версий.

Читать далее...
Январские накопительные обновления Windows Server могут вызывать циклические перезагрузки контроллеров домена ADDS, сломать ВМ с UEFI в Hyper-V и вызвать отказ в работе ReFS

17.01.2022 Автор:Алексей Максимов
2 902 Просмотров 2 комментария
По появившейся на днях информации, развёртывание Январских кумулятивных обновлений для ОС Windows Server 2012 R2 (KB5009624) может привести к проблемам в работе служб Active Directory Services (ADDS), так как серверы с ролью контроллера домена могут начать циклические перезагрузки. Microsoft уже подтвердили наличие проблемы, о чём можно прочитать по соответствующим ссылкам на Microsoft Docs:
Можно встретить сообщения о том, что после установки KB5009624 на Windows Server 2012 R2 могут возникнуть проблемы с запуском виртуальных машин с использованием UEFI в Hyper-V. Опять же, это подтверждается со стороны Microsoft: Virtual machines (VMs) in Hyper-V might fail to start.

Также есть информация о замеченных проблемах с дисковыми томами с файловой системой ReFS, которые после установки Январских обновлений могут перестать монтироваться и начать отображаться как RAW. На данный момент времени Microsoft со своей стороны при проявлении данной проблемы предлагает удалять Январское обновление: KB5010691: ReFS-formatted removable media may fail to mount or mounts as RAW after installing the January 11, 2022 Windows updates.

Кроме того, есть информация о том, что и обновления, выпущенные в Январе для серверных ОС Windows Server 20H2 и клиентских ОС Windows 10 (KB5009543), а также Windows 11 (KB5009566) могут вызвать проблему использования L2TP VPN, сложности с RDP и всё те же внезапные перезагрузки серверов с ролью контроллера домена. Для получения подробностей и обходном решении, читайте раздел "Известные проблемы, связанные с этим обновлением" в соответствующих KB.

Есть информация о том, что проблемные обновления уже отозваны из каталога Windows Update, однако они всё ещё могут оставаться в метаданных локальных служб WSUS. Поэтому стоит воздержаться от их развёртывания в продуктивных средах до тех пор, пока со стороны Microsoft не будут выпущены корректирующие обновления.
Запуск HPE Product Bulletin Gateway в контексте учётной записи gMSA

13.10.2019 Автор:Алексей Максимов
5 697 Просмотров Комментариев нет

С тех пор, как мы в одной из прошлых заметок рассматривали процесс развёртывания HP Product Bulletin, прошло немало времени. За это время продукт успел побывать в фазе активной поддержки, после чего был "заморожен" со стороны HP и его обновления какое-то время не выпускались, затем уже в HPE провели его ребрендинг и снова вернули к жизни. Поэтому для тех, кто активно работает с оборудованием HP/HPE, на сегодняшний день этот продукт может быть всё ещё полезен. В этой заметке мы сделаем акцент на то, как развернуть актуальную версию HPE Product Bulletin Gateway таким образом, чтобы она выполнялась в контексте сервисной учётной записи Group Managed Service Account (gMSA).

Читать далее...
Исправляем имя доменной группы в SharePoint 2013 после переименования в Active Directory

29.10.2018 Автор:Алексей Максимов
3 702 Просмотров 2 комментария

В SharePoint Server 2013 есть проблема, которая тянется с предыдущих версий SharePoint. Суть её заключается в том, что информация о той или иной доменной группе безопасности, единожды попав в SharePoint из каталога Active Directory, не обновляется в SharePoint в дальнейшем. И если в последствии в Active Directory группа безопасности будет переименована, то получится так, что на всех веб-узлах SharePoint эта группа останется со старым именем, что в некоторых ситуациях может привести к путанице. В этой заметке мы рассмотрим действия, которые можно предпринять на стороне SharePoint Server для актуализации информации об именах групп безопасности.

Читать далее...
Январские обновления безопасности Microsoft Windows Server 2012 R2/2016 вызывают ошибку 0x80071128 "The data present in the reparse point buffer is invalid" при редактировании некоторых групповых политик

13.02.2018 Автор:Алексей Максимов
3 259 Просмотров 2 комментария

Поведение вендоров ПО после публичного раскрытия информации об уязвимостях в процессорах Intel напоминало беспорядочную "стрельбу стоя с лошади из окопа", поэтому мы решили повременить с развёртыванием всех последних "чудо-патчей". По этой причине у нас в продуктивной среде ещё не развёрнуты Январские обновления для Windows Server, и с проблемой о которой пойдёт дальше речь, мы не столкнулись. Однако, возможно, информация будет полезна тем, кто собирается разворачивать эти обновления или уже развернул их и получил "нежелательный эффект". Информация по теме поступила от одного из наших коллег - Евгения Сидорова. Далее привожу его письмо.

Читать далее...
Рекомендации по настройке SSSD в Debian GNU/Linux

18.11.2017 Автор:Степан Кохановский
25 053 Просмотров 4 комментария

System Security Services Daemon (SSSD) – это пакет приложений для управления аутентификацией и авторизацией в операционных системах на базе Linux. SSSD является отличной альтернативой монструозной Samba, позволяя подключить Linux машину к уже имеющемуся домену Active Directory.

Большинство статей в интернет, описывающих использование SSSD для подключения к Active Directory, ставят перед собой задачу показать, насколько это легко и непринужденно. Зачастую, это очень короткие "истории успеха", в которых берется SSSD и Realmd, вводится пара команд, и все! Авторизация настроена.

Спорить тут не с чем, так оно и есть. Но при этом надо держать в уме, что SSSD – это довольно сложный программный продукт, взаимодействующий с целым рядом отдельных подсистем хоста. В этой статье мне бы хотелось остановиться на некоторых нюансах настройки SSSD в Debian GNU/Linux и дать несколько полезных советов по его использованию в боевых условиях.

Читать далее...
Добавление SPN записей в keytab-файл (на стороне сервера Linux с помощью утилиты ktutil), связанный с учётной записью Computer в домене Active Directory

26.10.2017 Автор:Алексей Максимов
8 993 Просмотров 2 комментария

Представим себе ситуацию, что есть некий сервер на базе Debian GNU/Linux, который уже введён в домен Active Directory с помощью SSSD и realmd и на нём уже имеется keytab-файл, который используется для механизмов аутентификации Kerberos и Single sign-on (SSO) при подключении к серверу по протоколу SSH. И вот возникает необходимость на данном Linux-сервере дополнительно настроить роль веб-сервера для служебных администраторских задач и организовать Kerberos SSO при подключении к веб-узлам этого веб-сервера. По ранее описанным примерам (здесь, здесь и здесь), предполагается, что для целей Kerberos-аутентификации веб-сервера Apache в домене Active Directory (AD) создаётся отдельная сервисная учётная запись типа User, для которой генерируется keytab-файл и в последствии привязывается к настройкам Apache на стороне Linux-сервера. С точки зрения аспектов безопасности такой поход (отдельный Linux-сервис = отдельная учётная запись в AD со своим keytab-файлом) можно считать вполне правильным. Но что, если Linux-сервис, использующий Kerberos-аутентификацию, используется не широким кругом пользователей, а исключительно для административных целей парой-тройкой системных администраторов? В таком случае создание отдельной учётной записи типа User в домене со своим keytab-файлом может показаться избыточным. В этой заметке мы рассмотрим пример того, как добавить дополнительную нужную нам запись servicePrincipalName (SPN) (на примере SPN-записи типа HTTP/) в уже имеющийся на Linux-сервере keytab-файл, ориентированный на сам хост (содержащий SPN-записи типа HOST/). В результате мы получим Kerberos аутентификацию на веб-узлах нашего Linux-сервера и при этом не будем плодить в домене лишние сервисные учётные записи типа User.

Читать далее...
Обходное решение для ошибки регистрации servicePrincipalName (ATT_OR_VALUE_EXISTS) при подключении Debian GNU/Linux Jessie к домену Active Directory с помощью realm join

28.09.2017 Автор:Алексей Максимов
4 322 Просмотров 2 комментария

На днях получил по электронной почте интересный комментарий к статье про подключение Debian GNU/Linux 8.6 к домену Active Directory с помощью SSSD и realmd от одного из наших читателей - Степана Кохановского. В силу того, что данный комментарий объёмен и описывает некоторое обходное решение известной проблемы, я решил опубликовать его в виде отдельного поста.

Читать далее...
Получаем право SeDebugPrivilege для успешной установки Microsoft SQL Server 2012 при ограниченной доменной политике "Debug programs"

11.08.2017 Автор:Алексей Максимов
18 596 Просмотров 2 комментария

В свете недавних событий с повышением вирусной активности многие организации стали уделять больше внимания вопросам всестороннего усиления мер безопасности в собственных ИТ-инфраструктурах. При этом некоторые из применяемых мер могут создать дополнительные сложности в работе самих ИТ-специалистов.

Читать далее...
Развёртывание и настройка Icinga 2 на Debian 8.6. Часть 10. Аутентификация и авторизация пользователей Active Directory в Icinga Web 2 (Kerberos и SSO)

30.03.2017 Автор:Алексей Максимов
4 551 Просмотров 1 Комментарий

В этой части нашего цикла заметок об Icinga будет рассмотрен пример того, как можно организовать доменную аутентификацию пользователей Active Directory (AD) с поддержкой Kerberos и Single sign-on (SSO) при подключении к веб-консоли Icinga Web 2.

Если мы заглянем в опорный документ Icinga Web 2 Authentication, то узнаем, что веб-консоль Icinga Web 2 способна работать с аутентификаций, основанной на каталоге Active Directory, других реализациях LDAP-каталогов, базах данных MySQL или PostgreSQL, а также делегировать процесс аутентификации непосредственно веб-серверу. Так, как в рассматриваемом нами примере будут использоваться такие вещи, как аутентификация с помощью Kerberos и дополнительная авторизация с помощью PAM, выбран вариант с делегированием процесса аутентификации веб-серверу. При этом процедуры внутренней проверки прав доступа к объектам веб-консоли Icinga Web 2 будут выполняться через специально созданное подключение к AD, как к LDAP-каталогу.

Читать далее...