• Извлекаем информацию из Active Directory в разрезе компаний с помощью PowerShell

    03.04.2013 Автор:Алексей Максимов
    22 121 Просмотров 4 комментария

    imageВ больших ИТ-инфраструктурах обслуживающих сразу несколько компаний периодически возникает потребность оперативного получения информации о количестве пользователей и компьютеров в разрезе этих компаний для разных целей, например при анализе текущей ситуации и планировании лицензирования ПО. Для того чтобы разделить всех пользователей и компьютеры в разрезе компаний в AD можно воспользоваться атрибутом company, который имеет место быть не только для учетных записей пользователей (что очевидно), но и для учетных записей компьютеров. Соответственно если мы имеем заполненным значение этого атрибута то с помощью PowerShell можем выполнять нехитрые запросы, сворачивая информацию в нужных нам разрезах. Далее небольшой ряд примеров…

    Читать далее...

  • Exchange 2010 - Делегируем управление контактами

    01.10.2012 Автор:Алексей Максимов
    7 341 Просмотров 4 комментария

    imageВозникла потребность делегировать права управления почтовыми Контактами Exchange Server 2010 (SP2) отдельной группе пользователей. Процесс предоставления такого уровня прав подразумевает два этапа:

    1) Делегирование прав на создание/изменение/удаление объектов типа Контакт в определённой организационной единице (OU) Active Directory (AD) для определённой группы пользователей.

    2) Делегирование прав на работу с командлетами Exchange Management Shell (EMS), отвечающими за управление почтовыми контактами.

    Читать далее...

  • Антивирус для Windows Server - настраиваем список исключений. Обновлено 11.08.2016

    08.08.2012 Автор:Алексей Максимов
    17 560 Просмотров 5 комментариев

    imageВ ходе настройки политик управления клиентами любого антивирусного ПО необходимо определять список каталогов, имён процессов или даже расширений фалов, которые должны исключаться из Real-Time сканирования. Постараюсь собрать в одном месте информацию о рекомендуемых параметрах исключений и по мере необходимости буду его корректировать.  Стоит отметить, что список составлен исходя из приложений, которые эксплуатируются в моём рабочем окружении. Список разделен по основным категориям сервисов и там где возможно есть ссылки на официальные рекомендации производителей ПО. Во всех случаях подразумевается что программное обеспечение установлено в каталоги «по умолчанию».

    Читать далее...

  • HP iLO2 - Настраиваем доменную авторизацию

    18.06.2012 Автор:Алексей Максимов
    6 054 Просмотров 3 комментария

    В случае, если у вас периодически возникает необходимость выполнять какие-то административные действия с помощью интерфейса HP Integrated Lights-Out 2 (iLO2) на серверах HP ProLiant и при этом вы имеете расширенную лицензию iLO 2 Advanced, возможно вам окажется полезным и удобным использование интеграции процесса авторизации в iLO2 с существующей доменной инфраструктурой Active Directory (AD). Рассмотрим пример такой интеграции.

    Читать далее...

  • PowerShell - Получаем список трастов AD

    05.05.2012 Автор:Алексей Максимов
    4 045 Просмотров Комментариев нет

    Получаем список трастов AD с помощью PowerShell для текущего домена:

    $myLocalDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()

    $myLocalDomain.GetAllTrustRelationships() | ft -AutoSize

    Тоже самое только если нужно явно указать конкретный домен (указываем в переменной $SpecDomain):

    $SpecDomain = "my.holding.com"

    $myRootDirContext = New-Object System.DirectoryServices.ActiveDirectory.DirectoryContext('domain',$SpecDomain)

    $myRootDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetDomain([System.DirectoryServices.ActiveDirectory.DirectoryContext]$myRootDirContext)

    $myRootDomain.GetAllTrustRelationships() | ftAutoSize

    Источник информации: organic fertilizer - using powershell to list active directory trusts

  • PowerShell - Резервное копирование групповых политик Active Directory (GPO)

    11.03.2012 Автор:Алексей Максимов
    6 195 Просмотров 5 комментариев

    PowerShell GPO backup scriptОперацию резервного копирования доменных объектов групповых политик (GPO) можно выполнить штатным способом с помощью консоли Group Policy Management (gpmc.msc), но если нам потребуется автоматизировать данный процесс, - можно использовать командлеты модуля GroupPolicy для PowerShell 2.0

    Читать далее...

  • Windows Server 2008 R2 - Корзина Active Directory

    06.03.2012 Автор:Алексей Максимов
    5 255 Просмотров 1 Комментарий

    Active Directory Recycle BinПриведу маленькую шпаргалку по использованию корзины AD (Active Directory Recycle Bin) в домене Windows Server 2008 R2.

    Читать далее...

  • PowerShell - Аудит использования учетных записей

    02.03.2012 Автор:Алексей Максимов
    4 494 Просмотров 1 Комментарий

    imageПродолжая тему анализа доменных учетных записей пользователей и компьютеров, которые давно не проходили авторизацию в домене предлагаю ещё один вариант скрипта из заметки PowerShell – Поиск неиспользуемых учетных записей пользователей и компьютеров в домене. В текущем варианте используется библиотека AD для PowerShell 2.0

    В указанном примере в конкретном OU выбираются все действующие учетные записи пользователей и компьютеров и выполняется сравнение даты последней авторизации (LastLogonDate) с максимально возможным значением (текущая дата минус 90 дней)

    Import-Module ActiveDirectory
$SearchOU = "OU=Domain Users and Computers,DC=mydom,DC=com"
$DaysLimit = 90
$OldestDate = (Get-Date).AddDays(-$DaysLimit)
#
$Users = Get-ADUser -Filter {(Enabled -eq $True)} `
-SearchBase $SearchOU -Properties SamAccountName,LastLogonDate,CN
$UsersOld = $Users | Where-Object {$_.LastLogonDate -le $OldestDate}
$UsersOld | Select `
@{label="SamAccountName";expression={$_.SamAccountName}},`
@{label="Last Logon";expression={$_.LastLogonDate}},`
@{label="User Full Name";expression={$_.CN}}`
| Sort -Property "Last Logon" | Format-Table  –AutoSize
Write-Host "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~"
write-host "Total users in OU: " $Users.Count " / Unused users: " $UsersOld.Count
Write-Host "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~"
#
$Comps = Get-ADComputer -Filter {(Enabled -eq $True)} `
-SearchBase $SearchOU -Properties Name,LastLogonDate,Description
$CompsOld = $Comps | Where-Object {$_.LastLogonDate -le $OldestDate}
$CompsOld | Select `
@{label="PC Name";expression={$_.Name}},`
@{label="Last Logon";expression={$_.LastLogonDate}},`
@{label="Description";expression={$_.Description}}`
| Sort -Property "Last Logon" | Format-Table  –AutoSize
Write-Host "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~"
write-host "Total computers in OU: " $Comps.Count " / Unused computers: " $CompsOld.Count
Write-Host "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~"

  • PowerShell - Аудит использования парольной политики

    02.03.2012 Автор:Алексей Максимов
    5 832 Просмотров 1 Комментарий

    imageПродолжая тему анализа доменных учетных записей пользователей на предмет их соответствия действующей парольной политике предлагаю ещё один вариант скрипта из заметки  PowerShell – Поиск пользователей домена с устаревшими паролями. В текущем варианте используется библиотека AD для PowerShell 2.0

    В указанном примере в конкретном OU выбираются все действующие учетные записи пользователей, за исключением сервисных, для которых значение атрибута SamAccountName начинается с символов “s-” и выполняется сравнение даты последней смены пароля с максимально возможным значением (текущая дата минус 185 дней)

    Import-Module ActiveDirectory

$SearchOU = "OU=Domain Users,DC=mydom,DC=com"
$PWAgeDaysLimit = 185

$Users = Get-ADUser -Filter {(Enabled -eq $True) -AND (SamAccountName -notlike "s-*")} `
-SearchBase $SearchOU `
-Properties CN, SamAccountName, PasswordLastSet, PasswordNeverExpires, CannotChangePassword, LastLogonDate

 
$OldestDate = (Get-Date).AddDays(-$PWAgeDaysLimit)
$UsersOldPWD = $Users | Where-Object {$_.PasswordLastSet -le $OldestDate}
$UsersOldPWD | Select `
@{label="User Full Name";expression={$_.CN}},`
@{label="SamAccountName";expression={$_.SamAccountName}},`
@{label="PWD Last Set";expression={$_.PasswordLastSet}},`
@{label="PWD Never Expirest";expression={$_.PasswordNeverExpires}},`
@{label="PWD Cannot Change";expression={$_.CannotChangePassword}},`
@{label="Last Logon";expression={$_.LastLogonDate}}`
| Sort -Property "PWD Last Set"`
| Format-Table  –AutoSize 
Write-Host "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~"
write-host "Total user accounts in OU: " $Users.Count
write-host "Users with passwords not changed in" $PWAgeDaysLimit "days: " $UsersOldPWD.Count
Write-Host "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~"

  • Настраиваем блокировку компьютера при простое через screen saver с помощью Group Policy Preferences

    15.10.2011 Автор:Алексей Максимов
    138 532 Просмотров 22 комментария

    imageВ большинстве организаций, применяющих в своей ИТ инфраструктуре локальные стандарты и регламенты информационной безопасности, уделяется отдельное внимание вопросу блокировки консолей рабочих станций пользователей при наступлении некоторого периода бездействия. Например, в качестве обязательного требования для большинства категорий пользователей может выставляться блокировка рабочего стола компьютера при отсутствии пользовательской активности более 15 минут. В управляемой среде Active Directory в доменных групповых политиках администраторам предоставляется ряд параметров, позволяющих централизованно настроить пользовательскую среду для форсированного применения механизма блокировки рабочего стола посредствам срабатывания программы - хранителя экрана (screen saver), или как её ещё называют, экранной заставки.

    Читать далее...

Предыдущая страница Следующая страница