Архивы: Active Directory

Восстановление AD из System State на другом железе

Опубликовал(а): в: 25.03.2012 9 комментариев

Привет, сегодня, с разрешения своего коллеги, Андрея Федюнина, поделюсь его опытом: «Как восстановить AD из System State на другом железе«. Данный эксперимент проводился лично им и включает опыт многих. Было потрачено много времени на чтение технической информации, так что спасибо тебе!

Ниже приведен полный текст автора без изменений, и рассчитан он на опытного системного администратора, картинок не будет, так как и так все достаточно подробно описано. Поехали!

Восстановление Active Directory из System State

Рассматривается случай полного выхода из строя сервера и разворачивание System State на новом железе.

  • Устанавливается Windows той же версии которая стояла на исходной машине;
  • Устанавливаем все необходимые драйвера;
  • Установить тот же SP и версию IE (критична разница между IE6 и IE7);
  • Настраивается IP адрес, меняется название компьютера как на вышедшей из строя;
  • Поднимаются роли, которые были на исходном сервере (для работы AD необходимо поднять AD и DNS, настройки не важны, за исключением названия домена);
  • Перезагружаемся и заходим в режим восстановления AD;
  • Заходим в редактирование реестра (regedit) и экспортируем как кусты (!важно) следующие ветки реестра: 
    HKLM\System\CurrentControlSet\Control\Class; HKLM\System\CurrentControlSet\Control\CriticalDeviceDatabase
  • Запускаем ntbackup и восстанавливаем System State без замены файлов;
  • Загружаемся с LiveCD (лучше использовать WinPE чем ERD Commander в связи с ограниченностью редактора реестра последнего);
  • Подгружаем ветку реестра System и импортируем сохраненные ранее кусты на прежнее место (!важно: при импорте куста необходимо выделить ветку в которую необходимо произвести импорт, при импорте все предыдущее содержимое удаляется);
  • Перезагружаемся и загружаемся в безопасном режиме с поддержкой сети.Устанавливаем необходимые драйвера, удаляем те службы, которые больше никогда использоваться не будут на новом сервере. Запускаем regedit, идем в 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    и делаем резервную копию этой ветки реестра на всякий случай.Далее, сопоставляя службы, которые должны запускаться автоматически, но не запускаются, со списком из реестра и удаляем их;

  • Снова настраиваем IP адрес;
  • Скорее всего потребуется активировать windows, поэтому либо активируем повторно или используем killWPA;
  • Загружаемся в обычном режиме. Читать далее »

Делегирование прав в Active Directory

Опубликовал(а): в: 09.02.2012 7 комментариев

Привет, сегодня, с позволения своего коллеги Дружкова Дмитрия (автора данной инструкции), поделюсь с Вами опытом делегирования административных полномочий для работы в Active Directory. Изначально задача заключается в том что бы предоставить ограниченные права рядовому сисадмину для администрирования Organization Unit (OU) отдельного филиала компании. Работать будем в WIndows Server 2008 R2.

Административные полномочия включают в себя полный доступ и распространяются на следующие объекты: Группа , Компьютер , Контакт , Общая папка , Подразделение , Пользователь , Принтер . Данные права доступа не распространяются на объект, на который непосредственно производится делегирование (например, права доступа на удаление контейнера отсутствуют).

Для делегирования полномочий на объект Active Directory необходимо иметь права доступа администратора на него.

1. Выделить требуемый объект и нажатием правой кнопкой мыши вызвать меню свойств (для этого в консоли «Active Directory – Пользователи и компьютеры» в меню «Вид» должен быть выбран пункт «Дополнительные компоненты» ). Выбрать пункт меню «Делегирование управления…»(рисунок 1).

Рисунок 1

2. В появившемся приветственном окне «Мастера делегирования управления» меню нажать кнопку «Далее» (рисунок 2). Читать далее »