Browse Month

Май 2011

Удаление старого контроллера из Active Directory

Удаление старого контроллера из Active Directory. Самому пришлось тут как то копаться, ибо весело 2 мертвых контроллера домена… Остались по наследству…

Первый метод: только для Windows Server 2003 с пакетом обновления 1 (SP1) или более поздним пакетом обновления. В моем случае был один живой контроллер домена к нему я и подключался с его же командной строки.

  • Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
  • В командной строке введите ntdsutil и нажмите клавишу ВВОД.
  • Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
  • Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_домена имя_пользователя Пароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
  • Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере.
  • Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  • Введите команду select operation target и нажмите клавишу ВВОД.
  • Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами. 9. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер.
  • Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
  • Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
  • Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер.
  • Появится подтверждение выбранного домена и узла.
  • Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
  • Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
  • Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  • Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера.

Появление следующего сообщения об ошибке свидетельствует о том, что объект NTDS Settings был удален из Active Directory ранее другим администратором или в результате репликации успешного удаления объекта после запуска программы DCPROMO. Ошибка 8419 (0x20E3) Не удается найти объект DSA Ошибка 8419 (0x20E3) Не удается найти объект DSA
Примечание. Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil. Появится сообщение об отключении от сервера. 18. Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись типа cname, то она может быть использована существующими контроллерами домена.
Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес. С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Удалите также запись типа cname в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить.

Ну, а дальше также может пригодится инструмент ADSIEdit. Ну и проверяем логи. Делаем dcdiag, netdiag. А именно проверяем на ошибки репликации dcdiag /test:replications проверяем работу ДНС dcdiag /test:dns. И только после того как никаких ошибок в репликации и ДНС нет можно приступать в поднятию нового-дополнительного контроллера домена! Что я успешно и сделал.

От себя добавлю: Не надо использовать на контроллерах домена Acronis если не хотите USNRollBACK  словить. NTBackup+system state отлично работает. Это я к тому что не надо забывать про бэкапы…

Динамическое создание перенаправленных папок c повышенным уровнем безопасности.

Суть задачи создать на сервере с ролью Active directory перенаправление папок Рабочий стол и Мои документы на сетевой ресурс.

Имеем Windows Server 2008 Standart. С именем SRV1.

Создание перенаправленных папок с повышенным уровнем безопасности:

Чтобы предоставить право открывать перенаправленную папку только пользователю и администраторам домена, выполните следующие действия.

  1. Выберите папку для хранения перенаправленных папок и откройте к ней общий доступ. В данном примере используется папка UserProfiles.
  2. Разрешения для общего ресурса группы «Все» установите равными Полный доступ.
  3. Установите следующие разрешения NTFS.
    • Создатель-владелец: полный доступ (применять: только для подпапок и файлов)
    • Система: полный доступ (применять: данная папка, подпапки и файлы)
    • Администраторы домена: полный доступ (применять: данная папка, подпапки и файлы)
    • Все: создание папок/дозапись данных (применять: только для этой папки)
    • Все: содержание папки/чтение данных (применять: только для этой папки)
    • Все: чтение атрибутов (применять: только для этой папки)
    • Все: обзор папок/выполнение файлов (применять: только для этой папки)
  4. Настройте политику перенаправления папок в соответствии с инструкциями из справочной системы Windows. Для создания вложенной папки в общей папке UserProfiles используется путь в следующем формате \\SRV1\UserProfiles\имя_пользователя.

Поскольку группе «Все» предоставлено разрешение «Создание папок/Дозапись данных», ее члены могут создавать папки, однако не имеют доступа к данным в этих папках. Имя_пользователя – это имя пользователя, который зарегистрировался в системе на момент создания папки. Созданная папка является дочерней по отношению к UserProfiles и, следовательно, наследует назначенные ей разрешения. Кроме того, создавший папку пользователь получает к ней право полного доступа (см. разрешения для «Создатель-владелец»).

Статья посвящена чтобы самому не забыть, отдельное спасибо www.google.com и сайту www.support.microsoft.com

А также чтобы Администратор мог просматривать папки пользователя:

Нужно включить следующую политику — Конф. комп — Админ шаблолоны —  Система — Профили пользователей — Добавляет группу «Администраторы» к перемещаемым профилям пользователям.

Администратору доступ желательно включать заранее…