Archive for 'Active Directory' Category
Resetting Domain Controller computer account password
Cand vine vorba de replicarea intre domain controllere sunt multi factori care trebuie luati in calcul, insa unul este acela ca si DC-urile se autentifica unul la celalalt. Iar daca autentificarea nu merge, atunci nici replicarea nu o sa mearga. Iar cand lucrul asta se intampla de obicei vedeti erori gen “The target principal name […]
Protected Users group in Active Directory
Grupul Protected Users este un grup nou ce vine cu AD-ul de pe Windows 2012 R2 si care are ca scop sa zicem protejarea unor conturi sensibile din Active Directory. Nu este ceva ce as putea recomanda pentru orice scenariu pentru ca dupa cum o sa vedem poate crea si unele neplaceri pentru un admin. […]
Working with Active Directory from Powershell using .Net
De cand cu Windows 2012, nevoia de a apela direct la .Net sau ADSI pentru interactiunea cu Active Directory s-a redus foarte mult, dar inca mai sunt momente cand nu gasim cmdlet-ul potrivit pentru un anumit task. Sau cand pe sistemul de pe care lucram nu avem la dispozitie noile cmdlet-uri sau avem un script […]
Kerberos Preauthentication
Tocmai ce am gasit intr-un AD setarea Do not require Kerberos preauthentication activata pe cateva conturi de user. Tot ce imi vine in minte este ca cineva a incercat ceva in timpul unui proces de troubleshooting ca altfel nu inteleg. Si sincer pana acum nu am dat de nici un environment cu Windows care sa […]
AD ACL Scanner
Tin minte ca acum multi ani pusesem la dispozitie cateva scripturi pentru a ajuta la localizarea locurilor din AD unde au fost setate delegari. Mai nou, exista un script (e scris in Powershell si are si interfata grafica) facut de un angajat MS ce va poate ajuta sa documentati foarte usor permisiunile din Active Directory. […]
Group Policy Debugging with Policy Reporter
Daca tot am povestit despre Gpsvc.log cred ca merita sa arat si o metoda mai usoara de investigatie, folosind un tool numit Policy Reporter. Policy Reporter se bazeaza pe informatiile din Gpsvc.log si registry (pentru tab-ul History) si poate analyza log-ul de pe un sistem local sau de pe unul remote. Iata cum arata in […]
Group Policy Debug Logging on Windows7/2008/8/2012
Pe vremuri cand faceam troubleshooting pe Group Policy foloseam UserEnvDebug Logging. Cu toate logurile noi si optiunile din event viewer lumea a uitat ca inca mai este posibil acest lucru si pe noile versiuni de Windows. Pentru a activa acest mod de logging este nevoie sa urmati urmatorii pasi: 1. Deschideti regedit 2. Go to […]
Time Hierarchy in AD
Cateodata o imagine spune mai multe decat o mie de cuvinte. Mai jos aveti schema de sincronizare a timpului intr-un forest Active Directory. Bineinteles ca perturbari de la aceasta schema pot aparea cand adminul isi baga coada sau in mediile virtuale unde DC-urile isi sincronizeaza timpul cu host-ul pe care ruleaza (si nu ar trebui). […]
What’s the role of krbtgt account in Active Directory?
Dupa atatia ani de Active Directory inca se mai pune intrebarea asta si anume “la ce foloseste contul krbtgt?” sau “pot sa-l sterg?”. Ei bine, contul asta e ceva esential pentru functionarea AD, mai exact pentru functionarea protocolului Kerberos. Daca studiati putin (exista o sumedenie de tutoriale pe net despre Kerberos) o sa vedeti ca […]
How to apply GPOs on a Remote Desktop Server
Nu mai tin minte daca am mai discutat despre RDS/TS server si GPO insa oricum un refresh e binevenit de fiecare data. Un server cu serviciul Remote Desktop Services reprezinta o metoda buna de a da acces utilizatorilor (locali/remote/mobili) la un environment controlat cu aplicatiile de care au nevoie pentru a-si face treaba. Problema e […]