Listowanie atrybutów i typów atrybutów obiektów Active Directory

25 lutego 2016 at 11:23

Dla potrzeb dokumentacji systemu pojawiła się konieczność wy-listowania wszystkich atrybutów przypisanych do danej klasy obiektów Active Directory oraz typów danych, które mogą być wprowadzane jako wartości tych atrybutów. Zadanie niby proste, ale jednak mało oczywiste… Próbując odpytać o atrybuty konkretnego użytkownika w następujący sposób:

Otrzymamy co prawda wszystkie (albo prawie wszystkie) atrybuty obiektu, jednak otrzymamy również część nieistniejących w schemacie atrybutów. Są to atrybuty interpretowane przez polecenie typu „AccountIsDisabled”, „AccountIsLockedOut” , które nie występują jako atrybuty obiektu klasy użytkownik w Active Directory, lecz wynikają z wartości atrybutu „userAccountControl”. Podejście drugie – natywny powershell do AD

I znowu kicha… tym razem mamy mniej interpretowanego przez Powershella Outputu, ale wyświetliły się tylko parametry, które mają jakąś wartość Jak więc rozwiązać ten problem? Na przykład w następujący sposób:

W ten sposób uzyskamy ładny widok wszystkich atrybutów z informacjami o ich GUID’ach o tym czy są indeksowane etc. Dane będą wyglądać mniej więcej tak: Jedyną niedogodnością jest fakt, że musimy odpytać niejako 2 razy o atrybuty dla danej klasy (raz o atrybuty obowiązkowe, raz o atrybuty opcjonalne) aby mieć komplet danych. Enjoy

Historia zmian schematu Active Directory

24 lutego 2015 at 09:13

Jeśli przydarzyła Wam się sytuacja, w której podejrzewacie, że ktoś modyfikował ostatnio schemat AD lub potrzebujecie sprawdzić jakie obiekty i kiedy zostały zmodyfikowane można do tego wykorzystać następujące polecenia: 1. Pobranie danych o schemacie Active Directory:

2. Sformatowanie i pogrupowanie zdarzeń modyfikacji schematu:

 

Upgrade Active Directory (Unsupported, but better…)

23 lutego 2015 at 14:33

Weźmy na tapetę temat wykonania upgrade’u Active Directory. Z jednej strony temat bardzo zawiły ze względu na możliwe powikłania, komplikacje i zależności. Z drugiej strony sprowadza się zasadniczo do wykonania dwóch poleceń. Jednakże te dwa polecenia w skrajnym wypadku mogą rozłożyć cały BackOffice Twojej organizacji, atesty na środowiskach testowych i akceptacyjnych i tak najczęściej nie dają jasnych odpowiedzi na wszystkie pytania. Czy jest więc jakiś bezpieczniejszy sposób wykonania upgrade’u Active Directory? Oczywiście jest, ale o tym za chwilę Przypomnijmy sobie po krótce jak teoretycznie wygląda proces upgrade’u Active Directory jeśli chcemy podnieść poziom funkcjonalności domeny powiedzmy z 2008 R2 do 2012 R2: 1. Rozszerzenie schematu Active Directory 2. Przygotowanie domen Active Directory 3. Upgrade’y/zastąpienie kontrolerów domen nowszymi systemami operacyjnymi 4. Podniesienie poziomów funkcjonalności domen 5. Podniesienie poziomów funkcjonalności lasów. * Zakładamy, że mamy cale AD pod kontrolą Windows Server 2008R2 i przechodzimy na Windows Server 2012 R2   OK – wyodrębniliśmy kilka zasadniczych kroków – zastanówmy się teraz, która faza jest krytyczna i niesie ze sobą nieodwracalne (albo trudne do odwrócenia) skutki? Zasadniczo najbardziej krytyczne są punktu 1-2. Dlaczego? Ano dlatego, że rozpropagowanego w Active Directory schematu nie da się (w prosty sposób) przywrócić… Procedura przywrócenia sprowadza zasadniczo do odtworzenia […]

© Marcin Krzanowicz