Browsed by
Tag: Active Directory

LDAP Channel Binding and LDAP Signing Requirements

LDAP Channel Binding and LDAP Signing Requirements

„Dostępność jest funkcją bezpieczeństwa” ten truizm powinien zostać wyryty w świadomości każdej osoby zajmującej się IT, zwłaszcza decydujących o zmianach systemowych podyktowanych bezpieczeństwem a mających wpływ na dostępność systemów/usług/rozwiązań. Skąd takie stwierdzenie? W nawiązaniu do planów Microsoftu dotyczących fundamentalnych zmian w usłudze Active Directory i powiązanych z nią protokołów LDAP i LDAPS: Zmiany w usłudze Active Directory. Pierwszy zarzut do Microsoftu dotyczy akcji informacyjnej o tak istotnych zmianach. Oprócz wspomnianego artykułu i zdawkowych informacji w Security Advisorze ciężko szukać w…

Read More Read More

Proces lokalizacji kontrolerów domeny – DC Locator

Proces lokalizacji kontrolerów domeny – DC Locator

Potoczne „logowanie do domeny” termin popularny, znany, powszechny. Ot, niby nic nadzwyczajnego – jednakże mało kto wie jak przebiega ten proces krok po kroku. Nie mając natomiast wiedzy o zasadzie działania niezwykle trudno realizować efektywny troubleshooting. Spróbujmy zatem rozpocząć od tego jak wygląda proces lokalizacji kontrolerów domeny (DCLocator Process). DC Locator jest procesem wyszukiwania i określania kontrolera domeny wykorzystywanego przez klienta (lub aplikację świadomą Active Directory) podczas logowania oraz dalszej pracy systemu. Wchodząc głębiej w szczegóły techniczne – jest to…

Read More Read More

Czasowe członkostwo w grupie Active Directory

Czasowe członkostwo w grupie Active Directory

Wraz z Windows Server 2016 w zakresie Active Directory dołożona została funckjonalność „Privileged Access Management Feature”. Aby ją włączyć należy wykonać polecenie:

Uwaga – operacja jest „nieodwracalna” – podobnie jak w zamierzchłych czasach było to w przypadło włączenia AD Recycle-Bin. Także jeśli masz wątpliwości, czy na pewno nie będzie konieczności powrotu do niższego poziomu funkcjonalności lasu lub domeny – nie wykonuj tego polecenia (chociaż osobiście sugeruję wyeliminować systemy uniemożliwiające podniesienie poziomu funkcjonalności z Twojego środowiska, zamiast utrzymywania przestarzałego środowiska bo…

Read More Read More

Listowanie atrybutów i typów atrybutów obiektów Active Directory

Listowanie atrybutów i typów atrybutów obiektów Active Directory

Dla potrzeb dokumentacji systemu pojawiła się konieczność wy-listowania wszystkich atrybutów przypisanych do danej klasy obiektów Active Directory oraz typów danych, które mogą być wprowadzane jako wartości tych atrybutów. Zadanie niby proste, ale jednak mało oczywiste… 🙂 Próbując odpytać o atrybuty konkretnego użytkownika w następujący sposób:

Otrzymamy co prawda wszystkie (albo prawie wszystkie) atrybuty obiektu, jednak otrzymamy również część nieistniejących w schemacie atrybutów. Są to atrybuty interpretowane przez polecenie typu „AccountIsDisabled”, „AccountIsLockedOut” , które nie występują jako atrybuty obiektu klasy…

Read More Read More

Obszar nazw Microsoft.Policies.WindowsStore jest już zdefiniowany…

Obszar nazw Microsoft.Policies.WindowsStore jest już zdefiniowany…

Niechlubna seria związana z pomyłkami, niedopatrzeniami, niedoróbkami, błędnym tłumaczeniem oraz innymi błędami w definicjach ADMX/ADML, które zostały udostępnione wraz z Windowsem 10 niestety trwa w najlepsze… Pierwszy problem: http://mkrzanowicz.pl/?p=491 Drugi problem: http://mkrzanowicz.pl/?p=328 Trzeci problem: http://mkrzanowicz.pl/?p=479 Więc być może do czterech razy sztuka? 🙂 Oby… Tym razem kolejny problem dotyczy definicji Office’a: https://www.microsoft.com/en-us/download/details.aspx?id=49030 Po ich wgraniu na SYSVOL pojawia się znajomy (ale inny) błąd: Co zrobić? Rozwiązanie jak zwykle jest podobne, z tym że dotyczy innej definicji. Tym razem padło na…

Read More Read More