Active Directory Management Gateway Service

Jedną z nowości w Windows 2008 R2 jest usługa, która umożliwia dostęp do danych katalogu i zarządzania nim poprzez interfejs Web Service. Korzysta z niej moduł Powershell dla AD (również nowy w Windows 2008 R2) i nowy interfejs administracyjny dla AD. Opublikowany właśnie artykuł KB969041 informuje o dostępności tej usługi dla staszych systemów operacyjnych to […]

Certyfikat SSL dla połączenia LDAP

Dzisiaj dla odmiany będzie trochę technicznie …  Zastosowanie SSL do ochrony danych na warstwie połączenia LDAP zalecałbym wszystkim, którzy w swoim środowisku posiadają aplikacje korzystające do uwierzytelnienia właśnie z LDAP (nazywa się to LDAP simple bind). LDAP to protokół dostępu do danych a nie protokół uwierzytelnienia (jak chociażby Kerberos). Dlatego też, protokół ten nie posiada […]

OU a wydajność zapytań LDAP

Karol (przy okazji okazało się że prowadzi bloga, o którym nie wiedziałem ale już dodałem do subskrypcji) podrzuca mi czasami przy okazji spotkań lub przez e-mail ciekawe pytania. Tym razem podesłał mi pytanie następujące: Co jest wydajniejsze dla samego LDAP w AD:    *  duża ilość obiektów w jednym OU ( jakieś 10-20tys. kont)    […]

Dzisiaj niedziela, więc przegląd prasy

Niedzielny wieczór to i trochę czasu na przejrzenie linków się znalazło. W wyniku tego przeglądu chciałem podzielić się dwoma linkami. (cc) bobafred Pierwszy to nowa wersja (a przynajmniej tak wygląda) Microsoft Product Support Reports. Jeżeli ktoś rozwiązywał incydenty z PSS to jest duża szansa, że z tymi narzędziami sie już zetknął. Jeżeli nie – MPS […]

Czas goni nas … a może to my gonimy czas

“Wirtualizacja to rewelacja” pisałem ostatnio (no powiedzmy że nie dosłownie) nawet nie myśląć, że do tematu wirtualizacji w kontekście usługi katalogowej tak szybko powróce. A pretekstem do powrotu do tematu są przypadki Wojtka z jego infrastrukturą usługi katalogowej. W całości zwirtualizowanej dodajmy – ach cóż to za wspaniała rzecz ta wirtualizacja, nieprawdaż. Problem pojawia się […]

Domyślne uprawnienia Account Operators na obiekcie kontrolera domeny

Active Directory Documentation Team opublikował ciekawą informację o uprawnieniach nadawanych domyślnie na kontach komputerów grupie Account Operators (AO) w kontekście późniejszego promowania takiego konta do roli kontolera domeny. (cc) ph0t0 {loves you too} W dużym skrócie: AO posiadają w domenie domyślnie uprawnienia do zarządzania obiektami komputerów (między innymi) Domyślne uprawnienie nadawane AO na takim obiekcie […]

FAQ #7 Jak zliczyć liczbę członków grupy?

Dzisiaj na wss.pl w oczy rzucił mi się długi wątek zatytułowany “skrypt zliczajacy liczbe memberow w grupie”. Wątek jest długi i owocny, skrypty prezentowane długie i skomplikowane … tak więc pomyślałem sobie – to w zasadzie jak szybko i prosto. Zakładając więc że mamy Windows 2003 z SP2 (tudzież poprawkę dla W2003 odpowiednią) lub Windows […]

Pokrycie podsieci – zagadka rozwiązana

Dwa dni temu kolega w pracy zwrócił mi uwagę że nie odpowiedziałem jeszcze na głos ludu wyrażony w komentarzach pod postem dotyczącym ustalania lokacji. Się wzięło na barki obowiązek blogowania … trzeba cierpieć. Dzisiaj więc kilka uwag w temacie lokalizowania kontrolera domeny i sterowania tym procesem. (cc) Martin Deutsch Przypomnijmy więc sobie oryginalny problem, od […]

Komu kontroler komu?

Active Directory ma według mnie jedną, niezaprzeczalną zaletę (wady też się znajdą 🙂 ). Usługa jest zaprojektowana w ten sposób, że przy jej prawidłowym wdrożeniu bardzo łatwo jest zapewnić jej ciągłość działania i niezawodność. W końcu mamy: możliwość utworzenia wielu replik katalogu replikacje w trybie multimaster mechanizm lokalizowania DC w oparciu o usługę DNS dzięki […]

Zmieniał będziesz hasło swoje …

Polityki haseł różne zawsze były swojego rodzaju utrapieniem, przynajmniej dla tych którzy te hasła muszą zmieniać. W szczególności dla administratorów utrapieniem potrafiły być regularne procedury zmiany haseł: lokalnych administratorów usług i co tam jeszcze wymyślicie (cc) F8th W przypadku kontrolerów domeny dochodziło jeszcze zawsze hasło Directory Services Restoration Mode (DSRM). Hasło to przechowywane jest lokalnie […]