Локальный администратор в домене

Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования. Сотрудникам,...

Качество гарантирую

Получая задание на инфраструктурный пентест и спрашивая, что же заказчик хотел бы в конце этого действа увидеть, я в 9 случаях из 10 слышу ответ: «А вот попробуйте получить доступ к почте нашего зама по безопасности!». Ну что ж, можешь смело браться за такие пентесты — результат гарантирован.

Реализуя один из описанных сценариев, ты, так или иначе, непременно получишь права доменного админа. Имея права доменного админа, ты можешь снять хэши со всего каталога. А с помощью pass-the-hash получишь доступ к почте не только зама по безопасности, но и любого другого сотрудника. Вообще говоря, реализация полученных возможностей может быть ограничена только твоей фантазией. Напоследок скажу, что на Microsoft я не работаю, и денег мне не платят, чтобы за них думать. Никаких рекомендаций от меня ты не услышишь: их разработка пусть будет твоей головной болью, когда будешь отчитываться по результатам своего следующего убойного пентеста. Возможно, это будет темой твоей следующей статьи в ][.

Картирование интернета

Recovery Mode

Сидя на диване и в очередной раз придумывая безумную идею, из разряда того что глобально, а я на уровне хобби этим еще не позанимался, мне эта идея все таки пришла :).
Прикинув, что у того у кого информация, у того и возможности для работы с аудиторией, я задался вопросом почему так мало поисковиков в интернете. Ну гугл, яндекс, рамблер, ну и что то там еще, что пересчитать по пальцам легко. А ведь они аккумулируют практически подавляющие большинство пользователей интернета. Через них проходят большое число пользователей и от них же в определенной мере зависит куда направить пользователя. Да и фирмы в определенной мере раскручиваются не хитрыми способами влияния на ботов того же гугла.
А есть ли результат? У кого нибудь есть представление о том, сколько существует русскоязычных ресурсов? А есть ли возможность посмотреть их ранжированные списки как по частоте использования и тематическому разделению. Пытаются говорить о семантическом интернете, а вот такого даже элементарного порядка в структурировании похоже нет. Сказав себе «кто же если не мы», я пошел реализовывать эту идею и подходы к её решению. Но главное понял основную сложность, которая как и много где просто упирается в ресурсы, в данном случае процессорного времени. Тем кому интересны изыскания новичка в обозначенной области, но со свежим взглядом, прошу под кат.

Canon хочет собственную доменную зону

Японская компания Canon официально объявила, что начинает процесс регистрации доменной зоны .canon, в соответствии с новыми правилами регистрации gTLD.
Как известно, с июня 2008 года правила регистрации новых доменных зон были значительно ослаблены

Раньше для одобрения заявки нужно было доказать социальную важность и необходимость, сейчас это необязательно.
Наличие отдельной gTLD должно облегчить жизнь покупателям продукции Canon. Они смогут вводить стандартные URL с указанием конкретной марки товара и географического региона, например, URL вида ru.a470.canon сразу будет вести на русскоязычную информацию о цифровой камере Canon A470

Предполагается, что это облегчит поиск информации и сделает удобнее навигацию по интернету.
Заявка Canon на доменную зону будет рассмотрена ICANN во второй половине 2011 года.

Репликация Active Directory средствами Windows PowerShellAD Replication Windows PowerShell

В Windows Server 2012 добавлены дополнительные командлеты для репликации Active Directory в модуль Active Directory для Windows PowerShell.Windows Server 2012 adds additional Active Directory replication cmdlets to the Active Directory Windows PowerShell module. Они позволяют настраивать новые и существующие сайты, подсети, подключения, связи сайтов и мосты.These allow configuration of new or existing sites, subnets, connections, site links, and bridges. Они также возвращают метаданные репликации Active Directory, состояние репликации, а также актуальные данные об очередях и векторе синхронизации версий.They also return Active Directory replication metadata, replication status, queuing, and up-to-dateness version vector information. Командлеты репликации в сочетании с другими командлетами модуля Active Directory позволяют администрировать весь лес, используя только Windows PowerShell.The introduction of the replication cmdlets – combined with the deployment and other existing AD DS cmdlets – makes it possible to administer a forest using Windows PowerShell alone. Все это дает новые возможности администраторам, желающим предоставлять ресурсы и управлять системой Windows Server 2012 без использования графического интерфейса, что сокращает уязвимость операционной системы к атакам и требования к обслуживанию.This creates new opportunities for administrators wishing to provision and manage Windows Server 2012 without a graphical interface, which then reduces the operating system’s attack surface and servicing requirements. Это приобретает особое значение, если серверы необходимо развернуть в сетях с высоким уровнем защиты, таких как сети SIPR и корпоративные сети периметра.This is especially important when deploying servers into high security networks such as Secret Internet Protocol Router (SIPR) and corporate DMZs.

Подробнее о топологии сайтов и репликации доменных служб Active Directory см. в разделе Технический справочник по Windows Server.For more information about AD DS site topology and replication, see the Windows Server Technical Reference.

Кириллические домены

От Ру-Центра пришло письмо, краткое содержание которого сводится к просьбе проголосовать по вопросу о кириллических доменах.
Я считаю использование национальных алфавитов в названиях доменов полным бредом. Таким же, как русифицированный фотошоп и программирование на русском языке.Скажи своё веское фи ру-центру! (проголосовать смогут только те, у кого есть аккаунт на nic.ru)Upd. Подведем итоги столь бурного обсуждения.
Первое — русским доменам быть, как это ни печально для одних и не пофиг для других. И дело конечно же не в результатах голосования, которое на самом деле являлось просто поводом. Дело, как несколько раз замечали — в деньгах: введением зоны.РФ можно за очень короткое время почти удвоить ежегодный оборот в этой сфере.
Второе — во всем виноват Вавилон.
Ах да. Результаты голосования, за первые сутки, если кого-то они ещё волнуют:

Немного терминологии

Вначале давайте определимся с терминологией данного материала. В отечественной судебной практике уже дано определение, кого признавать администратором доменного имени:

“Администратор домена – физическое лицо, или ИП, или юридическое лицо, на которого зарегистрировано доменное имя” (решение Арбитражного суда города Москвы от 3 ноября 2011 г. по делу № А40-73876/2011, решение Арбитражного суда Приморского края от 4 июля 2018 г. по делу № А51-4335/2018, решение Арбитражного суда города Москвы от 15 января 2015 г. по делу № А40-93262/2014).

Таким образом, администратором домена может быть физическое лицо, ИП или юридическое лицо.

Для тех, кто не знает, где проверять, на кого зарегистрировано доменное имя, привожу краткое пояснение об этом. Необходимо воспользоваться одним из так называемых WHOIS-сервисов, ввести туда интересующее доменное имя, и в результатах проверки посмотреть, кто записан в соответствующем поле (оно может называться, например, “Администратор”, Adminname и т. п.). К примеру, если нас интересует, кто администрирует домен garant.ru, с помощью сервиса WHOIS на сайте Reg.ru (https://www.reg.ru/whois/?dname=garant.ru) мы узнаем, что администратором этого домена является NPP “Garant-Service” (LLC), то есть юридическое лицо.

Там, где есть администратор, есть и администрирование доменного имени. Давайте определимся и с этим термином: “Администрирование обычно включает в себя: обеспечение функционирования сервера, поддержание сайта в работоспособном состоянии и обеспечение его доступности; осуществление резервного копирования компонентов сайта и параметров настройки баз данных, иные виды работ” (решение Арбитражного суда города Москвы от 3 ноября 2011 года по делу № А40-73876/2011, решение Арбитражного суда города Москвы от 28 мая 2012 г. по делу № А40-25696/2012).

Таким образом, суд признает, что администрирование доменного имени – это совокупность следующих действий:

  • обеспечение функционирования сервера;
  • поддержание сайта в работоспособном состоянии;
  • обеспечение доступности сайта;
  • осуществление резервного копирования компонентов сайта;
  • осуществление резервного копирования параметров настройки баз данных;
  • иные виды работ.

Кроме того, опираясь на решение Арбитражного суда г. Москвы от 26 мая 2014 г. по делу № А40-188267/2013, можно дополнительно выделить также следующие действия и операции:

  • обеспечение функционирования сервера, на котором располагается сайт;
  • проведение организационно-технических мероприятий по защите информации на сайте от несанкционированного доступа;
  • осуществление инсталляции программного обеспечения, необходимого для функционирования сайта, в т. ч. в случае аварийной ситуации;
  • регистрация сотрудников, обслуживающих сайт, и предоставление права на изменение информации на сайте;
  • проведение регламентных работ на сервере (замена или дополнение компонентов сайта, ведение log-файлов архивных копий, контроль наличия свободного табличного пространства базы данных и др.);
  • обеспечение размещения информации на сайте;
  • осуществление постоянного мониторинга за состоянием системы безопасности сервисов, необходимых для корректной работы приложения и информации на сайте;
  • выполнение работ по модернизации и доработке функциональных сервисов сайта;
  • внесение изменений в структуру и дизайн сайта.

Тем самым, можно говорить о том, что администрирование доменного имени включает в себя целый спектр работ и действий, призванных обеспечить нормальное функционирование Интернет-сайта или сервиса как работающей информационной системы. Именно администратор создает необходимые технические условия для появления на сайте различных материалов, их изменению и их удалению (блокировке) оттуда.

Система регистрации доменных имен устроена таким образом, что администратором доменного имени в реестре записей о владельцах доменных имен может быть указано только одно лицо. При этом, доменное имя фактически может администрироваться и большим количеством лиц (например, если администратор домена привлекает третье лицо для администрирования доменного имени по договору возмездного оказания услуг).

Неправильный скрипт отключил домен .SE от интернета

Более 900 000 доменов в шведской национальной зоне .SE ушли в офлайн почти на два часа. Сайты были недоступны, почта на шведские адреса не доходила до адресатов. Происшествие случилось вечером 12 октября и стало ещё одним примером, насколько хрупкой на самом деле является инфраструктура современного интернета.
Подробную хронику событий можно восстановить из сообщений шведских хостинг-провайдеров, которые первые подняли тревогу. По их информации, шведский домен отключился от Сети в 21:45 по местному времени, а восстановился в 22:43, но кэши с DNS-таблицами у провайдеров обновились только к 23:30, а у более мелких провайдеров — и того позже. То есть национальный домен был полностью недоступен почти два часа, а для некоторых пользователей — и того дольше.
Как выяснилось вскоре, повреждение таблиц DNS произошло во время планового апдейта реестра, который производила компания-координатор домена .SE. Для апдейта они использовали некорректно сконфигурированный скрипт, который испортил все без исключения записи в реестре (конкретно, в конце каждой записи отсутствовала необходимая точка). В 21:45 они разослали файл с испорченным реестром всем провайдерам, те обновили базы, и произошёл мгновенный блэкаут.
Страшно представить, если такое друг произойдёт с зоной .com, куда входит более 80 млн доменных имён.

Архитектура ADPrep и проверки предварительных требованийADPrep and Prerequisite Checking Architecture

Средство Adprep больше не обязательно запускать на хозяине схемы.Adprep no longer requires running on the schema master. Его можно запускать удаленно с компьютера с 64-разрядной версией Windows Server 2008 или более поздней версии.It can be run remotely from a computer that runs Windows Server 2008 x64 or later.

Примечание

Средство Adprep использует протокол LDAP для импорта файлов Schxx.ldf и не переподключается автоматически, если во время импорта подключение к хозяину схемы прерывается.Adprep uses LDAP to import Schxx.ldf files and does not automatically reconnect if the connection to the schema master is lost during import. В процессе импорта хозяин схемы переводится в специальный режим, а переподключение отключается, так как при повторном подключении по протоколу LDAP режим станет иным.As part of the import process, the schema master is set in a specific mode and automatic reconnection is disabled because if LDAP reconnects after the connection is lost, the re-established connection would not be in the specific mode. В этом случае схема будет обновлена неправильно.In that case, the schema would not be updated correctly.

Проверка предварительных требований обеспечивает соблюдение определенных условий.Prerequisite checking ensures that certain conditions are true. Эти условия необходимы для успешной установки доменных служб Active Directory.These conditions are required for successful AD DS installation. Если некоторые обязательные условия не выполняются, вы можете устранить проблемы, а затем продолжить установку.If some required conditions are not true, they can be resolved before continuing the installation. Также проверяется готовность леса или домена к автоматическому выполнению кода развертывания Adprep.It also detects that a forest or domain are not yet prepared, so that the Adprep deployment code runs automatically.

Исполняемые файлы, файлы DLL, LDF и другие файлы ADPrepADPrep Executables, DLLs, LDFs, files

  • ADprep.dllADprep.dll
  • Ldifde.dllLdifde.dll
  • Csvde.dllCsvde.dll
  • Sch14.ldf – Sch56.ldfSch14.ldf – Sch56.ldf
  • Schupgrade.catSchupgrade.cat
  • *dcpromo.csv*dcpromo.csv

Код подготовки Active Directory, который ранее помещался в файле ADprep.exe, прошел рефакторинг и теперь находится в файле adprep.dll.The AD Preparation code formerly housed in ADprep.exe is refactored into adprep.dll. Это позволяет как программе ADPrep.exe, так и модулю Windows PowerShell ADDSDeployment использовать библиотеку для выполнения одних и тех же задач с помощью одинаковых возможностей.This allows both ADPrep.exe and the ADDSDeployment Windows PowerShell module to use the library for the same tasks and have the same capabilities. Программа Adprep.exe имеется на установочном носителе, но автоматические процессы не обращаются к ней напрямую — администратор должен запустить ее вручную.Adprep.exe is included with the installation media but automated processes do not call it directly – only an Administrator runs it manually. Она может выполняться в 64-разрядной версии Windows Server 2008 и более поздних операционных системах.It can only run on Windows Server 2008 x64 and later operating systems. Программы ldifde.exe и csvde.exe также имеют DLL-версии, прошедшие рефакторинг, которые загружаются процессом подготовки.Ldifde.exe and csvde.exe also have refactored versions as DLLs that are loaded by the preparation process. Для расширения схемы по-прежнему используются заверенные подписями LDF-файлы, как в предыдущих версиях операционной системы.Schema extension still uses the signature-verified LDF files, like in previous operating system versions.

Важно!

32-разрядного средства Adprep32.exe для Windows Server 2012 не существует.There is no 32-bit Adprep32.exe tool for Windows Server 2012. Для подготовки леса и домена необходим по крайней мере один компьютер с Windows Server 2008 (64-разрядной версии), Windows Server 2008 R2 или Windows Server 2012, работающий как контроллер домена, рядовой сервер или член рабочей группы.You must have at least one Windows Server 2008 x64, Windows Server 2008 R2, or Windows Server 2012 computer, running as a domain controller, member server, or in a workgroup, to prepare the forest and domain. Средство Adprep.exe нельзя запустить в 64-разрядной версии Windows Server 2003.Adprep.exe does not run on Windows Server 2003 x64.

Права доступа

Прежде чем начать рассматривать удаленный контроль, необходимо определиться с правами доступа. Если у тебя сеть построена на основе контроллера домена Windows NT/2000/2003, то по умолчанию администратор домена имеет права локального администратора на всех компьютерах сети. Хочешь убедиться?

Если у тебя есть доменная сеть, то запусти на своем компьютере оснастку «Управление компьютером» (Computer Management). Это можно сделать из «Панель управления»-> «Администрирование» или щелкнув правой кнопкой по «Мой компьютер» и выбрав меню «Управление» (Manage). Здесь в дереве объектов слева выбери раздел «Управление компьютером-> Служебные программы-> Система-> Локальные пользователи и группы-> Группы» (Computer management-> System tools-> Local Users and Groups-> Groups). Справа должен появиться список всех групп. Щелкни дважды по группе «Администраторы» (Administrators) и здесь в списке ты увидишь помимо своей учетной записи (если ты, конечно, локальный админ) еще и администраторов
домена.

Просмотр групп пользователей через оснастку «Управление компьютером»

Что дают права локального бога администраторам домена? Они имеют полный контроль над твоей машиной (дальше мы это увидим). Если ты не хочешь, чтобы без твоего ведома у тебя на машине кто-то ковырялся, срочно удали администраторов домена из группы локальных богов. Если ты сам – бог своей сети, то должен контролировать, чтобы пользователи не выкинули тебя из локальных администраторов на своих компьютерах.

Если доменной сети нет, то для удаленного управления необходимо знать пароль администратора компьютера, которым ты хочешь управлять. Теперь, чтобы коннект прошел удачно, установи себе этот же пароль, иначе могут быть проблемы с соединением.

Внимание! У тебя должен быть Windows из серии сервера или Professional. В Windows XP Home Edition работа в домене заблокирована

Я слышал, что умельцы вроде бы вводили Windows HE в домен, но сам не пробовал, поэтому подтвердить эту информацию не могу.

Я сам себе бог, а админы домена мне не указ

Итак, чтобы можно было удаленно управлять чужой тачкой, у тебя должно быть одно из двух:

  1. Ты должен быть администратором домена и при этом на удаленной машине ты локальный бог.
  2. Ты знаешь пароль админа жертвы и установил себе такой же.

Если хотя бы одно из этих условий выполнено, удаленный контроль будет возможен.

Куда попадают домены *.рф после смерти

Всем привет.
Чуть больше года назад после открытия доменной зоны.РФ один из регистраторов проводил на хабре конкурс с раздачей доменов в качестве призов. Мне «посчастливилось», я тоже получил право бесплатно зарегистрировать рф-домен. Сначала было желание зарегить что-то вроде «х#ебл#дскаяп#здопроё#ина.рф», т.к. перспектив этой зоны не видел, но, почесав репу, все-таки решил использовать возможность более прагматично. Через год оказалось, что регистратор за продление домена хочет 600 рублей. Это много, сейчас реально содержать домены по 110. Но имя-то придумал хорошее, отдавать жалко. В общем скрепя сердце решил бросить его, а потом, если получится, зарегистрировать через другого регистратора уже по нормальным тарифам.
Наступил день Х (free-date). Потом день X+1, потом X+2… Прошло уже 10 дней, а домен до сих пор весит как зарегистрированный, но не делегированный. Как вы думаете, в чем причина? Может быть это специфика национальных доменов?
nserver: ns1.expired.reg.ru.
nserver: ns2.expired.reg.ru.
state: REGISTERED, NOT DELEGATED, UNVERIFIED
person: Private Person
registrar: REGRU-REG-RF
admin-contact: www.reg.ru/whois/admin_contact
created: 2010.11.13
paid-till: 2011.11.13free-date: 2011.12.14
source: TCI
Last updated on 2011.12.23 08:53:42 MSK

Монтируем отключенную базу Active Directory

Попробуем извлечь из базы AD информацию о реальных администраторах домена. Для этого нужно загрузиться в DSRM режиме, в котором база Active Directory (ntds.dit) находится в отключенном состоянии. Нам необходимо локально смонтировать эту базу, чтобы в дальнейшем получить возможность доступа к хранимой в ней информации.

Запустите две командные строки: в первой мы запустим процесс dsamain.exe , во второй будем вводить интерактивные команды.

Совет. При работе на Server Core вторую командную строку можно открыть, выполнив в исходной cmd команду:

start cmd

Перед запуском утилиты dsamain.exe, удостоверимся, что другие сервисы и процессы в настоящий момент не используют порт 389. Сделать это можно командой:

netstat -ano | findstr :389

В том случае, если команда ничего не вернула – все ОК, идем дальше (если вернула нужно найти и отключить найденный процесс).

Утилита dsamain.exe позволяет смонтировать базу AD и выполнять к ней различные запросы LDAP(по сути позволяет организовать автономный LDAP сервер). Утилита запускается со следующими параметрами:

  • dbpath – задает путь к файлу ntds.dit.
  • allowNonAdminAccess – разрешает осуществлять LDAP запросы к базе AD  под локальной учетной записью (по умолчанию доступ разрешен только членам групп Domain Admins и Enterprise Admins).
  • ldapPort – позволяет указать порт LDAP. Мы будем использовать стандартный LDAP порт — 389.

Смонтируем базу AD командой:

dsamain -dbpath C:\Windows\NTDS\ntds.dit -allowNonAdminAccess -ldapPort 389

Удостоверимся, что процесс dsamain.exe запущен и слушает 389 порт. Для этого во второй командной строке выполните команду:

netstat -ano | findstr :389

TCP    0.0.0.0:389            0.0.0.0:0        LISTENING        614

TCP    :389               :0           LISTENING        614

TCP    0.0.0.0:389            *:*                               614

TCP    :389               *:*                               614

Получаем, что процесс с Process ID 614 слушает на  порту TCP 389.Проверим, что процесс с PID 604 и есть наш процесс dsamain.exe:

tasklist /fi "pid eq 614" /fo list

Image Name:   dsamain.exe

PID:          614

Session Name: Console

Session#:     2

Mem Usage:    11,316 K

Теперь, когда база AD смонтирована, мы можем обращаться к ней с помощью утилит ds* (dsget, dsquery и т.д.). Разберем все три варианта скрытия учетной записи администратора домена.

ФАС обязала RU-CENTER вернуть незаконно полученные 239360212 рублей

По итогам очередного заседания по рассмотрению дела о распределении доменных имен в домене.РФ комиссия Федеральной антимонопольной службы приняла решение прекратить рассмотрение дела в отношении всех фигурантов, кроме ЗАО «РСИЦ» и АНО «РСИЦ». В действиях же вышеупомянутых юридических лиц комиссия усмотрела нарушение ч.1 ст.11, ч.3 ст.11 и ч.1 ст.14 Закона о защите конкуренции и постановила обязать ЗАО «РСИЦ» перечислить незаконно полученные доходы в размере 239 360 212 рублей в бюджет Российской Федерации.
ФАС установила, что RU-CENTER нарушил законодательство, заключив перед открытием кириллической доменной зоны партнерские соглашения с другими игроками на рынке, что позволило компании превысить лимит в 4800 заявок на домены в час от одного регистратора. Результаты доменных аукционов, проведённых регистратором, могут быть оспорены или отменены.
В апреле антимонопольная служба уже штрафовала Ru-Center на 600 тысяч рублей за препятствование в проведении расследования. Все материалы текущего расследования ФАС передаст в правоохранительные органы соответствующие материалы для решения вопроса о возбуждении уголовного дела. Поскольку 16 марта 2011 года группа компаний РБК приобрела ЗАО «РСИЦ», плательщиком штрафа и бенефициаром «серьезного синергетического эффекта» вероятнее всего будет ОАО «РБК».

Багофича .RU или как получить проблемы там, где их не должно быть уже много лет

UPD. В связи с тем, что многие комментаторы не читают полностью, напишу здесь краткую суть проблемы: для .RU не очищаются Glue Records при изменении делегирования домена. Как минимум, для доменов, управляемых через Ru-Center и Reg.ru. Сама статья — это «история из жизни» о том, какие проблемы может вызвать такая «особенность» зоны .RU, как они были диагностированы и решены.
«Один мой друг» (с) рассказал историю про свои приключения с DNS.

Предыстория

Представьте, что заканчивается 2016 год, на ваших DNS серверах есть несколько сотен доменов, давным давно запущено штук 5 мощных DNS серверов в разных датацентрах, вы хотите наконец-таки избавиться от старых DNS серверов, которые последнее время просто тянут деньги на аренду и занимают место в стойке. Однако, сразу после попытки их отключения, телефоны поддержки раскаляются докрасна, поэтому старые сервера приходится быстро включить и вдумчиво разбираться в ситуации.

Глава 1

Еще раз проверяем DNS зоны, убеждаемся, что нигде нет старых адресов и очень давно. Проверяем из разных регионов запросами на каждый из своих NS. Везде всё отдаётся правильно. Берем tcpdump и смотрим запросы на 53 порт на старыx DNS. Оказывается, что запросов к ним удивительно много. И это при том, что IP адреса этих серверов уже много месяцев нигде не фигурируют!

Использование средств администрирования Active DirectoryUse Active Directory administrative tools

После установки средств администрирования мы продемонстрируем, как использовать их для администрирования управляемого домена Azure AD DS.With the administrative tools installed, let’s see how to use them to administer the Azure AD DS managed domain. Убедитесь, что используемая для входа в виртуальную машину учетная запись пользователя входит в группу администраторов Azure AD DC.Make sure that you’re signed in to the VM with a user account that’s a member of the AAD DC Administrators group.

  1. В меню Пуск выберите элемент Средства администрирования Windows.From the Start menu, select Windows Administrative Tools. Вы увидите список средств администрирования AD, установленных на предыдущем шаге.The AD administrative tools installed in the previous step are listed.

  2. Выберите здесь Центр администрирования Active Directory.Select Active Directory Administrative Center.

  3. Чтобы исследовать управляемый домен Azure AD DS, выберите на панели слева имя управляемого домена, например aadds.contoso.com.To explore the Azure AD DS managed domain, choose the domain name in the left pane, such as aadds.contoso.com. Первыми в списке указаны два контейнера с именами Компьютеры AADDC и Пользователи AADDC.Two containers named AADDC Computers and AADDC Users are at the top of the list.

  4. Чтобы просмотреть пользователей и группы, которые принадлежат к управляемому домену Azure AD DS, выберите контейнер Пользователи AADDC.To see the users and groups that belong to the Azure AD DS managed domain, select the AADDC Users container. В этом контейнере отображаются учетные записи и группы пользователей из клиента Azure AD.The user accounts and groups from your Azure AD tenant are listed in this container.

    В следующем примере выходных данных этот контейнер содержит учетную запись пользователя с именем Администратор Contoso и группу Администраторы контроллера домена AAD.In the following example output, a user account named Contoso Admin and a group for AAD DC Administrators are shown in this container.

  5. Чтобы увидеть компьютеры, присоединенные к управляемому домену Azure AD DS, выберите контейнер Компьютеры AADDC.To see the computers that are joined to the Azure AD DS managed domain, select the AADDC Computers container. Здесь отображается запись для текущей виртуальной машины, например myVM.An entry for the current virtual machine, such as myVM, is listed. В контейнере Компьютеры AADDC хранятся учетные записи всех компьютеров, присоединенных к управляемому домену Azure AD DS.Computer accounts for all computers that are joined to the Azure AD DS managed domain are stored in this AADDC Computers container.

Вам доступны типичные действия для центра администрирования Active Directory, например сброс пароля учетной записи пользователя или управление членством в группе.Common Active Directory Administrative Center actions such as resetting a user account password or managing group membership are available. Эти действия выполняются только для пользователей и групп, созданных непосредственно в управляемом домене Azure AD DS.These actions only work for users and groups created directly in the Azure AD DS managed domain. Сведения об удостоверении синхронизируются только из Azure AD в AD DS Azure.Identity information only synchronizes from Azure AD to Azure AD DS. Обратная запись из AD DS Azure в Azure AD не поддерживается.There’s no write back from Azure AD DS to Azure AD. Вы не можете изменить пароли или членство в управляемой группе для пользователей, синхронизированных из Azure AD, как и синхронизировать эти изменения обратно.You can’t change passwords or managed group membership for users synchronized from Azure AD and have those changes synchronized back.

Можно также использовать модуль Active Directory для Windows PowerShell, который устанавливается в составе средств администрирования, для управления типичными действиями в управляемом домене Azure AD DS.You can also use the Active Directory Module for Windows PowerShell, installed as part of the administrative tools, to manage common actions in your Azure AD DS managed domain.

Домен РФ – всероссийская истерия, ликование регистраторов

Доменов РФ успели зарегистрировать уже более 294 000 и прирост продолжается. За первые сутки открытой регистрации купили 240 040 доменов. До конца ноября думаю, цифра может добраться до полумиллиона. (Для сравнения – в зоне su всего 89 000 доменов, в ru – 3,06 млн.). Уже зарегистрированы все нормальные слова, название средних и малых городов, все двухбуквенные и двухсимвольные домены.
Пиар ущербной кириллической РФ удался на славу. Первыми начали скупать госорганы, регистрируя не только названия своих компаний. Потом за дело принялись киберсквоттеры, регистрируя товарные знаки под нужные им домены. Следом в дело пошли СМИ и общественные организации вроде газеты Водка или Открытой независимой логистической ассоциации «Йота Н» (сокращенно: ОНЛАЙН).
Когда дело дошло до открытой регистрации началась настоящая мясорубка. Сервера регистраторов просто не справлялись. Ру Центр постоянно подвисал, РЕГТАЙМ вообще регулярно падал, у других ситуация была не лучше. Ажиотаж такой, что покупают даже те, кто и не собирался, а кто собирался скупают домены десятками и сотнями. Коммерческие организации вынуждены тоже купить свое имя, по принципу — если я не выкуплю, вдруг конкуренты заберут? Основная масса покупает ненужные им домены, держа в уме успех зоны RU. Вдруг через 5-10 лет красивый.РФ можно будет продать за такие же деньги, как RU сейчас. Однако, самые вкусные домены достаются отнюдь не этим людям.
Больше всех на регистрации в зоне РФ нажились регистраторы. А больше других регистраторов – всесильный монстр RU-CENTER.
Посмотрим статистику за первые сутки свободной регистрации. Зарегистрировано 294 000 доменов. Из них 49,5% досталось Ру Центру. Это произошло за счет собственных мощностей (два своих регистратора ) + техническое соглашение с еще четырьмя регистраторами, согласно которому те действовали в интересах Ру Центра.

Регистратор REG.RU лишил партнёра доступа к 70 тысячам доменов и забрал их обслуживание себе

Вчерашний день принёс владельцам 70 тысяч доменов, которые были зарегистрированы у хостера Beget через регистратора REG.RU, не очень приятные новости: регистратор и хостер поссорились и регистратор забрал к себе на обслуживание все домены клиентов, которые они регистрировали через хостера.
REG.RU связывает это с «систематическими нарушениями правил работы с клиентами и договора об оказании услуг» со стороны их давнего партнера.Примерная реакция владельцев доменов, внезапно переведённых к другому регистратору
Вот новость, которую получили на электронную почту владельцы доменов вчера, 6 июня:

Движение далее

Как видишь, очень многое можно сделать без загрузки прожорливых в отношении трафика утилит RAdmin или DameWare. Пользуйся оснастками Windows, ведь они достаточно удобны и эффективны не только в локальной настройке, но и в удаленной. А самое главное, встроенные утилиты уже установлены и ничего не будут тебе стоить, т.е. абсолютная халява! Ну разве это не счастье!

Большинство из этих оснасток умеют работать не только с локальными, но и с удаленными машинами

Я рассказал только про основные оснастки, которые сам использую для удаленного управления и мониторинга в своей сети/домене. Но это не предел. Большинство оснасток, которые ты можешь увидеть в «Панель управления»-> «Администрирование» умеют удаленно работать с другими компьютерами. Рассматривать их все не имеет смысла, потому что принцип работы почти везде одинаковый – выбрать меню «Действие»-> «Подключение к удаленному компьютеру». В этом отношении отличается только оснастка контроля производительности. Но попытка описать все отняла бы очень много времени, ведь в Windows 2003 при установленной активной директории и всех установленных сервисах панель администрирования просто переполнена.
Именно поэтому я ограничился основными параметрами системы, которые мы используем чаще всего и которые могут пригодиться тебе.

В Windows 2003 оснасток еще больше. Их количество зависит от установленных сервисов, а у меня еще не установлена AD

Для удаленного управления ими со своего компа тебе тоже придется ставить Windows 2003, чтобы такие же оснастки были и в твоей тачке. Если не хочешь держать такого монстра у себя, то оснастки можно перенести на Windows Professional или воспользоваться сторонними утилитами, предоставляющими удаленное управление.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий