Archivio

Posts Tagged ‘Active Directory’

Active Directory disaster recovery: ripristino su hardware differente

17 novembre 2009

Active Directory disaster recovery: ripristino su hardware differente

Di Ermanno Goletto SysAdmin.it – MCTS – MCSA – MCP – MCBMSP – MCBMSS
e Mario Serra SysAdmin.it
Microsoft MCP – MCTS – MCDST

Introduzione

In questo articolo prenderemo in esame uno scenario non aderente alle best practices indicate da Microsoft per quanto riguarda l’implementazione di un’infrastruttura Active Directory ovvero uno scenario in cui vi sia un unico Domain Controller. Questa situazione è però purtroppo frequente soprattutto in situazioni in cui siano presenti pochi client(si pensi ad esempio a piccoli uffici) dove il budget a disposizione non permette l’acquisto dell’hardware e della licenza per un secondo Domain Controller.

Sommario

Scenario

Lo scenario sarà un’infrastruttura con unica foresta a singolo dominio test.local in cui vi sia un solo domain controller SRVDC01 che detiene quindi i ruoli FSMO ed configurato come server DNS e Global Catalog.

Si supponga ora che il server SRVDC01 cessi di funzionare e sia necessario ripristinare il DC su hardware differente.

Ripristino del Domain Controller su hardware differente in ambiente Windows 2003 Server

Per poter ripristinare il Domain Controller su hardware differente occorre che siano verificate le seguenti condizioni:

  1. Avere a disposizione un backup della partizione di sistema e del System State eseguito dopo aver arrestato tutti i servizi che potrebbero bloccare file (antivirus, scansione dischi e servizi di indicizzazione). Essendo in un scenario con un unico DC quindi senza altri DC verso cui replicare il periodi di tombstone degli oggetti di Active Directory di 60 giorni (o 180 per sistemi Windows 2003 SP1 e successivi in determinate situazioni) può essere ignorato.
  2. Il computer origine e destinazione devono avere lo stesso tipo di HAL (Hardware Abstraction Layer) con alcune eccezioni:
    • Si può passare da ACPI multiprocessor a ACPI uniprocessor e viceversa.
    • Si può passare da MPS multiprocessor a MPS uniprocessor e viceversa.

E’ possibile determinare il tipo di HAL tramite il nodo Computer della console Gestione Periferiche devmgmt.msc.

Nel caso in cui il computer sorgente abbia un HAL ACPI e quello destinazione un HAL MPS potrebbe essere possibile aggiornare il BIOS del computer destinazione per consentire il supporto ad ACPI, nel caso il fornitore della scheda madre abbia rilasciato l’aggiornamento.

  1. Il sistema sorgente e destinazione devono utilizzare un identico sistema operativo per quanto riguarda versione software e retail o OEM. La pratica più corretta è quella di installate il sistema di destinazione utilizzando lo stesso media impiegato per installare il sistema sorgente.
  2. Il sistema destinazione deve avere lo stesso livello di service pack e di hotfix del sistema sorgente.
  3. Il sistem sorgente e destinazione devono avere la stessa lettera per il drive logico di sistema (%systemdrive%) e lo stesso path di installazione (%systemroot%). Inoltre nel caso di un Domain Controller devono essere identici anche la posizione del database e dei log del servizio Active Directory e del database e dei log del FRS (File Replication Service).
  4. Sul sistema di destinazione rimuovere tutto l’hardware non necessario per completare il processo di restore in modo aumentare le probabilità di successo del ripristino (ad esempio disabilitare le schede di rete aggiuntive non necessarie che potranno essere installate al termine del processo di ripristino).

La procedura di ripristino si articola nelle seguenti fasi:

  1. Installare sul sistema di destinazione il sistema operativo rispettando le condizioni viste precedentemente ai punti 3,4 e 5.
  2. Terminata l’installazione del sistema operativo sul sistema di destinazione utilizzare la console Gestione Computer (compmgmt.msc /s) per creare, formattare e assegnare le lettere di volume (le stesse del sistema sorgente) ad ogni volume su cui sono memorizzare componenti del system state o applicazioni nel sistema sorgente.
  3. Creare sul sistema di destinazione una directory C:\Backup e inserire all’interno di essa una copia del file %SystermDrive%\Boot.ini, e della cartella %SystemRoot%\Repair e delle sue sottodirectory.
  4. Eseguire il restore del system state e del drive di sistema sul sistema di destinazione tramite la seguente procedura:
    1. Avviare l’utility di sistema Backup (ntbackup.exe) in modalità interattiva (per default al primo avvio viene proposta la modalità guidata).
    2. Selezionare la voce Opzioni del menù Strumenti, selezionare la scheda Ripristino e quindi l’opzione Sostituisci sempre il file nel computer.
    3. Selezionare la scheda Ripristina e gestisci supporti.
    4. Catalogare il backup contenente il system state e il drive di sistema del sistema sorgente tramite la voce di Cataloga un file di backup. del menù Strumenti.
    5. Eseguire il restore assicurandosi che sia selezionata l’opzione Percorso originale in Destinazione file ripristinati.
    6. Selezionare Avvia ripristino.
    7. Confermare il messaggio d’avviso di sovrascrittura dello stato corrente del sistema.
    8. Avviare il ripristino accettando le opzioni di ripristino avanzate predefinite.
    9. Terminato il restore selezionare No al messaggio di richiesta di riavvio del computer.
  5. Eseguire le seguenti operazioni al termine del restore, ma prima di riavviare il sistema:
    1. Sostituire il file %SystermDrive%\Boot.ini e %SystemRoot%\Repair\Boot.ini con quello precedentemente memorizzato in C:\Backup\System.ini.
    2. Copiare la directory Repair e le sue sottodirectory da C:\Backup in %SystemRoot%\Repair.
    3. Reinstallare i driver del controller dell’hard disk nel caso nel sistema di destinazione siano stati utilizzati driver di terze parti non inclusi nel disco di installazione di Windows.
    4. Nelle impostazioni TCP/IP verificare che il server DNS non sia impostato su un server DSN non disponibile o su localhost (indirizzo IP locale o di loopback) in quanto i record DNS del backup potrebbero non essere più validi. Al termine del restore, dopo aver verificato che il sistema di destinazione funzioni correttamente sarà possibile impostare l’indirizzo di loopback come server DNS.
    5. Dal momento che il sistema di destinazione è l’unico DC del dominio occorre eseguire il restore autoritativo del File Replication service (FRS) tramite la seguenti impostazione:
      • Aprire la chiave di registro
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
      • Impostare il valore DWORD BurFlags a D4.
    6. Riavviare il sistema di destinazione.
    7. Se dopo il riavvio Windows non si avvia normalmente a causa del chipset differente, driver incompatibili o HAL non corrispondente. In questo caso occorre eseguire il ripristino del sistema operativo tramite la seguente procedura:
      1. Avviare i sistema tramite il CD di installazione di Windows.
      2. Premere Invio alla richiesta di Installazione di Windows.
      3. Premere F8 per accettare il Contratto di licenza di Windows.
      4. Premere R per ripristinare l’installazione di Windows.
    8. Se dopo il ripristino del sistema operativo Windows non si avvia normalmente utilizzare la seguente procedura:
      1. Avviare i sistema tramite il CD di installazione di Windows.
      2. Premere R alla richiesta di Installazione di Windows per aprire la console di ripristino.
      3. Digitare l’identifificativo dell’installazione di Windows a cui accedere (1 nel caso ve ne sia solo una) e premere Invio.
      4. Digitare la password di administrator e premere invio.
      5. Digitare il comando disable acpi per disabilitare l’ACPI.
      6. Digitare exit per chiudere la console di ripristino e riavviare il computer.
      7. Eseguire nuovamente il il ripristino del sistema operativo tramite la procedura descritta al punto 8.
    9. Un volta avviato il sistema di destinazione rimuovere le periferiche appartenenti al sistema sorgente e non esistenti nel sistema destinazione (ad esempio scheda di rete, scheda video, controller dischi) tramite la seguente procedura:
      1. Aprire il prompt dei comandi (cmd).
      2. Digitare il seguente comando per consentire la visualizzazione di tutte le periferiche nascoste:
        set DEVMGR_SHOW_NONPRESENT_DEVICES=1
      3. Aprire la console per la gestione delle periferiche tramite il comando devmgmt.msc.
      4. Visualizzare le periferiche nascoste selezionare la voce Mostra periferiche nascoste del menù Visualizza.
      5. Disinstallare le periferiche non esistenti nel sistema.
    10. Aprire le connessioni di rete (ncpa.cpl) e controllare le impostazioni di rete impostando l’indirizzo di loopback come server DNS.
    11. Riavviare il computer.

Se sul sistema sorgente sono presenti anche altre funzionalità oltre al DNS e all’Active Directory potrebbe accadere che siano necessarie ulteriori operazioni (ad esempio se sul sistema è presente il servizio licenze di Terminal Services durante il ripristino del sistema viene segnalato che sarà necessario reinstallare tale funzionalità).

Il mio consiglio nel caso si debba eseguire tale procedura è quello di utilizzare una macchina virtuale come sistema di destinazione in modo che per il futuro il ripristino su hardware differente si risolva nello spostare i file di quest’ultima o al limite nella loro conversione nel caso si utilizzi una nuova versione del software di virtualizzazione. Inoltre una volta rimessa in funzione l’Active Directory sarebbe consigliabile aggiungere un secondo domain controller e migrare su questo i ruoli fsmo in modo da avere un domain controller basato su un’installazione nuova evitando così di portarsi dietro possibili problemi dovuti al ripristino su hardware differente.

Per ulteriori informazioni si vedano i seguenti:

Ripristino del Domain Controller su hardware differente in ambiente Windows 2008 Server

Con Windows 2008 Server la gestione del backup e del restore è demandata a Windows Server Backup che ha sostituito NTBackup. Windows Server Backup utilizza il servizio Copia Shadow del volume e la tecnologia di backup a livello di blocco per eseguire il backup e ripristino del sistema operativo, di file, cartelle e volumi. Il ripristino può essere eseguito sullo stesso server oppure, in caso di errore hardware, in un server diverso con hardware simile e privo di sistema operativo.

Per quanto riguarda il restore su hardware differente occorre tenere presente che l’immagine di backup contiene i driver utilizzati per avviare il sistema dopo il restore, quindi nei casi in cui il tipo di controller dei dischi (IDE, SATA o SCSI) sia diverso tra computer sorgente e destinazione potrebbe essere necessario specificare i driver necessari durante la fase di ripristino.

La procedura di ripristino si articola nelle seguenti fasi:

  1. Avviare il sistema di destinazione col DVD di installazione di Windows 2008 Server. Nel sistema di destinazione dovrà essere disponibile il backup del sistema sorgente (per esempio memorizzato su un disco USB connesso al sistema).
  2. Selezionare l’opzione Ripristina il Computer.
  3. Selezionare l’opzione Ripristina il computer utilizzando un’immagine del sistema creata in precedenza (nel caso sia necessario utilizzare driver del controller dischi diversi da quelli del sistema sorgente e non compresi tra i driver disponibili sul DVD di installazione specificarli tramite Carica driver) quindi selezionare Avanti.
  4. Accettare l’opzione predefinita di ripristino dell’immagine di sistema più recente o selezionarne una specifica quindi selezionare Avanti.
  5. Terminata la procedura di ripristino, dopo aver avviato il sistema di destinazione rimuovere le periferiche appartenenti al sistema sorgente e non esistenti nel sistema destinazione (ad esempio scheda di rete, scheda video, controller dischi). La procedura è analogoga a quella utilizzata con sistemi Windows 2003 Server e descritta precedentemente al punto 9.
  6. Aprire le connessioni di rete (ncpa.cpl) e controllare le impostazioni di rete impostando l’indirizzo di loopback come server DNS.
  7. Riavviare il computer.

Anche in questo caso valgono le considerazioni fatte precedentemente per sistemi Windows 2003 Server di utilizzare una macchina virtuale come sistema di destinazione e di aggiungere un secondo domain controller su cui migrare i ruoli fsmo.

Per ulteriori informazioni si vedano

Verifica della funzionalità di Active Directory

Per verificare che Active Directory funzioni correttamente è possibile utilizzare il seguente script:

REM *** I test sono memorizzati su file nella directory di avvio dello script

REM Eliminazione test precedenti
DEL Test-*.txt

REM Controllo Share
net share > Test-01-NetShare.txt
dcdiag /test:netlogons /f:Test-02-NetLogons.txt /i

REM Controllo DNS
dcdiag /test:DNS /DnsDynamicUpdate /f:Test-03-DnsDynamicUpdate.txt /i
dcdiag /test:DNS /DnsRecordRegistration /f:Test-04-DnsRecordRegistration.txt /i
dcdiag /test:RegisterInDNS /DnsDomain:%USERDNSDOMAIN% /f:Test-05-RegisterInDNS.txt /i

REM Controllo Membership
dcdiag /test:MachineAccount /f:Test-06-MachineAccount.txt /i

REM Controllo Replica
dcdiag /test:Replications /f:Test-07-Replications.txt /i
dcdiag /test:VerifyReplicas /f:Test-08-VerifyReplicas.txt /i
repadmin /showreps > Test-09-RepAdmin-showreps.txt

REM Controllo Operations Masters
dcdiag /test:knowsofroleholders /f:Test-10-knowsofroleholders.txt /i
dcdiag /test:fsmocheck /f:Test-11-fsmocheck.txt /i
netdom /query fsmo >Test-12-QueryFsmo.txt

Conclusioni

Tale configurazione non rispetta le best practices indicate da Microsoft per quanto riguarda l’implementazione di un’infrastruttura Active Directory dal momento che con un solo DC non è possibile avere alcuna ridondanza. Ciò comporta inevitabilmente un disservizio nell’utilizzo delle funzionalità di rete che richiedono l’autenticazione che si protrae fino al temine della procedura di disaster recovery. E’ quindi consigliabile prevedere la messa in funzione di un secondo DC utilizzando ad esempio una macchina virtuali per ridurre le spese legate all’hardware. In alternativa si potrebbe pensare di virtualizzare l’unico Domain Controller eseguendo periodici backup della macchina virtuale dopo averla arrestata, ciò non eviterebbe un disservizio nel caso in cui l’hardware su cui è in esecuzione la macchina virtuale cessasse di funzionare, ma ridurrebbe i tempi necessari alla procedura di disaster recovery e la semplificherebbe notevolmente.

Share

Microsoft

Migrare un dominio NT 4 a windows 2000/2003

15 novembre 2009

Un ottimo tutorial per la migrazione di un server nt4 domain controller a Windows 2000/2003 tratto dal sito di http://www.andreabeggi.net

Negli ultimi due anni mi è capitato sovente di dover aggiornare un dominio NT4 ad uno Active Directory Windows 2000 o 2003, e nell’ultimo periodo anche i ritardatari si sono decisi ad effettuare la migrazione. Oltre alle ben note caratteristiche introdotte dalla piattaforma, va segnalato che tra un mese circa MS cesserà di fornire supporto per NT, e l’assenza di aggiornamenti è un fattore critico. Inoltre ci sono problemi con le nuove normative sulla sicurezza e la privacy che dovrebbero entrare in vigore tra breve.
Dopo diverse migrazioni ho trovato un metodo abbastanza sicuro e veloce per effettuare l’aggiornamento.

Intanto tutte le migrazioni che ho fatto sono state effettuate in occasione dell’acquisto di un nuovo server, dato che, un server che funziona non si tocca, ma si sostituisce quando è vecchio.
In un dominio NT, l’aggiornamento fa fatto partendo dal Primary Domain Cantroller (PDC), seguito poi dai Backup Domain Controller (BDC), se ci sono.
Naturalmente il server in attività è troppo vecchio per essere aggiornato, ed inoltre non lo vogliamo assolutamente toccare finchè non siamo sicuri del successo dell’operazione. D’altronde non voglio che il nuovo server abbia un s.o. “sporco” che è stato caricato da un aggiornamento. Ultima cosa: voglio assolutamente un backup del database di dominio, se qualcosa andasse storto.
Per fare tutto questo ho bisogno di due PC abbastanza recenti da usare rispettivamente come backup e “ponte” per l’aggiornamento, li chiameremo A e B (*). Si procede così:
Come prima cosa fate un backup completo del server, non si sa mai. Intallate NT4 server su A, rendendolo BDC del dominio, e sincronizzate il database da “gestione server”. Controllate sui log l’avvenuta sincronia, dopodichè scollegate A dalla rete e mettetelo da parte: è il backup del database del dominio, che vi permette di ritirare su la struttura se qualcosa va male.
Installate NT4 Server anche su B, rendendolo PDC, questa volta. Sincronizzate il dominio come avete fatto prima.
Adesso inizia la migrazione vera e propria. Aggiornate B da Windows NT 4 Server a Windows Server 2000/2003.
Al termine dell’aggiornamento, se tutto è andato a buon fine il dominio è già migrato, ed è in modalità mista. Durante l’aggiornamento la rete continua a funzionare, tranne che per un breve periodo durante il riavvio dei servizi di rete sul server.
Adesso potete preparare il vostro nuovo server con Windows 200x. Rendetelo Domain Controller (DC) tramite un dcpromo. Il vostro dominio AD al momento ha 2 DC. Configurate molto attentamente il servizio DNS. Controllate lo stato del dominio e della sua replicazione tramite dcdiag. Tornate sulla macchina B e abbassatela a server membro, usando sempre dcpromo. Ricontrollate dcdiag, spegnete la macchina B e rimuovetela dal dominio e dall’elenco dei DC. Spegnete e rimuovete dal dominio anche il vecchio server, che a questo punto non serve più.
Ecco fatto: il dominio è migrato. Se avete anche dei BDC potete tenerli così, oppure sostituirli.
Adesso terminate l’installazione dei servizi di cui avete bisogno. (Una guida qui.)
Se qualcosa andasse storto, in qualunque momento potrete ripristinare il database del dominio staccando i server sui quali state lavorando, riattaccando la macchina A e promuovendola PDC.
Sui client non va fatta nessuna operazione.

Share

Microsoft

Active Directory disaster recovery: sostituzione del root domain controller

15 novembre 2009

Introduzione

Active Directory rappresenta il baricentro di un’infrastruttura informatica basata su tecnologia Microsoft. L’accesso alle risorse, la funzionalità dei servizi, la configurazione degli ambienti di lavoro dipendono da Active Directory. Diventa quindi essenziale progettare l’infrastruttura in modo che questo fondamentale servizio sia ridondato e predisporre delle procedure per ripristino in casi in cui occorre eseguire un disaster recovery.

Sommario

Scenario

In questo scenario prenderemo in esame un’infrastruttura ipotetica con un’unica foresta a singolo dominio test.local in cui vi siano due domain controller:

  • il server SRVDC01 che detiene i cinque ruoli FSMO (master schema, master per la denominazione dei domini, master RID, master emulatore PDC e master infrastrutture) ed configurato come server DNS e Global Catalog;
  • il server SRVDC02 configurato come server DNS e Global Catalog.

Si noti che in una struttura a singolo dominio non sono presenti phantom, quindi il master infrastrutture non ha funzioni da svolgere. Questo significa che ruolo master infrastrutture può essere collocato su un qualsiasi controller di dominio indipendentemente dal fatto che sua o meno configurato come catalogo globale. I phantom sono oggetti di basso livello del database Active Directory utilizzati per operazione di gestione interna e non visibili tramite LDAP o Active Directory Service Interfaces (ADSI). Per ulteriori informazioni in merito si vedano Collocazione e ottimizzazione di FSMO in controller di dominio Active Directory e Phantoms, tombstones and the infrastructure master.

Si supponga ora che il server SRVDC01 cessi di funzionare rendendo così non disponibili i ruolo FSMO, per ripristinare la funzionalità di Active Directory occorre eseguire le seguenti operazioni:

  • Assegnare (seize) i ruoli FSMO sul server SRVDC02 in quanto, dal momento che il server SRVDC01 non è disponibile, non è possibile trasferirli.
  • Rimuovere da Active Directory i riferimenti al server SRVDC01.
  • Assicurarsi che i client abbiano il sever SRVDC02 configurato come DNS e non abbiano più riferimenti al server SRVDC01.

Si noti che sebbene il server SRVDC01 non sia disponibile i client possono continuare ad autenticarsi se su di essi è stato configurato come DNS secondario il server SRVDC02 grazie al fatto che entrambi i DC sono Global Catalog. Il Global Catalog (GC) contiene una copia parziale in sola lettura di tutti gli oggetti definiti nei domini della foresta il cui insieme e l’aggiornamento dei loro attributi è frutto della replica multimaster. Le attività che prevedono l’utilizzo del GC sono:

  1. ricerca di oggetti a livello di foresta eseguite tramite LDAP su porta TCP 3268 o su porta TCP 3269 se viene utilizzato LDAP con SSL. Un esempio di utilizzo del GC è lo snap-in Active Directory Users and Computers quando si esegue una ricerca che ha come scope Entire Directory un altro esempio è l’Infrastructure Master durate la fase di aggiornamento dei phantom record;
  2. user logon in un dominio con livello funzionale Windows 2000 nativo o successivo in quanto a partire da versione dello schema di Active Directory sono disponibili i gruppi universali e ciò comporta che durante la fase di autenticazione il DC contatti il GC per ottenere i SID dell’utente e dei gruppi universali a cui appartiene (anche quelli definiti esternamente al dominio).
  3. UPN logon se l’utente utilizzi la sintassi UPN (User Principal Name) per l’autenticazione, in questo caso il DC contatta il GC fornendo il valore dell’attributo user-PrincipalName dell’oggetto User per ottenere il DN dell’utente e ricavare in questo modo il dominio di appartenenza dell’account. Inoltre il GC viene anche utilizzato nel caso vi sia un trust tra due foreste con livello funzionale Windows Server 2003 o successivo durante l’autenticazione UPN di un  account definito esternamente alla foresta su cui si sta eseguendo l’autenticazione (in questo il GC contatta il GC dell’altra foresta per ottenere le informazioni sull’account).
  4. Exchange client infatti i client Outlook durate l’apertura dell’Address Book o durate la compilazione del campo “Da” di una mail contattano il GC specificato dal server Exchange  per ottenere la GAL (Global Address List).
  5. Client Active Directory che utilizzano la rubrica di Windows per ricercare persone e contatti memorizzati in Active Directory.

Nel caso di una foresta a dominio singolo ogni DC può servire tutte le richieste di logon (incluse le UPN) senza utilizzare il GC, ma solo un DC configurato come GC può rispondere a richieste LDAP.

L’indisponibilità dei ruoli master impedisce l’esecuzione delle seguenti operazioni e genera alcuni disservizi:

  1. la modifica dello schema della foresta in quanto tale operazione, che può essere eseguita da un qualunque DC, prevede la connessione al DC che detiene il ruolo di Schema Master e che è anche l’unico DC della foresta a possedere una copia in scrittura dello Schema Partition;
  2. la creazione di un nuovo dominio in quanto tale operazione prevede la connessione al DC che detiene il ruolo Domain Naming Master che provvede a verificare che il dominio non sia già stato definito e ad attribuirgli un identificativo GUID univoco, inoltre il Domani Naming Master si occupa anche dell’autorizzazione alla cancellazione di un dominio e della creazione e cancellazione di una Application Partition, nonchè della validazione delle operazioni di modifica dei nomi dei domini tramite il tool RENDOM;
  3. la richiesta di un nuovo pool di RID (Relative ID) in quanto tale operazione viene servita da DC che detiene il ruolo di Relative ID Master, i RID sono utilizzati dai DC durate la creazione di oggetti Security Principal (User, Group o Computer) per attribuirgli identificativi Security ID (SID) univoci nel formato S-1-5-Y1-Y2-Y3-Y4 (dove Y1-Y2-Y3 è il domain SID e Y4 il RID). Ciò significa che esaurito il pool di RID corrente non sarà più possibile creare oggetti Security Principal (un pool di RID è composto da 500 RID e quando si raggiunge le 100 unità disponibili viene richiesto un nuovo pool). Il Relative ID Master è contattato anche per autorizzare lo spostamento di un oggetto in un altro dominio tramite ad esempio Active Directory Migration Tool per evitare che possa essere spostato in due domini diversi;
  4. l’autorizzazione del raise del livello funzionale del dominio in quanto tale operazione viene servita da DC che detiene il ruolo di PDC Emulator. Inoltre la modifica della password potrebbe avere tempi di convergenza maggiori poiché in seguito ad un cambio password di un account utente o computer il DC interessato comunica la nuova password al PDC Emulator e nel caso un altro DC durante la fase di autenticazione rilevi una password errata prima di comunicare l’errore verifica se il PDC Emulator non abbia ricevuto una modifica delle credenziali (se il ruolo PDC Emulator non è disponibile occorre attendere la replica di Active Directory affinché il secondo DC validi la nuova password). Potrebbero verificarsi anche problemi di sincronizzazione oraria dal momento che il PDC Emulator è la fonte di sincronizzazione del Windows Time Service infatti i DC di un dominio utilizzano il PDC Emulator del proprio dominio come time source e i PDC Emulator dei vari domini utilizzano come time source il PDC Emulator del Forest Root Domain. Infine il PDC Emulator è utilizzato di default dallo snap-in di creazione o modifica di un Group policy Object, ma tramite DC Options è possibile selezionare un altro DC;
  5. possibili incoerenze durante la visualizzazione degli utenti/gruppi nei domini esterni utilizzati nei gruppi del dominio (phantom record) in quanto la relazione GUID-SID-DN di tali utenti/gruppi definiti nei domini esterni viene mantenuta aggiornata dal DC che detiene il ruolo di Infrastructure Master. Il corretto funzionamento dell’Infrastructure Master prevede infatti che la visualizzazione dei membri di tali utenti e dei membri di tali gruppi non produca incoerenze causate dalla modifica del Distinguished Name (DN), per spostamento nel dominio, o del SID, per spostamento in altri domini. L’Infrastrucure Master per svolgere questa attività verifica e aggiorna periodicamente eventuali differenze tra il proprio database locale di phantom record e le informazioni contenute nei Global Catalog e replica tale database a tutti i DC del dominio.

Assegnazione (seize) dei ruoli FSMO

Per eseguire il seize dei ruoli FSMO sul server SRVDC02 è possibile utilizzare l’utility a riga di comando Ntdsutil, utilizzando la seguente procedura valida per Windows 2000 Server, Windows 2003 Server e Windows 2008 Server.

  1. Autenticarsi al server SRVDC02 con credenziali di amministratore di dominio.
  2. Aprire un prompt dei comandi.
  3. Digitare il comando ntdsutil.
  4. Al prompt ntdsutil: digitare il comando roles.
  5. Al prompt fsmo maintenance: digitare il comando connections.
  6. Al prompt connections: digitare connect to server srvdc02.
  7. Verificare che la connessione sia avvenuta controllado di ottenere il seguente output.
    Connesso a srvdc02 tramite le credenziali dell’utente connesso localmente.
  8. Al prompt server connections: digitare quit.
  9. Al prompt fsmo maintenance: digitare il comando seize domain naming master.
  10. Confermare il messaggio di conferma della requisizione del ruolo.
  11. Al prompt fsmo maintenance: digitare il comando seize schema master.
  12. Confermare il messaggio di conferma della requisizione del ruolo.
  13. Al prompt fsmo maintenance: digitare il comando seize infrastructure master.
  14. Confermare il messaggio di conferma della requisizione del ruolo.
  15. Al prompt fsmo maintenance: digitare il comando seize pdc.
  16. Confermare il messaggio di conferma della requisizione del ruolo.
  17. Al prompt fsmo maintenance: digitare il comando seize rid master.
  18. Confermare il messaggio di conferma della requisizione del ruolo.
  19. Al prompt fsmo maintenance: digitare il comando quit.
  20. Al prompt ntdsutil: digitare il comando quit.

Per verificare che i ruoli siano stati correttamente assegnati è possibile utilizzare il comando netdom query fsmo che dovrà restituire il seguente output:

Schema owner SRVDC02.test.local

Domain role owner SRVDC02.test.local

PDC role SRVDC02.test.local

RID pool manager SRVDC02.test.local

Infrastructure owner SRVDC02.test.local

The command completed successfully.

In Windows 2003 Server il tool a riga di comando Netdom è contenuto nei Support Tools, mentre in Windows 2008 Server e successivi è nativamente presente nel sistema. In Windows 2008 Server R2 grazie alla presenza di PowerShell, la nuova shell a riga di comando basata sul .NET framework 2.0, è possibile utilizzare il cmdlet Move-ADDirectoryServerOperationMasterRole per trasferire i ruoli Fsmo.

Per ulteriori informazioni si vedano:

Rimozione dei riferimenti del Domain Controller

Dal momento che si è reso necessario il seize dei ruoli si presuppone che il server SRVDC01 non tornerà più ad essere disponibile e quindi occorre rimuovere da Active Directory ogni suo riferimento. Inoltre va precisato che anche qualora SRVDC01 tornasse ad essere operativo non dovrà più essere connesso alla rete e andrà formattato.

Per eseguire l’eliminazione dei riferimenti del server SRVDC01 da Active Directory verrà utilizzato ancora il tool Ntdsutil che a partire dalla versione inclusa in Windows 2003 Server SP1 e successivi è in grado di svolgere le seguenti operazioni quando viene eseguito il metadata cleanup:

  • Rimozione dei riferimenti NTDSA o NTDS Setting del DC da eliminare.
  • Rimozione delle impostazioni di replica AD relative al DC da eliminare.
  • Rimozione del computer account del DC da elinare.
  • Rimozione delle impostazioni relative al FRS (File Replication System) relative al DC da eliminare.
  • Viene tentato il seize dei ruoli FSMO posseduti dal DC che si intende eliminare.

Di seguito viene riportata la procedura da eseguire su sistemi Windows 2003 SP1 o successivi per rimuovere i riferimenti del server SRVDC01 in Active Directory.

  1. Autenticarsi al server SRVDC02 con credenziali di amministratore di dominio.
  2. Aprire un prompt dei comandi.
  3. Digitare il comando ntdsutil.
  4. Al prompt ntdsutil: digitare il comando metada cleanup.
  5. Al prompt metadata cleanup: digitare il comando connections.
  6. Al prompt connections: digitare connect to server srvdc02.
  7. Verificare che la connessione sia avvenuta controllando di ottenere il seguente output.
    Connesso a srvdc02 tramite le credenziali dell’utente connesso localmente.
  8. Al prompt server connections: digitare quit.
  9. Al prompt metadata cleanup: digitare il comando select operation target.
  10. Al prompt select operation target: digitare il comando list domains.
  11. Viene restituita la lista dei domini tramite il seguente output
    Trovati 1 domini
    0 – DC=test,DC=local
  12. Al prompt select operation target: digitare il comando select domain 0
    (per selezionare il dominio in cui si trova il server da rimuovere SRVDC01).
  13. Viene restituito il seguente output
    Nessun sito corrente
    Dominio – DC=test,DC=local
    Nessun server corrente
    Nessun contesto dei nomi attivo
  14. Al prompt select operation target: digitare il comando list sites.
  15. Viene restituita la lista dei siti tramite il seguente output
    Trovati 1 siti
    0 – CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
  16. Al prompt select operation target: digitare il comando select site 0
    (per selezionare il sito in cui si trova il server da rimuovere SRVDC01).
  17. Viene restituito il seguente output
    Sito – CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Dominio – DC=test,DC=local
    Nessun server corrente
  18. Al prompt select operation target: digitare il comando list server in site.
  19. Viene restituita la lista dei server tramite il seguente output
    Trovati 2 server
    0 – CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    1 – CN=SRVDC02,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
  20. Al prompt select operation target: digitare il comando select server 0
    (per selezionare il server da rimuovere SRVDC01).
  21. Viene restituito il seguente output
    Sito – CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Dominio – DC=test,DC=local
    Server – CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Oggetto DSA – CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo- sito,CN=Sites,CN=Configuration,DC=test,DC=local
    Nome host DNS – SRVDC01.test.local
    Oggetto computer – CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local
    Nessun contesto dei nomi attivo
  22. Al prompt select operation target: digitare quit.
  23. Al prompt metadata cleanup: digitare il comando remove selected server.
  24. Confermare il messaggio di conferma.
  25. Viene restituito il seguente output
    Rimozione di metadati FRS per il server selezionato.
    Ricerca di membri FRS in “CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local.
    Rimozione dei membri FRS “CN=SRVDC01,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local.
    Eliminazione della sottostruttura in “CN=SRVDC01,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=test,DC=local.
    Eliminazione della sottostruttura in “CN=SRVDC01,OU=Domain Controllers,DC=test,DC=local.
    Il tentativo di rimuovere le impostazioni FRS su CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local non è riuscito per il seguente motivo: Impossibile trovare elemento.
    È ancora in corso la pulitura dei metadati.
    CN=SRVDC01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=test,DC=local rimossi dal server srvdc02
  26. Al prompt metadata cleanup: digitare quit.
  27. Al prompt ntdsutil: digitare il comando quit.
  28. Aprire lo snap-in Siti e servizi di Active Directory (dssite.msc).
  29. Selezionare il nodo Sites.
  30. Selezionare il sito a cui il server da rimuovere SRVDC01 appartiene (in questo caso Nome-predefinito-primo-sito).
  31. Selezionare il nodo Servers.
  32. Selezionare il server SRVDC01 e quindi selezionare Azione -> Elimina.

Per eseguire l’eliminazione dei riferimenti del server SRVDC01 dal DNS utilizzare la seguente procedura:

  1. Aprire lo snap-in DNS (dnsmgmt.msc /s).
  2. Nella zona diretta _msdcs.dominio rimuovere il record CNAME relativo al server SRVDC01. Nel caso il server non venga reinstallato e promosso Domain Controller con lo stesso nome eliminare anche i record NS (tramite la scheda Server dei nomi delle proprietà della zona) e i vari record SRV.
  3. Nella zona diretta relativa al dominio rimuovere il record A (Host) relativo al server SRVDC01. Nel caso il server non venga reinstallato e promosso Domain Controller con lo stesso nome eliminare anche i record NS (tramite la scheda Server dei nomi delle proprietà della zona) e i vari record SRV e impostare su SRVDC02 il record CNAME nella zona delegata _msdcs (tramite la scheda Server dei nomi delle proprietà della zona).

Terminata l’eliminazione dei riferimenti del server SRVDC01 in Active Directory e nel DNS occorre assicurarsi che i client non continuino ad utilizzarlo con server DNS, assicurarsi quindi che il DHCP non fornisca ai client tale impostazione.

Per ulteriori informazioni si vedano:

Conclusioni

In questo scenario grazie al fatto che nell’infrastruttura sono prendi almeno due DC e che si ha la ridondanza del GC e del servizio DNS nonostante cessi di funzionare il server che detiene i ruoli FSMO i disservizi risultano contenuti. Infatti gli utenti possono continuare ad autenticarsi e ad operare normalmente e anche la procedura di disaster recovery risulta non eccessivamente complessa e soprattutto non comporta interruzioni di servizio.

Share

Microsoft

Funzionamento e Diagnostica di Active Directory

14 novembre 2009

Una copia di questo articolo la puoi trovare anche su Microsoft Technet. qui

Introduzione
Il seguente articolo analizza l’architettura di Active Directory per comprenderne il funzionamento e descrive una serie di tools che consentono di controllarne il buon funzionamento.

Le utility DCDIAG (Domain Controller Diagnostics Tool), NETDOM (Windows Domain Manager), PORTQRY (Port Query), NTDSUTIL e ADSIEdit (ADSI Edit) fanno parte dei support tools che sono contenuti nella cartella support/tools del CD di Windows Server 2003 oppure sul primo CD di Windows Server 2003 R2, in alternativa è possibile scaricarli al seguente link Windows Server 2003 Service Pack 1 32-bit Support Tools.

Sommario
Diagnostica funzionalità rete
Condivisioni Netlogon e Sysvol
Verifica delle condivisioni Netlogon e Sysvol
Global Catalog
Verificare se il DC è stato eletto come Global Catalog
Replica di Active Directory e Ruoli FSMO
Verifica funzionalità Active Directory
Verifica funzionalità replica con altri Domain Controller
Verifica detenzione ruoli master
Verifica della disponibilità dei ruoli master operazioni
Servizio DNS
Verifica funzionalità DNS del Domain Controller
Struttura fisica di Active Directory
Verifica dell’integrità del database di Active Directory

DIAGNOSTICA FUNZIONALITA’ DI RETE
Un dominio Windows 2000/2003 è sempre identificato da due nomi:

– Nome DNS. E’ il nome completo DNS o FQDN (Fully Qualified Domain Name) ed è limitato a 255 caratteri, 63 per ogni etichetta (label) e rappresenta il nome nativo del dominio.
– Nome NetBIOS. E’ utilizzato per compatibilità con i sistemi pre-Windows 2000 ed è limitato a 15 caratteri. Coincide per default con i primi 15 caratteri della prima label del FQDN DNS del dominio.
Per verificare che la funzionalità dei servizi di rete su cui si basa Active Directory è possibile utilizzare l’utility NETDIAG (Network Connectivity Tester):

* Test del servizio DNS: NETDIAG /test:dns
* Test dell’elenco dei controller di dominio: NETDIAG /test:dclist
* Test del rilevamento dei controller di dominio: NETDIAG /test:dsgetdc
* Test di LDAP (Microsoft Lightweight Directory Access Protocol): NETDIAG /test:ldap
* Test dell’appartenenza al dominio: NETDIAG /test:member
* Per verificare la registrazione di NetBIOS, del servizio DNS e dei servizi utilizzare il seguente comando:

NETDIAG /debug

L’ utility NETDIAG registra automaticamente l’output sul file NetDiag.log che viene creato nella directory di esecuzione consentendo di esaminare il risultato del test diagnostico in modo più agevole.

Per maggiori informazioni sull’utilizzo di NETDIAG si veda al seguente articolo della Knowledge Base Microsoft HOW TO: Utilizzare lo strumento Diagnostica di rete (Netdiag.exe) in Windows 2000.

CONDIVISIONI NETLOGON e SYSVOL
Nei Domain Controller (DC) Windows NT gli script di logon venivano memorizzati nella condivisione amministrativa NETLOGON (che corrisponde alla directory %SystemRoot%\System32\Repl\Import\Scripts), mentre nei DC Windows 2000/2003 risiedono in SYSVOL (che corrisponde alla directory %SystemRoot%\Sysvol). Dcpromo modifica il valore di registro che definisce il path della condivisione NETLOGON facendola puntare a %SystemRoot%\Sysvol\Sysvol\NomeDominio\Scripts per consentire l’operatività ai client Windows 9x e Windows NT.

Ogni modifica alla directory %systemroot%\SYSVOL su un qualunque DC viene replicata agli altri DC utilizzando il servizio Replica file (FRS) basato su RPC (Remote Procedure Call).

La struttura della condivisione SYSVOL è la seguente:

* Sysvol\Sysvol\NomeDominio\Policies (corrispondente alla directory %SystemRoot%\Sysvol\NomeDominio\Policies) che contiene i Group Policy Template (ADM templates)
* Sysvol\Sysvol\NomeDominio\Scripts (corrispondente alla directory %SystemRoot%\Sysvol\NomeDominio\Scripts) che contiene gli scripts

VERIFICA DELLE CONDIVISIONI NETLOGON E SYSVOL
Per verificare se il Domain Controller condivide Netlogon e Sysvol e che i privilegi di logon necessari alla replica siano impostati è possibile utilizzare l’utility DCDIAG:

DCDIAG /test:frssysvol

DCDIAG /test:netlogons

Per maggiori informazioni sulla condivione SYSVOL si veda il seguente articolo della Knowledge Base Microsoft: How to rebuild the SYSVOL tree and its content in a domain.

GLOBAL CATALOG
In ogni domino è necessario avere un Global Catalog (GC) server e per impostazione predefinita al primo DC del dominio è assegnato automaticamente tale ruolo. Il GC contiene una replica completa di tutti gli oggetti di directory nel dominio host e una parziale di tutti gli oggetti di directory in tutti i domini della struttura. Il compito principale del GC consiste nel fornire autenticazione per gli accessi. Inoltre, poiché contiene informazioni su tutti gli oggetti in tutti i domini dell’insieme di strutture, consente la ricerca di oggetti a livello generale indipendentemente dal dominio di appartenenza di ciascun utente e/o computer fornendo informazioni sulle ubicazioni in cui è possibile trovare l’oggetto evitando query inutili nei domini. E’ possibile configurare un DC come GC e aggiungere GC ad un dominio per accelerare i tempi di risposta per le richieste di accesso e di ricerca.

VERIFICARE SE IL DC E’ STATO ELETTO COME GLOBAL CATALOG
Per verificare se un DC è stato eletto come Global Catalog e se, una volta inserito il flag Global Catalog, sia i grado di accettare richieste sulla porta TCP 3268 è possibile utilizzare l’utility PORTQRY e controllare il valore di isGlobalCatalogReady sia TRUE.

portqry -n -e 3268 -p tcp

Per maggiori informazioni sull’utilizzo di PORTQRY si veda al seguente articolo della Knowledge Base Microsoft HOW TO: Use Portqry to Troubleshoot Active Directory Connectivity Issues.

REPLICA DI ACTIVE DIRECTORY E RUOLI FSMO
Il database di Active Directory non ha una struttura monolitica ma è organizzato in partizioni o naming context che identificano strutture gerarchiche di oggetti, ciascuna delle quali costituisce un’unità di replicazione indipendente. Le partizioni Active Directory possono essere di tipo generale oppure di tipo applicativo (Active Directory Partition ADP).

Le partizioni generali possono essere di tre specie:

* Schema Partition. Contiene la definizioni degli oggetti (attributi e classi) utilizzabili in Active Directory (user, group, computer, organizational unit, etc…) e delle regole di utilizzo. Esiste una sola Schema Partition per ogni ciascuna foresta.
* Configuration Partition. Contiene informazioni generali sulla struttura e la composizione di una foresta (site, subnet, partizioni che compongono la foresta, dc, etc…). Esiste una sola Configuration Partition per ogni ciascuna foresta.
* Domain Partition. Contiene informazioni sugli oggetti creati in ogni dominio (user, group, computer, organizational unit, etc…). Esiste una sola Domain Partition per ogni dominio appartenente alla stessa foresta.

Le informazioni della Schema Partition e della Configuration Partition sono comuni a tutti i domini della foresta e quindi verranno replicate a tutti i DC della foresta, mentre le informazioni della Domain Partition sono private del dominio e quindi verranno replicate solo ai DC dello stesso dominio.

Le partizioni applicative possono essere di due specie:

* ADP builtin. Sono quelle dedicate al DNS (DomainDnsZones e ForestDnsZones) create automaticamente all’atto della creazione del dominio, nel caso si scelga di installare e configurare il servizioDNS dal wizard Dcpromo.
* ADP custom o personalizzate. Possono essere create manualmente per ospitare informazioni riguardanti applicazioni integrate in Active Directory (AD-aware)

Il processo di replica di Active Directory mantiene allineate le Directory Partition dei DC tramite una tipologia multimaster incrementale che consente di effettuare modifiche su qualsiasi DC e far sì che questo fornisca agli altri DC soltanto le differenze rispetto all’ultima sincronizzazione avvenuta. Per minimizzare i conflitti dovuti a modifiche dello stesso oggetto su DC diversi Active Directory implementa la replica a livello di singolo attributo, I DC, infatti, a seguito di una modifica aggiornano lo stamp associato all’attributo che è compostato da un Version Number (incrementato ad ogni modifica), un Timestamp (data e ora della modifica) e da un Server GUID (contenente il GUID del DC su cui è avvenuta la modifica). Nella comparazione degli stamp si considera il Version Number maggiore, nel caso ugualianza si considera il Timestamp maggiore e se anche il Timestamp è uguale si valuta il Server GUID.

Allo scopo di evitare conflitti di replica non risolvibilit tramite la comparazione degli stamp, Active Directory introduce l’amministrazione centralizzata di alcune operazioni, in altre parole alcune attività possono essere eseguite esclusivamente a seguito dell’autorizzazione data dal DC in possesso del ruolo associato alla specifica tipologia di operazione. Tali ruoli sono definiti flexible o Floating Single Master Operations (FSMO) in quanto è possibile spostare un ruolo assegnandolo ad un altro DC.

I ruoli FSMO sono cinque:

* Schema Master. Lo Schema Master è l’unico DC della foresta che possiede una copia i scrittura della Schema Partition (ciò significa che la modifica dello schema può essere seguita da un qualunque DC, ma prevede la connessione diretta con lo Schema Master).
* Domain Naming Master. Il Domain Naming Master è unico nella foresta e viene contattato quando è necessario creare un dominio per verificare che non sia già stato definito e ottenere un identificatore GUID univoco. Il Domain Naming Master è responsabile anche dell’autorizzazione alla cancellazione di un dominio, della validazione durante le operazioni di modifica dei nomi di dominio tramite il tool RENDOM.EXE e della creazione e cancellazione di una Application Directory Partition.
* Relative Identifier Master. Il Relative Identifier Master è unico nel dominio ed è responsabile della distribuzione dei pool contenenti le sequenze univoche dei Relative ID (RID) ai DC del dominio. I RID sono utilizzati dai DC durante la creazione degli oggetti Security Principal (User, Group o Computer) per attribuirgli identificativi Security ID (SID) univoci.
Il Relative Identifier Master si occupa anche di autorizzare lo spostamento di un oggetto in un altro dominio, tramite ad esempio l’Active Directory Migration Tool, per evitare che lo stesso oggetto possa essere spostato in due domini diversi.
I DC del dominio ricevono un pool di 500 RID dal Relative Identifier Master e quando la quantità disponibile raggiunge circa le 100 unità il DC contatterà il Relative Identifier Master per ottenere un nuovo pool.
Un SID è composto da 4 elementi S-1-5-Y1-Y2-Y3-Y4:
S-1 che indica la revisione del SID (al momento è in uso la 1)
5 che definisce l’autorità di emissione del SID (5 indica Windows NT, 2000 o 2003 Server, per i well know SID si utiliza 0 o 1)
Y1-Y2-Y3 è la porzione del domain SID (uguale per tutti i Security Principal del dominio)
Y4 rappresenta il relative ID del dominio.
PDC emulator. il PDC emulator è unico nel domino e viene utilizzato come fonte di replica (master-slave) degli update della Domain Partition verso i BDC NT nel caso in cui il livello funzionale del dominio sia Windows server 2003 Interim o Windows 2000 Mixed Mode. il PDC emulator viene inoltre contattato da client precedenti Windows 2000 su cui non è installato l’Active Directory client durante la fase di cambio password degli account e per offrire piena compatibilità verso essi.
Il PDC emulator assolve anche la funzionalità di Domain Master Browser e indipendetemente dal livelo funzionale del dominio ha i seguenti compiti:
– Diminuire il tempo di convergenza nei cambi password.
– Essere la fonte di sincronizzazione del Windows Time Service (in una foresta i DC di un dominio usano il PDC emulator del proprio dominio come time source e a loro volta i PDC emulator dei vari domini della foresta usano come time source il PDC emulator del Forest Root Domain il quale può essere sincronizzato su un time server esterno tramite il comando net time \\servername /setsntp:TimeServer).
– Essere utilizzato di default dallo snap-in di creazione o modifica di un Group Policy Object.
– Autorizzare il raise del livello funzionale del dominio.
Infrastructure Master. l’Infrastructure Master è l’unico DC nel domino che ha il compito di mantenere aggiornata la relazione GUID-SID-DN degli utenti/gruppi definiti nei domini esterni a quello di appertenenze dell’Infrastructure Master, ma utilizzati anche nei gruppi del suo dominio (phantom record). In caso di modifica del Distinguished Name (DN) (per es. spostamento nel domino) o del SID (per es. spostamento in altri domini) di tali utenti/gruppi la visualizzazione dei membri dei gruppi che li contengono non deve produrre incoerenze. Per ottenere tale risultati l’Infrastructure Master verifica e aggiorna periodicamente eventuali differenze tra il proprio database locale di phantom record e le informazioni nei Global Catalog server.

VERIFICA FUNZIONALITA’ ACTIVE DIRECTORY
Tramite Dcdiag è possibile verificare la registrazione DNS di un controller di dominio, controllare che i descrittori di protezione (SID) nelle intestazioni del contesto dei nomi dispongano delle autorizzazioni appropriate per la replica, analizzare lo stato dei controller di dominio in un insieme di strutture o in un’organizzazione e così via. Per maggiori informazioni si veda il seguente link: Domain Controller Diagnostics Tool (dcdiag.exe).

DCDIAG /v /f:


VERIFICA FUNZIONALITA’ REPLICA CON ALTRI DOMAIN CONTROLLER
Per verificare verificare la funzionalità replica con altri Domain Controller è possibile utilizzare l’utility DCDIAG:

DCDIAG /test:replications

VERIFICA DETENZIONE RUOLI FSMO
Per verificare quale server detiene i ruoli FSMO è possibile utilizzare l’utility NETDOM:

netdom /query fsmo

VERIFICA DISPONIBILITA’ DEI RUOLI MASTER OPERAZIONI
Per verificare la disponibilità dei ruoli master operazioni è possibile utilizzare l’utility DCDIAG, controllandone la localizzazione tramite il test knowsofroleholders e la disponibilità e il corretto funzionamento tramite il test fsmocheck:

DCDIAG /s: /test:KNOWSOFROLEHOLDERS /verbose

DCDIAG /s: /test:FSMOCHECK

SERVIZIO DNS
Uno degli aspetti più importanti dell’implementazione di Active Directory è la sua filosofia “IP-centrica”, nel senso che questa tecnologia si basa su alcuni standard del TCP/IP e in modo particolare sul servizio DNS che svolge le seguenti funzioni:

– Servizio di risoluzione dei nomi dei computer e/o domini in in indirizzi IP e viceversa.
– Servizio di registrazione dinamica (Dynamic DNS o DDNS) dei nomi dei computer (resource record di tipo address o RR di tipo A), degli indirizzi IP (RR di tipo pointer o RR di tipo PTR) e degli RR di tipo service location o RR di tipo SRV. Gli RR di tipo A e PTR vengono registrati da tutti i computer mentre gli RR SRV sono registrati solo dai DC.
– Definizione degli standard da adottare per la definizione dei nomi dei domini AD. DNS e AD condividono gli stessi namespace, ovvero la stessa gerarchia di domini, pertanto ad ogni dominio AD deve obbligatoriamente corrispondere un dominio DNS
– Servizio per la localizzazione (service location) dei DC Windows 2000/2003 che offrono servizi strategici ai client AD (LDAP Server, Kerberos Server, Global Catalog Server, etc…)

Per un client Windows 2000/XP/2003 membro di un dominio AD Windows 2000/2003 l’assenza o l’incorretta impostazione del server DNS comporta un declassamento del dominio AD da Windows 2000/2003 a semplice dominio Windows NT (eseguendo l’utility gpresult.exe per la determinazione del “Resultant Set Of Policy” il dominio di appartenenza appare infatti come “Domain Type: WindowsNT 4”). Su questi client configurati in modo errato il dominio AD Windows 2000/2003 verrà visto come un dominio Windows NT con un determinato nome NETBIOS che offre servizi di autenticazione NTLM e tutti i servizi nativi AD (autenticazione Kerberos, GPO, ricerche LDAP e/o ADSI, etc…) non saranno disponibili. Ovviamente queste considerazioni sono valide anchenel caso in cui il client sia configurato correttamente ma il servizio DNS non sia disponibile.

VERIFICA FUNZIONALITA’ DNS DEL DOMAIN CONTROLLER
Per verificare verificare la funzionalità del DNS del Domain Controller è possibile utilizzare l’utility DCDIAG (il test diagnostico del DNS è stato introdotto con la versione di DCDIAG rilasciata con Windows Server 2003 SP1):

DCDIAG /test:DNS

Per l’esecuzione di ulteriori attività e controlli relativi al servizio DNS si faccia riferimento ai seguenti articoli della Knowledge Base Microsoft:

How to reinstall a dynamic DNS Active Directory-integrated zone
Troubleshooting Active Directory replication failures that occur because of DNS lookup failures, event ID 2087, or event ID 2088
SRV Records Missing After Implementing Active Directory and Domain Name System

STRUTTURA FISICA DI ACTIVE DIRECTORY
Active Directory è basata su un database di tipo ISAM (Index as Sequential Access Method) gestito da un DBMS ESE (Extensible Storage Engine) noto anche col nome di Jet Blue (vi sono infatti due implementazioni separate delle Jet Api, chiamate Jet Blue e Jet Red e spesso il termina “Jet” viene utilizzato per riferirsi a Jet Red che è il DBMS utilizzato da Microsoft Access).

ESE è un componente introdotto con Windows 2000 che implementa un user-mode storage engine che gestisce i dati mediante un file binario. I dati saranno resi disponibili all’applicazione tramite Api mediante l’utilizzo di una DLL. Questo DBMS viene utilizzato da svariate applicazioni, come ad esempio Exchange e ADAM, in quanto offre buone performance ed un elevata scalabilità.

Il database di Active Directory è contenuto di default nella directory %SystemRoot%\NTDS e il cuore del DIB (Directory Infomation Base) è rappresentato dal file NTDS.DIT che viene creato dal comando dcpromo all’atto della promozione del server a DC utilizzando il modello %SystemRoot%\System32\ntds.dit.
Per la gestione dei log il DBMS ESE utilizza i file edb.log, edb*.log, res1.log e res2.log, mentre per la gestione del checkpoint utilizza il file edb.chk (per default la dimensione dei file di log è di 10 MB mentre quella del file di checkpoint è variabile).

Per conoscere la posizione del database NTDS.DIT e dei file log è possibile utilizzare l’utility NTDSUTIL:

1. Aprire il prompt dei comandi.
2. Digitare SET SAFEBOOT_OPTION=DSREPAIR e premere invio.
3. Digitare ntdsutil e premere invio.
4. Digitare files e premere invio.
5. Digitare info e premere invio per visualizzare le informazioni sul file di database e sui file di log.
6. Digitare quit e premere invio.
7. Digitare quit e premere invio per chiudere la sessione NTDSUTIL.

Quando viene eseguita un’operazione sul DC che avvia una scrittura sul database (creazione/cancellazione di un oggetto, modifica di un attributo di un oggetto o replica di oggetti e attributi da altri DC partner di replica) viene generata una transazione che contiene i dati e i meta-dati (numero di versione USN, il timestamp, il GUID del server su cui è stata generata la modifica). Una transazione è un’unità atomica di operazioni da eseguire su un database, ovvero devono essere portate a termine con successo tutte in caso contrario verrà ripristinata la situazione precedente all’esecuzione della transazione.

Le transazioni vengono immediatamente registrate in modo sequenziale nel file di log corrente (EDB.LOG) e quindi viene eseguita la modifica nella copia del database in memoria, ciò garantisce che le modifiche vengano eseguite anche nel caso di uno shutdown o di un crash immediatamente successivo.

Il DBMS ESE si occupa di di aggiornare il file NTDS.DIT con le transazioni contenute nei file log e aggiornando il contenuto del file di checkpoint (EDB.CHK) in modo che contenga la posizione sino a cui le operazioni di scrittura nel database sono state eseguite con successo (stato di committed della transazione).

Quando il file di log corrente (EDB.LOG) raggiunge la dimensione massima di default di 10.204 KB viene rinominato come EDBHHHHH.LOG (dove H è una cifra esadecimale) e viene creato un nuovo file EDB.LOG. Per una miglior ottimizzazione dello spazio su disco i file di log vengono gestiti tramite la modalità circular logging, che consiste nel sovrascrivere i log più vecchi in modo circolare cancellano i file non più necessari una volta eseguite le scritture sul database e aggiornato il file di checkpoint.

Per garantire la disponibiltà di spazio anche in situazioni di emergenza oper le normali operazioni di deframmentazione online, vi sono due file di riserva (RES1.LOG e RES2.LOG) della dimensione standard dei file log che vengono utilizzati nel caso in cui il sistema esaurisca lo spazio disponibile sul volume contenente il database.

I file EDBTMP.LOG e TEMP.EDB sono due file temporanei utilizzati da attività quali deframmentazione online, recovery, situazioni di emegenza derivati da sovraccarico, ecc.

Nel caso di chiusura anomala del sistema il DBMS ESE rileva l’esistenza di una situazione anomala controllando il log degli eventi e se l’ultimo record non corrisponde ad uno shutdown “normale”, ESE riapplica il log segnalati nel file di checkpoint (EDB.CHK) notificandolo nell’Event Viewer tramite gli eventi NTDS ISAM 300, 301, 302. Nel caso di assenza del file di checkpoint (EDB.CHK) vengono riaplicate tutte le transazione contenute file di log.

VERIFICA DELL’INTEGRITA’ DEL DATABASE DI ACTIVE DIRECTORY
Per verificare l’integrità del database di Active Directory è possibile utilizzare l’utility NTDSUTIL:

1. Riavviare il sistema.
2. Durante la fase di avvio premere F8.
3. Selezionare l’opzione Modalità ripristino servizi directory (solo controller domini Windows).
4. Selezionare il sistema operativo da avviare.
5. Autenticarsi tramite l’account Administrator con la password di “amministratore modalità ripristino servizi” specificata durante l’esecuzione di dcpromo.
6. Confermare il messaggio che indica che Windows è in esecuzione in modalità provvisoria.
7. Aprire il prompt dei comandi.
8. Digitare ntdsutil e premere invio.
9. Digitare files e premere invio.
10. Digitare integrity e premere invio per avviare il controllo di integrità
11. Digitare quit e premere invio.
12. Digitare sematic database analysis e premere invio.
13. Digitare go e premere invio per avviare il controllo semantico del database.
14. Digitare quit e premere invio.
15. Digitare quit e premere invio per chiudere la sessione NTDSUTIL.

Per l’esecuzione di ulteriori attività e controlli tramite l’utility NTDSUTIL si faccia riferimento ai seguenti articoli della Knowledge Base Microsoft:

Utilizzo di Ntdsutil per gestire file di Active Directory dalla riga di comando in Windows Server 2003
How to complete a semantic database analysis for the Active Directory database by using Ntdsutil.exe
Deletion of Critical Objects in Active Directory in Windows 2000 and Windows Server 2003
Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio
Utilizzo dello strumento Ntdsutil.exe per assegnare o trasferire ruoli FSMO a un controller di dominio
HOW TO: Cercare ed eliminare gli identificatori di protezione (SID) duplicati con Ntdsutil in Windows Server 2003
Reimpostazione della password dell’account amministratore per la modalità ripristino servizi directory (DSRM) in Windows Server 2003
How to restore deleted user accounts and their group memberships in Active Directory
Mancato abbassamento di livello dei controller di dominio quando si utilizza l’Installazione guidata di Active Directory per forzare l’abbassamento di livello in Windows Server 2003 e in Windows 2000 Server

CONCLUSIONI
La diagnostica di Active Directory dovrebbe essere eseguita periodicamente soprattutto quando vengono eseguite modifiche corpose, prima di un backup del system state evitando così di salvare una versione non valida, ma soprattutto dopo il cambio di una Domain Controller (DC) per accertarsi che il processo di trasferimento sia andato a buon fine (a tal proposto si faccia riferimento alla guida Migrare un DC Windows2003 verso un nuovo server).

Per ulteriori approfondimenti si faccia riferimento al seguente articolo della Knowledge Base Microsoft How to verify an Active Directory installation.

_______________________________

È possibile che l’abbassamento di livello dei controller di dominio Microsoft Windows 2000 o Microsoft Windows Server 2003 non venga eseguito correttamente mediante l’Installazione guidata di Active Directory (Dcpromo.exe).

Cause

Questo problema può verificarsi in caso di errore di una dipendenza o di un’operazione necessaria, ad esempio la connettività di rete, la risoluzione dei nomi, l’autenticazione, la replica del servizio directory di Active Directory o l’individuazione di un oggetto fondamentale in Active Directory.

Risoluzione

Per risolvere il problema, determinare la causa del mancato abbassamento di livello normale del controller di dominio di Windows 2000 o Windows Server 2003, quindi provare di nuovo a eseguire l’operazione mediante l’Installazione guidata di Active Directory.

Workaround

Se non si riesce a risolvere il problema, è possibile utilizzare le soluzioni alternative descritte di seguito per forzare l’abbassamento di livello del controller di dominio in modo da mantenere l’installazione del sistema operativo e le applicazioni installate.

Avviso Prima di utilizzare una delle soluzioni descritte di seguito, assicurarsi di poter eseguire l’avvio in modalità ripristino servizi directory. In caso contrario, dopo l’abbassamento di livello forzato del computer non sarà possibile effettuare l’accesso. Se si è dimenticata la password per la modalità ripristino servizi directory, sarà possibile ripristinarla mediante l’utilità Setpwd.exe che si trova nella cartella Winnt\System32. In Windows Server 2003 la funzionalità dell’utilità Setpwd.exe è stata integrata nel comando Set DSRM Password dello strumento NTDSUTIL. Per ulteriori informazioni su come effettuare questa procedura, fare clic sul numero dell’articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):

271641 (http://support.microsoft.com/kb/271641/ ) Impostazione di una password vuota per la modalità di ripristino da parte della Configurazione guidata server

Controller di dominio di Windows 2000

  1. Installare l’aggiornamento rapido (hotfix) Q332199 su un controller di dominio di Windows 2000 che esegue il Service Pack 2 (SP2) o versione successiva oppure installare Windows 2000 Service Pack 4 (SP4). Nel Service Pack 2 e nelle versioni successive è supportato l’abbassamento di livello forzato. Riavviare il computer.
  2. Fare clic sul pulsante Start, scegliere Esegui e digitare il comando seguente:
    dcpromo /forceremoval
  3. Scegliere OK.
  4. Nella pagina Installazione guidata di Active Directory scegliere Avanti.
  5. Se il computer che si sta rimuovendo è un server di catalogo globale, scegliere OK nella finestra di messaggio. Nota Innalzare di livello altri cataloghi globali nell’insieme di strutture o nel sito se il controller di dominio che si sta abbassando di livello è un server di catalogo globale, secondo le esigenze.
  6. Nella pagina Rimozione di Active Directory assicurarsi che la casella di controllo Questo server è l’ultimo controller di dominio nel dominio sia deselezionata, quindi scegliere Avanti.
  7. Nella pagina Credenziali di rete digitare il nome, la password e il nome di dominio di un account utente con credenziali di amministratore dell’organizzazione nell’insieme di strutture, quindi scegliere Avanti.
  8. In Password amministratore digitare e confermare la password da assegnare all’account amministratore del database SAM locale, quindi scegliere Avanti.
  9. Nella pagina Riepilogo scegliere Avanti.
  10. Eseguire la pulitura dei metadati del controller di dominio abbassato di livello su un controller di dominio rimanente nell’insieme di strutture.

Se è stato rimosso un dominio dall’insieme di strutture utilizzando il comando remove selected domain di Ntdsutil, assicurarsi che in tutti i controller di dominio e nei server di catalogo globale dell’insieme di strutture siano stati rimossi tutti gli oggetti e i riferimenti al dominio rimosso, prima di innalzare di livello un nuovo dominio nello stesso insieme di strutture con lo stesso nome di dominio. Per stabilire se è stata eseguita la replica end-to-end, possono essere utili strumenti quali Replmon.exe o Repadmin.exe disponibili negli Strumenti di supporto di Windows 2000. La rimozione di oggetti e contesti dei nomi in Windows 2000 SP3 e nei server di catalogo globale precedenti è notevolmente più lenta rispetto a Windows Server 2003.

Controller di dominio di Windows Server 2003

  1. Per impostazione predefinita, i controller di dominio di Windows Server 2003 supportano l’abbassamento di livello forzato. Fare clic sul pulsante Start, scegliere Esegui e digitare il comando seguente:
    dcpromo /forceremoval
  2. Scegliere OK.
  3. Nella pagina Installazione guidata di Active Directory scegliere Avanti.
  4. Nella pagina Imponi rimozione di Active Directory scegliere Avanti.
  5. In Password amministratore digitare e confermare la password da assegnare all’account amministratore del database SAM locale, quindi scegliere Avanti.
  6. Nella pagina Riepilogo scegliere Avanti.
  7. Eseguire la pulitura dei metadati del controller di dominio abbassato di livello su un controller di dominio rimanente nell’insieme di strutture.

Se è stato rimosso un dominio dall’insieme di strutture utilizzando il comando remove selected domain di Ntdsutil, assicurarsi che in tutti i controller di dominio e nei server di catalogo globale dell’insieme di strutture siano stati rimossi tutti gli oggetti e i riferimenti al dominio rimosso, prima di innalzare di livello un nuovo dominio nello stesso insieme di strutture con lo stesso nome di dominio. La rimozione di oggetti e contesti dei nomi in Windows 2000 Service Pack 3 (SP3) e nei server di catalogo globale precedenti è notevolmente più lenta rispetto a Windows Server 2003.

Se le voci di controllo di accesso (ACE) presenti nel computer da cui è stato rimosso Active Directory erano basate su gruppi locali di dominio, potrebbe essere necessario riconfigurare queste autorizzazioni, in quanto questi gruppi non saranno disponibili per i server membri o i server autonomi. Se si ha intenzione di installare Active Directory in un computer che verrà innalzato a livello di controller di dominio del dominio originale, non sarà più necessario configurare le voci di controllo di accesso. Se si preferisce mantenere il computer a livello di server membro o di server autonomo, è necessario convertire o sostituire le eventuali autorizzazioni basate su gruppi locali di dominio. Per ulteriori informazioni sulla modifica delle autorizzazioni a seguito della rimozione di Active Directory da un controller di dominio, fare clic sul numero dell’articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):

320230 (http://support.microsoft.com/kb/320230/ ) Conseguenze sulle autorizzazioni dopo l’abbassamento di livello di un controller di dominio

Miglioramenti introdotti in Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 consente di migliorare il processo dcpromo /forceremoval. Quando si esegue il comando dcpromo /forceremoval, viene effettuata una verifica per determinare se il controller di dominio svolge il ruolo di master operazioni, è un server DNS (Domain Name System) o un server di catalogo globale. Per ciascuno di questi ruoli l’amministratore riceve un avviso popup per l’esecuzione dell’azione appropriata.

Status

Microsoft ha eseguito test e fornisce il supporto per forzare l’abbassamento di livello dei controller di dominio che eseguono Windows 2000 o Windows Server 2003.

Informazioni

Mediante l’Installazione guidata di Active Directory vengono creati controller di dominio di Active Directory in computer basati su Windows 2000 e su Windows Server 2003. Durante l’Installazione guidata di Active Directory vengono effettuate diverse operazioni, fra cui l’installazione di nuovi servizi, l’esecuzione di modifiche ai valori di avvio di servizi esistenti e il passaggio ad Active Directory come area di protezione e autenticazione.

Con l’imposizione dell’abbassamento di livello, gli amministratori di dominio possono forzare la rimozione di Active Directory ed eseguire il rollback delle modifiche di sistema apportate a livello locale senza contattare altri controller di dominio nell’insieme di strutture o replicare alcuna modifica locale.

Dato che l’abbassamento di livello forzato comporta la perdita delle modifiche apportate a livello locale, deve essere utilizzato solo come soluzione estrema nei domini di produzione o test. È possibile forzare l’abbassamento di livello dei controller di dominio quando le dipendenze relative a connettività, risoluzione dei nomi, autenticazione o motore di replica non possono essere risolte, in modo da consentire un abbassamento di livello normale. Gli scenari validi per l’abbassamento di livello forzato comprendono:

  • Nel dominio padre non è disponibile alcun controller di dominio quando si tenta di abbassare di livello l’ultimo controller di dominio in un dominio figlio diretto.
  • L’Installazione guidata di Active Directory non può essere completata a causa di una dipendenza relativa alla risoluzione dei nomi, all’autenticazione, al motore di replica o a oggetti di Active Directory che non può essere risolta dopo un’accurata procedura di risoluzione dei problemi.
  • Le modifiche di Active Directory in ingresso non sono state replicate da un controller di dominio entro la durata dell’oggetto contrassegnato per rimozione (per impostazione predefinita, entro 60 giorni) per uno o più contesti dei nomi.Importante Ripristinare tali controller di dominio solo se costituiscono l’unica possibilità di ripristino per un determinato dominio.
  • Il tempo disponibile non consente una risoluzione dei problemi accurata, poiché è necessario rendere immediatamente operativo il controller di dominio.

L’abbassamento di livello forzato può rivelarsi utile in ambienti di laboratorio o didattici, in cui è possibile rimuovere i controller di dominio dai domini esistenti, ma non è necessario abbassare di livello ciascun controller di dominio in successione.

Se si forza l’abbassamento di livello di un controller di dominio, andranno perse le modifiche univoche residenti in Active Directory del controller di dominio di cui si sta effettuando l’abbassamento forzato del livello, tra cui l’aggiunta, l’eliminazione o la modifica di utenti, di computer, di gruppi, di relazioni di trust, di criteri di gruppo o della configurazione di Active Directory di cui non è stata eseguita la replica prima dell’esecuzione del comando dcpromo /forceremoval. Andranno inoltre perse le modifiche apportate a qualsiasi attributo di tali oggetti, quali le password per gli utenti, i computer, le relazioni di trust e l’appartenenza ai gruppi.

Se tuttavia si forza un abbassamento di livello di un controller di dominio, viene ripristinato uno stato del sistema operativo corrispondente a quello ottenuto con l’abbassamento di livello dell’ultimo controller di dominio in un dominio, per quanto riguarda i valori iniziali dei servizi, i servizi installati, l’utilizzo di un sistema SAM basato sul Registro di sistema per il database degli account e l’appartenenza del computer a un gruppo di lavoro. I programmi installati nel controller di dominio abbassato di livello rimangono installati.

Nel registro eventi di sistema i controller di dominio di Windows 2000 di cui è stato forzatamente abbassato il livello, nonché le istanze dell’operazione dcpromo /forceremoval, sono identificati dall’ID evento 29234. Ad esempio:

Tipo evento: AVVISO
Origine evento: lsasrv
Categoria evento: Nessuno
ID evento: 29234
Data: MM/GG/AAAA
Ora: HH.MM.SS
Utente: N/D
Computer: nomecomputer Descrizione: A questo server è stato imposto un abbassamento di livello. Pertanto, non è più un controller di dominio.

Nel registro eventi di sistema i controller di dominio di Windows Server 2003 a cui viene imposto un abbassamento di livello sono identificati dall’ID evento 29239. Ad esempio:

Tipo evento: AVVISO
Origine evento: lsasrv
Categoria evento: Nessuno
ID evento: 29239
Data: MM/GG/AAAA
Ora: HH.MM.SS
Utente: N/D
Computer: nomecomputer Descrizione: A questo server è stato imposto un abbassamento di livello. Pertanto, non è più un controller di dominio.

Dopo avere utilizzato il comando dcpromo /forceremoval, i metadati per il computer abbassato di livello non vengono eliminati nei controller di dominio rimanenti. Per ulteriori informazioni, fare clic sul numero dell’articolo della Microsoft Knowledge Base riportato di seguito:

216498 (http://support.microsoft.com/kb/216498/ ) Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio

Di seguito sono indicate alcune operazioni da effettuare, se necessario, dopo avere imposto l’abbassamento di livello di un controller di dominio:

  1. Rimuovere l’account computer dal dominio.
  2. Verificare che i record DNS, quali i record A, CNAME e SRV, siano stati rimossi ed eventualmente rimuoverli se ancora presenti.
  3. Verificare che gli oggetti membro del servizio Replica file (FRS e DFS) siano stati rimossi ed eventualmente rimuoverli se ancora presenti. Per ulteriori informazioni, fare clic sul numero dell’articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
    296183 (http://support.microsoft.com/kb/296183/ ) Panoramica degli oggetti Active Directory utilizzati da FRS
  4. Se il computer abbassato di livello è membro di gruppi di protezione, rimuoverlo da tali gruppi.
  5. Rimuovere tutti i riferimenti del file system DFS, rappresentati da collegamenti o repliche della directory principale, al server abbassato di livello.
  6. A un controller di dominio rimanente devono essere assegnati i ruoli di master operazioni o FSMO (Flexible Single Master Operations) precedentemente gestiti dal controller di dominio a cui è stato imposto un abbassamento di livello. Per ulteriori informazioni, fare clic sul numero dell’articolo della Microsoft Knowledge Base riportato di seguito:
    255504 (http://support.microsoft.com/kb/255504/ ) Utilizzo dello strumento Ntdsutil.exe per assegnare o trasferire ruoli FSMO a un controller di dominio
  7. Se il controller di dominio che si sta abbassando di livello è un server DNS o un server di catalogo globale, è necessario creare un nuovo server DNS o di catalogo globale per soddisfare le impostazioni di bilanciamento del carico, di tolleranza d’errore e di configurazione nell’insieme di strutture.
  8. Quando si utilizza il comando remove selected server di NTDSUTIL, viene rimosso l’oggetto NTDSDSA, ovvero l’oggetto padre per le connessioni in ingresso verso il controller di dominio di cui si sta abbassando forzatamente il livello. Il comando non rimuove gli oggetti server padre visualizzati nello snap-in Siti e servizi di Active Directory. Utilizzare lo snap-in MMC Siti e servizi di Active Directory per rimuovere l’oggetto server se il controller di dominio non verrà innalzato di livello nell’insieme di strutture mantenendo lo stesso nome computer.

Come rimuovere un Domain Controller (DC) non più funzionante

Se nel vostro dominio muore uno dei Domain Controller (Windows Server 2003), magari obsoleto e utilizzato solo per la replica di Active Directory, gli altri servers continueranno a funzionare tentando però di replicarsi sul server defunto.
Ripulire Active Directory dalle repliche non necessarie, almeno per me, non è stata una cosa banale. Come spesso accade in questi casi la parte più difficile è stata reperire un guida sicura per effettuare questa delicata operazione.
Personalmente ho seguito la guida Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio riportata sul sito di Microsoft con alcune modifiche.

La procedura che ho seguito può essere sintetizzata in 5 fasi che vedremo in dettaglio:

  • Verificare chi detiene il Global catalogue
  • Verificare chi detiene i 5 ruli FSMO
  • Rimozione del server con ntdsutil (da guida Microsoft)
  • Rimozione delle repliche con ADSIedit (da guida Microsoft)
  • Rimozione delle repliche in Active directory sites and services

Verificare chi detiene il Global catalogue

  1. Aprite il pannello Active directory sites and services e visualizzate la lista dei servers. All’interno di ogni server trovate le NTDS setting.
  2. Cliccate con il tasto destro del mouse su NTDS setting e selezionate Properties.
  3. All’interno della scheda General verificate che il Global catalogue sia presente in almeno uno dei server attivi.

Verificare chi detiene i 5 ruli FSMO

  1. In Active directory users and computers cliccate con il tasto destro sul vostro dominio e selezionate Operations Masters.
  2. Verificate che i 3 ruoli RID, PDC e Infrastructure siano assegnati ai vostri server attivi
  3. Aprite Active directory domains and trusts e cliccate con il tasto destro su Active directory domains and trusts selezionando Operations Masters.
  4. Verificate che il 4° ruolo di Domain Naming Master sia assegnato ad uno dei server attivi.
  5. Se non lo avete già fatto, registrate lo snap-in dello Schema utilizzano il seguente comando in Start->Run…
    regsvr32 schmmgmt.dll
  6. Aprite una consolle mmc (scrivendo mmc in Start->Run…) e aggiungete lo snap-in Active Directory Schema.
  7. Cliccate con il tasto destro e selezionate Operations Masters.
  8. Verificate che il 5° ruolo di Schema Master sia assegnato ad uno dei server attivi.

Rimozione del server con ntdsutil
Per la parte seguente ho seguito la guida Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio riportata sul sito di Microsoft. Vi rimando a questa guida per eventuali approfondimenti e per le raccomandazioni in merito ai rischi dell’utilizzo non corretto di ntdsutil, il tool che sarà utilizzato per i passaggi successivi.

  1. Lanciate il comando ntdsutil in Start->Run…. In ogni schermata di ntdsutil sarà possibile ottenere una guida ai comandi digitando ? e successivamente INVIO.
  2. Digitate metadata cleanup, quindi premete INVIO.
  3. A questo punto è necessario connettersi ad uno dei server attivi. Digitate connections e premete INVIO.
  4. Digitate connect to server nomeserver, quindi premete INVIO. Verrà visualizzato un messaggio per confermare che la connessione è stata stabilita. E’ importante capire ora che i comandi successivi saranno riferiti al server a quale vi siete connessi.
  5. Digitate quit e premete INVIO per tornare al menu di metadata cleanup.
  6. A questo punto digitate select operation target e premere INVIO.
  7. Digitate list domains e premete INVIO. Verrà visualizzato un elenco dei domini nell’insieme di strutture, ognuno con un numero associato. Nel mio caso era presente un solo dominio.
  8. Digitate select domain numero e premete INVIO, dove numero è il numero associato al dominio di cui è membro il server che si desidera rimuovere. Il dominio selezionato viene utilizzato per determinare se il server in fase di rimozione è l’ultimo controller di dominio presente nel dominio.
  9. Digitate list sites e premere INVIO. Verrà visualizzato un elenco di siti, ognuno con un numero associato. Nel mio caso era presente un solo site.
  10. Digitate select site numero e premere INVIO, dove numero è il numero associato al sito di cui è membro il server che si desidera rimuovere. Verrà visualizzato un messaggio di conferma con l’indicazione del sito e del dominio scelti.
  11. Digitate list servers in site e premere INVIO. Verrà visualizzato un elenco dei server nel sito, ognuno con un numero associato. Nel mio caso erano presenti 3 server: 2 attivi e uno non più attivo.
  12. Digitare select server numero, dove numero è il numero associato al server che si desidera rimuovere. Verrà visualizzato un messaggio di conferma con l’indicazione del server selezionato, il relativo nome host DNS (Domain Name Server) e il percorso dell’account computer del server che si desidera rimuovere.
  13. A questo punto potete digitate list current selection e premete INVIO per verificare quanto è stato selezionato. Verificate che si tratti proprio del server attivo.
  14. Digitate quit e premete INVIO per tornare al menu metadata cleanup.
  15. Digitate remove selected server e premere INVIO.Successivamente vi verrà visualizzato il risultato di questa operazione. Se tutto è andato a buon fine, il più è fatto. Verificate all’interno di Active directory users and computers: il domain controller non più attivo non dovrebbe essere presente nella lista dei DC.

Rimozione delle repliche con ADSIedit

  1. Utilizzare lo snap-in ADSIEdit presente nei support tools del cd di installazione, per eliminare l’oggetto Membro FRS in CN=System (condivisione SYSVOL),CN=servizio Replica file,CN=sistema….
  2. Nella console DNS utilizzare DNS MMC per eliminare il record cname (definito anche Alias) nel contenitore _msdcs.
  3. Nella console DNS utilizzare DNS MMC per eliminare il record A (definito anche Host) in DNS.

Rimozione delle repliche in Active directory sites and services

  1. Aprite lo snap-in Active directory sites and services e visualizzate la lista dei servers dove dovrebbe ancora comparire il server non funzionante.
  2. Cliccate con il tasto destro e selezionate delete.
Share

Microsoft

Replica di Active Directory

17 maggio 2009

L’importanza della replica di Active Directory

Le prime versioni di Windows NT sono stati progettati come unico maestro ambienti di rete. Il controller di dominio primario (PDC) è stato incaricato di gestire la copia master del dominio database. Il PDC è pertanto responsabile per eventuali modifiche di replicare il controller di dominio di backup (BDC). In questi ambienti, le eventuali modifiche devono essere eseguite sul PDC che poi replicata queste modifiche al database di BDC. Che cosa questo significa è che nei casi in cui il PDC è disponibile, non sono state apportate modifiche al database di dominio. Da questa semplice riflessione, è chiaro che il maestro unico ambiente di versioni precedenti di Windows NT ha un limite, quando è venuto a garantire l’affidabilità e continuamente che le modifiche potrebbero essere apportate al database di dominio.

Nella maggior parte degli ambienti di rete, più di un controller di dominio deve esistere per fornire la tolleranza di errore e di migliorare l’affidabilità e le prestazioni. Tolleranza ai guasti è presente quando la continuità del business esiste quando un controller di dominio, non perché gli altri controller di dominio (s) per l’ambiente sono in grado di fornire le risorse di rete. Avendo più controller di dominio nel vostro ambiente di rete migliora le prestazioni in quanto il carico di elaborazione può essere distribuito a tutti i controller di dominio.

Active Directory è diverso dal design dei precedenti ambienti di dominio Windows NT perché è stata progettata per essere una soluzione scalabile, distribuito Multimaster replicato database. Informazioni sulle risorse di rete all’interno dell’organizzazione viene memorizzato all’interno del database di Active Directory. In aggiunta a questo, tutti i controller di dominio ospitante a pieno la replica di informazioni di dominio per il proprio dominio. I controller di dominio in Windows 2000 e Windows Server 2003 ambienti tenere una lettura / scrittura copia del database di Active Directory. I controller di dominio in questi ambienti, pertanto mantenere e gestire la replica di tutti gli oggetti di Active Directory (risorse di rete) che si trova nel dominio di cui è membro.

In Windows 2000 e Windows Server 2003 ambienti, in Active Directory terminologia, ciascun controller di dominio contiene una copia completa della propria partizione di directory. Un altro termine usato per riferirsi alla directory partizione contesto dei nomi. In ambienti Active Directory, un albero di directory contiene tutti gli oggetti di Active Directory nella foresta. Una foresta è il raggruppamento di due o più alberi di dominio o di domini che non hanno un comune contiguo namespace, che è, hanno dei nomi non contiguo. In Active Directory, l’albero delle directory è partizionato. Ciò consente di porzioni di albero per essere distribuiti ai controller di dominio in altri domini della foresta. Torna alla terminologia di Active Directory, la copia della partizione di directory che contiene tutti gli attributi per ogni partizione di directory oggetto è chiamato una replica. La replica su ciascun controller di dominio è leggere e scrivere gli attributi.

In Active Directory, le modifiche possono essere apportate al database di Active Directory su qualsiasi controller di dominio Active Directory in ambiente. Per superare i limiti del dominio Windows NT ambienti illustrato in precedenza, ciascun controller di dominio deve includere tutte le informazioni che sono state create o modificate in qualsiasi altro controller di dominio. La replica di Active Directory assicura che le informazioni o dati tra i controller di dominio resta aggiornato e coerente. La replica è il processo che assicura che le modifiche apportate a una replica su un controller di dominio vengono trasferite repliche sul resto del controller di dominio. E ‘la replica di Active Directory che garantisce che le informazioni di Active Directory ospitato dal controller di dominio è sincronizzato.

Il Multimaster ambiente di Active Directory elimina i controller di dominio come singoli punti di guasto a causa di un amministratore può eseguire modifiche al database di Active Directory su qualsiasi controller di dominio, e tali modifiche vengono replicate agli altri controller di dominio all’interno del dominio.

Quali informazioni vengono replicati in Active Directory

In Active Directory, ci sono alcune azioni che sono considerate di replica di Active Directory attiva. Le attività che attivano o avviare la replica di Active Directory è riassunta qui di seguito:

  • Quando un oggetto è creato.
  • Quando un oggetto è soppresso.
  • Quando un oggetto viene spostato.
  • Quando un oggetto è cambiato o modificato.

I controller di dominio in genere contengono le seguenti directory o partizione repliche contesto dei nomi repliche:

  • Configurazione: La configurazione di partizione o contesto dei nomi (NC), contiene gli oggetti che riguardano la struttura logica della foresta, la struttura del dominio, e la topologia di replica. Ogni controller di dominio nella foresta contiene una lettura / scrittura copia della partizione di configurazione. Eventuali oggetti memorizzati nella partizione di configurazione vengono replicate per ogni controller di dominio in ciascun dominio, e in una foresta.
  • Dominio: La partizione di dominio o di contesto dei nomi (NC), contiene tutti gli oggetti che vengono memorizzati in un dominio. Ogni controller di dominio in un dominio ha una lettura / scrittura copia della partizione di dominio. Oggetti nella partizione di dominio vengono replicati solo per i controller di dominio all’interno di un dominio.
  • Schema: Lo schema di partizione o di contesto dei nomi (NC), contiene gli oggetti che possono essere creati in Active Directory, e gli attributi che possono contenere questi oggetti. I controller di dominio in una foresta hanno una copia di sola lettura lo schema di partizione. Oggetti memorizzati nello schema di partizione vengono replicate per ogni controller di dominio in domini / foreste.
  • Domanda: La domanda di partizione è una nuova funzionalità introdotta in Windows Server 2003. Questa partizione contiene oggetti per applicazioni specifiche. Gli oggetti o dati che le applicazioni ei servizi di negozio qui può comprendere qualsiasi tipo di oggetto esclusi principi di sicurezza. Principi di sicurezza sono gli utenti, i gruppi e computer. La domanda contiene tipicamente partizione DNS zona di oggetti e dati dinamici provenienti da altri servizi di rete, come Remote Access Service (RAS) e Dynamic Host Configuration Protocol (DHCP).

Panoramica di Active Directory Replication Terminologia, Concetti e Oggetti

In Active Directory, sono numerosi i concetti, e gli oggetti che vengono utilizzati per creare una topologia di replica. Questi sono descritti di seguito:

  • Siti: Un sito può essere definito come un gruppo o una serie di Protocollo Internet (IP) sottoreti che sono collegati da un affidabile, veloce e poco costoso link. Questo è di solito una rete locale (LAN) o rete di area metropolitana (MAN). I domini possono avere i controller di dominio in più siti. Un sito può avere i controller di dominio di domini multipli. In Active Directory, i siti hanno i seguenti ruoli principali o le finalità:
    • Un sito determina il controller di dominio più vicino alla postazione di lavoro di accesso.
    • Un sito funziona come una replica di confine. Come una replica di confine, un sito ottimizza la replica tra i siti in quanto possono essere utilizzati per migliorare e gestire in modo più efficiente di replica di Active Directory.
    • Un sito funziona anche come una risorsa di localizzazione di confine. I clienti sono in grado di accedere alle risorse che sono accessibili in un determinato sito.
  • Collegamenti del sito: Sito link sono connessioni logiche che si è stabilita tra i siti di Active Directory che definiscono un percorso tra questi siti. Un sito link definisce la direzione di replica di Active Directory tra i siti. È possibile utilizzare uno RPC over IP o SMTP come protocollo di trasporto per lo spostamento di replica dei dati su un sito di link. Link del sito sono assegnati i seguenti:
    • Costo: Con la replica, il concetto di costo indica il costo del collegamento fisico tra due siti di Active Directory ed è utilizzata per il dettaglio ottimale collegamento tra percorsi di un sito e un altro sito. Quando un sito di legame è stato assegnato un costo, il tipo di connessione viene presa in considerazione. Per la replica, il più basso costo di collegamenti vengono utilizzati più di un costo più elevato collegamenti.
    • Intervallo: Replica su un link del sito avviene a intervalli di tempo predeterminato. Quando si assegnano la replica, è importante non per impostare il valore troppo alto o troppo basso. Un punteggio eccezionalmente elevato valore significa che le modifiche prendere un tempo più lungo per essere riprodotto, mentre un eccezionale valore più basso significa che anche la replica si verifica regolarmente.
    • Programma: Un programma di replica e l’intervallo sono fondamentalmente utilizzati insieme. Un intervallo è associato con un calendario. Un calendario con le offerte quando la replica dei dati sta per verificarsi.
  • Ponte di collegamento del sito: in Active Directory, è possibile utilizzare un sito di legame ponte per collegare i siti che hanno in comune i dati di Active Directory, ma che non hanno un sito di link. I dati generalmente condivisa da questi siti è la partizione di directory di applicazione.
  • Collegamento oggetti: in Active Directory, i controller di dominio specifico replicare con partner di replica. I partner che replicare con i controller di dominio sono definiti da oggetti connessione. Oggetto Connection consentire ai dati che devono essere replicate in Active Directory perché definire percorsi di replica in ingresso. I controller di dominio e dei relativi collegamenti sono definiti in una mappa della topologia. L’agente di replica directory (DRA) gestisce la replica tra i controller di dominio. Il Direttorio Replication Agent utilizza la connessione a oggetti in topologia mappa per scoprire quelle parti che sono rilevanti quando replicare le modifiche alla directory partizioni. Il DRA invia una richiesta di replica ai partner di un controller di dominio quando il controller di dominio deve aggiornare la propria copia di Active Directory. Gli amministratori possono creare manualmente la connessione oggetti, oppure possono lasciare questi oggetti per essere creato dal Knowledge Consistency Checker (KCC). Quando il KCC crea oggetti connessione, è un processo automatico. Il KCC gira su tutti i controller di dominio in Active Directory. In qualità di amministratore, è possibile creare una connessione manuale oggetto tra due controller di dominio in una foresta. Se si desidera che il flusso di dati in due direzioni, si dovrebbe creare due oggetti connessione. È possibile creare oggetti connessione manuale tra i controller di dominio nello stesso sito o in siti differenti. Il Knowledge Consistency Checker per default crea oggetti connessione automatica. Essa fa riferimento al sito di topologia e poi utilizza le informazioni sui siti e link del sito per creare automaticamente oggetti connessione. Il KCC controlla il sito topologia ad intervalli regolari per determinare se la connessione oggetti sono ancora valide, e quindi oggetti connessione modifiche sulla base delle sue recensioni. E ‘il KCC che è responsabile per certo che i dati nella directory partizioni sono replicati in siti. È possibile disattivare la creazione automatica di oggetti connessione per ogni sito e forestali a livello base.
  • Il sito Inter Topologia Generator (ISTG): Intersite oggetti connessione vengono creati dal sito Inter Topologia Generator (ISTG) e non KCC. Il primo controller di dominio in un sito ha il ruolo di generatore di topologia Inter sito. Vi è un solo ISTG entro un determinato sito. E ‘il ISTG che è responsabile di assicurare che il sito è una replica della configurazione, del dominio e dello schema delle partizioni.
  • SYSVOL dati e il servizio Replica file (FRS): Il volume di sistema contiene gli script e le politiche di gruppo. SYSVOL dati è ospitato su ogni controller di dominio. Modifiche al SYSVOL sono replicate al controller di dominio all’interno dello stesso dominio tramite Replica file System (FRS), la replica. Con la replica del servizio Replica file, l’intero file viene replicata e non solo il reale le modifiche apportate al file. Ciò differisce di replica di Active Directory. Con Active Directory solo le modifiche che sono state effettuate a oggetti di Active Directory vengono replicate.
  • Replica metodi / protocolli: replica di Active Directory può utilizzare uno dei due protocolli per l’invio di replica dei dati tra i controller di dominio:
    • RPC (Remote Procedure Call): Questo è il protocollo utilizzato da Active Directory per l’invio di replica dei dati. La funzionalità di crittografia RPC sono benefiche per replicare i dati in Active Directory in rete.
    • Simple Mail Transport Protocol (SMTP): SMTP è tipicamente utilizzata per l’invio di replica dei dati in massa, e per l’invio di dati attraverso la replica inaffidabili le connessioni di rete.

Tipi di replica di Active Directory

In Windows 2000 e Windows Server 2003, i tipi di replica di Active Directory che possono essere definiti sono intrasite la replica e la replica intersite.

Replica di Active Directory Intrasite

Intrasite replica in Active Directory si svolge tra i controller di dominio all’interno dello stesso sito. Questo rende intrasite uno semplice processo di replicazione. Quando vengono apportate modifiche alla replica di Active Directory su un controller di dominio, il controller di dominio contatti il resto del controller di dominio all’interno del sito. Il controller di dominio controlli alle informazioni in esso contenute informazioni contro ospitato dagli altri controller di dominio. Per eseguire tale analisi, il controller di dominio utilizza la sequenza logica dei numeri. Intrasite replica utilizza la RPC (Remote Procedure Call), il protocollo di trasmettere dati attraverso la replica veloce, affidabile le connessioni di rete. Con intrasite replicazione, la replicazione dei dati non compressi.

Replica di Active Directory Intersite

Intersite ha luogo la replica tra i siti. Intersite replica può utilizzare sia RPC over IP o SMTP per trasmettere la replica dei dati. Questo tipo di replica deve essere configurato manualmente. Intersite replica si verifica tra due controller di dominio che sono chiamati ponte o server testa di ponte. Il ruolo di un server testa di ponte (BS) è stato assegnato ad almeno un controller di dominio in un sito. Un BS in un sito si occupa di replicare i cambiamenti con altri BSS in diversi siti. È possibile configurare più server testa di ponte in un sito. E ‘solo che questi BSS replicare i dati con i controller di dominio in domini diversi da eseguire intersite BS replica con il suo partner. Con intersite replica, i pacchetti sono compressi per risparmiare larghezza di banda. Questo pone ulteriore carico della CPU sul controller di dominio assegnato il ruolo BS. BSS dovrebbero pertanto essere le macchine che hanno velocità sufficiente e processori per eseguire la replica. Intersite replica avviene su link del sito da un metodo che è il polling ogni 180 minuti per impostazione predefinita.

Avvio di replica di Active Directory tra i partner di replica diretta (costringendo replica)

Active Directory e di solito crea automaticamente cancella oggetti connessione tra i controller di dominio. Ci sono però casi in cui potrebbe essere necessario creare manualmente la connessione e poi oggetti vigore di replica di Active Directory. È possibile utilizzare uno dei seguenti strumenti o metodi per forzare la replica:

  • Active Directory Siti e servizi di console
  • Repadmin
  • Replmon

Topologia di replica di Active Directory Opzioni

La replica di Active Directory topologie tipicamente utilizzate sono:

  • Topologia ad anello: Con intrasite replica, il KCC crea una topologia ad anello che definisce la replica di percorsi all’interno di un sito. In una topologia ad anello, ogni controller di dominio in un sito ha due in entrata e in uscita partner di replica. Il KCC crea l’anello in modo che vi sia non superiore a tre luppolo tra i controller di dominio in un sito.
  • Full mesh Topologia: Questa topologia è tipicamente utilizzata in piccole organizzazioni in cui la ridondanza è estremamente importante, e il numero di siti è molto piccolo. Un pieno di maglia topologia è piuttosto costoso da gestire e non è scalabile.
  • Hub and spoke Topologia: Questa topologia è tipicamente attuata in organizzazioni di grandi dimensioni in cui è importante la scalabilità e ridondanza è meno importante. In questa topologia, uno o più hub esistono siti che sono più lente connessioni WAN ha parlato a più siti. L’hub di siti sono di solito collegati ad ogni altro attraverso collegamenti WAN ad alta velocità.
  • Hybrid Topologia: la topologia è ibrido di qualsiasi combinazione di quanto sopra topologie.

Come Definire un strategia di replica di Active Directory

La strategia di replica che si determina essenzialmente attuare quando si avrebbe la replica e il modo in cui le informazioni di Active Directory viene replicata. Progettare una efficace strategia di replica prevede le seguenti fasi:

  • Valutare il reale fisico connettività della rete: questa fase di progettazione in genere comporta la determinazione del sito i link che sono necessari nella rete. È necessario identificare il collegamento in rete, i controller di dominio e siti di determinazione. È necessario stabilire che:
    • I siti sono collegati da una bassa velocità di connessioni inaffidabili – elevato costo delle connessioni.
    • I siti sono collegati da connessioni veloci affidabili – connessioni a basso costo.
    • I siti sono collegati da connessioni medie velocità – costo medio di collegamenti.
  • Un altro componente di questa fase di pianificazione coinvolge determinare se sito link ponti devono essere create. Mentre la pianificazione quali siti sono necessari, si ricordi di inserire l’eventuale futura crescita della organizzazione.

  • Determinare il link del sito i parametri di configurazione per ogni connessione: La configurazione dei parametri o valori che devono essere specificati per ogni sito di legame è riassunta qui di seguito:
    • Nome del sito link
    • Il protocollo di trasporto da utilizzare per la trasmissione di replica dei dati. Questo può essere RPC o SMTP.
    • Sito collegamento costo: L’impostazione predefinita del sito link impostazione costo è di 100. Il valore può variare tra 1 e 32.767.
    • Replica l’intervallo o la frequenza
    • Replica calendario o quando la replica dovrebbe verificarsi.
  • Determinare il server testa di ponte preferito: Invece di utilizzare i server testa di ponte preferito, definita dal Knowledge Consistency Checker (KCC), è possibile scegliere di configurare manualmente il server testa di ponte preferito.
  • Determinare se sito link transitività dovrebbe essere disattivato: Se si sceglie di disabilitare transitività link del sito, è necessario creare manualmente sito link ponti tra i link del sito al fine di garantire sito link transitività.
Share

Microsoft

Comprensione unità organizzative

17 maggio 2009

Un sommario di unità organizzative (OU)

L’unità organizzativa (OU) è un contenitore che viene utilizzato per organizzare logicamente e di gruppo di Active Directory gli oggetti all’interno di domini. Unità organizzative non sono parte del DNS nomi. Essi sono utilizzati per organizzare gli oggetti di Active Directory in gruppi logici amministrative. Unità organizzative dunque servire come contenitori in cui è possibile creare e gestire oggetti di Active Directory. Unità organizzative sono considerati la più piccola unità che un amministratore può assegnare le autorizzazioni alle risorse all’interno di Active Directory.

L’UO ti consente di applicare politiche di sicurezza, installare applicazioni, delegare il controllo amministrativo di oggetti di Active Directory, e di eseguire script. Una cosa importante da capire è che non sono unità organizzative di protezione. L’account utente, account di gruppo, e gli account computer all’interno di unità organizzative sono i principi di sicurezza.

I tipi di oggetti di Active Directory che possono essere situate in unità organizzative sono di seguito elencati:

  • L’utente, gruppo e computer di oggetti; le cartelle condivise, stampanti, applicazioni e altre unità organizzative dallo stesso dominio.

Utente sono i principali oggetti di protezione utilizzati in Active Directory. Un oggetto utente è costituito da il nome utente, password, informazioni al gruppo, e le altre informazioni che definiscono l’utente. Un gruppo oggetto impedisce amministratori da impostare i singoli permessi utente. Una serie di utenti possono essere raggruppati, e quindi assegnato l’autorizzazione appropriata per oggetti di Active Directory. Un oggetto contiene informazioni su un computer che è un membro del dominio. Perché unità organizzative possono contenere altre unità organizzative, un amministratore può gerarchicamente gruppo di risorse e di altri oggetti di Active Directory in modo da riflettere la struttura dell’organizzazione. Il processo di aggiungere altre unità organizzative di unità organizzative in un modo gerarchico è denominato raggruppamento unità organizzative.

A pochi vantaggi di unità organizzative sono di seguito riassunte:

  • Unità organizzative possono essere nidificate a sostenere diversi livelli di gerarchia
  • Ogni dominio di Active Directory in ambiente può avere una propria struttura organizzativa. La struttura organizzativa di un dominio è indipendente da un altro dominio della struttura organizzativa.
  • È abbastanza semplice per modificare un struttura organizzativa. OU strutture sono molto più flessibili rispetto alle strutture di dominio.
  • UO di impostazioni di configurazione possono essere ereditato da oggetti in unità organizzative figlio.
  • Impostazioni dei Criteri di gruppo possono essere applicate anche alle unità organizzative
  • È possibile delegare il controllo amministrativo degli oggetti di Active Directory unità organizzative attraverso

Unità organizzative sono tipicamente utilizzati per delegare il controllo amministrativo di oggetti di Active Directory, per nascondere gli oggetti di Active Directory e per amministrare il Group Policy. Quando si delegare il controllo amministrativo su una OU, è consentire ad altri utenti o gruppi di amministrare la UO. La delegazione di effettivo controllo amministrativo viene di solito eseguita da amministratori di livello superiore. Delegazione di controllo sulle unità organizzative consente di trasferire i compiti di gestione ai vari utenti all’interno dell’organizzazione.

Le funzioni amministrative delegate che sono di solito sono di seguito elencati:

  • Creare, cancellare e gestire gli account utente
  • Creare, cancellare e gestire i gruppi
  • Reimposta password su account utente
  • Leggi tutte le informazioni per l’utente
  • Modificare la composizione di un gruppo
  • Gestione Criteri di gruppo di collegamenti

Gli amministratori che sono responsabili per le attività di gestione di dominio hanno il pieno controllo su tutti gli oggetti di Active Directory all’interno del dominio. Questa è la configurazione di default. Questi quindi gli amministratori di creare i controller di dominio, domini, e anche creare le UO per il dominio. Se non vi è unità all’interno della organizzazione che la gestione e la necessità di definire la propria struttura organizzativa, si può delegare l’autorizzazione di controllo completo per l’UO di queste persone. Ciò consentirebbe di queste persone a svolgere tutte le attività di gestione è già menzionato in precedenza per la particolare unità organizzativa. In altri casi, potrebbe essere necessario delegare il controllo solo per specifiche classi di oggetti per un OU.

Come accennato prima, O può anche essere utilizzato per nascondere gli oggetti di dominio sensibile a determinati utenti. Questo viene fatto attraverso la creazione di un’unità organizzativa per coloro oggetti di dominio che si desidera nascondere o non si desidera che tutti gli utenti di visualizzare, e quindi di assegnare solo gli utenti che devono avere la possibilità di visualizzare questi oggetti le necessarie autorizzazioni. Dopo le autorizzazioni appropriate siano configurate per l’unità organizzativa, tutto ciò che dovete fare è spostare il sensibili oggetti di Active Directory per l’UO.

I criteri di gruppo può essere definito come un insieme di permessi che si possono applicare a oggetti di Active Directory. Impostazioni dei Criteri di gruppo possono essere collegati a siti, domini e unità organizzative; e può valere sia per gli account utente, account computer e account di gruppo. Impostazioni dei Criteri di gruppo vengono applicati alle unità organizzative, in forma di oggetti Criteri di gruppo (GPO). L’oggetto Criteri di gruppo contiene le impostazioni dei Criteri di gruppo che possono essere applicati a utenti e computer in un’unità organizzativa.

Criteri di gruppo viene applicato nel seguente ordine:

  • Criteri del computer locale
  • Site policy
  • Dominio politica
  • UO di politica, che inizia con la casa madre OU

Active Directory, tuttavia includere un n. Sovrascrive l’impostazione e un blocco di successione che si possono utilizzare per controllare come vengono applicate politiche. Il n. Sovrascrive l’impostazione può essere attivata per interrompere una politica impostazione organizzativa di un bambino di sovrascrivere il genitore OU impostazione. Il Blocco Ereditarietà impostazione può essere in grado di impedire a un bambino OU, e gli oggetti che esso contiene, da ereditare impostazioni di Criteri di gruppo dalla sua madre OU.

Pianificazione uno Struttura organizzativa

Nella progettazione di uno struttura organizzativa, è necessario individuare e definire i seguenti:

  • Il modo in cui l’impresa è riuscita
  • La struttura organizzativa per ogni dominio
  • Le unità organizzative che devono essere create
  • Il modo in cui i criteri di gruppo deve essere applicato.
  • Le unità organizzative per le quali si intende delegare il controllo amministrativo, e gli utenti che si intende delegare il controllo di.
  • Il sensibile oggetti di Active Directory che si desidera nascondere da parte degli utenti.

La seguente strategia è generalmente raccomandato per una struttura organizzativa: è necessario creare un’unità organizzativa, con il risultato finale è che gli oggetti di Active Directory all’interno della UO sono amministrati da un unico gruppo. Questo vi permette di concedere il particolare il gruppo di diritti identici a tutti gli oggetti di Active Directory in particolare OU, e alla stessa unità organizzativa. È in linea di principio dovrebbe evitare un struttura organizzativa che i risultati dello stesso gruppo che necessitano di gestire gli oggetti nel corso di molti differenti unità organizzative. Ciò significa che gli opportuni diritti dovranno essere concesso singolarmente in ogni unità organizzativa.

E ‘anche una buona pratica di assegnare un proprietario di ogni unità organizzativa. Il proprietario della UO sarebbe il compito di svolgere i seguenti compiti di gestione:

  • Creare, cancellare e gestire le unità organizzative figlio
  • Applica criteri di gruppo
  • Delegare il controllo amministrativo su oggetti in UO

Si dovrebbe anche servizio admin oggetti separati dal resto del dominio oggetti. Nascondere servizio admin oggetti impedisce tutti gli utenti del dominio di visualizzare le proprietà e gli attributi, e consente anche di applicare criteri di gruppo in modo che solo gli utenti di servizi di amministrazione sono in grado di eseguire alcuni compiti amministrativi.

Creazione e gestione delle unità organizzative

L’Active Directory Utenti e computer di console nel menu Strumenti di amministrazione è utilizzato per creare unità organizzative. Quando si crea un OU, si dovrebbe essere prima di aggiungere in fondo ad un particolare dominio, e quindi si sarebbe aggiunta di oggetti di Active Directory che, delegando il controllo amministrativo per l’UO, o per l’applicazione di un oggetto Criteri di gruppo.

La finestra di dialogo Proprietà di una unità organizzativa è a pochi schede che vengono utilizzati per gestire le proprietà di una particolare unità organizzativa:

  • Scheda Generale: è possibile specificare una descrizione, indirizzo, città, stato o provincia, CAP o il codice postale, e il paese o la regione per l’UO di informazioni in questa scheda.
  • Gestito Con scheda: Questa è la scheda utilizzata per gestire le impostazioni del proprietario del OU. È possibile inserire le seguenti informazioni per il proprietario della UO: nome, sede, indirizzo, città, stato o provincia, regione o paese, numero di telefono, numero di fax. La scheda contiene anche i seguenti pulsanti:
    • Variazione: Puoi fare clic sul pulsante Cambia se si desidera impostare l’account utente, che sarà responsabile della gestione della UO.
    • Vedi: Se si desidera visualizzare o modificare le proprietà dell’account utente attualmente gestendo la UO, fare clic sul pulsante Visualizza.
    • Rimuovi: Se si desidera rimuovere un account utente, fare clic sul pulsante Rimuovi.
  • Scheda Criteri di gruppo: Questa scheda contiene i seguenti pulsanti:
    • Novità: Se si desidera creare un nuovo GPO per l’unità organizzativa, fare clic su questo pulsante.
    • Edit: Se si desidera modificare le attuali impostazioni di Criteri di gruppo, fare clic sul pulsante Modifica. Le impostazioni che possono essere specificati per un oggetto Criteri di gruppo vengono classificate le impostazioni in Configurazione computer e Configurazione utente impostazioni. Ognuno di questi è separato nelle seguenti categorie: Software, Windows, Modelli amministrativi.
    • Aggiungere: Se si desidera collegare un oggetto Criteri di gruppo per l’unità organizzativa, si dovrebbe fare clic su questo pulsante per creare il nuovo oggetto Criteri di gruppo link.
    • Opzioni: Se si desidera disattivare l’oggetto Criteri di gruppo, o per garantire che l’oggetto Criteri di gruppo del genitore non è OU prevalga l’oggetto Criteri di gruppo di un bambino O, fare clic su questo pulsante. Le opzioni disponibili sono Disattiva l’opzione, e il n. Sovrascrive opzione.
    • Elimina: se si desidera eliminare un oggetto Criteri di gruppo, fare clic su questo pulsante.
    • Proprietà: Se si desidera gestire le proprietà dell’oggetto Criteri di gruppo, fare clic su questo pulsante. La finestra di dialogo delle proprietà dell’oggetto Criteri di gruppo ha una scheda Generale, Collegamenti scheda e scheda Protezione. La scheda Generale è una sintesi pannello, e di un pannello Disattiva. È possibile visualizzare informazioni come il nome di oggetto Criteri di gruppo, e di creare e l’ultima data di modifica nel pannello Sommario. È possibile disattivare le impostazioni di configurazione del computer e Configurazione utente Disattivare le impostazioni nel riquadro. Il legame scheda elenca ciascun sito, dominio e organizzativa a cui il particolare oggetto Criteri di gruppo viene applicato. La scheda di sicurezza è il punto in cui impostare le autorizzazioni per l’oggetto Criteri di gruppo: Controllo completo, Lettura, Scrittura, Crea Oggetti figlio, Elimina Oggetti figlio, Applica criteri di gruppo.

Come creare un’unità organizzativa

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare e cliccate con il tasto destro del dominio appropriato, scegliere Nuovo, quindi fare clic su Unità organizzativa dal menu di scelta rapida.
  3. Nel Nuovo Unità organizzativa finestra di dialogo, immettere un nome univoco per la UO nella casella Nome.
  4. Fare clic su OK.
  5. Procedere alla clic con il pulsante destro della nuova unità organizzativa, quindi selezionare Proprietà dal menu di scelta rapida.
  6. Quando la finestra di dialogo Proprietà della UO si apre, inserire una descrizione per l’UO sulla scheda Generale.
  7. Fare clic sulla scheda Gestito da specificare un proprietario per l’UO.
  8. Fare clic sul pulsante Cambia e scegliere l’account utente desiderato dalla lista Utenti e Gruppi casella
  9. Fare clic sulla scheda Criteri di gruppo.
  10. Fare clic sul pulsante Nuovo per creare un nuovo GPO per l’unità organizzativa.
  11. Immettere un nome per l’oggetto Criteri di gruppo
  12. Procedere per configurare tutte le impostazioni di Criteri di gruppo per la UO utilizzando il resto della pulsanti disponibili sulla scheda.

Come creare una struttura organizzativa sensibili per nascondere gli oggetti di Active Directory

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare e cliccate con il tasto destro del dominio appropriato, quindi fare clic su Nuovo, quindi Unità organizzativa dal menu di scelta rapida.
  3. Nel Nuovo Unità organizzativa finestra di dialogo, immettere un nome univoco per la UO nella casella Nome.
  4. Fare clic su OK.
  5. Procedere alla clic con il pulsante destro della nuova unità organizzativa, quindi selezionare Proprietà dal menu di scelta rapida.
  6. Quando la finestra di dialogo Proprietà per l’unità organizzativa si apre, fare clic sulla scheda “Protezione”
  7. Procedere per rimuovere eventuali autorizzazioni per l’unità organizzativa.
  8. Fare clic sul pulsante Avanzate.
  9. Quando le Impostazioni avanzate di protezione finestra di dialogo per l’unità organizzativa si apre, deselezionare la casella di controllo Consenti autorizzazioni ereditabili dall’oggetto padre di propagare a questo oggetto ea tutti gli oggetti figlio casella di controllo. Fare clic su OK.
  10. Nella scheda Protezione, selezionare e assegnare le opportune il gruppo autorizzazione di controllo completo. Concedere l’autorizzazione di lettura per quei gruppi che dovrebbero essere in grado di leggere il contenuto della UO.
  11. Fare clic su OK
  12. È ora possibile spostare il sensibili oggetti di Active Directory per questa particolare unità organizzativa.

Come eliminare un OU

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera eliminare e scegliere Elimina dal menu di scelta rapida.
  3. Fare clic su Sì nella finestra di messaggio per verificare che si desidera eliminare questa particolare unità organizzativa.
  4. Fare clic su Sì se un’altra finestra di messaggio viene visualizzato, richiede di verificare che tutti gli oggetti situati nel OU dovrebbe essere soppresso.

Come modificare le proprietà di un’unità organizzativa

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera configurare le proprietà, e scegliere Proprietà dal menu di scelta rapida.
  3. Procedere per modificare le proprietà della UO sulla scheda Generale, gestito dalla scheda, e la scheda Criteri di gruppo.
  4. È inoltre possibile modificare l’oggetto Criteri di gruppo che è legata alla UO o le impostazioni dei Criteri di gruppo esistente dalla scheda Criteri di gruppo.

Come rinominare una OU

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera rinominare e scegliere Rinomina dal menu di scelta rapida.
  3. Immettere il nuovo nome per l’UO

Come spostare un UO in una nuova posizione

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio che contiene il organizzativa che si desidera spostare in una posizione diversa.
  3. Fare clic sulla OU e procedere con l’UO di trascinare nella nuova posizione.
  4. Rilasciare l’UO nella nuova posizione.

Come muoversi tra gli oggetti di Active Directory unità organizzative usando il drag and drop

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio che contiene l’UO che detiene l’oggetto che si desidera passare a una diversa unità organizzativa.
  3. Espandere l’unità organizzativa
  4. Clicca l’oggetto che si desidera spostare e procedere a trascinare l’oggetto di altre UO.
  5. Scollega l’oggetto nella nuova posizione organizzativa.

Come muoversi tra gli oggetti di Active Directory unità organizzative utilizzando ADUC Sposta Opzione

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio che contiene l’UO che detiene l’oggetto che si desidera passare a una diversa unità organizzativa.
  3. Espandere l’unità organizzativa, fare clic con l’oggetto e quindi scegliere Sposta dal menu di scelta rapida.
  4. Quando la finestra di dialogo Sposta, selezionare la nuova posizione organizzativa per l’oggetto.
  5. Fare clic su OK.

Come muoversi tra gli oggetti di Active Directory utilizzando le unità organizzative Dsmove strumento della riga di comando

È possibile utilizzare il Dsmove strumento della riga di comando per spostarsi tra gli oggetti di Active Directory unità organizzative, e di rinominare un oggetto di Active Directory.

Per utilizzare il Dsmove strumento della riga di comando di Active Directory per spostare gli oggetti da una posizione organizzativa ad una diversa posizione organizzativa,

  1. Fare clic sul pulsante Start, quindi fare clic su Prompt dei comandi.
  2. Inserisci dsmove con i parametri, al prompt dei comandi.

La sintassi del comando è:

dsmove ObjectDN [-NEWNAME NEWNAME] [-newparent ParentDN] [(-s Server |-d Dominio)] [-u NomeUtente] [-p (Password | *)] [-q] (-uc |-UCO |-UCI )

  • ObjectDN, il nome di Active Directory oggetto che si desidera passare a una diversa unità organizzativa.
  • -NEWNAME NEWNAME, rinominare oggetto di Active Directory
  • -newparent ParentDN, per la definizione del nuovo percorso a cui si desidera spostare l’oggetto di Active Directory.
  • (-s Server |-d Dominio), per il collegamento a un server remoto, o il dominio.
  • -u NomeUtente, il nome utente che l’utente utilizza per accedere al server remoto
  • [-p (Password | *), la password di quanto sopra specificato il nome utente.
  • -q, per la definizione di modalità di uscita
  • -uc, UCO,-UCI, per l’impostazione del formato Unicode

Come di delegare il controllo amministrativo di un’unità organizzativa

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare e fare clic destro e scegliere l’unità organizzativa Delegato di controllo dal menu di scelta rapida.
  3. La delegazione guidata del controllo lancia
  4. Fare clic su Avanti il benvenuto alla delegazione guidata del controllo pagina.
  5. Fare clic su Aggiungi utenti o gruppi pagina.
  6. Quando Seleziona utenti, computer o gruppi finestra di dialogo si apre, in Immettere i nomi degli oggetti da selezionare nella casella di riepilogo, inserisci l’utente / gruppo al quale si desidera delegare il controllo. Fare clic su OK. Fare clic su Avanti
  7. Quando i compiti delegato apre la pagina, effettuare una delle seguenti
    • Selezionare il Delegato Il comune Compiti seguito, quindi scegliere l’attività che si desidera delegare. Fare clic su Avanti. Completamento della Delega guidata del controllo pagina sarà visualizzato. I compiti tipicamente delegate sono elencati di seguito:
      • Creare, eliminare e gestire gli account utente
      • Reimposta password su Account utente
      • Leggi Tutto Informazioni utente
      • Creare, eliminare e gestire i gruppi
      • Modificare l’iscrizione di un gruppo
      • Gestione Criteri di gruppo Collegamenti
    • Selezionare Crea un’operazione personalizzata per eseguire la Delegato opzione e fare clic su Avanti.
  8. Quando il Tipo oggetto di Active Directory apre la pagina, eseguire una delle azioni elencate di seguito:
    • Selezionare la cartella, gli oggetti esistenti in questa cartella, e la creazione di nuovi oggetti in questa cartella se si desidera delegare il controllo amministrativo per l’UO, comprese tutte le attuali oggetti in OU, e se si desidera delegare il controllo amministrativo per tutti i nuovi oggetti che verranno creati nella OU.
    • Selezionare il solo i seguenti oggetti nella cartella opzione se si desidera delegare il controllo solo per alcuni oggetti in UO. Procedere a scegliere questi oggetti.
  9. È possibile limitare l’utente / gruppo a creare gli oggetti selezionati nel OU consentendo Crea gli oggetti selezionati in questa cartella di controllo.
  10. È inoltre possibile limitare l’utente / gruppo per l’eliminazione di oggetti selezionati nel OU consentendo Elimina gli oggetti selezionati in questa cartella di controllo. Fare clic su Avanti
  11. Quando si apre la pagina Autorizzazioni, attivare una delle seguenti caselle di controllo per visualizzare le informazioni nel permessi: box:
    • Generale, alla lista delle autorizzazioni generali nella permessi: scatola
    • Proprietà specifiche, alla lista di proprietà specifiche autorizzazioni in autorizzazioni: casella
    • Creazione / Eliminazione di oggetti specifici per bambini, per elencare tutti i permessi che si applicano all’oggetto in permessi: scatola
  12. Dopo aver popolato la permessi: casella di, impostare i permessi per l’utente / gruppo per l’unità organizzativa in permessi: casella. Fare clic su Avanti
  13. Verificare di aver selezionato le impostazioni corrette sul completamento La Delega guidata del controllo pagina.
  14. Fare clic su Fine.

Risoluzione dei problemi uno Struttura organizzativa

I problemi comuni che si verificano con OU strutture sono riportati di seguito:

  • Quando gli utenti che non dovrebbe essere consentito di svolgere compiti amministrativi su unità organizzative, sono in grado di eseguire compiti amministrativi, verificare che vi hanno delegato il controllo amministrativo per l’UO per il corretto utente o gruppo. Si consiglia di verificare l’utente o il gruppo specificato per il controllo amministrativo per ogni unità organizzativa all’interno del dominio.
  • Se uno OU contiene gli oggetti che hanno una serie di autorizzazioni applicate quando nessuno è stato definito per la particolare unità organizzativa, verificare che l’unità organizzativa non è permesso di ereditare le impostazioni da un genitore OU. La configurazione di default è che un bambino OU e gli oggetti che il bambino OU contiene, eredita automaticamente gruppo e altre impostazioni di autorizzazione dal suo genitore OU associati.
Share

Microsoft

Distribuzione di software tramite i Criteri di gruppo

17 maggio 2009

Quando Active Directory di Windows è stato avviato nel 2000, una delle sue principali caratteristiche di progettazione è stato quello di facilitare il processo di implementazione di software all’interno di una organizzazione. A tal fine, Microsoft ha incluso la possibilità di implementare e distribuire il software utilizzando Criteri di gruppo. IntelliMirror tecnologie comprendono i Criteri di gruppo per semplificare l’installazione del software necessario per la gestione di grandi quantità di utenti e computer. Il software di installazione e manutenzione del componente IntelliMirror tecnologie possono essere utilizzate per applicazioni di pubblicare in rete. Publishing è la terminologia utilizzata per rendere le applicazioni disponibili per l’installazione di oltre la rete. Il software di installazione e manutenzione di componenti possono essere utilizzati anche per installare automaticamente le applicazioni basate su alcuni criteri predefiniti su computer. Ad esempio, le applicazioni possono essere installate automaticamente sul computer, sulla base di specifici utenti o gruppi, o può essere installato automaticamente sul computer specificato. Il software di installazione e manutenzione di componenti possono essere utilizzati anche per disinstallare le applicazioni. Per rendere disponibili queste funzionalità, il software di installazione e manutenzione del componente IntelliMirror tecnologie interrelates con Criteri di gruppo e il servizio Active Directory.

Al fine di implementare il software con i Criteri di gruppo, si applicano le seguenti condizioni:

  • L’organizzazione deve essere in esecuzione Windows 2000 o Windows Server 2003 di dominio di Active Directory.
  • I computer client deve essere in esecuzione Windows 2000 Professional o versioni successive.

Quando si utilizza Criteri di gruppo per distribuire il software nel tuo dominio Active Directory, è necessario modificare sostanzialmente un oggetto Criteri di gruppo (GPO), oppure creare un nuovo oggetto Criteri di gruppo. L’oggetto Criteri di gruppo deve essere collegato a un sito, dominio o unità organizzativa (OU). Un oggetto Criteri di gruppo che è collegato a uno di questi componenti ha un nodo di installazione del software si trova sotto il nodo Configurazione computer, l’installazione del software e un nodo si trova sotto il nodo Configurazione utente. È possibile accedere a un GPO collegato a un sito, dominio o unità organizzativa, tramite l’Editor criteri di gruppo console. Il software di installazione nel nodo Editor oggetti Criteri di gruppo console può essere considerato il principale strumento utilizzato per distribuire il software. L’installazione del software consente, inoltre, il nodo di gestione centralizzata di implementazione iniziale del software e la rimozione del software. È inoltre possibile gestire centralmente gli aggiornamenti software, aggiornamenti rapidi, e le patch da questa posizione.

Distribuzione di software tramite i Criteri di gruppo comprende due tipi di distribuzione del software:

  • Assegnazione di applicazioni: è necessario assegnare le domande se alcuni utenti dovrebbero avere a disposizione le applicazioni, indipendentemente dalla effettiva computer l’utente è connesso al. Le domande che vengono assegnati sono pubblicizzati per l’utente sul menu Start e sono installati su iniziale. È possibile specificare che l’applicazione sia installata prossimo, quando l’utente accede alla workstation. La pubblicità è il processo mediante il quale l’applicazione è pronta per l’installazione. Quando i Criteri di gruppo viene utilizzato per distribuire il software, e il software è incluso nel GPO collegato a un sito, dominio o unità organizzativa, il software è denominato pubblicizzati per l’utente e il computer. Se sono la domanda di assegnazione di un utente, è necessario utilizzare il software di installazione sotto nodo nodo Configurazione utente, Impostazioni del software. Se siete di assegnare l’applicazione a un computer, è necessario utilizzare il software di installazione sotto nodo Configurazione computer, Impostazioni del software.

Il processo che si verifica quando l’assegnazione di applicazioni è riportato di seguito:

    1. Quando l’utente accede al computer client, il processo WinLogon pubblicizza l’application (s) nel menu di avvio, o sul desktop degli utenti.
    2. L’utente seleziona l’applicazione di uno di questi luoghi.
    3. Il servizio Windows Installer ottiene il pacchetto di Windows Installer per l’applicazione selezionata.
    4. La richiesta per il software è passato accanto al punto di distribuzione del software (SDP).
    5. Il servizio Windows Installer avvia, quindi installa il pacchetto di Windows Installer per la richiesta del software.
    6. Il servizio Windows Installer si apre l’applicazione per l’utente.
  • Pubblicazione domande: Quando un’applicazione viene pubblicato in Active Directory, la domanda è pubblicizzato per gli utenti nel Pannello di controllo, in Add / Remove Programs applet. Ciò significa che la domanda non viene installato automaticamente per l’utente, e l’utente effettivamente controlla se e quando l’applicazione viene installata. L’utente controlla anche la disinstallazione delle applicazioni.

Il processo che si verifica quando la pubblicazione di applicazioni è riportato di seguito:

    1. L’utente accede al computer client, e apre la Aggiungi / Rimuovi applet del Pannello di controllo.
    2. Aggiungi / Rimuovi applet riceve le informazioni su cui il software è disponibile per l’installazione di Active Directory.
    3. L’utente che procede per selezionare l’applicazione da installare.
    4. Aggiungi / Rimuovi applet ottiene la posizione del software da Active Directory.
    5. La richiesta per il software è passato accanto al punto di distribuzione del software (SDP).
    6. Il servizio Windows Installer avvia, quindi installa il pacchetto di Windows Installer per la richiesta del software.
    7. L’utente è ora in grado di accedere alle applicazioni installate.

In Criteri di gruppo, l’installazione del software utilizza il servizio Windows Installer per mantenere e gestire lo stato di installazione del software. Il servizio viene eseguito in background e che consente al sistema operativo (OS) per gestire l’installazione del software sulla base delle informazioni memorizzate nel pacchetto di Windows Installer.

Installazione software dei Criteri di gruppo Componenti

I componenti coinvolte nella distribuzione di software tramite i Criteri di gruppo sono discussi prossimo.

  • Pacchetto di Windows Installer: Questo è un file con un file. Msi proroga che contiene le istruzioni per l’installazione, la configurazione e la rimozione di software. I tipi di pacchetti di installazione di Windows sono:
    • Native pacchetto Windows Installer file: Questo tipo di pacchetto di installazione di Windows è stato sviluppato come componente del software. Il servizio Windows Installer può essere pienamente utilizzata. Il pacchetto di Windows Installer nativo file includono un prodotto che ha molte caratteristiche che possono essere installati singolarmente.
    • Riconfezionato file di applicazione: La differenza tra i due pacchetti che includono file riconfezionato domanda un prodotto che è stato installato come una funzione.
  • Transforms: Un altro termine usato per le modifiche si trasforma. A trasformare è fondamentalmente un registro delle modifiche che sono state apportate ai file del pacchetto originale. Transforms consentono di personalizzare i pacchetti di Windows Installer e la funzionalità di installazione quando si pubblica o assegnare l’applicazione. Attraverso trasforma, si possono includere funzionalità per l’installazione, e di escludere le caratteristiche per l’installazione. I tipi di file di personalizzazione che si possono configurare sono elencati di seguito. Trasformare un file. Mst estensione del file:
    • Trasforma file: Trasforma i file consentono di personalizzare l’installazione dell’applicazione.
    • Patch Files: Questi file sono un file. Msp estensione del file, vengono utilizzati per aggiornare i pacchetti di Windows Installer con ulteriori informazioni, e sono utilizzati per le seguenti finalità:
      • Software patch
      • Service Packs
      • Software Updates
  • Applicazione file: Questi sono file di testo con estensione. Zap estensione del file che includono le istruzioni su come pubblicare una domanda. A causa. Zap file non supportano Windows Installer funzioni, essi sono utilizzati per distribuire e installare le applicazioni che utilizzano la sua originale o Setup.exe Install.exe programma.

Pianificazione per la distribuzione del software utilizzando Criteri di gruppo

Quando la pianificazione per la distribuzione del software tramite i Criteri di gruppo, sono i seguenti:

  • Quando si prevede di implementare il software mediante criteri di gruppo, si dovrebbe comprendere il software requisiti della organizzazione nella vostra strategia. Valutare la struttura organizzativa in Active Directory e identificare oggetti Criteri di gruppo disponibili.
  • Definire il modo in cui le domande saranno dispiegati per gli utenti o computer. Sono le domande saranno pubblicate in Active Directory, o assegnati a utenti e computer?
  • Prova il modo in cui le applicazioni sono in corso da assegnare alla pubblicazione.

A pochi migliori pratiche e delle strategie da prendere in considerazione sono elencati di seguito:

  • Il software può essere implementato a livello di sito, dominio di livello, o livello di unità organizzativa in Active Directory. Si consiglia di distribuire il software in quanto l’alto in gerarchia di Active Directory o un albero come è possibile. Il software dovrebbe essere dispiegata vicino alla radice nella struttura di Active Directory, perché consente di utilizzare uno GPO per distribuire il software a più utenti.
  • È necessario implementare molteplici applicazioni con un singolo oggetto Criteri di gruppo, perché è più facile per gestire più applicazioni dallo stesso oggetto Criteri di gruppo che a gestire più oggetti Criteri di gruppo. Accesso utente è tempo anche perché meno accelerato oggetti Criteri di gruppo devono essere trattati.
  • Se si dispone di diversi utenti e computer che hanno bisogno di diverse applicazioni utilizzate, si dovrebbero creare unità organizzative in base a questi requisiti in materia di gestione del software, le necessarie utenti o computer in UO, quindi applicare l’oggetto Criteri di gruppo contenente il software che dovrebbe essere dispiegata.

Il processo per la distribuzione del software tramite i Criteri di gruppo

Il processo generale necessarie per distribuire il software tramite i Criteri di gruppo è riassunta qui di seguito:

  • Creare punti di distribuzione del software (DOCUP): Uno dei passi nella distribuzione di software è quello di garantire che gli utenti siano in grado di accedere ai file necessari. DOCUP sono le cartelle condivise in rete che contiene i file necessari per installare le applicazioni impiegate. Ogni utente che ha bisogno di implementare il software dovrebbe essere in grado di accedere al SDP. Le autorizzazioni NTFS dovrebbe essere di lettura ed esecuzione per l’SDP e le sottocartelle necessarie, in modo che gli utenti hanno i permessi per accedere alla cartella che contiene il pacchetto di installazione del software.
  • Creare un GPO per la distribuzione del software, e un oggetto Criteri di gruppo per la console di distribuzione del software: quando la distribuzione del software tramite i Criteri di gruppo, l’Editor oggetti Criteri di gruppo viene utilizzato per i seguenti compiti:
    • Configurare le opzioni di installazione del software di implementazione.
    • Assegnazione di applicazioni
    • Pubblica applicazioni
    • Aggiornamento delle applicazioni
    • Rimuovere applicazioni gestite.
  • Configurare la distribuzione del software di installazione per le proprietà dell’oggetto Criteri di gruppo: l’installazione del software di dialogo Proprietà contiene quattro schede che viene utilizzato per impostare le opzioni di configurazione per il software che dovrebbero essere impiegate:
    • Scheda Generale: Questo è il punto in cui impostare il percorso predefinito di tutti i pacchetti, impostare il valore di default per la pubblicazione o l’assegnazione, e impostare le opzioni di installazione interfaccia utente.
    • Scheda Avanzate: Questa scheda include opzioni quali la disinstallazione delle applicazioni automaticamente quando l’oggetto Criteri di gruppo non è più applicabile per l’utente o il computer, la memorizzazione Object Linking and Embedding (OLE) le informazioni in Active Directory, e consentendo a 64-bit client Windows per installare Windows 32-bit installazione delle applicazioni.
    • File Extensions scheda: È configurare le estensioni dei file che dovrebbe essere letta da applicazioni su File scheda Estensioni.
    • Categorie scheda: Applicazioni categorie servire un utile quando la tua organizzazione ha una grande quantità di applicazioni pubblicate. Le Categorie scheda consente di creare e organizzare le applicazioni per categoria, in modo che gli utenti sono in grado di individuare facilmente le applicazioni in Add / Remove Programs applet del Pannello di controllo.
  • Aggiungi l’installazione dei pacchetti per l’oggetto Criteri di gruppo: in questo passo, si aggiunge l’installazione dei pacchetti per l’oggetto Criteri di gruppo, e di specificare se la domanda deve essere assegnato o pubblicato per gli utenti e computer
  • Configurazione del pacchetto di Windows Installer proprietà: Una volta che un pacchetto di Windows Installer è aggiunto a un oggetto Criteri di gruppo, è possibile modificare le proprietà del pacchetto di modificare la categoria della domanda, se la domanda viene assegnato o pubblicato, configurare le impostazioni di sicurezza, e di aggiungere o rimuovere trasforma (modifiche). La finestra di dialogo Proprietà per il pacchetto di Windows Installer è possibile configurare il pacchetto di Windows Installer proprietà, utilizzando le schede qui di seguito elencati.
    • Scheda Generale: Questo è il punto in cui cambiare il nome predefinito del pacchetto. È anche possibile selezionare un supporto URL per indirizzare gli utenti a una pagina Web di supporto. Gli utenti possono scegliere il sostegno URL dalla Installazione applicazioni applet.
    • Distribuzione scheda: Sulla scheda di distribuzione, è possibile selezionare le impostazioni per le seguenti:
      • Tipo di distribuzione
      • Le opzioni di distribuzione
      • Opzioni di interfaccia utente di installazione
    • Aggiornamenti scheda: La scheda di vendita non è disponibile per i pacchetti che sono stati creati a partire dal file “domanda”, o. Zap file. La scheda è utilizzata per installare gli aggiornamenti. Il primo passo però è quello di creare un pacchetto di Windows Installer che contiene l’aggiornamento. Il secondo passo è configurare le impostazioni per l’aggiornamento della scheda Aggiornamenti.
    • Categorie scheda: si tratta di impostare l’applicazione in cui le categorie in modo che gli utenti possono facilmente trovare la domanda in Installazione applicazioni nel Pannello di controllo applet.
    • Modifiche scheda: Questo è il punto in cui personalizzare un pacchetto di installazione con l’aggiunta o la rimozione trasforma.
    • Scheda di sicurezza. È configurare gli utenti o gruppi, che dovrebbe essere in grado di accedere alla domanda sulla scheda Protezione.

Come creare un punto di distribuzione del software (SDP)

  1. Accedere al server di file che si desidera utilizzare come SDP.
  2. Creare la condivisione di rete per il software, e le necessarie cartelle per il software
  3. Le autorizzazioni che devono essere configurati sono elencati di seguito:
    • Administrators: Controllo completo
    • Tutti o Authenticated Users: Lettura
    • Dominio Computer: Leggi
  4. Copiare il software, inclusi tutti i file necessari e componenti per l’SDP.

Come creare o aprire un oggetto Criteri di gruppo e un oggetto Criteri di gruppo per la console di distribuzione del software

Per creare un nuovo oggetto Criteri di gruppo,

  1. Per creare e collegare un oggetto Criteri di gruppo a un sito, aprire Active Directory Siti e servizi. Per creare e collegare un oggetto Criteri di gruppo a un dominio o unità organizzativa, aprire Active Directory Utenti e computer di console.
  2. Fare clic col tasto destro del sito, dominio o unità organizzativa, quindi scegliere Proprietà dal menu di scelta rapida.
  3. Quando la finestra di dialogo Proprietà del sito, dominio o unità organizzativa si apre, fare clic sulla scheda Criteri di gruppo.
  4. Fare clic su Nuovo, immettere un nome per l’oggetto Criteri di gruppo.
  5. Fare clic sul pulsante Chiudi. L’oggetto Criteri di gruppo di default è collegata al sito, dominio o unità organizzativa in cui è stata creata.

Per aprire un dominio esistente o di livello GPO OU livello GPO,

  1. Aperto di Active Directory Utenti e computer di console.
  2. Fare clic col tasto destro del dominio o unità organizzativa nel riquadro a sinistra della console, quindi fare clic su Proprietà dal menu di scelta rapida.
  3. Fare clic sulla scheda Criteri di gruppo.
  4. In Collegamenti oggetto Criteri di gruppo, selezionare l’oggetto Criteri di gruppo e fare clic su Modifica.
  5. L’oggetto Criteri di gruppo viene aperto in Editor oggetti Criteri di gruppo console.

Per aprire un sito esistente livello GPO,

  1. Aperto di Active Directory Siti e servizi di console.
  2. Espandere il nodo Siti
  3. Fare clic col tasto destro del sito nel riquadro dei dettagli, e scegliere Proprietà dal menu di scelta rapida.
  4. Fare clic sulla scheda Criteri di gruppo.
  5. In Collegamenti oggetto Criteri di gruppo, selezionare l’oggetto Criteri di gruppo e fare clic su Modifica.
  6. L’oggetto Criteri di gruppo viene aperto in Editor oggetti Criteri di gruppo console.

Per creare un oggetto Criteri di gruppo di MMC,

  1. Fare clic sul pulsante Start, Esegui, digitare mmc nella finestra di dialogo Esegui, quindi fare clic su OK.
  2. Dal menu File, fare clic su Aggiungi / Rimuovi snap-in.
  3. Fare clic su Aggiungi nella Aggiungi / Rimuovi snap-in finestra di dialogo per l’accesso al Aggiungi / Rimuovi snap-in finestra di dialogo. Fare clic su Aggiungi.
  4. Selezionare Editor oggetti Criteri di gruppo, e fare clic su Aggiungi.
  5. Fare clic sul pulsante Sfoglia per trovare l’oggetto Criteri di gruppo.
  6. Fare clic sulla scheda Tutte nella Sfoglia Per un oggetto Criteri di gruppo finestra di dialogo.
  7. Selezionare l’oggetto Criteri di gruppo. Fare clic su OK
  8. Chiudere tutte le finestre di dialogo, e quindi in MMC, dal menu File, scegliere Salva con nome.
  9. Fornire un nome nella casella Nome file. Fare clic su Salva.
  10. L’Editor oggetti Criteri di gruppo per l’oggetto Criteri di gruppo può essere letta sotto il menu Strumenti di amministrazione.

Come aprire il software di installazione snap-in

L’installazione del software snap-in è un componente di Editor oggetti Criteri di gruppo.

  1. Aperto di Active Directory o Utenti e computer di console, o di Active Directory Siti e servizi di console.
  2. Fare clic col tasto destro del sito, dominio o unità organizzativa e quindi scegliere Proprietà dal menu di scelta rapida.
  3. Fare clic sulla scheda Criteri di gruppo.
  4. O creare un nuovo oggetto Criteri di gruppo, o di modificare un oggetto Criteri di gruppo esistente.
  5. Fare clic sul pulsante Proprietà, quindi fare clic sulla scheda Protezione. Impostare le autorizzazioni appropriate per l’oggetto Criteri di gruppo. Fare clic su OK
  6. Scegliere l’oggetto Criteri di gruppo, e fare clic su Modifica.
  7. Nella struttura della console, scegliere Configurazione computer per assegnare alle applicazioni di computer o Configurazione utente scegliere di assegnare o pubblicare applicazioni per gli utenti.

Come configurare le proprietà di installazione del software di implementazione per l’oggetto Criteri di gruppo

Utilizzo di Criteri di gruppo per distribuire il software, consente di configurare numerose impostazioni e le opzioni per controllare il modo in cui i pacchetti software sono impiegati e gestiti all’interno della vostra organizzazione. Se si desidera eseguire uno dei compiti amministrativi di seguito elencati, utilizzare la procedura dettagliata di configurazione dopo l’elencati compito amministrativo:

  • Modificare la posizione predefinita per l’installazione dei pacchetti.
  • Configurare l’azione predefinita che deve essere eseguita quando si sono aggiunti nuovi pacchetti per l’oggetto Criteri di gruppo.
  • Definire la quantità di informazioni di installazione viene visualizzato per gli utenti durante il processo di installazione
  • Modificare la quantità di controllo che gli utenti hanno più di installazione delle applicazioni
  • Configurazione automatica di disinstallazione delle applicazioni, quando l’oggetto Criteri di gruppo non è più applicabile a utenti e computer.
  1. Aprire l’oggetto Criteri di gruppo appropriato per la distribuzione del software
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer
  3. Fare clic col tasto destro del nodo di installazione del software e fare clic su Proprietà dal menu di scelta rapida.
  4. Quando l’installazione del software di dialogo Proprietà si apre, nella casella di default del pacchetto della scheda Generale, immettere il Uniform Naming Convention (UNC) percorso per l’SDP per i pacchetti di Windows Installer.
  5. È possibile configurare l’azione predefinita che deve essere eseguita sui nuovi pacchetti nella sezione nuovi pacchetti della scheda Generale. Puoi scegliere una delle opzioni qui di seguito elencati:
    • Mostra finestra di dialogo Distribuisci applicazione: Questa la configurazione di default l’impostazione. La finestra di dialogo Deploy Software sarà visualizzato quando vengono aggiunti nuovi pacchetti per l’oggetto Criteri di gruppo. In questa finestra di dialogo, è possibile scegliere se assegnare o pubblicare la domanda, o configurare le proprietà del pacchetto.
    • Pubblica: Ricorda che le applicazioni possono essere pubblicate solo per gli utenti, e non i computer. Pertanto, questa impostazione è disponibile solo per Configurazione utente. Quando l’opzione è selezionata, l’applicazione viene automaticamente pubblicato con il pacchetto di default proprietà o le impostazioni.
    • Assegna: Quando l’opzione Assegna è selezionata, tutti i nuovi pacchetti di installazione del software aggiunto per l’oggetto Criteri di gruppo vengono assegnati automaticamente con il pacchetto di default proprietà o le impostazioni
    • Avanzata: quando un nuovo pacchetto di installazione del software è aggiunto l’oggetto Criteri di gruppo, la finestra di dialogo delle proprietà del pacchetto viene visualizzato. È quindi possibile configurare le proprietà per il pacchetto di installazione.
  6. In Installazione Interfaccia utente sezione Opzioni della scheda Generale, è possibile scegliere una delle seguenti opzioni:
    • Basic: Quando viene selezionata, gli utenti vengono visualizzati limitate informazioni sul processo di installazione.
    • Massimo: Quando viene selezionata, gli utenti vengono visualizzati tutti i messaggi di installazione e schermi il processo di installazione.
  7. Fare clic sulla scheda Avanzate.
  8. Selezionare Uninstall Il Applicazioni Quando esse rientrano nell’ambito di applicazione della gestione casella di controllo per rimuovere automaticamente la domanda se l’oggetto Criteri di gruppo non si applica più agli utenti o ai computer.
  9. Selezionare Includi OLE Informazioni Quando distribuzione di applicazioni di controllo se le informazioni su COM (Component Object Model) componenti dovrebbero essere inclusi con il pacchetto.
  10. Selezionare la Marca 32-bit x86 di Windows Installer Per applicazioni disponibili Win64 Macchine casella di controllo per consentire a 64-bit di Windows per installare i computer client a 32-bit di Windows Installer applicazioni.
  11. Selezionare la Marca 32-bit x86-Up Level (ZAP) Per applicazioni disponibili Win64 Macchine casella di controllo per consentire a 64-bit computer client per installare le applicazioni utilizzando un pubblicati. Zap file (file “domanda”).

Come configurare l’applicazione predefinita per i file con estensione

È normalmente bisogno di associare un file con estensione con una domanda, quando si dispone di più applicazioni che possono utilizzare un determinato formato di file.

  1. Aprire la console di Criteri di gruppo appropriato.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer
  3. Fare clic col tasto destro del nodo di installazione del software e fare clic su Proprietà dal menu di scelta rapida.
  4. Quando il software di installazione si apre la finestra di dialogo Proprietà, fare clic sulla scheda Estensioni file.
  5. Selezionare Usa la lista dei file di estensione per controllare quali applicazioni sono associati con l’estensione del file.
  6. È possibile utilizzare i tasti Su o Giù della domanda Precedenza casella di riepilogo, per spostare una domanda che dovrebbe essere l’applicazione predefinita per la particolare estensione in cima alla lista.
  7. Fare clic su OK.

Come creare categorie di applicazione per le applicazioni che vengono pubblicati

  1. Aprire la console di Criteri di gruppo appropriato.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer
  3. Fare clic col tasto destro del nodo di installazione del software e fare clic su Proprietà dal menu di scelta rapida.
  4. Quando il software di installazione si apre la finestra di dialogo Proprietà, fare clic sulla scheda Categorie.
  5. Fare clic su Aggiungi per aggiungere una nuova categoria di applicazioni.
  6. Nel Inserisci Nuova categoria finestra di dialogo, specificare un nome per la nuova categoria nella casella Categoria. Fare clic su OK.
  7. Se si desidera rimuovere una richiesta già esistente categoria, selezionare la categoria in categorie scheda, quindi fare clic su Rimuovi.
  8. Se si desidera cambiare il nome di una categoria esistente, selezionare la categoria in categorie scheda, quindi fare clic su Modifica.
  9. Fare clic su OK.

Come cambiare il comportamento di default l’installazione del software su collegamenti di rete lenta

Quando si utilizza Criteri di gruppo, i Criteri di gruppo ritiene che tutte le connessioni di rete che sono più lento di 500 Kbps come collegamenti lenti (di default). A questo punto, le politiche di seguito elencati vengono disattivati:

  • Quote disco
  • Reindirizzamento cartelle
  • Script
  • Installazione e manutenzione software

È possibile tuttavia modificare la velocità che ritiene lento Criteri di gruppo, per cambiare il comportamento di default l’installazione del software su collegamenti di rete lenta. In aggiunta a questo, è possibile attivare o disattivare la trasformazione delle politiche elencate qui di seguito nel corso di un collegamento lento:

  • Disk Quota EFS Recovery, Reindirizzamento cartelle, Manutenzione di Internet Explorer, di protezione IP, script, l’installazione del software, e di sicurezza.

Per modificare la velocità di default che ritiene lento Criteri di gruppo,

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere Modelli amministrativi, Sistema e dei Criteri di gruppo.
  3. Fare doppio clic su Criteri di gruppo di rilevamento dei collegamenti lenti nel riquadro dei dettagli.
  4. Quando il collegamento lento Criteri di gruppo di rilevamento finestra di dialogo Proprietà si apre, selezionare Attivato e inserire la velocità, che dovrebbe essere usato per definire se una connessione è lenta. Immissione di un valore pari a 0, disabilita il rilevamento dei collegamenti lenti.
  5. Fare clic su OK.

Come aggiungere i pacchetti di Windows Installer per l’oggetto Criteri di gruppo

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
  3. Fare clic col tasto destro del nodo di installazione del software, quindi fare clic su Nuovo, quindi Pacchetto dal menu di scelta rapida.
  4. In Tipo file, scegliere Windows Installer Package o scegliere ZAW Down livello Applicazione forfetario (. ZAP).
  5. Scegli il pacchetto che dovrebbe essere dispiegata. Fare clic su Apri.
  6. Nella finestra di dialogo Deploy Software dovete specificare in che modo il pacchetto dovrebbe essere dispiegata. È possibile scegliere una delle seguenti opzioni:
    • Pubblicato: il pacchetto di Windows Installer è stato pubblicato per gli utenti in Active Directory con le impostazioni predefinite.
    • Destinazione: il pacchetto di Windows Installer viene assegnato agli utenti o ai computer con le impostazioni predefinite.
    • Avanzato: L’opzione consente di configurare le proprietà per il pacchetto di Windows Installer.
  7. Fare clic su OK.

Come configurare le proprietà del pacchetto Windows Installer

È possibile modificare il pacchetto Windows Installer proprietà dopo il pacchetto è aggiunto l’oggetto Criteri di gruppo. Per cambiare la categoria della domanda, il tipo di implementazione, e le impostazioni di sicurezza;

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
  3. Nel riquadro dei dettagli, fare clic con il pacchetto software che si desidera modificare e selezionare Proprietà dal menu di scelta rapida.
  4. Nella scheda Generale è possibile immettere un nuovo nome per il pacchetto nella casella Nome, immettere un URL per supportare gli utenti nella casella URL.
  5. Fare clic sulla scheda Distribuzione, se si vuole cambiare l’attuale modo in cui il pacchetto è distribuito.
  6. Nella sezione Tipo di distribuzione della scheda di distribuzione, è possibile selezionare l’opzione di pubblicazione, o la destinazione scelta.
  7. Nella sezione Opzioni di implementazione della scheda Distribuzione, è possibile selezionare le seguenti caselle di controllo:
    • Auto-installare tale applicazione Con l’estensione del file di attivazione: L’applicazione viene installata automaticamente quando un utente apre un file che è associato con l’applicazione.
    • Disinstalla Questo Applicazione Quando si rientra nell’ambito di applicazione della gestione: La domanda è disinstallato quando l’oggetto Criteri di gruppo associati non è più applicabile per l’utente o il computer.
    • Non visualizzare questo pacchetto nel Add / Remove Programs Pannello di controllo: l’applicazione non è visualizzata in Add / Remove Programs applet del Pannello di controllo.
    • Installare questa applicazione su di accesso: La domanda è installato quando l’utente accede al prossimo computer.
  8. In Installazione Interfaccia utente sezione Opzioni della scheda di distribuzione, è possibile scegliere l’opzione di base, o al massimo opzione.
  9. Fare clic sul pulsante Avanzate, sulla realizzazione di aprire la scheda Avanzate Deployment finestra di dialogo Opzioni.
  10. È possibile impostare le opzioni avanzate di seguito elencati sotto le opzioni di distribuzione:
    • Ignora Lingua Quando Implementazione Questo pacchetto: utilizza il pacchetto, anche se la lingua è il pacchetto in una lingua diversa. L’opzione sostanzialmente ignora le impostazioni della lingua in cui il pacchetto è distribuito
    • Marca Questo 32-bit x86 Applicazione Disponibile Macchine Per Win64: Consente 64-bit di Windows per installare i computer client a 32-bit di Windows Installer applicazioni.
    • Includi OLE classe e le informazioni sul prodotto: Informazioni su COM (Component Object Model) componenti è incluso con il pacchetto.
  11. Fare clic su OK
  12. Fare clic sulla scheda Categorie di assegnare l’applicazione di una domanda categoria.
  13. Fare clic sulla scheda Protezione configurare gli utenti o gruppi, che dovrebbe essere in grado di accedere alla domanda.
  14. Fare clic su OK.

Come per distribuire gli aggiornamenti dei pacchetti

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
  3. Nel riquadro dei dettagli, fare clic con il pacchetto di aggiornamento e quindi selezionare Proprietà dal menu di scelta rapida.
  4. Fare clic sulla scheda Aggiornamenti.
  5. Fare clic su Aggiungi.
  6. Nel pacchetto di aggiornamento Aggiungi finestra di dialogo selezionare se si vuole scegliere un pacchetto da GPO corrente, o da un determinato oggetto Criteri di gruppo.
  7. Scegli il pacchetto che deve essere aggiornato dal pacchetto di aggiornamento lista.
  8. Se l’attuale domanda deve essere rimosso prima della nuova applicazione è stata installata, fare clic su Disinstalla il pacchetto esistente, quindi installare il pacchetto di aggiornamento opzione.
  9. Se il nuovo pacchetto dovrebbe effettuare l’aggiornamento del pacchetto esistente, fare clic sul pacchetto di aggiornamento può Over The opzione pacchetto esistente. Questa opzione non sovrascrivere le impostazioni esistenti degli utenti.
  10. Fare clic su OK nella Aggiungi Upgrade Package finestra di dialogo.
  11. Utilizzare il pulsante Aggiungi e Rimuovi il pulsante Aggiorna scheda per specificare i pacchetti che il nuovo pacchetto di aggiornamento.
  12. Attivare l’aggiornamento obbligatorio per i pacchetti di controllo se si desidera vigore agli utenti di effettuare l’aggiornamento alla nuova confezione.
  13. Fare clic su OK.

Come pacchetto di applicare le modifiche

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
  3. Fare clic col tasto destro del nodo di installazione del software e selezionare Nuovo, quindi Pacchetto dal menu di scelta rapida.
  4. Scegliere il pacchetto di base per l’applicazione, che dovrebbe essere dispiegata. Fare clic su Apri.
  5. Usa la icona Risorse di rete per individuare a questo pacchetto.
  6. Scegli una destinazione di pubblicazione o nella finestra di dialogo Deploy Software. Fare clic su OK.
  7. Fare clic sulla scheda Modifiche.
  8. Fare clic su Aggiungi e scegliere il pacchetto di Windows Installer trasformare che dovrebbe essere aggiunto nella finestra di dialogo Apri. Fare clic su Apri. Puoi aggiungere più modifiche.
  9. È possibile utilizzare il Sposta su e Sposta giù sulla scheda Modifiche al posto dei pacchetti in modo appropriato. Utilizzare il pulsante Aggiungi e Rimuovi per aggiungere o rimuovere trasforma.
  10. Fare clic su OK.

Come rimuovere le applicazioni impiegate con i Criteri di gruppo

  1. Aprire l’oggetto Criteri di gruppo console.
  2. Nella struttura della console, procedere per espandere il nodo Configurazione utente, o il nodo Configurazione computer, quindi espandere il nodo di installazione del software.
  3. Fare clic col tasto destro del pacchetto che si desidera rimuovere nel riquadro dei dettagli, quindi selezionare Tutte le attività, quindi Rimuovi dal menu di scelta rapida.
  4. Quando la finestra di dialogo Rimuovi Software si apre, selezionare una delle opzioni qui di seguito elencati:
    • Immediatamente disinstallare il software da parte degli utenti e computer, di rimuovere immediatamente il software quando si riavvia il computer, o la prossima volta, quando l’utente accede al computer.
    • Allow Users To Continue To Use The Software, But Prevent New Installations: This option prevents new instances of the application from being installed, while still permitting users who have already installed the application, to continue using the application.
  5. Click OK.

Best Practices for Deploying Software Through Group Policy

A few best practices specific to deploying software through Group Policy is listed below:

  • Test all software installation packages before you deploy them.
  • Use and enforce standard configurations for applications, if possible
  • It is recommended that you deploy software as high in the Active Directory hierarchy or tree as you can. Software should be deployed close to the root in the Active Directory tree because it allows you to use one GPO to deploy software to multiple users.
  • A Windows Installer package should be assigned/published only once in the identical GPO.
  • Create application categories when you have a large quantity of published applications within your organization. This makes is easier for users to find applications in Add Or Remove Programs in Control Panel.

Share

Microsoft

Comprendere e gestire le azioni di Master Ruoli

17 maggio 2009

Comprendere il Master operazioni Ruoli

Active Directory opera in un contesto multi-master replica modo. Ciò significa che ogni controller di dominio nel dominio in possesso di una leggibile e scrivibile replica di Active Directory dati. In multi-master replica, qualsiasi controller di dominio è in grado di modificare oggetti in Active Directory. Multi-master replica è l’ideale per la maggior parte delle informazioni nel sito di Active Directory. Tuttavia, alcune funzioni di Active Directory o di operazioni non sono gestite in modo multi-master, perché non può essere condivisa senza causare alcuni problemi di uniformità dei dati. Queste funzioni sono chiamati Flexible Single Master Operations (FSMOs).

Ci sono cinque Master operazioni (OM) ruoli che vengono installati automaticamente quando si installa il primo controller di dominio. Questi cinque OMS sono installati nel controller di dominio. Due di questi ruoli OM si applicano a tutta la foresta di Active Directory. I ruoli che si applicano alla foresta sono il ruolo master schema e il Domain Naming Master ruolo. Gli altri tre OM ruoli applicano a ciascun dominio. I ruoli che si applicano a un dominio sono l’identificatore relativo (RID) / Master ruolo relativo ID, il Primary Domain Controller (PDC) Emulatore ruolo, e il ruolo Master infrastrutture. Quando un controller di dominio viene assegnato un FSMO, che diventa un controller di dominio ruolo master. La particolare controller di dominio che viene assegnato questi ruoli svolge unico master replica di Active Directory in ambiente.

Poiché in genere i controller di dominio contiene le stesse informazioni di Active Directory, quando un controller di dominio non è disponibile, il resto del controller di dominio sono in grado di fornire l’accesso a oggetti di Active Directory. Tuttavia, se il controller di dominio che ha perso uno di questi ruoli OM installato, si potrebbero trovare nuovi oggetti che non può essere aggiunto al dominio.

Forest-Wide Master operazioni Ruoli

Ogni forestale a livello OM ruolo può esistere solo su un controller di dominio in tutta la foresta. Ciò significa che tali ruoli devono essere unici in tutta la foresta. I due forestali a livello OM ruoli sono:

  • Schema Master ruolo: poiché gli oggetti che esistono nel nello schema di partizione di directory definiscono la struttura di Active Directory per un bosco, è collocato un grande controllo su chi può aggiungere oggetti di questa partizione. Dal momento che ogni controller di dominio in un ambiente Active Directory hanno un comune schema, le informazioni di cui lo schema deve essere coerente su ogni controller di dominio. E ‘il controller di dominio che viene assegnato il ruolo master schema che controlla che gli oggetti sono aggiunti, modificati o rimossi dalla schema. Il controller di dominio con il ruolo master schema è il solo controller di dominio in tutta la foresta di Active Directory che possono eseguire tutte le modifiche allo schema. È possibile utilizzare la Schema di Active Directory snap-in MMC di apportare modifiche allo schema, e solo se si è un membro del gruppo Schema Admins. Tutte le modifiche apportate allo schema pregiudicherebbe ogni controller di dominio all’interno della foresta di Active Directory. È possibile trasferire il ruolo master schema a un altro controller di dominio all’interno della foresta. È anche possibile cogliere il ruolo se il controller di dominio esistenti azienda il ruolo avuto un fallimento e non possono essere recuperati.
  • Domain Naming Master ruolo: Come è il caso con il ruolo master schema, una sola la denominazione dei domini Master ruolo è consentito in tutta la foresta. Il controller di dominio che viene assegnato il ruolo di Domain Naming Master è responsabile per il monitoraggio di tutti i domini all’interno di tutta la foresta di Active Directory al fine di garantire che duplicare i nomi di dominio non vengono create. Il controller di dominio con il ruolo di Domain Naming Master si accede quando vengono creati nuovi domini per un albero o foresta. Ciò garantisce che i domini non sono contemporaneamente creato all’interno del bosco. La configurazione di default è che il primo controller di dominio promosso in un bosco, è stato assegnato questo ruolo. È possibile tuttavia trasferire il dominio Naming Master ruolo a un altro controller di dominio all’interno della foresta.

Domain-wide Master operazioni Ruoli

I tre di dominio a livello OM ruoli devono unico in ogni dominio all’interno di un bosco. Ciò significa che non ci deve essere uno di ciascuno di questi ruoli in ogni dominio. I tre di dominio a livello OM ruoli sono:

  • Relativa identificatore (RID) Master ruolo: Quando un oggetto di sicurezza è stato creato all’interno di Active Directory, è assegnato un ID di protezione. L’ID di protezione è costituito dal dominio di sicurezza ID e un parente ID. Il dominio di sicurezza ID è esattamente lo stesso per ogni ID di protezione creato in particolare il dominio. La relativa ID d’altro canto è unico per ogni ID di protezione creato all’interno del dominio. Poiché ogni relativa ID deve essere unico, il controller di dominio che viene assegnato il ruolo di master RID è responsabile per il monitoraggio e per l’assegnazione di ID univoco relativo al controller di dominio quando vengono creati nuovi oggetti. Per garantire l’efficienza quando si assegna gli ID relativi ai controller di dominio, il controller di dominio assegnato il ruolo di master RID effettivamente genera una serie di 500 relativo ID di assegnare ai controller di dominio. Poiché il numero di ID relativa diminuisce, il master RID genera più rispetto ID per mantenere il numero di ID relativi disponibile come 500. La configurazione di default è che il ruolo di master RID e PDC Emulator ruolo è assegnato al controller di dominio identici. È possibile tuttavia trasferire il ruolo di master RID un diverso controller di dominio all’interno del dominio.
  • Ruolo Emulatore PDC: In che contengono domini di Windows NT Backup Domain Controller (BDC), il controller di dominio che viene assegnato il ruolo Emulatore PDC funzioni di Windows NT Primary Domain Controller (PDC). Il ruolo Emulatore PDC ha importanza quando si tratta di replica – BDC replicare solo da un Primary Domain Controller! Oggetti che sono principi di sicurezza possono essere creati solo e replicate dal emulatore PDC. Principi di sicurezza sono utenti, computer e gruppi. E ‘quindi il PDC Emulator che consente il basso livello di sistemi operativi di coesistere in Windows 2000 e Windows Server 2003 Active Directory ambienti. Dopo il dominio è operativo in Windows Server 2003 a livello funzionale, il controller di dominio assegnato il ruolo Emulatore PDC continua a eseguire altre operazioni per il dominio. Tali funzioni aggiuntive comprendono i seguenti:
    • Tutti i cambiamenti e le password di blocco degli account richieste sono trasmesse per il PDC Emulator. Un controller di dominio in un dominio di primo controllo con il PDC Emulator per verificare se un cattivo password fornite da un utente è stato recentemente cambiato la password, ed è quindi una password valida.
    • I criteri di gruppo composto da un gruppo di politica Contenitore (GPC) in Active Directory, e un modello Criteri di gruppo (GPT) nella cartella SYSVOL. Poiché questi due elementi possono diventare di sincronizzazione a causa di multi-master replica, l’Editor criteri di gruppo di default è impostato per il PDC Emulator. Questa politica di gruppo impedisce modifiche siano effettuate su tutti i controller di dominio all’interno del dominio.
  • Ruolo Master infrastrutture: Il controller di dominio assegnato il ruolo Master infrastrutture ha le seguenti funzioni all’interno del dominio:
    • Aggiornamenti del gruppo-di-utente riferimenti quando i membri dei gruppi sono modificate. Questi aggiornamenti vengono inviati tramite il Master infrastrutture per il resto del controller di dominio all’interno del dominio tramite multi-master replica.
    • Elimina qualsiasi stantio o non valido gruppo-a-utente riferimenti all’interno del dominio. Per fare questo, il ruolo Master infrastrutture controlli con il catalogo globale per il gruppo di stantio-to-utente riferimenti.

Pianificazione del posizionamento del FSMOs

Un detto in precedenza, tutti i ruoli sono OM di default assegnato automaticamente al primo controller di dominio creato per la prima in un nuovo dominio Active Directory. Poi, quando si crea un dominio principale di un nuovo albero in una foresta, o di un nuovo dominio figlio, i tre dominio specifico OM ruoli sono assegnati al primo controller di dominio in quel dominio. Nei casi in cui un dominio ha un solo controller di dominio, ogni dominio specifico ruolo OM deve esistere su questo unico controller di dominio. I due ruoli delle foreste specifiche OM soggiorno sul controller di dominio iniziale per il primo dominio creato all’interno del bosco.

OM ruoli di solito sono trasferiti ad altri controller di dominio quando si ha bisogno per svolgere le attività di manutenzione, o di bilanciare il carico esistenti carico del controller di dominio, o semplicemente spostare il particolare ruolo OM meglio attrezzati ad un controller di dominio.

Nei casi in cui esistono più controller di dominio per un determinato dominio, considerare le seguenti raccomandazioni, quando il tuo Master operazioni ruoli all’interno del dominio:

  • Se si dispone di due controller di dominio che sono i partner di replica diretta e ben collegato, assegnare il ruolo Master RID, PDC Emulator ruolo e il ruolo Master infrastrutture per un controller di dominio. Questo particolare controller di dominio OM sarebbe diventato il controller di dominio per il dominio. Il controller di dominio rimanente sarebbe diventato il designati standby OM controller di dominio.
  • E ‘generalmente raccomandato per assegnare il emulatore PDC e master RID ruoli per lo stesso controller di dominio.
  • Tuttavia, se il dominio che si sta mettendo i ruoli FSMO è di grandi dimensioni, si consiglia di individuare il ruolo di master RID ed emulatore PDC ruolo su due diversi controller di dominio. Ciascuno di questi controller di dominio deve essere ben collegato al controller di dominio designato come standby OM controller di dominio per questi due ruoli. Questa strategia è di solito attuate per ridurre il carico sul controller di dominio assegnato l’emulatore PDC.
  • Si consiglia di collocare il ruolo master schema e il Domain Naming Master ruolo sullo stesso controller di dominio.
  • Si consiglia di astenersi da assegnare il ruolo Master infrastrutture a un controller di dominio che contiene il catalogo globale. Il controller di dominio assegnato il ruolo Master infrastrutture dovrebbe essere ben collegato con il server di catalogo globale. Il master infrastrutture non funzionare correttamente se il catalogo globale è ospitato sul controller di dominio identici.

Gestione Master operazioni Ruoli

Dal momento che solo uno o più controller di dominio vengono assegnati i ruoli di master operazioni, è importante che le specifiche rimangono funzionamento dei controller di dominio in Active Directory ambiente. Ci sono essenzialmente due processi che intervengono nella gestione dei FSMOs. Questi compiti di gestione sono riportate qui di seguito:

  • Poiché il FSMOs vengono create automaticamente quando il primo controller di dominio è installato, potrebbe essere necessario il trasferimento OM ruoli di una più robusta server. È inoltre necessario trasferire OM ruoli a un altro server prima demoting il controller di dominio che li ospita.
  • Quando un controller di dominio perduto non può essere recuperato, si sarebbe alcun bisogno di cogliere OM ruoli assegnati al particolare controller di dominio.

Trasferimento di uno ruolo di master operazioni, comporta il trasferimento da un server a un server diverso. Per trasferire il ruolo master schema, è necessario disporre di Schema Admins diritti, e di trasferire il Domain Naming Master ruolo, è necessario disporre di diritti di amministratore Imprese.

È possibile utilizzare uno di Active Directory o di una console a riga di comando programma di utilità per trasferire OM ruoli. La console MMC di Active Directory che può essere utilizzato per trasferire i diversi FSMOs sono riportate qui di seguito:

  • Schema di Active Directory snap-in MMC: Per trasferire il ruolo master schema
  • Active Directory Domini e trust di console: Per il trasferimento del dominio Naming Master ruolo
  • Active Directory Utenti e computer di console: Per trasferire il ruolo master RID, emulatore PDC ruolo, e il ruolo Master infrastrutture.

Quando si fa cogliere uno OM ruolo, ma deve farlo senza la cooperazione degli attuali controller di dominio che viene assegnato con il particolare ruolo OM. Quando un ruolo OM è sequestrata, è fondamentalmente riassegnata a un altro controller di dominio. Prima di tentare di cogliere tutte le OM ruoli, in primo luogo cercare di determinare ciò che è il motivo per il fallimento degli attuali controller di dominio che viene assegnato con il particolare ruolo OM. Alcuni problemi di rete che possono essere corrette in breve tempo sono ben fames valore duraturo attraverso. Prima di cogliere OM ruoli, in primo luogo assicurare che il controller di dominio che si prevede di trasferire questi ruoli, è abbastanza potente per difendere questi ruoli. In sintesi, si dovrebbe cogliere solo uno OM ruolo, se l’attuale OM non possono essere ancora recuperati. È necessario utilizzare il Ntdsutil strumento strumento della riga di comando di cogliere OM ruoli.

Le conseguenze della mancanza di FSMOs

La sezione seguente esamina ciò che effettivamente succede quando ogni ruolo FSMO non:

  • Un master schema fallimento è evidente fondamentalmente solo quando un amministratore tenta di cambiare schema di Active Directory. Ciò significa che un master schema fallimento è invisibile ai vostri utenti di rete standard. Si dovrebbe cogliere questa funzione solo per il controller di dominio designato come master schema standby se il master schema esistente di fatto non può essere recuperato.
  • Come è il caso di un fallimento Schema Master, Domain Naming Master fallimento è evidente solo se un amministratore tenta di aggiungere un dominio per la foresta, o rimuovere un dominio dalla foresta. Un Domain Naming Master fallimento in generale non può essere percepita dai vostri utenti di rete standard. Si dovrebbe cogliere questa funzione solo per il controller di dominio designato come suo standby, quando l’attuale denominazione dei domini Master non sarebbe ancora operativo.
  • Un master RID fallimento è evidente solo per gli amministratori se ne stanno cercando di aggiungere nuovi oggetti di Active Directory in particolare il dominio in cui il master RID non riuscito. Quando questo accade, il master RID non è in grado di assegnare gli ID relativi al controller di dominio in cui il nuovo oggetti di Active Directory vengono creati. Un master RID fallimento non può essere rilevato dal tuo convenzionali gli utenti della rete. Si dovrebbe inoltre generalmente solo cogliere questa OM ruolo quando il controller di dominio esistente assegnato con il ruolo di master RID non sarebbe mai recuperare dal fallimento.
  • Un Master infrastrutture mancato, inoltre, non è visibile al suo standard di utenti della rete. Il fallimento solo impatti amministratori che tentano di spostare gli account utente, o rinominarli. Valutare la possibilità di trasferire il ruolo che il controller di dominio designato standby se il controller di dominio esistente assegnato con il Master infrastrutture è quello di non essere disponibili per un ragionevole periodo di tempo prolungato, e le modifiche che devono essere fatte sono pertinenti.
  • A differenza del ruolo OM fallimenti descritti in precedenza che non sono evidenti al suo standard di utenti della rete, un emulatore PDC mancato impatto non gli utenti della rete. E ‘importante cogliere subito questo ruolo per il suo designato standby se il controller di dominio di dominio di Windows NT contiene alcun controller di dominio di backup. È sempre possibile tornare al suo ruolo di questo controller di dominio precedente quando è recuperato e di nuovo on-line.

Come visualizzare l’attuale ruolo di master schema di assegnazione

  1. Aprire un prompt dei comandi, digitare regsvr32 schmmgmt.dll e di registrare il schmmgmt.dll sul computer.
  2. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
  3. Dal menu File, selezionare Aggiungi / Rimuovi snap-in e quindi selezionare Aggiungi.
  4. Nella lista dei disponibili snap-in, fare doppio clic su Schema di Active Directory.
  5. Fare clic sul pulsante Chiudi. Fare clic su OK.
  6. Aprire la Schema di Active Directory snap-in.
  7. Nella struttura della console, cliccate con il tasto destro Schema di Active Directory e scegliere Master operazioni dal menu di scelta rapida.
  8. Il master schema Cambia si apre la finestra di dialogo.
  9. È possibile visualizzare il nome del master schema esistenti nel master schema attuale (Online) casella.
  10. Fare clic sul pulsante Chiudi.

Come visualizzare l’attuale denominazione dei domini Master ruolo assegnazione

  1. Aperto di Active Directory Domini e trust di console dal menu Strumenti di amministrazione.
  2. Nella struttura della console, clic con il pulsante destro di Active Directory Domini e trust e selezionare Operazioni Maestri dal menu di scelta rapida.
  3. Il Cambia master operazioni si apre la finestra di dialogo.
  4. È possibile visualizzare il nome del dominio esistente Naming Master in Domain Naming Master operazioni casella.
  5. Fare clic sul pulsante Chiudi.

Come visualizzare l’attuale ruolo di master RID, emulatore PDC e master infrastrutture ruolo incarichi

  1. Aperto di Active Directory Utenti e computer di console dal menu Strumenti di amministrazione.
  2. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Tutte le attività, quindi Master operazioni dal menu di scelta rapida.
  3. Il Master operazioni finestra di dialogo contiene le seguenti schede:
    • RID scheda: Il nome del master RID esistente viene visualizzato nella finestra Master operazioni di questa scheda.
    • PDC scheda: Nella casella di master operazioni PDC scheda, è possibile visualizzare il nome del PDC Emulator esistenti.
    • Scheda infrastrutture: le infrastrutture esistenti Master nome viene visualizzato nella casella di Master operazioni.
  4. Fare clic sul pulsante Chiudi.

Come trasferire il ruolo master schema a un altro controller di dominio

Prima di poter trasferire il ruolo master schema a un altro controller di dominio, assicurarsi di avere la necessaria Schema Admins diritti, e che entrambi i controller di dominio che si prevede di lavorare con sono disponibili. Prima di poter utilizzare la Schema di Active Directory snap-in MMC, dovete prima di aggiungere a una MMC.

Per aggiungere la Schema di Active Directory snap-in MMC ad una,

  1. Aprire un prompt dei comandi, digitare regsvr32 schmmgmt.dll e di registrare il schmmgmt.dll sul computer.
  2. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
  3. Dal menu File, selezionare Aggiungi / Rimuovi snap-in e quindi selezionare Aggiungi.
  4. Nella lista dei disponibili snap-in, fare doppio clic su Schema di Active Directory.
  5. Fare clic sul pulsante Chiudi. Fare clic su OK

Per trasferire il ruolo master schema,

  1. Aprire la Schema di Active Directory snap-in.
  2. Fai clic destro Schema di Active Directory nella struttura della console, quindi selezionare Cambia controller di dominio dal menu di scelta rapida.
  3. Le opzioni disponibili quando Cambia controller di dominio si apre la finestra di dialogo
    • Qualsiasi DC: Se questa opzione è selezionata, di Active Directory si seleziona un nuovo controller di dominio per il ruolo master schema.
    • Specificare Nome: Se questa opzione è attivata, è necessario immettere il nome della nuova posizione per il ruolo master schema.
  4. Fare clic su OK
  5. Fai clic destro Schema di Active Directory nella struttura della console di nuovo, e scegliere Master operazioni dal menu di scelta rapida.
  6. Quando il master schema Cambia la finestra di dialogo si apre, fare clic su Cambia.
  7. Fare clic su OK quando viene visualizzato un messaggio per chiedere la verifica del trasferimento OM ruolo che si desidera eseguire.
  8. Fare clic su OK per chiudere la finestra di dialogo Cambia master schema casella.

Come trasferire il dominio Naming Master ruolo a un altro controller di dominio

Devi essere un membro del gruppo Enterprise Admin per trasferire il dominio Naming Master ruolo a un altro controller di dominio.

  1. Aperto di Active Directory Domini e trust di console dal menu Strumenti di amministrazione.
  2. Nella struttura della console, clic con il pulsante destro di Active Directory Domini e trust e selezionare Connessione al controller di dominio dal menu di scelta rapida.
  3. La Connessione al controller di dominio si apre la finestra di dialogo. Questo è dove si specifica il nome del nuovo controller di dominio che dovrebbe essere assegnato il ruolo di Domain Naming Master.
  4. Fare clic su OK
  5. Nella struttura della console, clic con il pulsante destro di Active Directory Domini e trust e selezionare Operazioni Maestri dal menu di scelta rapida.
  6. Quando il cambiamento Master operazioni si apre la finestra di dialogo, fare clic su Cambia
  7. Fare clic sul pulsante Chiudi

Come trasferire il ruolo master RID, emulatore PDC ruolo, il ruolo Master infrastrutture o ad un altro controller di dominio

  1. Aperto di Active Directory Utenti e computer di console dal menu Strumenti di amministrazione.
  2. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Connetti a dominio dal menu di scelta rapida.
  3. Quando il dominio Collegare Per finestra di dialogo, immettere il nome di dominio che si desidera lavorare.
  4. Fare clic su OK
  5. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Connetti a controller di dominio dal menu di scelta rapida.
  6. Quando la Connessione al controller di dominio si apre la finestra di dialogo, specificare il nuovo controller di dominio per l’OM ruolo che si sta trasferendo.
  7. Fare clic su OK
  8. Nella struttura della console, clic con il pulsante destro di Active Directory utenti e computer e fare clic su Tutte le attività, quindi fare clic su Master operazioni dal menu di scelta rapida.
  9. Il Master operazioni apre la finestra di dialogo. Su una delle seguenti schede,
    • RID scheda: Fare clic su Cambia per modificare il percorso del master RID
    • PDC scheda: Fare clic su Cambia per modificare la posizione del PDC Emulator
    • Infrastruttura scheda: Fare clic su Cambia per modificare il percorso del Master infrastrutture.
  10. Fare clic su Sì per verificare che si desidera trasferire il ruolo OM particolare a un altro controller di dominio.
  11. Fare clic su OK. Fare clic sul pulsante Chiudi.

Come cogliere uno ruolo di master operazioni

Quando si fa cogliere uno OM ruolo, è necessario eseguire i seguenti compiti:

  • Verificare che il nuovo controller di dominio per il ruolo è completamente aggiornato con le modifiche eseguite sul controller di dominio esistente del ruolo particolare. È possibile utilizzare la replica di diagnostica utilità della riga di comando per questa verifica. Repadmin.exe è incluso in Windows Strumenti di supporto di Windows Server 2003 CD-ROM.
  • Lei non usa il Ntdsutil strumento per cogliere il particolare ruolo OM. Il primo strumento Ntdsutil tentativi di trasferire il ruolo prima che effettivamente procede a cogliere il ruolo.

Tuttavia, se avete la necessità di cogliere l’emulatore PDC o Infrastruttura FSMOs, è possibile utilizzare Active Directory Utenti e computer di console. Il Ntdsutil strumento deve però essere utilizzata per cogliere l’altro FSMOs – Schema Master ruolo, Domain Naming Master ruolo, e del ruolo di master RID. È possibile però utilizzare anche il Ntdsutil strumento per cogliere il ruolo Emulatore PDC o ruolo Master infrastrutture.

Per cogliere l’emulatore PDC o Infrastruttura FSMOs utilizzando Active Directory Utenti e computer di console,

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, fare clic con il dominio, quindi scegliere Connessione al controller di dominio dal menu di scelta rapida.
  3. Immettere il nome degli altri controller di dominio. Fare clic su OK
  4. Per eseguire il sequestro del ruolo, cliccate con il tasto destro del dominio e scegliere Master operazioni dal menu di scelta rapida.
  5. Fare clic su una scheda il PDC, infrastrutture o la scheda
  6. Si noterà che il ruolo particolare OM è indicata come non in linea.
  7. Fare clic su Cambia.
  8. Fare clic su OK per verificare che si desidera trasferire il ruolo OM.
  9. Fare clic su Sì quando viene chiesto di verificare che si desidera eseguire un trasferimento forzato.

Per cogliere tutte le OM ruoli utilizzando il Ntdsutil strumento,

  1. Fare clic sul pulsante Start, Prompt dei comandi.
  2. Inserisci i seguenti al prompt dei comandi: ntdsutil. Premere Invio
  3. Inserisci i seguenti al prompt ntdsutil: ruoli. Premere Invio
  4. Inserisci i seguenti al prompt fsmo maintenance: connessioni. Premere Invio
  5. Inserisci i seguenti al prompt dei server di connessioni: la connessione al server, e il nome di dominio pienamente qualificato (FQDN). Premere Invio
  6. Inserisci i seguenti al prompt dei server di connessioni: smettere. Premere Invio.
  7. Immettere uno dei seguenti al prompt fsmo maintenance:
    • cogliere master schema. Premere Invio
    • cogliere nomi di dominio master. Premere Invio
    • cogliere master RID. Premere Invio
    • cogliere PDC. Premere Invio
    • cogliere master infrastrutture. Premere Invio
  8. Inserisci quit al prompt fsmo maintenance. Premere Invio
  9. Inserisci uscire al prompt ntdsutil.

Come eseguire un metadata cleanup

La classe di oggetti e attributi degli oggetti dello schema sono indicati come metadati. Un metadata cleanup è di solito eseguita quando non siete in grado di ripristinare un controller di dominio non riuscita. La pulizia elimina ogni riferimento alla non controller di dominio in Active Directory.

Per eseguire la pulitura dei metadati,

  1. Dal prompt dei comandi, digitare ntdsutil e premere Invio.
  2. Inserisci i seguenti al prompt ntdsutil: metadata cleanup. Premere Invio
  3. Inserisci i seguenti al prompt dei metadata cleanup: connessioni. Premere Invio
  4. Inserisci i seguenti al prompt dei server di connessioni: la connessione al server, seguito dal nome del server. Premere Invio
  5. Inserisci uscire, e premere Invio
  6. Inserisci i seguenti al prompt dei metadata cleanup: select operation target. Premere Invio
  7. Inserisci elenco domini. Premere Invio
  8. Inserisci selezionare dominio, seguito dal numero del dominio che contiene il server che si desidera rimuovere. Premere Invio
  9. Inserisci elenco dei siti. Premere Invio
  10. Inserisci selezionare sito, seguito dal numero del sito che contiene il server che si desidera rimuovere. Premere Invio
  11. Inserisci il sito nella lista dei server. Premere Invio
  12. Inserisci selezionare il server, seguito dal numero di server che si desidera rimuovere. Premere Invio.
  13. Immettere chiudere e premere Invio per tornare al prompt dei metadata cleanup.
  14. Inserisci rimuovere server selezionato, quindi premere Invio.
  15. Quando viene visualizzato un messaggio che chiede di verificare se il server deve essere rimosso, scegliere Sì.
  16. Esci dal Ntdsutil.
Share

Microsoft

Panoramica sul server di catalogo globale

17 maggio 2009

Il catalogo globale (GC) è una componente importante in Active Directory in quanto funge da centrale di memorizzare le informazioni di Active Directory gli oggetti situati in domini, e delle foreste. Dato che la GC mantiene un elenco degli oggetti di Active Directory in settori e delle foreste, senza realmente compreso tutte le informazioni sugli oggetti, e viene utilizzato quando gli utenti effettuano ricerche per oggetti di Active Directory o per specifici attributi di un oggetto; GC migliora le prestazioni della rete e garantisce la massima accessibilità a oggetti di Active Directory.

Il server di catalogo globale è il controller di dominio che memorizza una copia completa di tutti gli oggetti nel suo dominio host. Ha inoltre memorizza una copia parziale di tutti gli oggetti in tutti gli altri settori all’interno della foresta. La copia parziale detiene l’elenco degli oggetti cercato per più di frequente. Il primo controller di dominio che viene creato durante il primo dominio in una foresta è per default il server di catalogo globale. Se un dominio comprende un unico controller di dominio, quel particolare controller di dominio e il server sono GC stesso server. Se si aggiunge un ulteriore controller di dominio per il dominio, si può configurare come controller di dominio che il server GC. È inoltre possibile assegnare ulteriori controller di dominio per servire come GC server per un dominio. Questo di solito è fatto per migliorare i tempi di risposta per le richieste di accesso degli utenti e le richieste di ricerca.

Al fine di server di catalogo globale per memorizzare una copia completa di tutti gli oggetti nel suo dominio host e una copia parziale di tutti gli oggetti in tutti gli altri settori all’interno della foresta, GC replica deve verificarsi tra quelli che sono i controller di dominio configurato come server GC. GC non si replica tra i controller di dominio che non sono server GC.

Le funzioni del GC server sono discusse nella sezione seguente. Le funzioni svolte dal GC server possono essere riassunti come segue:

· GC server Active Directory di fondamentale importanza per la funzionalità UPN perché risolvere i principali nomi utente (UPNs) quando il controller di dominio, la gestione della richiesta di autenticazione non è in grado di autenticare l’utente perché l’account utente esiste realmente in un altro dominio. Il controller di dominio di autenticazione non avrebbe alcuna conoscenza della particolare account utente. Il GC server in questo caso, aiuta a localizzare l’account utente in modo che il controller di dominio di autenticazione può procedere con la richiesta di accesso per l’utente.

· Il GC server si occupa di tutte le richieste di ricerca degli utenti alla ricerca di informazioni in Active Directory. Si possono trovare tutti i dati di Active Directory, indipendentemente dal settore in cui i dati si svolge. Il GC server si occupa di richieste per l’intera foresta.

· Il GC inoltre rende possibile per gli utenti di fornire informazioni in gruppo universale per il controller di dominio di rete per le richieste di accesso.

Universal gruppi sono disponibili quando il livello funzionalità di dominio viene aumentato o fissato a meno di Windows 2000 nativo. Gruppi universale può contenere membri che appartengono a vari settori all’interno della foresta, e il loro gruppo di appartenenza universale è solo informazioni memorizzate nel GC. Ciò significa che solo i controller di dominio configurato come server GC universale dovrebbe contenere informazioni in gruppo. Per il resto, il controller di dominio potrebbe non tenere in gruppo Universal informazioni. Universale Il gruppo caching funzione introdotta in Windows Server 2003 Active Directory, consente a un sito che non ha alcun GC cache server per l’adesione universale gruppo di informazioni per gli utenti che intendono accedere al controller di dominio all’interno del sito. In questo modo, un controller di dominio può servire le richieste di accesso per la directory di informazioni quando un GC server non è disponibile. Le impostazioni della replica di Active Directory calendario determinare come spesso la cache viene aggiornata.

Pianificazione della Posizione di server di catalogo globale

Se si dispone di una rete relativamente piccola che ha solo un unico luogo fisico, il primo controller di dominio per il dominio installato sarebbe diventato il GC server. Come ulteriore controller di dominio vengono aggiunti al dominio, è possibile spostare il server GC ruolo a un altro controller di dominio. Posizionando il GC server in un ambiente Active Directory è un processo abbastanza semplice. La maggior parte delle reti di grandi dimensioni, tuttavia, molte ubicazioni fisiche. Avendo affidabili ad alta velocità che collegano i link filiali sarebbe la situazione ideale. Poiché la maggior parte dei collegamenti utilizzo della larghezza di banda limitata, e anche alcuni link sono inaffidabili, la necessità di creare siti e link del sito per il controllo del traffico di replica diventa essenziale.

È necessario configurare almeno un controller di dominio come il GC server in ogni sito. Assicurarsi che il controller di dominio è robusto abbastanza per far fronte a tutte le richieste del catalogo globale e GC traffico di replica. Questa è sua volta garantisce la migliore possibile i tempi di risposta della rete. Quando Microsoft Exchange 2000 Server viene utilizzato, si raccomanda inoltre di configurare un server di GC per ogni sito che ha un server di Exchange.

Se si dispone di più siti, si potrebbe desiderare di schierare ulteriori GC server per un sito se si verificano le seguenti condizioni:

  • Un collegamento WAN lento o inaffidabile collegamento WAN viene utilizzata per connettersi ad altri siti.
  • Una frequente applicazione utilizza la porta utilizzata per GC 3268 domande.
  • Gli utenti del sito sono membri di un dominio Windows 2000 o un dominio Windows Server 2003 che operano in modalità nativa di Windows 2000.

Come creare ulteriori server GC

Quando si crea il primo controller di dominio per un nuovo dominio, quel particolare controller di dominio è designato come server GC. A seconda della vostra rete, potrebbe essere necessario aggiungere un ulteriore GC server (s). L’Active Directory Siti e servizi della console è lo strumento utilizzato per aggiungere un ulteriore server GC. Devi essere un membro di uno dei seguenti gruppi per creare ulteriori server GC: Domain Admins o Enterprise Admins.

Per creare un nuovo server di GC:

  1. Fare clic sul pulsante Start, Strumenti di amministrazione, quindi fare clic su Active Directory Siti e servizi.
  2. Nella struttura della console, espandere Siti, quindi espandere il sito che contiene il controller di dominio che si desidera configurare come un server GC.
  3. Espandere la cartella Server e individuare e quindi fare clic sul controller di dominio che si desidera designare come un server GC.
  4. Nel dettaglio, pannello, cliccate con il tasto destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida.
  5. L’oggetto Impostazioni NTDS finestra di dialogo Proprietà apre.
  6. La scheda Generale è possibile specificare il controller di dominio come un server GC.
  7. Attivare la casella di controllo Catalogo globale.
  8. Fare clic su OK.

Come attivare il gruppo Universal funzione di caching

  1. Fare clic sul pulsante Start, Strumenti di amministrazione, quindi fare clic su Active Directory Siti e servizi.
  2. Nella struttura della console, fare clic sul sito che si desidera consentire l’adesione universale gruppo per il caching.
  3. Nel riquadro dei dettagli fare clic con il pulsante destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida.
  4. L’oggetto Impostazioni NTDS finestra di dialogo Proprietà apre.
  5. Controllare la Abilita cache universale gruppo di controllo.
  6. Fare clic su OK.

Come rimuovere il ruolo server GC da un controller di dominio

  1. Aperto di Active Directory Siti e servizi di console.
  2. Nella struttura della console, individuare e fare clic sul controller di dominio configurato come server GC.
  3. Fai clic destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida per aprire le Impostazioni NTDS finestra di dialogo Proprietà.
  4. Deselezionare la casella di controllo Catalogo globale.
  5. Fare clic su OK.

Come disabilitare l’universale gruppo funzione di caching

  1. Aperto di Active Directory Siti e servizi di console.
  2. Nella struttura della console, individuare e fare clic sul sito per il quale si desidera disattivare l’universale gruppo funzione di caching.
  3. Fai clic destro Impostazioni NTDS e scegliere Proprietà dal menu di scelta rapida per aprire le Impostazioni NTDS finestra di dialogo Proprietà.
  4. Svuota Abilita cache universale gruppo di controllo.
  5. Fare clic su OK.

Come includere altri attributi in GC

Il numero di attributi in GC GC colpisce replica. Il tuo GC più attributi server devono replicare, più il traffico di rete GC replica crea. Attributi di default sono inclusi nel GC quando Active Directory è stato messo. È possibile utilizzare la Schema di Active Directory snap-in per aggiungere ulteriori attributo alla GC. Perché lo snap-in di default non è inclusa nel menu Strumenti di amministrazione, dovete prima di aggiungere alla prima MMC si può utilizzare per personalizzare il GC.

Per aggiungere la Schema di Active Directory snap-in MMC:

  1. Fare clic sul pulsante Start, Esegui e digitare cmd nella finestra di dialogo Esegui. Premere Invio.
  2. Inserisci i seguenti al prompt dei comandi: regsvr32 schmmgmt.dll.
  3. Fare clic su OK per riconoscere che la dll è stato registrato con successo.
  4. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui.
  5. Quando si apre la MMC, selezionare Aggiungi / Rimuovi snap-in dal menu File.
  6. In Aggiungi / Rimuovi snap-in finestra di dialogo, fare clic su Aggiungi, quindi aggiungere la Schema di Active Directory snap-in dal Aggiungi snap-in finestra di dialogo.
  7. Chiudere tutte le finestre di dialogo.

Per includere altri attributi del GC:

  1. Aprire la Schema di Active Directory snap-in.
  2. Nella struttura della console, espandere il contenitore attributi, cliccate con il tasto destro un attributo e fare clic su Proprietà dal menu di scelta rapida.
  3. Ulteriori attributi sono aggiunti sulla scheda Generale.
  4. Assicurarsi che la Replica questo attributo al catalogo globale casella di controllo è attivata.
  5. Fare clic su OK.

Risoluzione dei problemi GC Server

A pochi problemi di comune esperienza con GC server sono elencati qui di seguito:

  • Query lente del tempo di risposta: Aggiungere un ulteriore GC server per la posizione con la lentezza dei tempi di risposta di query di ricerca in grado di migliorare i tempi di risposta. Gli utenti saranno in grado di utilizzare il server locale GC invece di usare il collegamento WAN lento.
  • Problemi di latenza di replica tra i server GC: È possibile aggiungere i siti per assistere con la replica del traffico.
  • Alto Carico: Se il tuo GC server si verifica un eccessivo carico, aggiungendo più GC server per gestire il carico potrebbe assistere, con il problema. Ricorda però che l’aggiunta di ulteriori server GC, GC aumento del traffico di replica.

Share

Microsoft

An Introduction to Active Directory Management Tools

17 maggio 2009

Active Directory o del servizio directory di gestione è una componente essenziale di qualsiasi processo di amministrazione di Active Directory, se viene attuato nel vostro ambiente di rete. I due tipi di metodi di gestione o di amministrazione che può essere utilizzato per gestire il servizio di directory sono:

  • Strumenti di amministrazione che utilizzano un’interfaccia utente grafica (GUI)
  • Strumenti da riga di comando

Windows Server 2003 include una serie di nuovi strumenti da riga di comando che può essere utilizzato per gestire oggetti di Active Directory come pure le varie parti di Active Directory. Strumenti di amministrazione che utilizzano una interfaccia grafica è possibile accedere tramite il menu Strumenti di amministrazione.

Il principale strumento di gestione utilizzati per la gestione di Active Directory è la Microsoft Management Console (MMC). La MMC non è un vero e proprio strumento di gestione, ma fornisce l’interfaccia per caricare MMC di Active Directory snap-in. Snap-in fornisce specifiche funzionalità amministrative. La MMC interfaccia vi permette di creare strumenti personalizzati console, e inoltre consentono di caricare più snap-in in un’unica console.

Le seguenti MMC snap-in fornisce una specifica funzionalità di amministrazione di Active Directory:

  • Active Directory Domini e trust: Utilizzata per gestire i domini, relazioni di trust di dominio, dominio di alberi e foreste, e per cambiare la modalità di dominio. Active Directory Domini e trust viene utilizzato anche per configurare il nome utente principale (UPN) suffissi.
  • Active Directory Utenti e computer: utilizzato per creare, configurare e gestire gli oggetti in Active Directory, come utenti, gruppi, computer e unità organizzative (UO).
  • Active Directory Siti e servizi: Serve per creare, configurare e gestire siti e subnet. Active Directory Siti e servizi sono utilizzati anche per gestire i controller di dominio di replica.
  • Schema di Active Directory: A differenza del già citato MMC snap-in, la Schema di Active Directory snap-in non è disponibile sul menu Strumenti di amministrazione. È necessario installare manualmente Schema di Active Directory e creare un MMC per come bene. Schema di Active Directory viene utilizzato per visualizzare e modificare schema di Active Directory.

A pochi miglioramenti introdotti in Windows Server 2003 per la gestione di Active Directory strumenti includono le seguenti funzionalità:

  • È possibile scegliere o selezionare più risorse o gli oggetti singolarmente tenendo premuto il tasto Ctrl e poi selezionando singolarmente gli oggetti o le risorse che si desidera lavorare.
  • È anche possibile selezionare una serie di oggetti contemporaneamente premuto il tasto Maiusc, fai clic sul primo oggetto e poi cliccando l’ultimo oggetto.
  • È possibile modificare e impostare le proprietà di oggetti o di più risorse.
  • Puoi trascinare gli oggetti o le risorse per nuove sedi.

In aggiunta a quanto sopra menzionato MMC snap-in, è possibile anche utilizzare Gruppo di criteri risultante per visualizzare la politica attuale di un utente su un sistema. È anche possibile pianificare cambiamenti politici utilizzando Gruppo di criteri risultante. È possibile utilizzare l’Installazione guidata di Active Directory per creare i controller di dominio, i nuovi domini, dominio di alberi e foreste. Windows Server 2003 include link alle Installazione guidata di Active Directory in Gestione guidata server. Questa è la procedura guidata che verrà visualizzata dopo il sistema operativo è installato. Strumenti di supporto di Windows anche contenere ulteriori Active Directory specifici strumenti di gestione.

Come aggiungere i tre comunemente utilizzata di Active Directory snap-in di MMC:

  1. Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
  2. Selezionare Aggiungi / Rimuovi snap-in dal menu File.
  3. Aggiungi / Rimuovi snap-in finestra di dialogo viene visualizzato accanto.
  4. Fare clic sulla scheda. Fare clic su Aggiungi.
  5. Il Aggiungi snap-in finestra di dialogo in cui si aggiunge di Active Directory snap-in che dovrebbe essere visualizzato in Microsoft Management Console.
  6. Fare clic su Active Directory Domini e trust da disponibili e fare clic su Aggiungi.
  7. Fare clic su Active Directory Siti e servizi a disposizione dalla lista e fare clic su Aggiungi.
  8. Fare clic su Active Directory Utenti e computer a disposizione dalla lista e fare clic su Aggiungi.
  9. Fare clic sul pulsante Chiudi.
  10. Il snap-in che è stato selezionato dovrebbe essere visualizzata in Aggiungi / Rimuovi snap-in finestra di dialogo.
  11. Fare clic su OK
  12. La console MMC albero dovrebbe ora contenere nodi per ciascuna di Active Directory snap-in.

L’Installazione guidata di Active Directory

L’Installazione guidata di Active Directory è il principale strumento che viene utilizzato per installare Active Directory, i controller di dominio e creare nuovi domini e il dominio alberi. È possibile avviare l’Installazione guidata di Active Directory utilizzando direttamente Dcpromo.exe. L’Installazione guidata di Active Directory richiede le seguenti informazioni che vi guiderà attraverso la sua serie di pagine di configurazione / schermi:

  • Il controller di dominio del tipo: La procedura guidata mostra la pagina Tipo di controller di dominio quando il computer si sta lavorando con non è un controller di dominio. Le opzioni che si possono scegliere sono:
    • Domain Controller per un nuovo dominio: Questa opzione installa Active Directory su un server e lo definisce come il primo controller di dominio per un nuovo dominio. Quando si seleziona questa opzione, l’Installazione guidata di Active Directory proventi di installare Active Directory di file di supporto, crea il nuovo dominio, e quindi con i registri DNS.
    • Controller di dominio aggiuntivo per un dominio esistente: Questa opzione installa Active Directory su un server e poi le repliche di directory di informazioni da un dominio esistente.
  • Il dominio del tipo: Se si è scelto di creare un nuovo dominio, la procedura guidata viene visualizzata la pagina Crea nuovo dominio. È possibile selezionare una delle seguenti opzioni da questa pagina:
    • Dominio In A New Forest
    • Dominio figlio in un dominio esistente Albero
    • In un albero di dominio esistenti Foresta
  • Impostare i nomi di dominio: In Nuova pagina del nome di dominio, è necessario specificare un nome DNS per il dominio, nonché uno dei nomi NetBIOS per il dominio. Il nome NetBIOS per il dominio saranno utilizzati da clienti che non supporta Active Directory.
  • Database di Active Directory e accedi cartella: La procedura guidata viene chiesto di immettere la posizione del database di Active Directory e la cartella sul file di log del database e del log delle cartelle pagina. La posizione che si immette deve essere su un volume NTFS.
  • Volume di sistema condiviso cartella: Dovete inserire il percorso del volume di sistema condiviso sul volume di sistema condiviso pagina.
  • Autorizzazioni predefinite per l’utente e il gruppo di oggetti: L’Autorizzazioni compatibili soltanto con Windows 2000 e Windows Server 2003 Sistemi Operativi opzione dovrebbe essere selezionata.
  • Modalità ripristino servizi directory account Administrator password: È necessario immettere la password per l’account Administrator in modalità di ripristino del server qui. Questa password dovrebbe essere di solito necessario per utilizzare la Console di ripristino di emergenza.

Come usare l’Installazione guidata di Active Directory per installare Active Directory per un nuovo dominio

  1. Fare clic sul pulsante Start, Esegui, quindi digitare dcpromo nella finestra di dialogo Esegui. Fare clic su OK
  2. Questa azione avvia il Installazione guidata di Active Directory.
  3. Quando il benvenuto al Installazione guidata di Active Directory apre la pagina, fare clic su Avanti.
  4. Fare clic su Avanti e sulla compatibilità del sistema operativo pagina.
  5. Selezionare il controller di dominio per un nuovo dominio opzione sulla pagina Tipo di controller di dominio. Fare clic su Avanti.
  6. Quando la procedura guidata viene visualizzata la pagina Crea nuovo dominio, verificare che il dominio in A New Forest opzione è selezionata fare clic su Avanti.
  7. L’Installazione guidata di Active Directory ora mostra il nuovo nome di dominio pagina. Questo è il punto in cui inserire il nome DNS del dominio in nome del DNS Per la Nuova casella Dominio. Fare clic su Avanti.
  8. È possibile accettare il nome NetBIOS predefinito visualizzato sulla pagina del nome di dominio NetBIOS. Fare clic su Avanti.
  9. Inserisci il buon località nel database delle cartelle e caselle Entra cartella del database e delle cartelle Entra pagina. Fare clic su Avanti
  10. Quando il volume di sistema condiviso pagina viene visualizzata, immettere il percorso del volume di sistema condiviso nella cartella Cartella casella. Fare clic su Avanti.
  11. Il DNS Registrazione diagnostica pagina, selezionare l’opzione appropriata. Fare clic su Avanti.
  12. Quando la procedura guidata visualizza la pagina Autorizzazioni, selezionare Autorizzazioni compatibili soltanto con Windows 2000 e Windows Server 2003 Sistemi Operativi opzione. Fare clic su Avanti.
  13. Sulla modalità ripristino servizi directory amministratore pagina Password, immettere la password. Fare clic su Avanti
  14. L’Installazione guidata di Active Directory ora visualizza la pagina Riepilogo. Tutte le opzioni di configurazione che è stata selezionata come la navigazione attraverso le pagine della procedura guidata sono riassunte in questa pagina. Fare clic su Avanti per proseguire con l’installazione.
  15. Quando il completamento L’Installazione guidata di Active Directory viene visualizzata la pagina, fare clic su Fine, quindi Riavvia.
  16. Quando il server è ora presente un controller di dominio viene visualizzata la pagina, fare clic su Fine pure.

L’Active Directory Domini e trust di console

L’Active Directory Domini e trust di console è utilizzato per gestire i domini e di relazioni di trust tra domini e foreste, cambiare la modalità di dominio e impostare il nome utente principale (UPN) suffissi per la foresta. Con l’installazione di Windows 2003 Server, Active Directory Domini e trust di console di default è aggiunto al menu Start. Il snap-in MMC di file, Domain.msc, può essere utilizzato per avviare Active Directory Domini e trust dalla finestra di dialogo Esegui. È inoltre possibile avviare la console da Strumenti di amministrazione. I compiti amministrativi attivato da Active Directory Domini e trust può essere letta dal menu Azione visualizzato selezionando un nome di dominio o l’oggetto principale. È inoltre possibile eseguire i compiti di gestione sulla finestra di dialogo Proprietà di un dominio.

I compiti amministrativi che è possibile utilizzare Active Directory Domini e trust di snap-in MMC sono riassunte qui di seguito:

  • Visualizza una console che elenca tutti i domini in una foresta
  • Cambia la modalità di dominio da Windows 2000 in modalità mista alla modalità nativa di Windows 2000 o Windows Server 2003 a livello funzionale. Il dominio in modalità ora noto come il livello funzionalità di dominio.
  • Configurare l’interoperabilità con altri domini in Windows Server 2003, le foreste e pre-Microsoft Windows 2000 domini precisando attraverso relazioni di trust tra i domini.
  • Trasferire la denominazione dei domini del ruolo di master operazioni da un controller di dominio a un altro controller di dominio.
  • Aggiungere, eliminare e modificare il nome utente principale (UPN) suffissi.

Livelli di funzionalità di dominio ti consentono di attivare funzioni di Active Directory e la funzionalità nel settore forestale e per la rete. Windows Server 2003 aggiunge ulteriori funzionalità basate sulla modalità della foresta. Quando un nuovo dominio è stato creato in una nuova foresta, il livello di funzionalità per il dominio è Windows 2000 in modalità mista, e il livello di funzionalità per il nuovo foresta è la modalità di Windows 2000. Quando si esegue l’aggiornamento del controller di dominio in una foresta, è possibile migliorare il livello di funzionalità per supportare ulteriori funzionalità di Active Directory e funzionalità.

Le seguenti funzionalità di dominio esistono livelli:

  • Windows 2000 misto a livello funzionalità di dominio è supportato da Windows NT 4, Windows 2000 e Windows Server 2003 i controller di dominio.
  • Windows 2000 nativo a livello funzionalità di dominio è supportato da Windows 2000 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 interim livello funzionalità di dominio è supportato da Windows NT 4 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 a livello funzionalità di dominio è supportato da Windows Server 2003 i controller di dominio.

Le seguenti funzionalità foresta esistono livelli:

  • Funzionalità di Windows 2000 è supportato da Windows NT 4, Windows 2000 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 interim foresta funzionalità è supportato da Windows NT 4 e Windows Server 2003 i controller di dominio.
  • Windows Server 2003 a livello funzionalità è supportato da Windows Server 2003 i controller di dominio.

È possibile utilizzare Active Directory Domini e trust di console per creare i seguenti tipi di trust tra domini e foreste:

  • Albero-radice la fiducia
  • Genitore-figlio fiducia
  • Scorciatoia fiducia
  • Forest fiducia
  • Realm fiducia
  • Esterne fiducia

Come cambiare il livello funzionalità di dominio utilizzando Active Directory Domini e trust

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Procedere alla clic con il pulsante destro del dominio che si desidera aggiornare e fare clic su Aumenta livello funzionalità di dominio dal menu di scelta rapida.
  3. Quando il Alza livello funzionalità di dominio si apre la finestra di dialogo, utilizzare il Selezionare un livello funzionalità dominio disponibile elenco a discesa per scegliere il livello funzionalità di dominio che si desidera utilizzare. L’elenco a discesa visualizza solo i livelli che possono essere specificate per il particolare dominio.
  4. Fare clic sul pulsante Alza
  5. Quando il livello funzionalità di dominio Alza messaggio viene visualizzato, fare clic su OK.

Come cambiare il livello funzionalità della foresta utilizzando Active Directory Domini e trust

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Procedere alla clic con il pulsante destro del dominio che si desidera aggiornare e fare clic su Aumenta livello funzionalità dal menu di scelta rapida.
  3. Quando la Foresta Alza il livello funzionale si apre la finestra di dialogo, utilizzare il Selezionare un livello funzionalità disponibili elenco a discesa per scegliere il livello di funzionalità delle foreste che si desidera utilizzare. L’elenco a discesa visualizza solo i livelli che possono essere specificate per il bosco.
  4. Fare clic sul pulsante Alza
  5. Quando la Foresta Alza il livello funzionale messaggio viene visualizzato, fare clic su OK

Come aggiungere o rimuovere i suffissi UPN

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Fai clic destro di Active Directory Domini e trust di nodo e selezionare Proprietà dal menu di scelta rapida.
  3. Quando Active Directory Domini e trust di finestra di dialogo, fare clic sulla scheda Suffissi UPN.
  4. Se si desidera aggiungere un suffisso UPN, utilizzare la casella di alternative Suffissi UPN per inserire un suffisso UPN alternativo. Fare clic su Aggiungi
  5. Se si desidera rimuovere un suffisso UPN, utilizzare il alternative Suffissi UPN casella per indicare il suffisso UPN che dovrebbero essere rimossi. Fare clic sul pulsante Rimuovi.
  6. Fare clic su Sì per verificare la tua configurazione e quindi fare clic su OK.

Come configurare diversi tipi di trust tra domini e foreste utilizzando Active Directory Domini e trust

Utilizzare la procedura descritta di seguito per creare il collegamento tra i due domini di fiducia in una foresta:

  1. Fare clic sul pulsante Start, Strumenti di amministrazione e quindi selezionare Active Directory Domini e trust.
  2. Fare clic col tasto destro del nodo di dominio per il dominio che si desidera configurare collegamento fiducia per l’utilizzo della console e selezionare Proprietà dal menu di scelta rapida.
  3. Quando la finestra di dialogo Proprietà, fare clic sulla scheda Trust.
  4. Questa è la scheda utilizzata per creare nuove relazioni di trust tra domini
  5. Fare clic su Nuovo per avviare la Trust Nuovo Trust guidata.
  6. Fare clic su Avanti nella Welcome To The New Trust guidata pagina.
  7. Quando la pagina viene visualizzata Nome Trust, nella casella Nome, immettere il nome del dominio che si desidera utilizzare per creare la fiducia. Fare clic su Avanti
  8. Selezionare una delle seguenti opzioni sulla direzione della Trust pagina:
    • Two-Way
    • One-Way: in arrivo
    • One-Way: in uscita
  9. Fare clic su Avanti, quando i lati del trust pagina visualizzata, scegliere tra le seguenti opzioni:
    • Questo dominio solo per il rapporto di fiducia per essere creato nel dominio locale.
    • Entrambi Questo dominio e il dominio specificato per il rapporto di fiducia devono essere creati in entrambi i domini
  10. Fare clic su Avanti. La procedura guidata utilizza ora le opzioni che hai selezionato in questa fase e il passaggio precedente per visualizzare le pagine del caso.
  11. Il livello di autenticazione di trust in uscita viene visualizzata la pagina se avete precedentemente selezionato i seguenti: a due vie o One-Way: in uscita e questo dominio è.
    • È ora possibile selezionare l’opzione di autenticazione a livello di dominio o l’autenticazione selettiva per specificare l’autenticazione degli utenti. Fare clic su Avanti.
  12. Il Trust Password viene visualizzata la pagina, se in precedenza hai selezionato i seguenti: Uno-Way: in arrivo e questo dominio è stato
    • Devi inserire una password nella casella Password e Trust Conferma Fiducia casella Password. Fare clic su Avanti.
  13. Nome utente e password viene visualizzata la pagina, se in precedenza hai selezionato sia il dominio e il dominio specificato.
    • “È necessario immettere un nome utente e la password di un account che dispone di privilegi amministrativi nel dominio il nome utente e la password box. Fare clic su Avanti
  14. La procedura guidata visualizza la pagina completa Trust selezioni. Questa pagina contiene un elenco di tutte le opzioni di configurazione che hai specificato. Fare clic su Avanti
  15. Quando il trust Creazione completa pagina visualizzata, fare clic su Avanti
  16. Quando la posta in uscita Conferma Fiducia pagina visualizzata, scegliere tra le seguenti opzioni:
  17. Si, conferma il trust in uscita
  18. No, non confermare la fiducia in uscita
  19. Fare clic su Avanti
  20. Quando l’arrivo Conferma Fiducia pagina visualizzata, scegliere tra le seguenti opzioni:
    • Sì, conferma il trust in ingresso
    • No, non conferma il trust in ingresso
  21. Fare clic su Nexti
  22. Quando il completamento del Nuovo Trust guidata viene visualizzata la pagina, fare clic su Fine.

L’Active Directory Siti e servizi di Console

Quando avete bisogno di creare ed eseguire compiti amministrativi sui siti, si usa di Active Directory Siti e servizi di console. Poiché utilizza i siti di Active Directory durante l’autenticazione e la replica, la gestione dei siti in Active Directory è importante e può essere molto complicato. Attraverso l’uso di Active Directory Siti e servizi, è possibile controllare il modo in cui viene replicata una directory all’interno di un sito e tra i siti. Active Directory Siti e servizi ti consentono di configurare le connessioni tra i vari siti, e quindi specificare le modalità di replica dovrebbe verificarsi. Quando si apre di Active Directory Siti e servizi della console, si sono presentati con i contenitori che possono essere utilizzati per creare nuovi siti, e per gestire i siti nel vostro ambiente di rete.

Il primo sito oggetto, Default-First-Site-Name, viene creato quando si installa il primo controller di dominio nella rete. Questo sito è collegato con il server che è stato promosso a controller di dominio. Si consiglia di rinominare il sito oggetto di un nome che ha qualche significato nella vostra organizzazione.

L’Inter-Site Transports contenitore sito contiene link. Puoi utilizzare questo contenitore di creare collegamenti tra i siti. Quando si crea una connessione sotto il contenitore IP, la connessione potrebbe utilizzare il protocollo di trasporto IP. Allo stesso modo, quando si crea un link sotto il contenitore SMTP, tali legami utilizzare il Simple Mail Transfer Protocol (SMTP) e non PI.

La subnet contenitore contiene informazioni sulla subnet nella rete. Puoi utilizzare questo contenitore per raggruppare diverse sottoreti a forma di un sito.

Come rinominare il primo sito oggetto di Active Directory utilizzando Siti e servizi

  1. Aperto di Active Directory Siti e servizi
  2. Fai clic destro Default-First-Site-Name, quindi selezionare Rinomina dal menu di scelta rapida.
  3. Procedere per impostare un nome significativo per il sito.

Come creare un nuovo sito oggetto di Active Directory utilizzando Siti e servizi

  1. Aperto di Active Directory Siti e servizi
  2. Fai clic destro sulla Siti, quindi fare clic su Nuovo sito dal menu di scelta rapida.
  3. Il New Object – (sito), appare la finestra di dialogo successiva.
  4. Immettere un nome per il sito nella casella Nome.
  5. Inserire un sito di legame per il sito oggetto nella casella Nome Link.
  6. Fare clic su OK.

Come passare a un server di un nuovo sito di Active Directory utilizzando Siti e servizi

  1. Aperto di Active Directory Siti e servizi
  2. Espandere il nodo Siti nella struttura della console, e fare clic sul sito che contiene il server che si desidera spostare.
  3. Fai clic destro sul server, quindi scegliere Sposta dal menu di scelta rapida.
  4. Quando il server Spostare finestre appare, specificare un nuovo sito per il server.
  5. Fare clic su OK

L’utente di Active Directory e Computer Console

Puoi utilizzare Active Directory Utenti e computer per visualizzare e gestire account utente, gruppi, account computer, unità organizzative, e molti altri oggetti di Active Directory. Attraverso di Active Directory Utenti e computer di console, è possibile visualizzare, creare, impostare le autorizzazioni, modificare, cancellare e spostare gli oggetti memorizzati in Active Directory. Dopo aver creato un controller di dominio, i contenitori che vengono creati per impostazione predefinita sono riassunte qui di seguito. È possibile tuttavia creare ulteriori contenitori.

  • Builtin contenitore: in Windows Server 2003, il contenitore che memorizza i gruppi di Windows Server 2003 creato. Questi gruppi possono essere utilizzati per gestire l’accesso per gli utenti che sono autorizzati a svolgere funzioni specifiche.
  • Contenitore Computer: computer oggetti sono conservati in questo contenitore. Conti che utilizzano applicazioni di accedere a Active Directory vengono memorizzate anche nel contenitore Computer.
  • Domain Controller contenitore: Oggetti che significano i controller di dominio all’interno del dominio sono memorizzate nel controller di dominio contenitore.
  • Utenti contenitore: Gli account utente e gruppi si trovano nel contenitore Utenti.

Quando sono attivate le funzioni avanzate; ulteriori contenitori vengono mostrati insieme al contenitori appena citato:

  • LostAndFound contenitore: Oggetti cui i contenitori sono stati eliminati o spostati in un luogo che non potevano essere trovati, sono memorizzati in questo contenitore.
  • Sistema di contenitori: Questo contenitore memorizza le impostazioni di sistema per i contenitori di Active Directory e oggetti.

Come aggiungere un nuovo account utente di dominio utilizzando Active Directory Utenti e computer

  1. Aperto di Active Directory Utenti e computer.
  2. Fai clic sul dominio, fare clic con il quale la UO di account utente di dominio deve essere conservato, e selezionare Nuovo, quindi l’utente dal menu di scelta rapida.
  3. Quando il New Object-utente visualizzata la finestra di dialogo, immettere le informazioni appropriate nelle seguenti caselle:
    • Nome: Inserire il nome del primo utente.
    • Iniziali: Immettere le iniziali degli utenti
    • Cognome: Inserire il cognome dell ‘utente
    • Nome e Cognome: Questa informazione è automaticamente utilizzando le informazioni immesse nella prima tre caselle. Nome e cognome è il nome che sarà visualizzato nella OU che memorizza l’account utente.
    • Accesso Nome utente: Immettere il nome unico di accesso degli utenti.
    • Nome accesso utente (precedente a Windows 2000): Questa informazione viene automaticamente popolata.
  4. Fare clic su Avanti
  5. Nella seconda New Object-User finestra di dialogo che viene visualizzata, è necessario immettere la password impostazioni per il nuovo account utente di dominio.
    • Password: Inserisci la password che sarà utilizzata per autenticare l’utente.
    • Conferma Password: Re-inserisci la password.
  6. È anche possibile attivare le seguenti caselle di controllo per il nuovo account utente
    • L’utente deve cambiare la password all’accesso successivo: Quando è abilitato, l’utente deve cambiare la password quando egli accede prossimo.
    • Utente Impossibile cambiare la password: Questa opzione è solitamente attivata per l’account Guest.
    • Nessuna scadenza password: Questa opzione è attivata per gli account di Windows utilizzato da programmi o servizi.
    • Account viene disattivato: Se attivato, l’account utente non può più essere utilizzata.
  7. Fare clic su Avanti
  8. Verificare che il nome utente e il nome di accesso dettagli per il nuovo account utente siano corrette.
  9. Fare clic su Fine.

Come modificare un account utente di dominio ‘utilizzando le proprietà di Active Directory Utenti e computer

  1. Aperto di Active Directory Utenti e computer.
  2. Fai clic sul dominio e quindi selezionare l’unità organizzativa che contiene l’account utente di dominio.
  3. Individuare e fare clic con account utente di dominio che si desidera modificare le impostazioni di proprietà, e scegliere Proprietà dal menu di scelta rapida.
  4. Fare clic sulla scheda che contiene le impostazioni che si desidera modificare.
  5. Dopo aver modificato le impostazioni necessarie, fare clic su OK

La Schema di Active Directory snap-in

Lo schema di Active Directory, definisce i tipi di oggetti che possono essere memorizzati nel database. Essa definisce anche gli attributi di tali oggetti. Per visualizzare e modificare lo schema, è necessario utilizzare la Schema di Active Directory snap-in. La Schema di Active Directory snap-in non è visualizzato per impostazione predefinita il menu Strumenti di amministrazione. Per questo motivo, si dovrebbe installare lo snap-in e quindi creare un MMC per come bene.

Come installare la Schema di Active Directory snap-in e per creare un MMC è

  1. Fare clic sul pulsante Start, quindi fare clic su Prompt dei comandi
  2. Inserisci regsvr32 schmmgmt.dll.
  3. Fare clic sul pulsante Start, quindi Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
  4. Selezionare Aggiungi / Rimuovi snap-in dal menu File
  5. Aggiungi / Rimuovi snap-in finestra di dialogo viene visualizzato accanto.
  6. Fare clic sulla scheda. Fare clic su Aggiungi
  7. Il Aggiungi snap-in finestra di dialogo in cui si aggiunge di Active Directory snap-in. Fare doppio clic su Schema di Active Directory. Fare clic sul pulsante Chiudi
  8. Fare clic su OK nella Aggiungi / Rimuovi snap-in finestra di dialogo
  9. Fare clic su Salva dal menu File.
  10. Quando la finestra di dialogo Salva con nome viene visualizzato, verificare che la scatola contiene Salva in Strumenti di amministrazione.
  11. Nella casella Nome file, immettere Schema di Active Directory. Fare clic su Salva.
  12. La Schema di Active Directory snap-in ora essere visualizzati sul menu Strumenti di amministrazione.

Come creare un nuovo oggetto utilizzando l’attributo Schema di Active Directory snap-in

  1. Aprire la Schema di Active Directory
  2. Nella struttura della console, fare clic con gli attributi, quindi selezionare Crea attributo dal menu di scelta rapida.
  3. Quando l’attributo Crea nuova finestra di dialogo, nella sezione di identificazione della scatola, è necessario immettere il nome per il nuovo attributo oggetto.
  4. Nel comune casella Nome immettere il nome che verrà utilizzato quando l’attributo appare nelle finestre di dialogo.
  5. Nella casella Nome visualizzato LDAP, immettere il nome per l’oggetto associato con la directory LDAP.
  6. In Unico X.500 Object ID casella, immettere un ID univoco che identifica l’attributo oggetto in X.500 nomi.
  7. Nella casella Descrizione, inserire la descrizione di un oggetto.
  8. Usando la sintassi e la gamma della sezione Crea nuovo attributo finestra di dialogo, specificare il tipo di dati possono essere archiviati in particolare attributo.
  9. Fare clic su OK per creare l’attributo oggetto.

L’Active Directory Strumenti di supporto di Windows

Molti di Active Directory specifici strumenti di supporto si trovano in Strumenti di supporto di Windows toolkit. È possibile utilizzare questi strumenti per configurare, gestire e risolvere i problemi di Active Directory. Strumenti di supporto di Windows può essere trovato sul CD di Windows Server 2003 nella cartella Strumenti. Prima di poter utilizzare questi strumenti, è necessario installarlo dal CD di Windows Server 2003. L’Active Directory specifici strumenti di supporto sono riassunti nella sezione seguente:

  • Acldiag.exe: Usato per determinare se un utente è stato concesso l’accesso o negato l’accesso a un oggetto in Active Directory.
  • Adsiedit.msc: Utilizzato per aggiungere, cancellare e spostare gli oggetti, e di modificare o eliminare gli attributi oggetto.
  • Dcdiag.exe: Usato per determinare lo stato del controller di dominio nella foresta / impresa.
  • Dfsutil.exe: Usato per gestire il Distributed File System (DFS) e per visualizzare le informazioni DFS.
  • Dsacls.exe: Utilizzato per gestire le ACL per oggetti di Active Directory.
  • Dsastat.exe: Per comparare i contesti dei nomi sul controller di dominio.
  • Ldifde: Serve per creare, eliminare e modificare gli oggetti su computer che eseguono Windows XP Professional e Windows Server 2003.
  • Ldp.exe: Utilizzato per effettuare Lightweight Directory Access Protocol (LDAP) funzioni di Active Directory.
  • Movetree.exe: Usato per spostare gli oggetti da un dominio a un altro dominio.
  • Netdom.exe: Può essere usato per gestire i domini e di relazioni di trust.
  • Nltest.exe: Può essere usato per visualizzare le informazioni sul controller di dominio primario, i trust e la replica.
  • Repadmin.exe: Usato per controllare, diagnosticare e gestire i problemi di replica.
  • Replmon.exe: Usato per monitorare e gestire la replica attraverso una interfaccia utente grafica (GUI).
  • Sdcheck.exe: Visualizza il descrittore di protezione per oggetti di Active Directory, e può essere utilizzato per controllare la propagazione ACL, la replica e se le ACL vengono ereditate correttamente.
  • Setspn.exe: Usato per visualizzare, modificare o cancellare i nomi principale del servizio (SPN) directory di proprietà di un servizio per conto di Active Directory.
  • Sidwalker.exe: Usato per configurare le ACL su oggetti che appartenevano a entrambi i conti spostati o cancellati.

Active Directory strumenti da riga di comando

È inoltre possibile utilizzare una serie di strumenti da riga di comando per la gestione di Active Directory. Windows Server 2003 ha introdotto una serie di DS strumenti da riga di comando che può essere utilizzato per amministrare Active Directory. La strumenti da riga di comando disponibili per la gestione di Active Directory funzioni sono riassunte qui di seguito:

  • Cacls: Usato per visualizzare e modificare i permessi utente e di gruppo di risorse. Attraverso cacls, è possibile modificare le liste di controllo di accesso discrezionale (DACL) per i file.

La sintassi per cacls è: cacls nomefile. Gli interruttori per il comando sono:

    • / t, modifica il DACL per i file nella directory e sottodirectory
    • / e, il DACL modifiche.
    • / r nome utente, la revoca dei diritti degli utenti
    • / c, gli errori che si sono verificati quando si cambia il DACL viene ignorato.
    • / g utente: autorizzazione, concede diritti (f – Controllo completo, r – Leggi, w – Scrivere, c – Cambia, n-Nessuno) ad un utente.
    • / P utente: autorizzazione, sostituisce i diritti di un utente.
    • / d nome utente, nega l’accesso ad un particolare utente
  • Cmdkey: Usato per visualizzare, creare, modificare e cancellare i nomi utente, password e credenziali. A pochi passa per il comando sono elencate di seguito:
    • / add: targetname, aggiunge un nome utente / password per l’elenco. Indica il dominio / computer per l’entrata.
    • / user: nome utente, il nome utente che l’entrata è legato al.
    • / generici, aggiunge generico credenziali
    • / smart card, le credenziali sono ottenuti da una smart card
    • / pass: la password, la password deve essere conservato per l’entrata.
  • Csvde: Si tratta di uno strumento utilizzato per l’importazione e l’esportazione dei dati da Active Directory.
  • Dcgpofix: Usato per tornare oggetti Criteri di gruppo per il loro stato originale, che è lo Stato che, quando erano in prima installato.
  • Dsget: Usato per visualizzare le proprietà di un oggetto in Active Directory. I comandi che possono essere utilizzati sono:
    • dsget utente, per visualizzare le proprietà di un utente
    • dsget gruppo, per visualizzare le proprietà di un gruppo
    • dsget computer, per visualizzare le proprietà di un computer
    • dsget sito, per visualizzare le proprietà di un sito
    • dsget sottorete, per visualizzare le proprietà di una sottorete
    • dsget o, per visualizzare una unità organizzativa della proprietà
    • dsget contatto, per visualizzare le proprietà di un contatto
    • dsget server per visualizzare un controller di dominio della proprietà
    • dsget partizione, per visualizzare una directory della partizione di proprietà
    • dsget quota, to view a quota’s properties
  • Dsadd: Used to create objects in Active Directory including users, groups, computers, OUs, contacts and quota specifications. The commands that can be utilized are:
    • dsadd user, used to add a user
    • dsadd group, used to add a group
    • dsadd computer, used to add a computer
    • dsadd ou, used to add an OU.
    • dsadd contact, used to add a contact
    • dsadd quota, used to add a quota specification
  • Dsmod: Used to modify the attributes of an existing object in Active Directory. The commands that can be utilized are:
    • dsmod user, used to modify a user’s attributes
    • dsmod group, used to modify a group’s attributes
    • dsmod computer, used to modify a computer’s properties
    • dsmod ou, used to modify an organizational unit’s attributes
    • dsmod contact, used to modify a contact
    • dsmod server, used to modify a domain controller’s properties
    • dsmod partition, used to modify a directory partition
    • dsmod quota, used to modify a quota’s properties
  • Dsmove: Used to move an Active Directory object to a new container within the domain.
  • Dsrm: Used to remove an Active Directory object or container.
  • Dsquery: Used to locate or find object(s) that match the defined search criteria.
  • Ldifde: Used to create, delete and modify objects from the Active Directory directory, to import or export user/group information, and to extend the Active Directory schema.
  • Ntdsutil: Used to manage domains, information in the Active Directory directory and log files. You can also use Ntdsutil when needing to do an authoritative restore of Active Directory. The tool is also used to manage SIDs and the master operation roles.
  • Whoami: Used to view information on the user that is currently logged on.

Share

Microsoft