Differences

This shows you the differences between two versions of the page.

--- ad.общее [2024/06/26 13:39] – created jp
+++ ad.общее [2025/03/18 13:12] (current) – jp
@@ Line 1: / Line 1: @@
 ===== AD.Общее =====
+=== Сетевые порты, необходимые для работы Active Directory ===
+<code>
+TCP 139 (NetBIOS Session Service) репликация между КД в обе стороны
+UDP 138 (NetBIOS Datagram) - репликация между КД в обе стороны
+UDP 137 (NetBIOS Name Resolution) - входящий на КД
+TCP 445 (SMB) - входящий на КД
+TCP 464 (Kerberos password change) - входящий на КД
+TCP/UDP 88 (Kerberos) - входящий на КД
+TCP/UDP 135 (RPC) - в обе стороны
+TCP/UDP Dynamic (RPC) (49152-65535) - обязательно в обе стороны
+TCP/UDP 389 (LDAP) - входящий на КД
+TCP/UDP 636 (LDAPS) - входящий на КД
+TCP 3268 (Global Catalog LDAP) - входящий на КД
+TCP 3269 (Global Catalog LDAP SSL) - входящий на КД
+TCP/UDP 53 (DNS Query) - входящий на КД
+TCP/UDP 123 (NTP) - входящий на КД
+</code>
+----
+**Узнать кто имеет роль FSMO:**
+   dsquery server -hasfsmo pdc
+----
+=== Операции с компьютерами в домене ===
+**Сбросить машинный аккаунт и переввести компьютер в домен**
+Чтобы просто сбросить аккаунт компьютера - достаточно выполнить:
+   Reset-ComputerMachinePassword
+Если надо переввести компьютер в домен, то можно удалить аккаунт из AD и выполнить:
+   Reset-ComputerMachinePassword -Credential domain\user
+:!: //Если аккаунта компьютера нет - его можно создать, а затем выполнить команду выше. Тогда компьютер будет ассоциирован с ним и введен в домен.//
+** Проверить доверие комьютера с доменом **
+Данный командлет попробует установить секьюрный канал и напишет true или false в качестве результата.
+   Test-ComputerSecureChannel -verbose
+** Переименовать компьютер в домене **
+   Rename-Computer -ComputerName COMPUTER-NAME -NewName NEW-COMPUTER-NAME -DomainCredential office\admin
+** Вывести компьютер из домена **\\
+   Remove-Computer -UnJoinDomaincredential arasaka.local\jp -PassThru -Verbose -Restart\\
+** Ввести компьютер в домен **
+   Add-Computer -DomainName arasaka.local -Passthru -Verbose -Restart
+----
+=== Управление логами LDAP ===
+За логгирование запросов LDAP отвечает следующий параметр реестра:
+   Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering
+Значение параметра может варьироваться от ''0'' до ''5'', что прямо определяет подробность лога. Выставлять полный уровень логгирования лучше на какой-то период дебага, а потом отключать. Для работы параметра __не требуется перезагрузка__.
+Также, чтобы логгирование заработало - нужно выставить два параметра в ветке:
+<code>
+Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
+DWORD 32 bit: Expensive Search Results Threshold (1)
+DWORD 32 bit: Inefficient Search Results Threshold (1)
+</code>
+Сами логи можно просматривать в разделе ''Directory Service'', как показано на скриншоте.
+{{ ::ad_ldap_log_evenmgr.jpg?direct&400 |}}
+----
+=== Узнать принадлежность юзера к группе ===
+   Get-ADPrincipalGroupMembership user_name | select name
+----
+=== Список авторизованных DHCP серверов ===
+Запускать данный командлет необходимо на контроллерах домена.
+   Get-DhcpServerInDC
+----
+=== Узнать NETBIOS имя домена ===
+   (Get-ADDomain).NetBIOSName
+{{tag>ActiveDirectory Microsoft PowerShell Networking}}