===== AD.Общее =====

=== Сетевые порты, необходимые для работы Active Directory ===

<code>
TCP 139 (NetBIOS Session Service) репликация между КД в обе стороны
UDP 138 (NetBIOS Datagram) - репликация между КД в обе стороны
UDP 137 (NetBIOS Name Resolution) - входящий на КД
TCP 445 (SMB) - входящий на КД
TCP 464 (Kerberos password change) - входящий на КД
TCP/UDP 88 (Kerberos) - входящий на КД
TCP/UDP 135 (RPC) - в обе стороны
TCP/UDP Dynamic (RPC) (49152-65535) - обязательно в обе стороны
TCP/UDP 389 (LDAP) - входящий на КД
TCP/UDP 636 (LDAPS) - входящий на КД
TCP 3268 (Global Catalog LDAP) - входящий на КД
TCP 3269 (Global Catalog LDAP SSL) - входящий на КД
TCP/UDP 53 (DNS Query) - входящий на КД
TCP/UDP 123 (NTP) - входящий на КД
</code>

----

**Узнать кто имеет роль FSMO:**
   dsquery server -hasfsmo pdc

----
=== Операции с компьютерами в домене ===

**Сбросить машинный аккаунт и переввести компьютер в домен**

Чтобы просто сбросить аккаунт компьютера - достаточно выполнить:

   Reset-ComputerMachinePassword   
Если надо переввести компьютер в домен, то можно удалить аккаунт из AD и выполнить:
   Reset-ComputerMachinePassword -Credential domain\user   
:!: //Если аккаунта компьютера нет - его можно создать, а затем выполнить команду выше. Тогда компьютер будет ассоциирован с ним и введен в домен.//

** Проверить доверие комьютера с доменом **

Данный командлет попробует установить секьюрный канал и напишет true или false в качестве результата.

   Test-ComputerSecureChannel -verbose

** Переименовать компьютер в домене **
   Rename-Computer -ComputerName COMPUTER-NAME -NewName NEW-COMPUTER-NAME -DomainCredential office\admin   
** Вывести компьютер из домена **\\
   Remove-Computer -UnJoinDomaincredential arasaka.local\jp -PassThru -Verbose -Restart\\
** Ввести компьютер в домен **
   Add-Computer -DomainName arasaka.local -Passthru -Verbose -Restart   

----
=== Управление логами LDAP ===

За логгирование запросов LDAP отвечает следующий параметр реестра:

   Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering
Значение параметра может варьироваться от ''0'' до ''5'', что прямо определяет подробность лога. Выставлять полный уровень логгирования лучше на какой-то период дебага, а потом отключать. Для работы параметра __не требуется перезагрузка__.

Также, чтобы логгирование заработало - нужно выставить два параметра в ветке:
<code>
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
DWORD 32 bit: Expensive Search Results Threshold (1)
DWORD 32 bit: Inefficient Search Results Threshold (1)
</code>

Сами логи можно просматривать в разделе ''Directory Service'', как показано на скриншоте. 

{{ ::ad_ldap_log_evenmgr.jpg?direct&400 |}}

----
=== Узнать принадлежность юзера к группе ===

   Get-ADPrincipalGroupMembership user_name | select name

----
=== Список авторизованных DHCP серверов ===
Запускать данный командлет необходимо на контроллерах домена.
   Get-DhcpServerInDC

----
=== Узнать NETBIOS имя домена ===

   (Get-ADDomain).NetBIOSName
{{tag>ActiveDirectory Microsoft PowerShell Networking}}