AD.Общее
Сетевые порты, необходимые для работы Active Directory
TCP 139 (NetBIOS Session Service) репликация между КД в обе стороны UDP 138 (NetBIOS Datagram) - репликация между КД в обе стороны UDP 137 (NetBIOS Name Resolution) - входящий на КД TCP 445 (SMB) - входящий на КД TCP 464 (Kerberos password change) - входящий на КД TCP/UDP 88 (Kerberos) - входящий на КД TCP/UDP 135 (RPC) - в обе стороны TCP/UDP Dynamic (RPC) (49152-65535) - обязательно в обе стороны TCP/UDP 389 (LDAP) - входящий на КД TCP/UDP 636 (LDAPS) - входящий на КД TCP 3268 (Global Catalog LDAP) - входящий на КД TCP 3269 (Global Catalog LDAP SSL) - входящий на КД TCP/UDP 53 (DNS Query) - входящий на КД TCP/UDP 123 (NTP) - входящий на КД
Узнать кто имеет роль FSMO:
dsquery server -hasfsmo pdc
Операции с компьютерами в домене
Сбросить машинный аккаунт и переввести компьютер в домен
Чтобы просто сбросить аккаунт компьютера - достаточно выполнить:
Reset-ComputerMachinePassword
Если надо переввести компьютер в домен, то можно удалить аккаунт из AD и выполнить:
Reset-ComputerMachinePassword -Credential domain\user
Если аккаунта компьютера нет - его можно создать, а затем выполнить команду выше. Тогда компьютер будет ассоциирован с ним и введен в домен.
Проверить доверие комьютера с доменом
Данный командлет попробует установить секьюрный канал и напишет true или false в качестве результата.
Test-ComputerSecureChannel -verbose
Переименовать компьютер в домене
Rename-Computer -ComputerName COMPUTER-NAME -NewName NEW-COMPUTER-NAME -DomainCredential office\admin
Вывести компьютер из домена
Remove-Computer -UnJoinDomaincredential arasaka.local\jp -PassThru -Verbose -Restart\\
Ввести компьютер в домен
Add-Computer -DomainName arasaka.local -Passthru -Verbose -Restart
Управление логами LDAP
За логгирование запросов LDAP отвечает следующий параметр реестра:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering
Значение параметра может варьироваться от 0 до 5, что прямо определяет подробность лога. Выставлять полный уровень логгирования лучше на какой-то период дебага, а потом отключать. Для работы параметра не требуется перезагрузка.
Также, чтобы логгирование заработало - нужно выставить два параметра в ветке:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters DWORD 32 bit: Expensive Search Results Threshold (1) DWORD 32 bit: Inefficient Search Results Threshold (1)
Сами логи можно просматривать в разделе Directory Service, как показано на скриншоте.
Узнать принадлежность юзера к группе
Get-ADPrincipalGroupMembership user_name | select name
Список авторизованных DHCP серверов
Запускать данный командлет необходимо на контроллерах домена.
Get-DhcpServerInDC
Узнать NETBIOS имя домена
(Get-ADDomain).NetBIOSName