TEC is one of the most advanced (400 level sessions are norm!) conferences you can find out there. This is probably the only event with so much technical information, amazing speakers (Microsoft product teams and real-world practitioners), and great audience (MVPs, chief IT architects, and so on.)

The topics range from Active Directory and Forefront Identity Manager (FIM) to Exchange and SharePoint technologies (follow the links to read the abstracts of the sessions which have been announced).

There will obviously be a fair bit of PowerShell on the way – e.g. Brandon Shell will be amazing everyone by totally scripting read-only domain controllers deployments.

TEC 2010 takes place April 25-28, 2010, at the brand new JW Marriott LA Live Hotel in the heart of Los Angeles. Learn more at www.theexpertsconference.com, register today and ask for the early bird discount!

На блоге Ильи Сазонова обнаружил очень интересный материал: WSUS – сверка списка компьютеров с AD. Да и вообще, там регулярно появляется любопытная информация.

Позволю себе перенести то, что он выложил к себе с некоторыми моими комментариями и модификациями.

Что это и зачем это нужно? В каждой уважающей себя организации используется Active Directory как единый каталог и WSUS для централизованной установки обновлений. Но, по разным причинам, некоторые компьютеры могут не обновляться со WSUS. Причины тому могут быть самые разные: сбой агента обновления, файрволл, еще что-то … Главное – это то, что такие случае нужно выявлять и разбираться с ними индивидуально.

Итак

Текущая версия WSUS имеет API, который позволяет удаленное управление сервером. Чтобы его задействовать, необходимо установить на компьютер клиентскую часть сервера. После чего запускаем оболочку Powershell 2.0 и загружаем WSUS API:

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")

   Теперь надо подключаемся к удаленному серверу по имени «WSUS»:

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("WSUS", $false)

   Второй параметр $false говорит о том, что будет использоваться HTTP протокол, а не HTTPS, т.е. не будет шифрования.

Скрипт Ильи работает, если у вас WSUS висит на стандартном порту. У меня же он висит на другом, нестандартном. Как поступить? А вот как (спасибо коллеге, нашел):

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("WSUS", $false,port_number)

Где port_number – номер нестандартного порта WSUS

   Теперь получаем список всех компьютеров зарегистрированных на WSUS-сервере:

$WSUScomps = $wsus.GetComputerTargets()

   Каждый элемент массива $WSUScomps это объект, а нам нужны только имена компьютеров. Получаем FQDN имена компьютеров:

$WSUSCompNames = $WSUScomps | ForEach { $_.FullDomainName.ToUpper() }

   Перевод имени в верхний регистр не критичен (по умолчанию Powershell выполняет сравнение строк без учета регистра), но формально все же это надо сделать.

   Следующий шаг – получение списка учетных записей компьютеров из Active Directory:

$ADcomps = (new-object System.DirectoryServices.DirectorySearcher([ADSI]LDAP://ou=DEPS,dc=DOMAIN,dc=com,"(&(objectCategory=computer)(!userAccountControl:1.2.840.113556.1.4.803:=2))")).findAll()

   Тут конструкция !userAccountControl:1.2.840.113556.1.4.803:=2 исключает запрещенные (disabled) учетные записи компьютеров. LDAP://ou=DEPS,dc=DOMAIN,dc=RU задает корень поиска в дереве AD. objectCategory=computer – выбираем только учетные записи компьютеров.

   Из объектов учетных записей компьютеров извлекаем имена компьютеров (также формально переводим их в верхний регистр):

$ADCompNames = $ADcomps | ForEach {$_.GetDirectoryEntry().dNSHostName.ToString().ToUpper()}

   И последний шаг – получаем имена компьютеров, которые есть в Active Directory, но отсутствуют в WSUS:

$NoWSUSCompNames = $ADCompNames | Where { $WSUSCompNames -notcontains $_ }

   Теперь нам остается проанализировать полученный список и разобраться почему выявленные компьютеры не получают обновления с WSUS.

Позже выложу те скрипты, с помощью которых мы “чиним” агентов WSUS на клиентских компьютерах и серверах.

Hello! I am a recruiter at CISCO. We have a number of great job opportunities at CISCO right now. Please take a look at the job links listed below and please send me an updated resume if you are interested.

Thanks in advance,

Brent Rogers

breroger@cisco.com

UI-UE-INTERACTION-DESIGN-JOBS

http://tiny.cc/UIUEINTERACTIONDESIGNJOBS

Summary

CISCO has a number of design jobs for professionals with expertise in user experience, user interface, usability and interaction design

C++ Senior Software Engineer R850944

http://tiny.cc/CplusplusSeniorSoftwareEngineerR850944

Summary

• Proficiency in C++

• Background in Linux or Unix product development

• Experience on RTF/HTML content conversion

• Previous work on email (related) products or similarly complex engineering projects is a plus.

C++ Senior Software Engineer R850174

http://tiny.cc/CplusplusSeniorSoftwareEngineerR850174

Summary

• Proficiency in C++

• Background in Linux or Unix product development.

• • Previous work on email (related) server products or similarly complex server-side software projects is highly desired.

• Work experience with TCP/IP protocol implementations and TCP capture-assisted debugging is highly desired

• Familiarity with one or more of the following is highly desired: LDAP, DCE/RPC, TCP-based authentication and authorization protocols, HTTP, ActiveSync, MAPI, MIME

Senior Software Engineer – Cloud Synchronization Tools R850940

http://tiny.cc/SeniorSoftwareEngineerCloudSynchronizationToolsR850940

Summary

• Proficiency in Java, C++

• Strong background in software development of E-mail systems

• Previous work on E-mail migration tools a definite plus

• Experience with email protocols, MAPI, RPC-HTTP

• Experience with Active Directory or LDAP

Professional Service Engineer R849430

http://tiny.cc/ProfessionalServiceEngineerR849430

Summary

- Work with various teams in rolling out Cisco WebEx Mail service to customers

- Be the Active Directory, Microsoft Exchange and mail expert in the team

- Identify KPIs (key performance indicators) of mail service and integrate into current set of monitoring tools and processes

- Be a point person for ongoing operations improvement

- He/she will be directly involved with the resolution of issues that arise in the data center

- Work with DCO to continually move new SaaS mail products into production

Senior QA Engineer-Server R850941

http://tiny.cc/SeniorQAEngineerServerR850941

Summary

• 3+ years hands-on experience as QA engineer

• Strong problem solving and analytical skills

• Previous experience with testing email systems is highly desirable

• Experience with designing and implementing test tools is a plus

• Experience working with Bugzilla and Subversion is a plus

Senior Network Engineer R848777

http://tiny.cc/SeniorNetworkEngineerR848777

Summary

*Experience (7+ years), no less than 5 years.
*Hands-on design, operation and support of large, high-availability, global enterprise networks.
*Troubleshooting complex networks and applications.
* Hand on work with hardware.
*protocols: IP routing protocols including BGP, EIGRP, OSPF, IP Multicast, MPLS. Heavy routing protocols
* TCP/IP fundamentals (packet level analysis)
* Network protocols including TCP, UDP, HTTP, FTP, DNS, Mail
* Network infrastructure including LAN, WAN, routing, switching, load-balancing.
* Primarily a tech support position 24X77 on call rotations as needed.
* Not looking for a developer.

Solutions Architect R849774

http://tiny.cc/SolutionsArchitectR849774

Summary

* solutions architect – bug management – built or architected a system wide tool – Java, high availability cluster, fault tolerance, SOA

Audio Quality Engineer R848779

http://tiny.cc/AudioQualityEngineerR848779

Summary

Under supervision to design, trouble shooting, provision, deploy, and support the voice collaboration solutions at WebEx and customer premises to solve churn and customer satisfaction problems that result from substandard voice quality.

Technical Leader II -PD Developer R850022 / R850023

http://tiny.cc/TechnicalLeaderIIPDDeveloperR850022R850023

Summary

1st Profile (ideal candidate)
* Unicast and/or multicast IP routing technologies
* Experience with Layer 3 protocols
* Experience with BGP, OSPF, EIGRP or any IP Routing. – (Enhanced Interior Gateway Routing Protocol, Open Shortest Path First, Border Gateway Protocol)
* Experience with one or more of the following: PIM, MLDP, MVPN or
generic multicast routing (Protocol-Independent Multicast, Mobile Data Link Protocol, Multicast Virtual Private Network)
* C and/ or C++
* Clearcase
* Operating Systems expertise
* Experience leading large software project
* Experience leading a development team

2nd Profile (will also consider)
* C and/ or C++
* Layer 2 protocols (VPLS, PPP, VPDN etc)(Virtual private LAN service, Point-to-Point Protocol, Virtual Private Dialup Network)
* DNS – Domain name System
* Platform development

Test Engineer R850019

http://tiny.cc/TestEngineerR850019

Summary

*8 to 10 yrs testing Layer 3 protocols
* Experience with BGP, OSPF, EIGRP or any IP Routing

Senior Technical Leader/Architect Engineering Tools R854771

http://tiny.cc/SeniorTechnicalLeaderArchitectEngineeringToolsR854771

Summary

Experience in developing web-based applications in an Enterprise environment, including back-end and UI development experience.
Experience with web-related technologies including UML, XML, Web Service Development and consumption, SOAP.

Programming: Java including Core Java, J2EE (JSP, Servlets, EJB), JMS/ Eclipse internal development/ Spring/ HTML and JavaScript/ Web Applications (Struts a plus), AJAX, Flex
* Web services, SOAP, UDDI/ XML, XSLT, Xquery, XPATH/ IBM WebShpere, Apache, JBoss/ Build, Makefile and other related technologies/ Compiler and debuggers language skills/ SCM: Clearcase, ACME, and others

Senior Manager Next Generation Engineering Tools R854772

http://tiny.cc/SeniorManagerNextGenerationEngineeringToolsR854772

Summary

* 8 to 12 years management
* Domain Knowledge & Good understanding of Web technologies & protocols (HTTP, SOAP, REST, MEST, TCP/IP) and Exposure to Web 2.0 (Pojo, AJAX, REST, MEST, SOAP Hybrid, Tuscany)
* Working experience with SOA architecture, design & architecture of Enterprise applications, Software architecture & design methodologies
* Experience with cutting edge technologies such as Java, JEE, open source, JBoss, SOA, web services, XMl, EJB, JPA, JMS, JAX

* IOS tool chain

Service Operations Engineer R848285

http://tiny.cc/ServiceOperationsEngineerR848285

Summary

• Administrator
• Operations support
• Oracle, Redhat, CCNA/CCNP certifications a plus
• Apache web servers, databases, SQL
• Bea Web Logic and Tomcat servers
• 24/7 support environment

DBA Manager R848382

http://tiny.cc/DBAManagerR848382

Summary

- DBA team management.

- DB infrastructure design and maintenance

- Vendor management

- Database and related technology evaluation and implementation.

Minimum Requirements:

- 7-10 years of work experience, including hands-on DBA experience in a production support environment

- 3-5 years of leadership experience

- Primary skill set: Oracle Database

- Experience with Unix/Linux, MySQL, SQL/PLSQL, EMC, Shareplex preferred.

System Engineer/Architect R848470

http://tiny.cc/SystemEngineerArchitectR848470

Summary

Strong 7-10 years experience in C++, Java, J2EE application, server development design, back end server design, TCP/IP network stack, and math background is preferred.

Gestern habe ich mit ExMerge gekämpft, um einzelne Postfächer aus einem Microsoft Exchange Server 2003 in PST-Dateien zu exportieren. Also habe ich die Konfiguration aufgesetzt, die exmerge.ini Datei ausgefüllt, eine mailboxes.txt Datei angelegt, etc. Also, alle Vorarbeiten getroffen, die durchzuführen waren.

Dann ging es an die Ausführung:

exmerge -b -d

-b startet ExMerge im Batch-Mode (ohne GUI) und -d zeigt während der Ausführung ein Fenster mit einem Fortschrittsbalken an.

Soweit die Theorie. In der Praxis funktionierte das nicht. Ich bekam im Logfile folgende Fehlermeldung:

Error! Server server.domain.local is not listed as an Exchange 2000
server in the Active Directory on server SERVER.
(CADRoutines::GetExchangeServerNameInfo)

Das Web gab hierzu nicht wirklich was her. Ich habe gesucht und gesucht. Und folgende Vorschläge überprüft:

• Receive As (Empfangen als) und Send As (Senden als) Erlaubnis für den ausführenden User auf dem Exchange Server (Administratoren haben bei diesen Punkten sowohl die Erlaubnis als auch die Verweigerung)
• ob Exchange-Dienste ausgeführt werden
• verschiedene Einstellungen in der exmerge.ini ausprobiert
• eine Gruppe und einen User angelegt (es sollte laut Foren eine Gruppe Exchange Services geben, die ich aber nicht finden konnte. Dieser Gruppe sollte der User zugeordnet werden. Angeblich weil ExMerge nicht mit dem Administrator Konto ausführbar sei – sobald aber die Einstellungen bzgl. Receive As und Send As geändert waren und der Informationsspeicher neu gestartet wurde, ist das aber kein Problem!)

Lösung

Zu diesem Fehler gab das Web leider nicht mehr her. Heute habe ich das Problem gelöst: Der Servername! Ich hatte den FQDN (Full Qualified Domain Name, Voll qualifizierter Domain-Name) angegeben. ExMerge nutzt zur Überprüfung aber LDAP, um das Active Directory abzufragen und erwartet hier den reinen Servernamen. In meinem Fall also nicht server.domain.local, sondern schlicht und einfach nur server. Im Active Directory findet er weder unter der IP etwas, noch unter localhost.

Danach lief alles wie gewünscht und problemlos.

Haben Sie Ähnliches erlebt mit ExMerge? Ich freue mich auf Ihre Kommentare.

By default, Windows 2000 allows authenticated users to join ten machine accounts to the domain – by granting "Add workstations to domain" privilege to the Authenticated Users group by default.

251335 Domain users cannot join workstation or server to a domain

This default was implemented to prevent misuse, but can be overridden by an administrator by making a change to an object in Active Directory.
Note that users in the Administrators or Domain Administrators groups, and those users who have delegated permissions on containers in Active Directory to create and delete computer accounts, are not restricted by this limitation.

The Default Limit of the Number of Computers an Authenticated User Can Join to a Domain can be overridden by using either of the following methods:

• Use the Ldp (Ldp.exe) tool included in the Microsoft Windows Resource Kit.
• Use an Active Directory Services Interface (ADSI) script to increase or decrease the value of the Active Directory ms-DS-MachineAccountQuota attribute. To do this:
  1. Install the Windows 2000 Support tools if they have not already been installed. To install these tools, run Setup.exe from the Support\Tools folder on the Windows 2000 Server or the Windows 2000 Professional CD-ROM.
  2. Run Adsiedit.msc as an administrator of the domain.
  3. Expand the Domain NC node. This node contains an object that begins with "DC=" and reflects the correct domain name. Right-click this object, and then click Properties.
  4. In the Select which properties to view box, click Both.
  5. In the Select a property to view box, click ms-DS-MachineAccountQuota.
  6. In the Edit Attribute box, type a number. This number represents the number of workstations that you want users to be able to maintain concurrently.
  7. Click Set, and then click OK.

A more secure method of joining computers to the domain is to pre-create the user’s computer account

1. From the Active Directory Users and Computers snap-in, right-click the container where the account resides.
2. Click New, and then click Computer.
3. In the Computer name box, type the name of the Windows 2000-based computer that you want to add to the domain.
   Make sure the computer’s name is also entered in the Computer name (pre-Windows 2000) box (this should occur automatically).
4. Click Change. Select the user or group that will be joining this computer to the domain, and then click OK.
5. If you want Windows NT 4.0 and previous operating systems to use this computer name object, click to select the Allow pre-Windows 2000 computers to use this account check box, and then click OK.

Method 2: Grant the "Create Computer Objects" and "Delete Computer Objects" Access Control Entries (ACEs) to the User

1. From the Active Directory Users and Computers snap-in, click Advanced Features on the View menu so that the Security tab is exposed when you click Properties.
2. Right-click the Computers container, and then click Properties.
3. On the Security tab, click Advanced.
4. On the Permissions tab, click Authenticated Users, and then click View/Edit.
   NOTE: If the Authenticated Users group is not listed, click Add and add it to the list of permission entries.
5. Make sure the This object and all child objects option is displayed in the Apply onto box.
6. From the Permissions box, click to select the Allow check box next to the Create

More Information:

The number of workstations currently owned by a user is calculated by looking at the ms-DS-CreatorSID attribute of machine accounts.

Source (KB243327, KB251335)

Applies To…

Up to version 1.3, we used to have one cmdlet for computer accounts (namely Get-QADComputer) – now we have 6:

• Get-QADComputer
• New-QADComputer
• Set-QADComputer
• Enable-QADComputer
• Disable-QADComputer
• Reset-QADComputer

You can kind of guess what they do by their names, but let’s quickly go through them one by one and give a few quick examples.

• Get-QADComputer

Retrieves AD computer account objects based on the criteria you specify. E.g. (anyone still running Vista? )

Get-QADComputer spb* -OSName 'Windows Vista*' | Format-Table Name, ManagedBy

• New-QADComputer

Creates new computer account in AD (does not join the actual computer though) and sets the attributes you specify:

New-QADComputer -Name 'LAB-SRV3' -SamAccountName 'LAB-SRV3' -ParentContainer 'CN=Computers,DC=lab,DC=local' -Location 'AMS/HQ/Building A'

• Set-QADComputer

Modifies AD computer account properties (can work in bulk when you pipe Get-QADComputer output into this one).

Set-QADComputer 'quest.local/computers/Comp4' -ManagedBy 'QUEST\DSotnikov'

or

Get-QADComputer spb* | Set-QADComputer -Location 'St. Petersburg'

• Enable-QADComputer
• Disable-QADComputer

Enable or disable one or multiple computer accounts:

Enable-QADComputer 'CN=LAB-SRV1,CN=Computers,DC=dom,DC=local'

or

Get-QADComputer -SearchRoot 'dom.local/labComputers' | Disable-QADComputer

• Reset-QADComputer

Reset a computer account in Active Directory. When resetting a computer account, you reset the secure channel between the computer that uses that account to join the domain and a domain controller in the domain.Resetting a computer account breaks that computer’s connection to the domain and requires it to rejoin the domain.

Reset-QADComputer 'CN=LAB-SRV1,CN=Computers,DC=dom,DC=local'

More information can be found in AD cmdlets online reference and PDF guide. Download the new AD cmdlets now and let us know what you think by posting to the AD PowerShell discussion forum!

Buenas.

Primero de todo comentaros que los filtros WMI son muy útiles en muchos casos. Para que tengáis una forma sencilla de realizar un filtro WMI y sin complicaros mucho os dejo este link de una herramienta que directamente os creará la select WMI que deberéis usar en otros programas por ejemplo desde las GPO de Active Directory.

El programa es WMI Code Creator: http://www.microsoft.com/downloads/details.aspx?FamilyID=2cc30a64-ea15-4661-8da4-55bbc145c30e&displaylang=en

Os enseño un poquillo como funciona. Arrancáis el programa:

Seleccionáis en el campo Classes la clase que queráis por ejemplo en este caso necesitaremos saber si el espacio disponible en disco es mayora a 2GB pues bien pulsamos sobre Win32_LogicalDisk

Ahora en Select the properties you want values for seleccionamos FreeSpace.

Pulsamos sobre Search for Property Values para comprobar algunas posibilidades de este filtro WMI.

Pulsamos sobre FreeSpace.

En la pantalla de la derecha Generated Code: Comprobamos que la consulta WMI que deberemos usar es: SELECT *FROM Win32_LogicalDisk WHERE FreeSpace = 200867135488”,,48)

Ahora ya tenemos una consulta WMI que podemos usar a nuestro antojo modificándola un poquito.

Como estábamos hablando de WSUS en artículos anteriores vamos a realizar en este caso un filtro WMI en Active Directory a través de la herramienta Group Policy Managment Console.

Arrancamos el Domain Controller por ejemplo si no disponemos de una consola de GPMC en nuestro equipo cliente y arrancamos la GPMC.

Pulsamos con el botón derecho del ratón sobre Filtros WMI como en la imágen anterior y pulsamos sobre Nuevo

Escribimos el nombre del filtro WMI y la Descripción y pulsamos sobre Agregar.

Escribimos la consulta que hemos conseguido antes gracias al programa WMI Code Creator y la modificamos para que el valor de FreeSpace se cumpla cuando sea mayor a 2147483648 (Bytes) que son los 2GB que hablábamos. Por si no queréis calcularlo a mano os dejo este link de transformación de bytes a kb,GB, etc.. http://www.wilkinsonpc.com.co/free/articulos/calculadorabytes.html.

SELECT *FROM Win32_LogicalDisk WHERE FreeSpace > 2147483648

Y pulsamos sobre Aceptar.

Pulsamos sobre Guardar.

Ahora que ya tenemos el filtro WMI creado se lo vamos a asignar a una política de grupo (GPO).

Nos situamos encima de la GPO a la que se lo queramos aplicar y abrimos el desplegable Este GPO está vinculado con el siguiente filtro WMI: y seleccionamos el filtro WMI Espacio mayor a 2 GB.

Pulsamos sobre Sí.

A partir de ahora esta GPO únicamente se aplicará en equipos que dispongan de un espacio en disco mayor a 2GB.

Espero que os haya sido útil.

Hasta pronto MegaCracks.

Late last week we released to the web the latest version (1.3) of our free Active Directory cmdlets (also known as QAD-cmdlets, widely used by tens of thousands admins and compatible with more or less any version of Active Directory or ADAM/ADLDS).

You can read more about the cmdlets in this PDF guide, or online reference.

This is a significant update with some 14 new cmdlets, 24 new parameters, 43 enhanced ones, and a few bugs fixed (not that we had any really )

Detailed What’s New information can be found on page 19 of the PDF guide and in my upcoming blog posts. Download the new AD cmdlets now and let us know what you think by posting to the AD PowerShell discussion forum!

Few days back I had requirment for pulling all the active directory users and it into a list. I tried few nice codes from online help but they failed for pulling all the users from AD, also the users I expected from the LDAP query (Active Directory) were not right (seems my domain and ldap path wasn’t right at all).
So finally I did some R n D also taken help from Network Admin for right LDAP path and domain name . After that everything started working well. Following is the code for same.

public DataTable GetActiveDirectoryUsers()
{ 
            string ldapPath = ConfigurationManager.AppSettings["LDAP"]; // e.g “LDAP://OU=ADSI,DC=ds,DC=microsoft,DC=com“
            string domainPath = ConfigurationManager.AppSettings["DomainName"]; // not needed anymore 
            
                //Initiate directoryEntry object here by specifying the LDAP Path.
                DirectoryEntry directoryEntry = new DirectoryEntry(ldapName);
                // Create Directory Searcher object for firing search on the LDAP
                DirectorySearcher directorySearcher = new DirectorySearcher();
                           
                // no need to define the datacolumns for the datatable here as it is typed datatable
                DataRow newUsersRow;
                try
                {   // Set directorySearcher attributes here
                    directorySearcher.SearchRoot = directoryEntry;
                    directorySearcher.SearchScope = SearchScope.Subtree;
                    // Set The Fields/ColumnNames to be fetched
                    directorySearcher.PropertiesToLoad.Add(“cn”);
                    directorySearcher.PropertiesToLoad.Add(“name”);
                    directorySearcher.PropertiesToLoad.Add(“givenName”);
                    directorySearcher.PropertiesToLoad.Add(“sn”);
                    directorySearcher.PropertiesToLoad.Add(“sAMAccountName”);
                    directorySearcher.PropertiesToLoad.Add(“initials”);
                    directorySearcher.PropertiesToLoad.Add(“l”);
                    directorySearcher.PropertiesToLoad.Add(“co”);
                    directorySearcher.PropertiesToLoad.Add(“mail”);
                    //define filter criteria for search here
                    directorySearcher.Filter = “(&(objectCategory=person)(objectClass=User)(givenname=*))”;
                    // Set the pagesize in order to get all records here
                    directorySearcher.PageSize = 1000;

                    // Fire the search query here and collect the results in SearchResultCollection object
                    SearchResultCollection resultCollection = directorySearcher.FindAll();

                        try
                        {
                            foreach (SearchResult result in resultCollection)
                            {
                                newUsersRow = activeDirectoryDT.NewUsersRow();
                                newUsersRow.UserID = –currentUserID;

                                if (!((result.Properties["sAMAccountName"][0]).ToString().ToUpper().StartsWith(domainName + “\\”)))
                                {
                                    newUsersRow.UserName = domainName + “\\” + (result.Properties["sAMAccountName"][0]).ToString();
                                }
                                else
                                {
                                    newUsersRow.UserName = (result.Properties["sAMAccountName"][0]).ToString();
                                }

                                newUsersRow.AliasName = (result.Properties["name"][0]).ToString();
                                try
                                {
                                    newUsersRow.Email = (result.Properties["mail"][0]).ToString();
                                }
                                catch
                                {
                                }
                                newUsersRow.groupid = 1;
                                newUsersRow.Active = false;
                                newUsersRow.CreatedBy = 0;
                                newUsersRow.CreatedDate = DateTime.Now;
                                newUsersRow.UserType = “EndUser”;
                                newUsersRow.UserTypeID = 3;

                                activeDirectoryDT.Rows.Add(newUsersRow);
                            }
                        }
                        catch (Exception ex)
                        {
                            // do something here
                        }
                    });
                }
                catch (Exception ex)
                {
                  // do something here
                 }
            }

            return activeDirectoryDT;               
        }

In the above code few things are very important to note:

1. LDAP path e.g “LDAP://OU=ADSI,DC=ds,DC=microsoft,DC=com” its very precise path for getting right DOMAIN
2. Search Root and Search Scope sequnce must be as above, also the they must be set before listing the field name/column names that you want to pull out
3. The Search Filter must be set after listing the field name/column names that you want to pull out
4. The Page Size  must be set after search filter is set
5. The Page Size Property helps you to pull out all of the Users. If this is not set then you will not get all users. This property is very similar to the Paging property of gridview which allows us to implement paging of the pulled data (here it does internal paging of the users and then returns the final composite users list)

I hope this will be helpful for you

Windows Server 2008 supports Fine-Grained Password Policies in Active Directory, which is a huge step forward from the per-domain-only password policies of Windows Server 2003 and Windows 2000 Server Active Directory. Yet with the suggested built-in management interface for creating fine-grained policies being ADSIedit, LDIFDE, and similar utilities, and with the requirement that the Active Directory domain in question be at the Windows Server 2008 domain functional level (DFL), such policies aren’t yet deployed as widely as some people might hope.

In this article we’ll review the functionality and objects involved in fine-grained password policies (FGPP). In a subsequent article, we’ll present the use of the Windows Server 2008 R2 PowerShell v2.0 cmdlets for working with fine-grained password policies.

The Windows Server 2008 (W2K8) Active Directory schema contains some new object classes and attribute types to support fine-grained password policies. With W2K8 AD, an instance of one of these classes, a password settings container is created in the domain’s System container. In fact, the name of this container in the 777.wernerconsulting.com domain would be:

CN=Password Settings Container,CN=System,DC=777,DC=wernerconsulting,DC=com

With the Advanced Features view option enabled in Active Directory Users and Computers (ADUC), we can see this container and if there are any policies defined in it, we could work with their properties in ADUC’s Attribute Editor. But to create the Password Settings objects which go in that container, we could use ADSIedit, LDIFDE, or other tools. Once created, we could use those same tools to view and edit the settings, or we could come back to ADUC and use the Attribute Editor. In another article, we’ll see some PowerShell cmdlets in W2K8 R2 which offer an alternative.

Let’s look at a Password Settings object – the object class is msDS-PasswordSettings. Although these can be created in ADSIedit and then modified in ADUC, let’s see one in standard LDIF format.

dn: CN=Sales Password Policy,CN=Password Settings Container,CN=System,DC=777,DC=wernerconsulting,DC=com

objectClass: msDS-PasswordSettings

cn: Sales Password Policy

msDS-MaximumPasswordAge: -18144000000000

msDS-MinimumPasswordAge: -6048000000000

msDS-MinimumPasswordLength: 16

msDS-PasswordHistoryLength: 24

msDS-PasswordComplexityEnabled: TRUE

msDS-PasswordReversibleEncryptionEnabled: FALSE

msDS-LockoutObservationWindow: -6000000000

msDS-LockoutDuration: -18000000000

msDS-LockoutThreshold: 3

msDS-PasswordSettingsPrecedence: 10

Note that the raw format for the maximum password age, minimum password age, lockout observation window, and lockout duration is the classic Windows NT time interval “ticks”, which is a negative number representing the number of 100 nanosecond units in the duration. These are 64-bit values which are referred to as Integer8 (eight octets), or LargeInteger values, depending on if you ask a schema person or a developer.

When entering these values in ADSIedit, I’ve seen/heard people suggest that we use the ticks value for the time intervals, however, it is also possible to enter a value of (none), (never), or a duration in d:hh:mm:ss notation – days, hours, minutes, and seconds. A value of 0:00:10:00 represents 10 minutes. There really is no need to resort to ticks unless you prefer to count time that way.

Both ADUC’s Attribute Editor and ADSIedit support entering these values in d:hh:mm:ss notation, which automagically translates to the negative ticks notation required for time intervals.

In another article, we’ll look at the meaning of these settings, then later how to apply them to groups, and finally how to avoid the gory details of managing these in Windows Server 2008 and use PowerShell in Windows Server 2008 R2 for more fun and power.

-Brad

Related Courses

Automating Windows Server 2008 Administration with Windows Powershell (M6434)

Configuring, Managing, and Maintaining Server 2008 (M6419)

Configuring Windows Server 2008 Active Directory Domain Services (M6424, M6425)

Recently I’ve had to create 100+ distribution lists at the same time. Each with a different owner. Rather than create each individual one at a time, I figured I’d throw together a quick Powershell script. It’s a very simple script for those who’re used to scripting languages but it’s my first without help and it just plain works. So I’m happy with it. Note however, you will need the Active Directory PowerPack to create DLs. We are running Exchange 2007 at my work so I also needed Microsoft Exchange Server 2007 SP1 Management Pack to create email enabled DLs.

$file = Import-Csv r:\Test.csv
foreach ($entry in $file) {
$null = New-DistributionGroup -name $entry.name -SamAccountName $entry.SamAccountName -type Distribution -ManagedBy $entry.owner -OrganizationalUnit $entry.Location
Set-QADGroup -Identity $entry.Name -Description ("Owner: " + $entry.owner)
Add-ADPermission -Identity $entry.Name -User $entry.owner -AccessRights "WriteProperty" -ExtendedRights "Self-Membership" -Properties Member -InheritanceType None
}

The greatest thing about Powershell is the logic just makes sense. In line 3, “-name $entry.name” calls to the CSV column named appropriately name. This corresponds directly to Display Name. SamAccountName corresponds to Pre-Windows 2000 name. The rest are self explanatory. See an example of the CSV below.

Para implementar la seguridad con LDAP en algunas aplicaciones es necesario saber la cadena BASE DN para conectarse al servidor que tenga Active Directory. La cadena tiene que hacer referencia a la unidad organizativa Users.

Aquí os explico cómo conseguir esa cadena.

La utilidad ldp.exe
El CD1 de Windows Server 2003 contiene utilidades entre las que está ldp.exe. Extraer dicha utilidad que está en el archivo SUPPORT.CAB del directorio \SUPPORT\TOOLS

Ejecutarlo y en el menú connection elegir connect.

Introducir el nombre del servidor que tiene el Active Directory. A continuación, en el menú connection elegir la opción bind.

Introducir un usuario cualquiera con su password correspondiente y el dominio. Pulsar el botón OK.

Una vez conectado, en el menú view elegir la opción tree.

Desplegar el combo y elegir el primer elemento. Suele ser el nombre del dominio. Pulsar el botón OK.

Buscais Users dentro de la lista de cadenas y será el BASE DN necesario para la implementación de la seguridad con la aplicación.

un saludo.

Having only used Terminal Services sparingly in the past as a means to run single applications made available to remote desktop clients or to make websites available to thin clients, I had to create a terminal server that provided a desktop of icons that provide access to applications, email and web for laptops accessing via corporate VPN. The laptops are light and have only the OS and anti-virus installed so would be reliant on the capabilities of the terminal server.

Previously, as we had been deploying an .rdp icon that is configured to access an app or webpage now we were making a TS fully available for access which meant that we had to use group policy to lock it down.

To do this I created an Organisational Unit in Active Directory called Terminal Server Lockdown and added the Windows 2008 Terminal Server as a member of the newly created OU.

Next, I enabled Group Policy on the OU (Right click then Properties) and selected Group Policy.

I created a new local group policy object and called it Terminal Server Lockdown.

Finally, I edited the group policy here used the settings that Microsoft recommends in their ‘Locking Down Windows Server 2003 Terminal Server Sessions’ document that is available here:

http://download.microsoft.com/download/d/8/b/d8b21533-a5bf-4d46-8878-ebbf834fc6f7/Win2003_Teminal_Server_Lockdown.doc

Some of the recommended settings may cause some problems but this depends on your environment and how tightly you want to lock down TS sessions. After testing and adding further restrictions this solution is very effective.

Переименование контроллера домена осуществляется достаточно просто. Единственное, что может помешать данной операции – это присутствие на контроллере домена Центра Сертификации (CA), который, как известно, не позволяет ни менять имя сервера, ни менять его доменной роли.

Переименование контроллера домена производится при помощи команды NETDOM, причем запускать эту команду не обязательно на том контроллере домена, который будет переименовываться. Главное, чтобы пользователь, из-под которого запускается эта команда, обладал соответствующими правами Администратора домена.

Необходимо сразу отметить, что процесс переименования требует перезагрузки контроллера. Домен должен работать, как минимум, на уровне Windows 2003.

В процессе переименования в DNS появится новая запись (A) с новым именем контроллера. Не удаляете из DNS до окончания процесса.

Мы будем менять имя сервера Server.domain.ru на Superserver.domain.ru.

1. В командной строке пишем

NETDOM computername Server.domain.ru /add:Superserver.domain.ru

Эта команда обновляет атрибут SPN в Active Directory для нашего сервера и регестрирует запись в DNS. После этого необходимо дождаться репликации нового атрибута SPN и передачи записи на все полномочные DNS-серверы.

Проверить добавление нового имени можно при помощи adsiedit.msc. Нужно найти объект нашего компьютера и найти в его свойствах атрибут msDS-AdditionalDnsHostName

2. Проверяем, что аккаунт компьютера обновлен и DNS записи появились, затем пишем:

NETDOM computername Server.domain.ru /makeprimary:Superserver.domain.ru

И снова можно проверить результат выполнения команды при помощи adsiedit.msc, причем в msDS-AdditionalDnsHostName все еще будет видно старое имя.

3. Перезагружаем сервер.

4. В командной строке пишем

NETDOM computername Superserver.domain.ru /remove:Server.domain.ru

5. Убедитесь, что все изменения реплицировались на другие контроллеры.

Windows 2008 R2 introduit de nouvelles fonctionnalités dont la Corbeille Active Directory.

Très intéressant puisque cela permet de restaurer des objets sans passer par la laborieuse restauration de type « authoritative ».

Pré requis

Le niveau de la forêt doit être « Windows 2008 R2 », ce qui implique que tous les contrôleurs de domaine de la forêt sont hébergés sur systèmes d’exploitation Windows 2008 R2

Activation de la corbeille Active Directory

De base, cette fonctionnalité n’est pas activée et une fois activée, vous ne pourrez plus faire marche arrière, il n’est pas possible de désactiver cette fonctionnalité une fois celle-ci activé.

Importez tout d’abord le module de gestion Active Directory

Pour activer la corbeille via les cmdlet Powershell pour « INTRA.NET », tapez la commande suivante.

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=intra,DC=net‘ –Scope ForestOrConfigurationSet –Target ‘intra.net‘

Ou encore

Enable-ADOptionalFeature “recycle bin feature” -Scope ForestOrConfigurationSet -Target “intra.net“

Note: Remplacez le nom de la forêt de cet exemple « Intra.net » par votre nom de forêt AD 2008 R2.

Pour retrouver les informations d’utilisation de la cmdlet « Enable-ADOptionalFeature », suivez le lien ci-dessous

http://technet.microsoft.com/en-us/library/ee617209.aspx

Restauration d’un Object Active Directory

Nous allons déjà supprimer un utilisateur par exemple

Une fois supprimé, nous vérifions que l’objet est bien présent dans la corbeille Active Directory

Pour restaurer un objet Active Directory nous allons utiliser la cmdlet Restore-AdObject

Voilà l’objet est restauré ;)

Pour aller plus loin je vous propose d’aller sur le TechNet Microsoft

http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx

Bonne lecture !

What is an Active Directory (AD)?

The Microsoft Windows 2003 Active Directory glossary defines an Active Directory as “a structure supported by Windows 2003 that lets any object on a network be tracked and located. Active Directory is the directory service used in Windows 2003 Server and provides the foundation for Windows 2003 distributed networks.” A directory service “provides the methods for storing directory data and making this data available to network users and administrators. For example, Active Directory stores information about user accounts, such as names, phone numbers, and so on, and enables other authorized users on the same network to access this information.”

The AD, or Active Directory, is a database based on the LDAP (Lightweight Directory Access Protocol) standard, which makes the information contained within the AD easily available to other applications across different platforms. The AD contains user accounts, computer accounts, organizational units, security groups, and group policy object – all of which have a unique name and a unique path. All unique objects in the AD use a domain contained within the AD as a means of authentication.

Все хотят видеть на компьютере точное время, кроме того, это очень важно для нормального функционирования домена Windows и AD. Казалось бы, чего проще, настраиваешь PDC эмулятор на синхронизацию с каким-нибудь ntp и все становится на места само собой … Но нет, уже несколько раз, наблюдалась рассинхронизация контроллеров домена между собой и жалобы пользователей на то, что наше время отличается от точного на пару минут.

Казалось бы, смешная проблема – пару минут, но для некоторой работы и пара минут важно. Особенно, если это редактора новостной ленты www.korrespondent.net. Правда были еще и шуточные жалобы, что они из-за этой проблемы целых 2, 3 или 5 минут перерабатывают

Стандартные “танцы с бубнами”, которые делал я, а потом и наш сетевой инженер, по руководству от Microsoft помогали, но не долго. Т.е. время сходится, ошибки из лога исчезают, а через пару часов, или, через сутки все начинается заново. А потом, через пару-тройку недель, или месяц-другой, ошибка снова достигает размера более 2-х минут и все заново.

Итак, хочешь что-то сделать хорошо – сделай это сам. Что мы имеем, три контроллера домена, работающих под Windows 2003 Server R2, кучу рабочих станций под Windows XP Professional SP3. В качестве ntp сервера в компании служит Cisco 2821

Признаками проблемы на DC, являющемся еще и PDC эмулятором является наличие следующих ошибок в Event log:

1.

Event Type:    Warning
Event Source:    W32Time
Event Category:    None
Event ID:    47
Date:        17.11.2009
Time:        13:21:45
User:        N/A
Computer:    DC04
Description:
Time Provider NtpClient: No valid response has been received from  manually configured peer ntp.mydomain.ua,0×1 after 8 attempts to contact it. This peer will be discarded as a time source and NtpClient will attempt to discover a new peer  with this DNS name. 

2.

Event Type:    Error
Event Source:    W32Time
Event Category:    None
Event ID:    29
Date:        17.11.2009
Time:        13:21:45
User:        N/A
Computer:    DC04
Description:
The time provider NtpClient is configured to acquire time from one or more time sources, however none of the sources are currently accessible.  No attempt to contact a source will be made for 15 minutes. NtpClient has no source of accurate time.

3.

Event Type:    Information
Event Source:    W32Time
Event Category:    None
Event ID:    38
Date:        17.11.2009
Time:        14:06:45
User:        N/A
Computer:    DC04
Description:
The time provider NtpClient cannot reach or is currently receiving invalid time data from ntp.mydomain.ua
(ntp.m|0×1|192.168.0.50:123->10.10.72.17:123).

На остальных контроллерах домена, вместо Event ID 47, присутствует Event ID:    24

Event Type:    Warning
Event Source:    W32Time
Event Category:    None
Event ID:    24
Date:        18.11.2009
Time:        6:46:56
User:        N/A
Computer:    DC03
Description:
Time Provider NtpClient: No valid response has been received from domain controller pdacemul.addomain after 8 attempts to contact it. This domain controller will be discarded as a time source and NtpClient will attempt to discover a  new domain controller from which to synchronize.

Итак, вот процедура по восстановлению работоспособности сервиса w32tm

1. 1.  Если кто не знает этого наизусть, то так вот находим все DC и того, кто из них PDC эмуляторnetdom query fsmo
2. Теперь проверяю доступность с PDC эмулятора сервера времени.portqry –n ntp.mydomain.ua –e 123 –p UDP

   Querying target system called:
   ntp.mydomain.ua
   Attempting to resolve name to IP address…
   Name resolved to 10.10.72.17

UDP port 123 (ntp service): LISTENING or FILTERED

Должно быть именно так “LISTENING or FILTERED”

3. Затем, с помощью regedit открываю параметры ntp сервераHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer

   Там должен быть записан ip адрес или полной имя нашего ntp сервера и запись должна обязательно заканчиваться строкой “,0×1”. Кавычки, понятное дело, нужно убрать. Кстати, к этому суффиксу я вернусь позже. Для уверенности в том, что тут нету ошибки, неплохо бы попингать скопированный оттуда адрес или имя.

4. Там же, следует перейти к параметруHKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type

   и убедиться, что там прописано  NTP, а неNT5DS

5. Теперь следует проверить еще одно значениеHKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags

   тут должна быть 5

6. Перезапускаем сервис времениnet stop w32time && net start w32time
7. Теперь перезапускаю синхронизацию:w32tm /resync /rediscover
8. На остальных контроллерах домена рекомендуется сделатьw32tm /unregister
   w32tm /register

   Эта операция удаляет службу времени, а затем снова ее устанавливает, причем, что важно, удаляется, а затем создается заново вся ветка параметров в реестре.

9. Очень рекомендуется перезапустить контроллер домена, являющийся pdc эмулятором, да и все остальные тоже.
10. Если на pdc эмуляторе ошибки появляются заново, как в моем случае, то стоит попробовать заменить значение 0×1 на 0×08 в параметреHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer

    чтобы стали посылаться стандартные клиентские запросы.

11. Перезапускаем сервис времениnet stop w32time && net start w32time
12. Очень рекомендуется проверить все политики, имеющие отношение к настройкам сервиса времени, а именно:
    Default Domain Controllers group policy
    Default Domain group policy
    ну и все другие, которые имеют отношение к домен контроллерам, серверам и рабочим станциям и в которых изменены любые значения в разделе
    Computer configuration/Administrative Templates /System/Windows Time service/Time Providers

    Убедитесь, что все значения там в состоянии “not configured”. При необходимости, играть с параметрами следует позже.

13. Если что-то меняли в политике, то перезапускаем сервис времени:net stop w32time && net start w32time
14. Если и после этого ничего не помогло, то нужно обнулить параметры сервиса времени и на pdc эмулятореw32tm /unregister
    w32tm /register

    после чего нужно будет настраивать все параметры заново, начина с п.3

У меня этот алгоритм сработал и, наконец-то, вопрос с временем был закрыт.

Кстати, проверить что со временем все в порядке можно так:

w32tm /monitor

dc01.addomain [192.168.0.60]:
    ICMP: 0ms delay.
    NTP: +0.0009899s offset from pdcemul.addomain
        RefID: pdcemul.addomain [192.168.0.50]
dc03.addomain [192.168.0.20]:
    ICMP: 0ms delay.
    NTP: -0.0014416s offset from dc04.addomain
        RefID: pdcemul.addomain [192.168.0.50]
pdcemul.addomain *** PDC *** [192.168.0.50]:
    ICMP: 0ms delay.
    NTP: +0.0000000s offset from pdcemul.addomain
        RefID: ntp.mydomain.ua [10.10.72.17]

Comme j’avais pu l’annoncer à certains d’entre vous lors de la journée de la Performances IT en début d’année, Quest Software vient d’annoncer ses premières solutions de gestion des environnements Windows en mode SaaS (Software as a Service).

Conçues pour apporter de la valeur ajoutée aux technologies Microsoft, les solutions Quest OnDemand seront hébergées sur Windows Azure, la toute nouvelle plateforme cloud computing de Microsoft. Les deux premières solutions SaaS de Quest complètent les outils Windows Identity Foundation (WIF) et Active Directory Federation Services (AFDS) 2.0 de Microsoft, pour aider les services informatiques à gérer les identités et sécuriser les accès au système d’information.

Actuellement disponibles en version bêta, Quest Recovery Manager OnDemand for Active Directory et Quest InTrust OnDemand, les deux premières solutions de la gamme Quest OnDemand, devraient être commercialisées au premier trimestre 2010.

Version SaaS de Quest Recovery Manager for Active Directory, solution de restauration au niveau de l’objet et sauvegarde du service d’annuaire Active Directory de Microsoft, Quest Recovery Manager OnDemand for Active Directory est conçue pour programmer et gérer les sauvegardes sans intervention manuelle. Elle permet de restaurer rapidement et de manière granulaire les données de l’Active Directory.

Quest InTrust onDemand, version SaaS de Quest InTrust, facilite la collecte, le stockage sécurisé et l’analyse des journaux d’événements des environnements Windows. Ses rapports d’audit et ses alertes générées en cas d’incident permettent aux entreprises de se conformer aux meilleures pratiques en matière de sécurité et de politiques internes, ainsi qu’aux législations en vigueur.

Ces deux solutions seront disponibles sur simple souscription au service, accessibles à distance, incluant la maintenance, sans aucun déploiement sur site.

Hébergées sur la plateforme cloud computing Windows Azure, elles complètent Windows Identity Foundation, gamme d’outils pour gérer les identités et l’authentification des utilisateurs, ainsi que la sécurisation des accès aux applications qui sont à la fois dans le « nuage » et sur les serveurs de l’entreprise. Elles reposent en outre sur Active Directory Federation Services 2.0 qui réalise le lien entre l’Active Directory et les solutions Quest OnDemand.

Quest Software prévoit également le lancement de Quest Site Administrator Reports OnDemand for SharePoint, solution de découverte automatique, d’inventaire et d’analyse d’utilisation des déploiements Microsoft SharePoint à l’échelle de l’entreprise, spécifiquement adaptée à la plateforme Windows Azure. Cet outil sera disponible gratuitement.

Si vous le désirez, vous pouvez vous inscrire dès maintenant au programme béta des solutions Quest OnDemand en vous inscrivant ici.

Ершов Илья
Настройка прокси сервера на Ubuntu Server 8.04 (SQUID+SARG+AD)
18 ноября 2009

В качестве прокси будет выступать SQUID. Настраивать его будем с авторизацией по Active Directory.
Подключаемся к установленному серверу по SSH. Подойдет любой SSH-клиент. Мне нравится putty (теперь прозрачная .
Для начала настроим сетку. Один интерфейс у нас будет смотреть в интернет, второй – в локалку. Отредактируем файл /etc/network/interfaces следующим образом:

auto lo
iface lo inet loopback
auto eth0 eth1 #Интерфейс, смотрящий в интернет
iface eth0 inet static
address ExternalIP
netmask NetMask
gateway Gateway
iface eth1 inet static #Интерфейс, смотрящий в локалку
address InternalIP
netmask NetMask

Если нужна маршрутизация в другие подсети в этот же файл добавляем следующее:

up route add -net DestiantionNetwork/NetMask gw Gateway dev eth1

И так для каждой маршрутизируемой сети.
После изменений в файле выполняем:

/etc/init.d/networking restart

Проверяем доступность интернета и сети со шлюза (попингуй). Если адреса в интернете не резолвятся, проверяем /etc/resolv.conf.В нем должно быть примерно следующее:

search mydomain.local #Имя локального домена
nameserver #DNS-сервер провайдера

Для быстроты работы интернета, лучше убрать все внутренние DNS-серверы.

Теперь, когда у нас доступна как внутренняя сеть, так и интернет, можно продолжать.
Теперь переходим к установке непосредственно SQUID. Для этого выполняем:

sudo apt-get install squid sarg

Собственно, прокся установлена. Переходим к настройке. Все настройки SQUID находятся в файле /etc/squid/squid.conf, который мы и будем редактировать.
Определим порт, на котором SQUID будет слушать запросы пользователей. В squid.conf за это отвечает параметр http_port. Для избежания исползования прокси всеми, пропишем следующее:

http_port Proxy_IP_Address:3128

Для увеличения объема кэша редактируем параметр cache_dir. В приведенном примере мы устанавливаем размер кэш 1 гиг.

cache_dir ufs /var/spool/squid 1000 16 256

Теперь про авторизацию в Active Directory.
Для начала создадим несколько групп. Имена группам лучше дать на английском и без пробелов, например:
SQUID_FullAccess – группа, пользователи которой будут иметь полный доступ в интернет, т.д.
Для поиска информации нам потребуется учетка пользователя (простого пользователя системы).
Подредактируем /etc/squid/squid.conf. Ищем параметр auth_param basic program и прописываем следующее:

auth_param basic program /usr/lib/squid/ldap_auth -v 3 -b ou=OU,dc=MYDOMAIN,dc=ORG -D логин_пользователя@MYDOMAIN.ORG -w пароль_пользователя -f sAMAccountName=%s -h IP_адрес_контроллера_домена

И раскомментируем следующие строки:

auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

Теперь настроим авторизацию через внешнюю группу. Добавим следующее:

external_acl_type ldap_users %LOGIN /usr/lib/squid/squid_ldap_group -R -b dc=MYDOMAIN,dc=ORG -D логин_пользователя@MYDOMAIN.ORG -w пароль_пользователя -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=SQUID,dc=MYDOMAIN,dc=LOCAL))" -h IP_адрес_контроллера_домена

Важно! В параметре memberOf необходимо указать ПОЛНЫЙ путь до OU, в котором находятся группы.
И создадим группу пользователей в SQUID на основе доменной группы:

acl FullAccess external ldap_users SQUID_FullAccess

Теперь разрешаем группе FullAccess, сформированной на основе доменной группы SQUID_FullAccess, доступ в интернет (аналогичные acl создаем для нужных групп).

http_access allow FullAccess

Все. Теперь добавляем пользователя в одну из созданных в Active Directory групп и перезапускаем SQUID, Перезапускаем SQUID.

/etc/init.d/squid restart

Теперь в браузере настраиваемся на нашу проксю. При обращении к странице, вылезет окно. Вводим логин и пароль.

Источники:
1. http://faqman.ru/setevye-servisy/squid-i-ldap-autentifikaciya-iz-active-directory-squid-ldap-auth-proxy.html
2. http://www.opennet.ru/base/net/squid_inst.txt.html
3. http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ldap

An alternative to mapping a directery on a Linux Server to a Windows PC / Server is mounting a cifs share.

First you need to request that your share be cifs vs. nfs

Here is an example of the syntax:

Add to /etc/fstab:

//sharehost/share$ /path/to/mount/directory cifs username=svc_username,password=somepassword

Note the svc account needs to be Linux / AD

Then run

mount /path/to/mount/directory

We’re excited to announce that on December 2nd  at 10:00am PST / 1:00pm EST we’ll be holding the second meeting of the Enterprise SaaS Working Group on the topic of Access and Identity Management for the Cloud.

One of the recognized challenges with SaaS in the enterprise is the silos of identity that are created by cloud applications. Each service contains its own ‘version of the truth’ around users, permissions and credentials, disconnected from legacy directory services and identity management systems. Based on feedback from our first event, this meeting will focus on the identity management and access control issues that need to be addressed for SaaS to become truly mainstream in the enterprise. Discussion will focus on several questions including:

Participants in the session will include:

• Michael Amend – Director of Enterprise Architecture at Dell, Inc.
• Chris Bedi – CIO at VeriSign, Inc.
• Scott Carruth – VP, Information Systems at Initiate Systems
• Peter Dapkus – Director of Product Management at Salesforce.com
• Steve Coplan – Senior Analyst, Enterprise Security Practice at The 451 Group
• Doug Harr – CIO at Ingres Corporation
• Ryan Nichols – VP Cloudsourcing & Cloud Strategies at Appirio

The discussion will focus on critical issues and corresponding best practices in the areas of access management, authentication, identity synchronization and identity policy enforcement and will include a Q&A session open to all attendees. Click here for more information and to register for this exciting event!

Register now >>

If you cannot remove AD from a Domain Controller in a Server 2003 environment take the following steps.

1. Go To Start>Run
2. In the run dialog type dcpromo /forceremoval
3. Follow the wizard as if doing a normal DC demotion

Ершов Илья
Почтовый сервер на Ubuntu 8.04 с авторизацией в Active Directory
16 ноября 2009

Сегодня я напишу о том, как настроить IMAP сервер с авторизацией в Active Directory и шифрованием по TLS.
Настраивать будем связку Postfix+Dovecot+Active Directory. Основной идеей решения является то, что адрес электронной почты пользователя хранится в поле mail каждого пользователя Active Directory, желающего иметь почту.

Ставим необходимые пакеты

apt-get install postfix postfix-ldap dovecot-common dovecot-imapd

В ходе установки отвечаем на следующие вопросы:

Create directories for web-based administration? – No
General type of mail configuration – Internet Site
System mail name - fqdn

Переходим к настройке Postfix

Postfix – агент передачи почты (Mail Transfer Agent, MTA). Занимается пересылкой почты, пришедшей на порт 25 (SMTP).

postconf –e ‘myorigin = MYDOMAIN.ORG’
postconf -e 'virtual_mailbox_domains = /etc/postfix/domains.cf'
postconf -e 'virtual_mailbox_base = /var/mail'
postconf -e 'virtual_mailbox_maps = ldap:/etc/postfix/ldap-users.cf'
postconf -e 'virtual_minimum_uid = 8'
postconf -e 'virtual_uid_maps = static:8'
postconf -e 'virtual_gid_maps = static:8'
postconf -e 'virtual_transport = dovecot'
postconf -e 'dovecot_destination_recipient_limit = 1'
postconf -e 'message_size_limit = 20480000'
postconf -e 'smtpd_sasl_auth_enable = no'
postconf -e 'smtpd_sasl_exceptions_networks = $mynetworks'
postconf -e 'smtpd_sasl_security_options = noanonymous'
postconf -e 'broken_sasl_auth_clients = yes'
postconf -e 'smtpd_sasl_type = dovecot'
postconf -e 'smtpd_sasl_path = private/auth'
postconf -e 'smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination,permit'

В нашем случае он будет принимать лишь почту для отдельных доменов (virtual_mailbox_domains) – список этих доменов хранится в виде простого списка /etc/postfix/domains.cf

mydomain.org

Проверка того, существует ли на данном сервере адресат, которому предназначено письмо, осуществляется через LDAP-запросы (virtual_mailbox_maps).
Cодержимое файла /etc/postfix/ldap-users.cf

version = 3
server_host = IP_адрес_контроллера_домена:3268
query_filter = (&(objectclass=user)(mail=%s))
result_attribute = samaccountname
result_format = %s
bind = yes
bind_dn = MYDOMAIN\логин_пользователя
bind_pw = Пароль_пользователя

Разберемся в том, что здесь к чему. В качестве входного параметра выступает строка %s, содержащая адрес электронной почты пользователя. После этого осуществляется LDAP-запрос от имени пользователя MYDOMAIN\логин_пользователя. Производится поиск объекта класса user с адресом %s. Если такой объект (то есть пользователь) найден, то возвращается поле sAMAccountName – поиск успешен. После этого Postfix считает, что такой пользователь в базе есть, и передает письмо сервису Dovecot (virtual_transport).
Финальный аккорд настройки postfix – прописываем сервис dovecot в файле /etc/postfix/master.cf

dovecot unix - n n - - pipe
flags=DRhu user=mail:mail argv=/usr/lib/dovecot/deliver -d ${recipient}

Переходим к настройке Dovecot

Dovecot выполняет роли доставщика писем от Postfix в локальные каталоги /var/mail. Вся настройка осуществляется через конфигурационный файл /etc/dovecot/dovecot.conf

base_dir = /var/run/dovecot/
protocols = imap
disable_plaintext_auth = no
log_timestamp = "%Y-%m-%d %H:%M:%S "
login_greeting = Welcome to IMAP/POP3 server
mail_location = maildir:/var/mail/%d/%n
mail_privileged_group = mail
mail_debug = no
first_valid_uid = 8
last_valid_uid = 8
maildir_copy_with_hardlinks = yes
protocol imap {
login_executable = /usr/lib/dovecot/imap-login
mail_executable = /usr/lib/dovecot/imap
imap_max_line_length = 65536
mail_plugin_dir = /usr/lib/dovecot/modules/imap
imap_client_workarounds: outlook-idle outlook-idle netscape-eoh tb-extra-mailbox-sep
}
protocol lda {
postmaster_address = postmaster@mail.domain.ru
hostname=mail.domain.ru
sendmail_path = /usr/lib/sendmail
auth_socket_path = /var/run/dovecot/auth-master
}
auth_verbose = no
auth_debug = no
auth_debug_passwords = no
auth default {
mechanisms = plain
passdb ldap {
args = /etc/dovecot/ldap.conf
}
userdb static {
args = uid=8 gid=8 allow_all_users=yes
}
user = nobody
socket listen {
master {
path = /var/run/dovecot/auth-master
mode = 0660
user = mail
group = mail
}
client {
path = /var/spool/postfix/private/auth
mode = 0660
user = postfix
group = postfix
}
}
}

Авторизация происходит через LDAP-запрос. Параметры подключения к LDAP-серверу находятся в файле /etc/dovecot/ldap.conf

hosts = IP_контроллера_домена:3128
dn = имя_пользователя@MYDOMAIN.ORG
dnpass = пароль_пользователя
auth_bind = yes
ldap_version = 3
base = dc=MYDOMAIN,dc=ORG
deref = never
scope = subtree
default_pass_scheme = CRYPT
pass_filter = (&(objectclass=user)(mail=%n@%d))

Источник:
http://rus-linux.net/lib.php?name=/MyLDP/server/kerio2linux.html
https://help.ubuntu.com/community/PostfixDovecotSASL
https://help.ubuntu.com/community/Postfix