Ad-domain

Da WikiSitech.
Vai alla navigazioneVai alla ricerca

Active Directory in generale
In questa pagina sono raccolti un po di appunti su come gestire un dominio di Active Directory.
Gli appunti sono suddivisi per attività.

Verifica funzionamento replica

Per verificare il corretto funzionamento del meccanismo di replica, è possibile utilizzare il comando: 

repadmin /replsummary

Seguita da: 

repadmin /queue [nome-server]

per verificare la coda di repliche in attesa.

I 5 ruoli fondamentali in un dominio (FSMO)

In un dominio di Microsoft Windows, ci sono cinque ruoli FSMO (Flexible Single Master Operations) assegnati a uno o più controller di dominio. Ci sono due ruoli di master operazioni per ogni foresta e tre i ruoli FSMO per ogni dominio come segue:

  • Schema Master: Il master controller dello schema di dominio gestisce tutti gli aggiornamenti e le modifiche allo schema. In qualsiasi momento, si può avere un solo master schema in tutta la foresta.
  • Domain naming master: Il master controller per la denominazione di dominio gestisce l'aggiunta o la rimozione di domini nella foresta. Come lo stesso master schema, si può avere solo uno dei nomi di dominio master in tutta la foresta.
  • Infrastructure master: il master di infrastruttura è responsabile dell'aggiornamento dei riferimenti dagli oggetti nel suo dominio agli oggetti di altri domini. Si può avere un solo controller di dominio che funge da master di infrastrutture in ogni dominio.
  • Relative ID (RID) Master: Il master RID è incaricato di elaborare le richieste del pool RID da tutti i controller in un determinato dominio. Come lo stesso master infrastrutture, si può avere un solo controller di dominio che funge da master RID del dominio.
  • PDC Emulator: Il PDC Emulator è un controller di dominio che si annuncia come controller di dominio primario (PDC) a tutte le workstation, server membri e controller di dominio che eseguono versioni precedenti di Windows. Il PDC è anche il browser principale di dominio, e gestisce le discrepanze tra password. Si può avere un solo controller di dominio che funge da master emulatore PDC in ogni dominio della foresta.

Utility per la gestione dei ruoli di un dominio

Per ottenere l'elenco dei responsabili dei vari ruoli in un dominio, è necessario utilizzare 'utility a riga di comando NTDSUTIL.EXE.
Questa utility si collega direttamente al controller di dominio corrente.
Se fosse necessario cambiare il controller di dominio a cui collegarsi, vedere la sezione apposita.

Collegarsi ad un controller di dominio diverso dal default

  • Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).
  • Digitare il comando Roles
  • Al prompt (fsmo maintenance:) digitare Select operation target
  • Al prompt (select operation target:) digitare Connections
  • Al prompt (server connections:) digitare Connect to server <nome-server>
  • Per tornare al menu principale digitare quit


Identificare il PDC

dsquery server -hasfsmo pdc

Elencare l'assegnazione dei ruoli in un dominio (DCDiag)

DCdiag /test:Knowsofroleholders /v


Verificare le funzionalità del dominio (DCDiag)

DCdiag /c


Elencare l'assegnazione dei ruoli in un dominio (NTDSUtil)

NTDSUtil
  • Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).
  • Digitare il comando Roles
  • Al prompt (fsmo maintenance:) digitare Select operation target
  • Al prompt (select operation target:) digitare list roles for connected server
  • Per tornare al menu principale digitare quit


Trasferimento di un ruolo

  • Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).
roles
connection
connect to server <server-name>
quit

dopo di che possiamo trasferire i singoli ruoli: 

transfer RID master
transfer PDC
transfer infrastructure master
transfer naming master
transfer schema master


Nel caso in cui l'errore restituito sia: 

problem 4003 INSUFF_ACCESS_RIGHTS

assegnare l'utente che esegue l'operazione al gruppo Schema Admins oppure vedere l'articolo di approfondimento.
così come questo ulteriore articolo su TechNet Microsoft.

  • Per tornare al menu principale digitare quit


Comandi di PowerShell per l'interrogazione degli account

Tramite i seguenti comandi di powershell è possibile interrogare le impostazioni di oggetti in Active Directory.
Vediamo quelle utili ad esempio per la gestione degli utenti:

  • Stato di un account

Aprire PowerShell ed immettere i seguenti comandi: 

import-module activedirectory
get-aduser -identity <account> -properties *
Estratto da "http://wiki.netsitech.com/index.php?title=Ad-domain&oldid=13881"