Differenze tra le versioni di "Ad-domain"
Da WikiSitech.
Vai alla navigazioneVai alla ricerca (Creata pagina con '= Active Directory in generale = In questa pagina sono raccolti un po di appunti su come gestire un dominio di Active Directory.<br> Gli appunti sono suddivisi per attività.<br>...') |
|||
| (12 versioni intermedie di uno stesso utente non sono mostrate) | |||
| Riga 1: | Riga 1: | ||
| − | + | '''Active Directory in generale'''<br> | |
In questa pagina sono raccolti un po di appunti su come gestire un dominio di Active Directory.<br> | In questa pagina sono raccolti un po di appunti su come gestire un dominio di Active Directory.<br> | ||
Gli appunti sono suddivisi per attività.<br> | Gli appunti sono suddivisi per attività.<br> | ||
| − | == I 5 ruoli fondamentali in un dominio (FSMO) | + | = Verifica funzionamento replica = |
| + | Per verificare il corretto funzionamento del meccanismo di replica, è possibile utilizzare il comando: | ||
| + | repadmin /replsummary | ||
| + | Seguita da: | ||
| + | repadmin /queue [nome-server] | ||
| + | per verificare la coda di repliche in attesa. | ||
| + | <br> | ||
| + | |||
| + | = I 5 ruoli fondamentali in un dominio (FSMO) = | ||
In un dominio di Microsoft Windows, ci sono cinque ruoli FSMO (Flexible Single Master Operations) assegnati a uno o più controller di dominio. Ci sono due ruoli di master operazioni per ogni foresta e tre i ruoli FSMO per ogni dominio come segue: | In un dominio di Microsoft Windows, ci sono cinque ruoli FSMO (Flexible Single Master Operations) assegnati a uno o più controller di dominio. Ci sono due ruoli di master operazioni per ogni foresta e tre i ruoli FSMO per ogni dominio come segue: | ||
| Riga 15: | Riga 23: | ||
* '''PDC Emulator''': Il PDC Emulator è un controller di dominio che si annuncia come controller di dominio primario (PDC) a tutte le workstation, server membri e controller di dominio che eseguono versioni precedenti di Windows. Il PDC è anche il browser principale di dominio, e gestisce le discrepanze tra password. Si può avere un solo controller di dominio che funge da master emulatore PDC in ogni dominio della foresta. | * '''PDC Emulator''': Il PDC Emulator è un controller di dominio che si annuncia come controller di dominio primario (PDC) a tutte le workstation, server membri e controller di dominio che eseguono versioni precedenti di Windows. Il PDC è anche il browser principale di dominio, e gestisce le discrepanze tra password. Si può avere un solo controller di dominio che funge da master emulatore PDC in ogni dominio della foresta. | ||
| − | + | = Utility per la gestione dei ruoli di un dominio = | |
Per ottenere l'elenco dei responsabili dei vari ruoli in un dominio, è necessario utilizzare 'utility a riga di comando '''NTDSUTIL.EXE'''.<br> | Per ottenere l'elenco dei responsabili dei vari ruoli in un dominio, è necessario utilizzare 'utility a riga di comando '''NTDSUTIL.EXE'''.<br> | ||
Questa utility si collega direttamente al controller di dominio corrente.<br> | Questa utility si collega direttamente al controller di dominio corrente.<br> | ||
Se fosse necessario cambiare il controller di dominio a cui collegarsi, vedere la sezione apposita.<br> | Se fosse necessario cambiare il controller di dominio a cui collegarsi, vedere la sezione apposita.<br> | ||
| − | + | == Collegarsi ad un controller di dominio diverso dal default == | |
* Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).<br> | * Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).<br> | ||
* Digitare il comando ''Roles'' | * Digitare il comando ''Roles'' | ||
| Riga 27: | Riga 35: | ||
* Per tornare al menu principale digitare ''quit'' | * Per tornare al menu principale digitare ''quit'' | ||
<br> | <br> | ||
| − | === Elencare l'assegnazione dei ruoli in un dominio (DCDiag) | + | == Identificare il PDC == |
| + | dsquery server -hasfsmo pdc | ||
| + | |||
| + | == Elencare l'assegnazione dei ruoli in un dominio (DCDiag) == | ||
DCdiag /test:Knowsofroleholders /v | DCdiag /test:Knowsofroleholders /v | ||
| + | <br> | ||
| + | == Verificare le funzionalità del dominio (DCDiag) == | ||
| + | DCdiag /c | ||
<br> | <br> | ||
| − | + | == Elencare l'assegnazione dei ruoli in un dominio (NTDSUtil) == | |
| + | NTDSUtil | ||
* Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).<br> | * Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).<br> | ||
* Digitare il comando ''Roles'' | * Digitare il comando ''Roles'' | ||
| Riga 39: | Riga 54: | ||
<br> | <br> | ||
| − | + | == Trasferimento di un ruolo == | |
* Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).<br> | * Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).<br> | ||
| − | + | <syntaxhighlight lang="cmd"> | |
| − | + | roles | |
| + | connection | ||
| + | connect to server <server-name> | ||
| + | quit | ||
| + | </syntaxhighlight> | ||
| + | dopo di che possiamo trasferire i singoli ruoli: | ||
| + | transfer RID master | ||
| + | transfer PDC | ||
| + | transfer infrastructure master | ||
| + | transfer naming master | ||
| + | transfer schema master | ||
| + | <br> | ||
| + | Nel caso in cui l'errore restituito sia: | ||
| + | problem 4003 INSUFF_ACCESS_RIGHTS | ||
| + | assegnare l'utente che esegue l'operazione al gruppo ''Schema Admins'' | ||
| + | oppure vedere [http://support.microsoft.com/kb/267267/en-us l'articolo di approfondimento].<br> | ||
| + | così come questo ulteriore articolo su [https://technet.microsoft.com/en-us/library/cc778806(v=ws.10).aspx TechNet Microsoft].<br> | ||
* Per tornare al menu principale digitare ''quit'' | * Per tornare al menu principale digitare ''quit'' | ||
<br> | <br> | ||
| + | = Comandi di PowerShell per l'interrogazione degli account = | ||
| + | Tramite i seguenti comandi di '''powershell''' è possibile interrogare le impostazioni di oggetti in Active Directory.<br> | ||
| + | Vediamo quelle utili ad esempio per la gestione degli utenti: | ||
| + | * Stato di un account | ||
| + | Aprire PowerShell ed immettere i seguenti comandi: | ||
| + | import-module activedirectory | ||
| + | get-aduser -identity <account> -properties * | ||
Versione attuale delle 19:11, 28 ott 2022
Active Directory in generale
In questa pagina sono raccolti un po di appunti su come gestire un dominio di Active Directory.
Gli appunti sono suddivisi per attività.
Indice
Verifica funzionamento replica
Per verificare il corretto funzionamento del meccanismo di replica, è possibile utilizzare il comando:
repadmin /replsummary
Seguita da:
repadmin /queue [nome-server]
per verificare la coda di repliche in attesa.
I 5 ruoli fondamentali in un dominio (FSMO)
In un dominio di Microsoft Windows, ci sono cinque ruoli FSMO (Flexible Single Master Operations) assegnati a uno o più controller di dominio. Ci sono due ruoli di master operazioni per ogni foresta e tre i ruoli FSMO per ogni dominio come segue:
- Schema Master: Il master controller dello schema di dominio gestisce tutti gli aggiornamenti e le modifiche allo schema. In qualsiasi momento, si può avere un solo master schema in tutta la foresta.
- Domain naming master: Il master controller per la denominazione di dominio gestisce l'aggiunta o la rimozione di domini nella foresta. Come lo stesso master schema, si può avere solo uno dei nomi di dominio master in tutta la foresta.
- Infrastructure master: il master di infrastruttura è responsabile dell'aggiornamento dei riferimenti dagli oggetti nel suo dominio agli oggetti di altri domini. Si può avere un solo controller di dominio che funge da master di infrastrutture in ogni dominio.
- Relative ID (RID) Master: Il master RID è incaricato di elaborare le richieste del pool RID da tutti i controller in un determinato dominio. Come lo stesso master infrastrutture, si può avere un solo controller di dominio che funge da master RID del dominio.
- PDC Emulator: Il PDC Emulator è un controller di dominio che si annuncia come controller di dominio primario (PDC) a tutte le workstation, server membri e controller di dominio che eseguono versioni precedenti di Windows. Il PDC è anche il browser principale di dominio, e gestisce le discrepanze tra password. Si può avere un solo controller di dominio che funge da master emulatore PDC in ogni dominio della foresta.
Utility per la gestione dei ruoli di un dominio
Per ottenere l'elenco dei responsabili dei vari ruoli in un dominio, è necessario utilizzare 'utility a riga di comando NTDSUTIL.EXE.
Questa utility si collega direttamente al controller di dominio corrente.
Se fosse necessario cambiare il controller di dominio a cui collegarsi, vedere la sezione apposita.
Collegarsi ad un controller di dominio diverso dal default
- Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).
- Digitare il comando Roles
- Al prompt (fsmo maintenance:) digitare Select operation target
- Al prompt (select operation target:) digitare Connections
- Al prompt (server connections:) digitare Connect to server <nome-server>
- Per tornare al menu principale digitare quit
Identificare il PDC
dsquery server -hasfsmo pdc
Elencare l'assegnazione dei ruoli in un dominio (DCDiag)
DCdiag /test:Knowsofroleholders /v
Verificare le funzionalità del dominio (DCDiag)
DCdiag /c
Elencare l'assegnazione dei ruoli in un dominio (NTDSUtil)
NTDSUtil
- Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).
- Digitare il comando Roles
- Al prompt (fsmo maintenance:) digitare Select operation target
- Al prompt (select operation target:) digitare list roles for connected server
- Per tornare al menu principale digitare quit
Trasferimento di un ruolo
- Assicurarsi di essere al primo livello di menu (ntdsutil.exe:).
roles
connection
connect to server <server-name>
quitdopo di che possiamo trasferire i singoli ruoli:
transfer RID master transfer PDC transfer infrastructure master transfer naming master transfer schema master
Nel caso in cui l'errore restituito sia:
problem 4003 INSUFF_ACCESS_RIGHTS
assegnare l'utente che esegue l'operazione al gruppo Schema Admins
oppure vedere l'articolo di approfondimento.
così come questo ulteriore articolo su TechNet Microsoft.
- Per tornare al menu principale digitare quit
Comandi di PowerShell per l'interrogazione degli account
Tramite i seguenti comandi di powershell è possibile interrogare le impostazioni di oggetti in Active Directory.
Vediamo quelle utili ad esempio per la gestione degli utenti:
- Stato di un account
Aprire PowerShell ed immettere i seguenti comandi:
import-module activedirectory get-aduser -identity <account> -properties *
