Профили пользователей в Active Directory (AD)

Работа пользователей требует упорядочивания, в связи с чем было решено все и всех (кроме отдельных "счастливчиков" компании) перевести в структуру Windows AD.Для выполнения этой работы надо знать сравнительно не много (на момент старта процесса)
Структура и расположение профилей.
Независимо от типа профиля в момент работы пользователя на компьютере профиль хранится в папке%homedrive%\Documents and Settings\%username%. Для доступа к этой папке также может использоваться переменная среды %userprofile%. Обычно папка Documents and Settings располагается на том же диске, что и операционная система.

Управление профилями пользователей

В профилях пользователей содержатся параметры рабочего стола, настройки меню и другие элементы пользовательской среды. Иногда проблемы с профилем могут воспрепятствовать входу пользователя в систему. Например, у пользователя могут возникнуть проблемы со входом в систему, для которой не поддерживаются параметры разрешения экрана, сохраненные в профиле. Фактически, пользователь не увидит ничего, кроме пустого экрана. Можно перезагрузить машину и войти в режиме VGA, чтобы установить необходимые параметры вручную. Однако,проблемы, связанные с профилями, не всегда просты и могут потребовать обновления данных профиля. (Примечание переводчика. Автор приводит неудачный пример. На самом деле, параметры разрешения экрана в профиле не хранятся, а являются настройками локального компьютера. Подтверждение можно найти в KB281565.) 

Порты для Active Directory

Active Directory взаимодействует с клиентскими компьютерами по различным портам. Эти порты используются и клиентами и контроллером домена. К примеру когда компьютер пытается найти контроллер домена он всегда посылает DNS запрос на порт 53.

Данный список включает в себя список всех сервисов и их портов, используемых при взаимодействии Active Directory:

• UDP порт 88 для Kerberos авторизации.
• UDP и TCP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент.
• TCP порт 139 и UDP 138 для File Replication Service между контроллерами домена.
• UDP порт 389 для LDAP запросов от клиента к серверу.
• TCP и UDP порт 445 для File Replication Service
• TCP и UDP порт464 для смены пароля Kerberos
• TCP порт 3268 и 3269 для доступа к Global Catalog от клиента к контроллеру.
• TCP и UDP порт 53 для DNS запросов
• UDP порт 123 для NTP запросов

Откройте данные порты в файерволе между клиентским компьютером и контроллером домена, или между контроллерами, для стабильной работы Active Directory.

Руководство администратора OpenLDAP 2.4

The OpenLDAP Project <http://www.openldap.org/> 12 февраля 2012

---

Содержание

Предисловие
1. Введение в службы каталогов OpenLDAP
1.1. Что такое служба каталогов?
1.2. Что такое LDAP?
1.3. Для чего можно использовать LDAP?
1.4. Для чего LDAP лучше не использовать?
1.5. Как работает LDAP?
1.6. Как насчёт X.500?
1.7. В чём отличие между LDAPv2 и LDAPv3?
1.8. Непростые взаимоотношения LDAP и реляционных СУБД
1.9. Что такое slapd и на что он способен?

Авторизация и аутентификация squid (basic, Digest, NTLM, negotiate, Kerberos)

Сегодня попробую изложить информацию о методах аутентификации в squid, а так же интегрировать suid в доменную инфраструктуру Active Directory на Windows Server 2008 R2. То есть заставить squid разрешать доступ к интернету на основе доменных учетных записей.

Связываем Active Directory, Asterisk и OpenFire

Не буду касаться установки всего по отдельности – все неплохо описано и работает в индивидуальном порядке весьма замечательно. Напишу, как я объединял все это вместе, на что наткнулся и что у меня получилось.

Samba, как член домена Active Directory

Сегодня хочу рассмотреть сервер SAMBA, как член домена Active Directory на Windows 200x. Хочу сказать, что изначально статья планировалась с темой "дополнительный контроллер домена Active Directory Windows 200x на Linux", но к сожалению, SAMBA может работать не более чем в режиме контроллера домена NT4 (по крайней мере, версия samba 3.х). В 4 версии SAMBA планируется режим работы в качестве полноценного контроллера домена Active Directory, но данная версия только разрабатывается и даже не вышел альфа-релиз, поэтому ставить эксперименты с сырым продуктом пока не хочется. Итак, давайте остановимся на работе SAMBA, как члена доменной структуры Active Directory. Большинство дистрибутивов Linux поддерживают интеграцию с AD "из коробки", но тру-админ должен понимать и разбираться, как все это работает. Поэтому в данной статье я рассмотрю интеграцию Linux и Windows.

Установка программ через AD GPO

Админ, однако, очень не любит ручной труд, который можно автоматизировать, особенно если он однообразен и нуден...

Очень часто выходят обновления для таких компонентов, как Adobe Flash, которые являются потенциальной дырой в браузерах пользователей. Заставить устанавливать такой компонент - пользователя равносильно тому, что совсем его не обновлять. К тому же, необходимы права администратора для данного действия, а пользователь работающий под админом в сети предприятия - это зло, которое так и пытается положить вашу сеть при очередной посещении зловредных ресурсов. И Adobe Flash - это не единственный пример. Посему мы упростим работу себе и обеспечим актуальное состояние софта на рабочих станциях в сети.