восстановление AD
Восстанавливаем состояние GPO по умолчанию
gpmc.msc
rsop.msc
dcdiag /q /e
repadmin /showrepl * /csv >showrepl.csv
dcgpofix.exe /ignoreschema /target: Domain
Средство Dcgpofix не восстанавливает параметры безопасности в исходное состояние для Политики Контроллера Домена по умолчанию(Defaul Domain Controller Policy).
Диагностика состояния контроллера домена и репликаций Active Directory
dcdiag /n:local /e /v /f:c:\logs\adtest.log /ferr:c:\logs\aderrors.log /u:local\user19 /p:Password
где:
/n:local - имя домена
/e автоматическая проверка всех серверов с ролью DC
/v расширенная проверка
/f - записать лог файл
/ferr - записать лог файл ошибок (актуально для WinSRV2003, в новых версиях - неактуально)
/u имя домена и пользователя
Межсайтовая топология отслеживается так:
repadmin /showism
Отображение партнеров по репликации и времени последней репликации выполняется следующей командой:
repadmin /showrepl
Следующей командой можно проверить
repadmin /replsummary [nameDC|wildcard]
При этом ключ /replsummary используется для быстрой проверки репликации на конкретном сервере, а ключ wildcard - для всех серверов.
Проверка USN записей:
repadmin /showutdvec
Синхронизация конкретного контроллера домена с участниками репликации:
replmon /syncall
Резервное копирование и восстановление GPO
Восстановление групповых политик в домене polygon.local
PowerShell - Резервное копирование групповых политик Active Directory (GPO)
Backup-GPO -Name Documents -Path ″C:\GPO Backups″ -Comment ″Backup with PowerShell″
для архивации всех GPO в текущем домене можно воспользоваться командой:
Backup-GPO -All -Path ″C:\GPO Backups″
команда восстановит наиболее свежую версию GPO с именем Documents:
Restore-GPO -Name Documents -Path ″C:\GPO Backups″
Для восстановления всех GPO используйте ключ -All, вот так:
Restore-GPO -All -Path ″C:\GPO Backups″
с помощью ключа -BackupID можно указать идентификатор резервной копии:
Restore-GPO -Path ″C:\GPO Backups″ -BackupID 17205BEF-6A37-4D5D-BB42-72D690922BF3
PowerShell можно использовать для автоматизации резервного копирования объектов групповых политик. Для примера запланируем бэкап всех доменных GPO ежедневно в 3 часа ночи:
$t = New-JobTrigger -Daily -At 3am
Register-SheduledJob -Name AllGPOBackup -ScriptBlock {Backup-GPO -All -Path ″C:\GPO Backups″} -Trigger $t
Инструмент состояния репликации Active Directory
Для диагностики сбоев репликации Active Directory
Восстановление удаленных доменных учетных записей в Windows 2003/2008/2008R2
Windows Server Reanimating Active Directory Tombstone Objects
ADSI Edit (adsiedit.msc)
https://download.sysinternals.com/files/AdExplorer.zip
https://download.sysinternals.com/files/ADRestore.zip
Как вручную создать GPO домена по умолчанию
Существует два объекта групповой Политики, созданные после повышения на рядовой компьютер или изолированного сервера до контроллера домена.
Эти два объекты групповой политики являются:
По умолчанию Групповая политика для домена
Контроллер домена по умолчанию Групповая политика.
Эти GPO хранятся в папке SYSVOL. Служба входа в сеть создает два постоянных GUID эти два объекта групповой политики в папке SYSVOL.
\Windows\SYSVOL\sysvol\domain.com\policies\GUID
Объект групповой Политики домена GUID {31B2F340-016D-11D2-945F-00C04FB984F9}
ОБЪЕКТ ГРУППОВОЙ ПОЛИТИКИ КОНТРОЛЛЕРА ДОМЕНА GUID {6AC1786C-016F-11D2-945F-00C04FB984F9}
C:\WINDOWS\security\templates\policies
Как восстановить права доступа по умолчанию Групповая политика для домена Windows Server 2003
Сброс локальных групповых политик в Windows
Файлы registry.pol всех применённых доменных групповых политик хранятся в каталоге %windir%\System32\GroupPolicy\DataStore\0\SysVol\ contoso.com\Policies. Каждая политика хранится в отдельном каталоге с GUID доменной политики.
Как использовать Ldp.exe для просмотра все дерево каталогов и найдите контейнер Microsoft Exchange
addiag /v
nltest /sc_verify:
nslookup fqdn_вашего_домена
netdiag -v
DCDIAG /test:CheckSecurityError
dfsutil /purgemupcache
редактирование файла GptTmpl.inf
После редактирования файла GptTmpl.inf вручную увеличьте версию объекта групповой политики, чтобы изменения в политике были сохранены. Для этого воспользуйтесь одним из следующих методов.
Способ 1. Использование редактора объектов групповой политики
1 Откройте редактор объектов групповой политики.
2 Изменить.
3 Закройте редактор объектов групповой политики.
Способ 2: вручную отредактируйте файл Gpt.ini
Чтобы вручную увеличить версию объекта групповой политики, измените файл Gpt.ini, который управляет номерами версий шаблона групповой политики. Сделать это:
1 Откройте файл Gpt.ini с помощью текстового редактора, такого как Блокнот.
2 Увеличьте номер версии до достаточно большого числа, чтобы гарантировать, что при нормальной репликации новый номер версии не устареет до сброса политики. Лучше увеличивать число, добавляя число «0» в конце номера версии или число «1» в начале номера версии.
3 Сохраните файл Gpt.ini, а затем закройте его.
Более того, примените новый объект групповой политики с помощью необходимо вручную обновить объект групповой политики
gpupdate /? - отобразить подсказку по использования команды.
gpupdate - выполняется обновление политик компьютера и политик пользователя. Применяются только изменившиеся политики.
gpupdate /Target:computer - выполняется обновление политик только для компьютера.
gpupdate /Force - выполняется обновление всех политик.
gpupdate /Boot - обновление групповых политик с перезагрузкой компьютера.
В каждой папке с групповой политикой существуют подпапки Machine и User, соответствующие настройкам пользователя и компьютера. Если углубиться в подпапки, можно легко понять структуру групповой политики:
Погружение в шаблоны и приручение GPO Windows
В корне папки находится файл GPT.ini с настройками групповой политики, такими как ее название.
В подпапках Machine и User сидят файлы registry.pol с настройками соответствующих веток реестра.
По пути Microsoft\Windows NT\SecEdit можно найти шаблон настроек безопасности ― GptTmpl.inf.
В подпапке Preferences находятся предпочтения групповых политик, представляющие из себя подпапки с файлами xml.
В подпапке Applications сидят дистрибутивы для развертывания через групповые политики.
В папке Scripts находятся скрипты на logon\logoff для пользователя и startup\shutdown для компьютера.
В папке Documents and Settings есть настройки перенаправления пользовательских папок.
Наконец, в папке Adm находятся устаревшие шаблоны групповой политики.
Устранение неполадок групповой политики
Устранение неполадок репликации Active Directory
Контроллер домена работает неправильно
Устранение проблем с репликацией Active Directory
Восстановление Active Directory
Как восстановить домен AD DS
Утилиты для тестирования домена
Корзина Active Directory: рекомендации по использованию
Событие с кодом 1000, 1001 регистрируется каждые пять минут в журнале событий приложений.
Инструкции по восстановлению дерева SYSVOL и его содержимого в домене
Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена
Автоматизация процессов в сети
Групповая политика (настройка на примерах)
Наводим порядок в Active Directory
AD: решаем задачи повышенной сложности
Управление групповыми политиками
Управление групповыми политиками
Кенин А.М. Практическое руководство системного администратора. - 2-е изд., 2013
Кенин А.М. Самоучитель системного администратора. - 3-е изд., 2012
Самоучитель системного администратора / А.М. Кенин, Д.Н. Колисниченко. - 4-е изд., 2016
https://live.sysinternals.com/
http://support.modelamerican.com/downloads/Utilities/
FRSDiag.exe