Windows: "Призраки" в Active Directory. Охота на Lingering Objects
Это один из самых коварных и трудноуловимых багов репликации AD.
Что это: "Зависший объект" (Lingering Object) — это объект (например, пользователь), который был удален на одном контроллере домена (DC), но остался на другом DC, который был в оффлайне дольше, чем "время жизни" удаленного объекта (Tombstone Lifetime, обычно 60-180 дней).
Чем опасно: Ваш HelpDesk не может создать пользователя с именем ivanov (потому что "призрак" ivanov еще существует на одном из DC), Exchange падает с ошибками, GPO не применяются.
Как найти и уничтожить "призраков":
1. Включить строгую проверку репликации (Strict Replication Consistency): Это обязательно на всех DC! Это не ищет, а предотвращает появление новых "призраков".
PowerShell
2. Найти "призраков": Эта команда — ваш сканер. Ее нужно запустить на каждом DC, используя в качестве "эталона" самый авторитетный DC.
PowerShell
Проанализируйте dcdiag.log, который будет создан. Если там есть "lingering objects" — переходим к шагу 3.
3. Уничтожить (если найдены на шаге 2):
PowerShell
Взгляд архитектора: Архитектор не просто чинит. Он строит надежную топологию репликации. Проблема "призраков" — это симптом. Коренная причина — плохая связность, выключенные на месяц DC или неправильное восстановление из бэкапа. repadmin — ваш скальпель, но лечить нужно саму архитектуру.
#windows #activedirectory #ad #replication #powershell #security #гайд #architect
Это один из самых коварных и трудноуловимых багов репликации AD.
Что это: "Зависший объект" (Lingering Object) — это объект (например, пользователь), который был удален на одном контроллере домена (DC), но остался на другом DC, который был в оффлайне дольше, чем "время жизни" удаленного объекта (Tombstone Lifetime, обычно 60-180 дней).
Чем опасно: Ваш HelpDesk не может создать пользователя с именем ivanov (потому что "призрак" ivanov еще существует на одном из DC), Exchange падает с ошибками, GPO не применяются.
Как найти и уничтожить "призраков":
1. Включить строгую проверку репликации (Strict Replication Consistency): Это обязательно на всех DC! Это не ищет, а предотвращает появление новых "призраков".
PowerShell
repadmin /regkey * +strict
2. Найти "призраков": Эта команда — ваш сканер. Ее нужно запустить на каждом DC, используя в качестве "эталона" самый авторитетный DC.
PowerShell
# Запускаем в режиме "Advisory Mode" (только отчет)
# DC-Source - это ваш "чистый" DC (например, владелец FSMO)
# DC-Dest - это DC, который мы проверяем на "призраков"
repadmin /removelingeringobjects DC-Dest.corp.local DC-Source.corp.local-GUID corp.local /ADVISORY_MODE
Проанализируйте dcdiag.log, который будет создан. Если там есть "lingering objects" — переходим к шагу 3.
3. Уничтожить (если найдены на шаге 2):
PowerShell
# Убираем /ADVISORY_MODE, чтобы запустить реальное удаление
repadmin /removelingeringobjects DC-Dest.corp.local DC-Source.corp.local-GUID corp.local
Взгляд архитектора: Архитектор не просто чинит. Он строит надежную топологию репликации. Проблема "призраков" — это симптом. Коренная причина — плохая связность, выключенные на месяц DC или неправильное восстановление из бэкапа. repadmin — ваш скальпель, но лечить нужно саму архитектуру.
#windows #activedirectory #ad #replication #powershell #security #гайд #architect
👍2
🔐 PowerShell: "Я ввожу пароль правильно, но не пускает!"
Классика утра понедельника: пользователи вернулись, пальцы забыли пароли, учетки заблокировались (Account Locked Out). Не нужно искать бедолаг вручную в
Найти всех заблокированных прямо сейчас:
Разблокировать всех одной командой (Режим Бога): (Использовать осторожно!)
Будьте героем, который чинит вход за 5 секунд.
#windows #powershell #activedirectory #ad #helpdesk #automation
Классика утра понедельника: пользователи вернулись, пальцы забыли пароли, учетки заблокировались (Account Locked Out). Не нужно искать бедолаг вручную в
ADUC . Используйте PowerShell модуль Active Directory.Найти всех заблокированных прямо сейчас:
Search-ADAccount -LockedOut |
Select-Object Name, SamAccountName, LockedOut |
Format-Table -AutoSize
Разблокировать всех одной командой (Режим Бога): (Использовать осторожно!)
Search-ADAccount -LockedOut | Unlock-ADAccount
Будьте героем, который чинит вход за 5 секунд.
#windows #powershell #activedirectory #ad #helpdesk #automation
👍2
🪟 CMD: Почему политика не применилась? (
Пользователь жалуется: "У меня нет нужного принтера" или "Обои не поменялись". Вы смотрите в редактор GPO — всё настроено. В чем дело? Наследование? WMI-фильтр? Группа безопасности?
Не гадайте. Сделайте HTML-отчет прямо на машине пользователя.
Команда (запуск от Админа):
Что это дает: Откройте
* Какая политика победила (Winning GPO).
* Какая была отклонена и почему (Access Denied / Empty / Disabled).
* Время применения.
Это в 100 раз понятнее, чем сухой вывод консольного
#windows #gpo #ad #troubleshooting #gpresult #cmd #sysadmin
gpresult /h )Пользователь жалуется: "У меня нет нужного принтера" или "Обои не поменялись". Вы смотрите в редактор GPO — всё настроено. В чем дело? Наследование? WMI-фильтр? Группа безопасности?
Не гадайте. Сделайте HTML-отчет прямо на машине пользователя.
Команда (запуск от Админа):
gpresult /h C:\report.html
Что это дает: Откройте
report.html в браузере. Это красивый, цветной отчет, где показано:* Какая политика победила (Winning GPO).
* Какая была отклонена и почему (Access Denied / Empty / Disabled).
* Время применения.
Это в 100 раз понятнее, чем сухой вывод консольного
gpresult /r .#windows #gpo #ad #troubleshooting #gpresult #cmd #sysadmin
✍2
🎟️ Windows: "Доступ дал, а не пускает!" (Kerberos Purge)
Классика: Вы добавили пользователя в группу "Бухгалтерия", чтобы он открыл сетевую папку. Он пробует — "Отказано в доступе". Вы говорите: "Перезагрузись" или "Выйди и зайди". Это работает, но это долго и бесит юзера, у которого открыто 20 вкладок.
Причина: Windows использует Kerberos. При входе пользователь получает TGT (Ticket Granting Ticket), в котором "зашиты" его группы. Тикет живет 10 часов. Пока он не обновится, система не знает про новую группу.
Решение без перезагрузки: Очистите кэш тикетов прямо в сеансе пользователя.
Команда (в CMD/PowerShell пользователя):
После этого при следующей попытке открыть папку Windows запросит новый тикет у контроллера домена, уже с новыми правами. Магия!
#windows #kerberos #ad #troubleshooting #access #cmd #lifehack
Классика: Вы добавили пользователя в группу "Бухгалтерия", чтобы он открыл сетевую папку. Он пробует — "Отказано в доступе". Вы говорите: "Перезагрузись" или "Выйди и зайди". Это работает, но это долго и бесит юзера, у которого открыто 20 вкладок.
Причина: Windows использует Kerberos. При входе пользователь получает TGT (Ticket Granting Ticket), в котором "зашиты" его группы. Тикет живет 10 часов. Пока он не обновится, система не знает про новую группу.
Решение без перезагрузки: Очистите кэш тикетов прямо в сеансе пользователя.
Команда (в CMD/PowerShell пользователя):
klist purge
После этого при следующей попытке открыть папку Windows запросит новый тикет у контроллера домена, уже с новыми правами. Магия!
#windows #kerberos #ad #troubleshooting #access #cmd #lifehack