sergey vasin

The IT blog

Archive for Сентябрь 2017

Primary Group в Active Directory

leave a comment »

Когда мы хотим получить информацию о членстве в группах определенного пользователя или компьютера, мы можем воспользоваться командлетами Get-ADPrincipalGroupMembership или Get-ADAccountAuthorizationGroup.

Первый из них выведет информацию обо всех группах, в которые объект входит непосредственно.

Результат выполнения второго командлета будет содержать все группы, в которые объект входит как явно, так и через другие группы. Кроме того, этот командлет выведет информацию обо всех системных группах, SID которых будет присутствовать в токене безопасности пользователя, например Authenticated Users.

Альтернативой использованию вышеупомянутых командлетов будет запрос значений backlink-атрибута MemberOf или атрибута типа constructed msds-MemberOfTransitive.

Читать далее…

Реклама

Written by Сергей Васин

Сентябрь 18, 2017 at 11:23

Опубликовано в Active Directory, PowerShell

Вложенные группы Active Directory и PowerShell

leave a comment »

Группы Active Directory используются для множества разных целей, будь то фильтрация групповой политики или назначение определенных привилегий пользователям. Достаточно гибкая структура позволяет разграничивать объекты пользователей и компьютеров наиболее удобным для нас образом.

Но в то же время это приводит к образованию иерархии групп, состоящей из нескольких уровней (что, в общем то, нормально), тем самым затрудняя определение, в какие же именно группы входит определенный пользователь.

Для поиска подобной информации мы можем использовать командлеты модуля ActiveDirectory.

Читать далее…

Written by Сергей Васин

Сентябрь 15, 2017 at 14:36

Опубликовано в Active Directory, PowerShell

Изменение значений атрибутов Active Directory, представленных битовыми масками

leave a comment »

Вслед предыдущей статье, где мы рассматривали способы фильтрации с использованием значений флагов в атрибутах, представленных в виде битовых масок, давайте поговорим о подходах к изменению значений таких атрибутов.

В атрибутах такого типа каждый бит является отдельным флагом и имеет свое собственное значение. Примерами таких атрибутов являются UserAccountControl для объектов пользователей и компьютеров и GroupType для объектов групп.

В качестве примера давайте опять же обратимся к второму флагу — ADS_UF_ACCOUNTDISABLE — атрибута UserAccountControl, указывающему, является ли учетная запись пользователя или компьютера активной — значение 0, или же она деактивирована — значение 1.

Читать далее…

Written by Сергей Васин

Сентябрь 12, 2017 at 15:07

Опубликовано в Active Directory, PowerShell

-band, -bor и их LDAP-аналоги

leave a comment »

Как мы знаем, многие атрибуты объектов Active Directory представлены в виде битовых масок. Например, такие как UserAccountControl для объектов пользователя или компьютера или GroupType для объекта группы.

И хотя командлеты модуля ActiveDirectory представляют эти значения в виде отдельных атрибутов, скрывая от пользователя их истинную природу, иногда нам все-таки приходится работать с ними напрямую.

Читать далее…

Written by Сергей Васин

Сентябрь 11, 2017 at 13:31

Опубликовано в Active Directory, PowerShell

Использование методов ConvertToDateTime и ConvertFromDateTime объектов WMI

leave a comment »

В продолжение предыдущей темы о конвертации значений даты и времени, в этот раз поговорим об объектах WMI.

Для получения экземпляров объектов WMI нам доступны несколько способов. Один из них — это использование командлетов модуля CIMCmdlets. Например, так:

Читать далее…

Written by Сергей Васин

Сентябрь 8, 2017 at 14:00

Опубликовано в PowerShell, WMI

Tagged with

Получение значения атрибута pwdLastSet объекта пользователя при запросе к Active Directory с использованием LDAP

leave a comment »

Скажем сразу — все, что здесь описано касается также и остальных атрибутов, содержащих значение даты и времени. Тем не менее в этой статье мы будем говорить об атрибуте pwdLastSet, а применить описанные подходы к другим атрибутам вы сможете и сами.

Когда для запросов к Active Directory мы используем командлеты одноименного модуля, то результаты их выполнения не требуют от нас каких-либо дополнительынх действий. Однако, если по каким-то причинам решили использовать LDAP, здесь все немного сложнее.

Читать далее…

Written by Сергей Васин

Сентябрь 7, 2017 at 13:26

Опубликовано в Active Directory, PowerShell

ConvertFrom-sthSID — функция для конвертации строки SID в формат массива байтов

leave a comment »

В предыдущей статье мы говорили о преобразовании SID из массива байтов в строчный формат. Почему бы нам не написать функцию для обратного преобразования.

Читать далее…

Written by Сергей Васин

Сентябрь 6, 2017 at 12:54

Опубликовано в Active Directory, PowerShell