4
зато остальное время аутоматично
$pc = Get-ADComputer ИмяКомпа -Properties *
если компа а AD нет валится ошибка, как сделать так, чтоб в консоль не валилась?Size: a a a
2021 October 01
AS
Ребят туплю - помогите заглушить ошибку ,
A
try{} catch{}
AS
=( лепить такие конструкции .. фак
A
try {$pc = Get-ADComputer ИмяКомпа -Properties *} catch {}, некрасиво, но все же
AS
использовать -Filter, он ничего не выдаёт если не находит, емнип
AS
о точно... спасибо
RD
Привет! Подскажите, хранится ли гдето дата отключения пользователя в AD (именно отключения, а не последнего входа). Надо перелопатить несколько сотен учеток…
md
Это задача аудита а не свойств УЗ. Косвенно можно по атрибуту whenChanged, но он кажись не реплицируется между dc
md
Event id 4725, смотреть в этом направлении
АФ
Насколько знаю, нет другого точного инструмента, кроме выгрузки журналов безопасности и дальнейшей фильтрации по событию.
При отключении/включении(и др. операциях) меняется атрибут userAccountControl. Для отключенных = 514.
посмотреть дату последнего изменения атрибута можно в метаданных репликации. repadmin /showobjmeta
или Search-ADAccount -AccountDisabled | Get-ADReplicationAttributeMetadata в помощь.
Но объекты могли менятся и после отключения, так что такое...
При отключении/включении(и др. операциях) меняется атрибут userAccountControl. Для отключенных = 514.
посмотреть дату последнего изменения атрибута можно в метаданных репликации. repadmin /showobjmeta
или Search-ADAccount -AccountDisabled | Get-ADReplicationAttributeMetadata в помощь.
Но объекты могли менятся и после отключения, так что такое...
O
Реплицируется, конечно же.
Кроме того, есть и такие еще опции:
Modified
modifyTimeStamp
Кроме того, есть и такие еще опции:
Modified
modifyTimeStamp
O
но это все не точные показатели
К
Господа, вопрос не по пош, но некуда уже задавать:
Есть NPS RADIUS на Win2016.
Есть доверительные отношения между лесом с NPS и двумя другими лесами (двусторонние, forest auth).
Топология лесов:
Мой лес - один root domain
Второй лес - один root domain
Третий лес - root domain + child domain (с УЗ конечных потребителей)
На NPS есть Network rule, в условии которого фигурирует Domain Local группа, в которой, соответственно, наличествуют УЗ с остальных лесов.
Со второго леса авторизация проходит без проблем.
С третьего (где есть child domain) - не проходит. В Win Events 6273 с reason-code 66 (клиент не прошёл ни по одному правилу и был отброшен запрещающим правилом).
Если в правитло добавить пользака из третьго леса напрямую, либо же DomainGlobal группу из того леса - то авторизация проходит.
SID Filtering вырублен, Foreign Security Principal в моём домене (который с NPS) создаётся, членство в моих Domain Local группах имеется.
На других сервисах всё ок - на той же файлопомойке нормально отрабатывает ACL на той же Domain Local группе.
По инетам нашёл всего 2 упоминания по подобной проблеме:
https://social.technet.microsoft.com/Forums/ie/en-US/2a4cb68e-4a70-4c9e-adaa-895e677b71bd/nps-user-group-condition-not-working?forum=winserverNAP
https://serverfault.com/questions/1050729/network-policy-server-rule-does-not-match-users-from-trusted-domain-when-in-a-ne?newreg=3b73d1d282684480a205e112d0ae4837
Куда можно покопать?
Есть NPS RADIUS на Win2016.
Есть доверительные отношения между лесом с NPS и двумя другими лесами (двусторонние, forest auth).
Топология лесов:
Мой лес - один root domain
Второй лес - один root domain
Третий лес - root domain + child domain (с УЗ конечных потребителей)
На NPS есть Network rule, в условии которого фигурирует Domain Local группа, в которой, соответственно, наличествуют УЗ с остальных лесов.
Со второго леса авторизация проходит без проблем.
С третьего (где есть child domain) - не проходит. В Win Events 6273 с reason-code 66 (клиент не прошёл ни по одному правилу и был отброшен запрещающим правилом).
Если в правитло добавить пользака из третьго леса напрямую, либо же DomainGlobal группу из того леса - то авторизация проходит.
SID Filtering вырублен, Foreign Security Principal в моём домене (который с NPS) создаётся, членство в моих Domain Local группах имеется.
На других сервисах всё ок - на той же файлопомойке нормально отрабатывает ACL на той же Domain Local группе.
По инетам нашёл всего 2 упоминания по подобной проблеме:
https://social.technet.microsoft.com/Forums/ie/en-US/2a4cb68e-4a70-4c9e-adaa-895e677b71bd/nps-user-group-condition-not-working?forum=winserverNAP
https://serverfault.com/questions/1050729/network-policy-server-rule-does-not-match-users-from-trusted-domain-when-in-a-ne?newreg=3b73d1d282684480a205e112d0ae4837
Куда можно покопать?
MO
Так группы разве не глобальные должны быть в таких схемах - с дочерним доменом ?
MO
Вообще у вас же есть лицензия, можете прямо майкам в саппорт написать
К
Не, я в своём домене только в Domain Local groupscope могу добавлять пользаков с соседних лесов.
MO
Я про группы соседних доменов. Нарисуйте картинку откуда и как у вас а)работает б)не работает