Войти с локальной учетной записью на контроллер домена в принципе невозможно, поскольку при повышении сервера до контроллера домена локальная база учетных записей становится недоступной. Однако из этого правила есть одно исключение.
30
ИюлВойти с локальной учетной записью на контроллер домена в принципе невозможно, поскольку при повышении сервера до контроллера домена локальная база учетных записей становится недоступной. Однако из этого правила есть одно исключение.
Творческий подход к администрированию Active Directory позволяет реализовать самые невероятные сценарии. Например, от вас требуется, чтобы в оснастке Active Directory для каждого пользователя отображался его любимый напиток.
В операционных системах Windows есть такое противоречивое понятие как локальная групповая политика, т.е. групповая политика, воздействующая только на локальный компьютер. Локальные политики можно применять при отсутствии домена, например для настройки отдельных компьютеров или в небольших одноранговых сетях.
Групповые политики играют важную роль в управлении доменом, а их повреждение или случайное удаление может привести к непредсказуемым результатам. Резервное копирование объектов групповых политик (Group Policy Object, GPO) дает возможность оперативно восстановить их состояние и если не избежать последствий, то свести их к минимуму. Кроме того, резервные копии стоит делать перед редактированием параметров GPO, чтобы в случае проблем не заниматься поиском, а просто откатить изменения из бэкапа.
В каждом домене Active Directory по умолчанию создаются два объекта групповой политики (Group Policy Object, GPO): Default Domain Policy и Default Domain Controllers Policy. Default Domain Policy назначается на весь домен и определяет в нем политику паролей и учетных записей, а Default Domain Controllers Policy связан с OU Domain Controllers и обеспечивает повышенный уровень безопасности для контроллеров домена.
Открыв оснастку Active Directory Users and Computers (ADUC), первое что мы видим — это контейнеры (Organization Unit, OU), в которые помещаются учетные записи пользователей, компьютеров и групп. В зависимости от размера и структуры организации количество OU может быть весьма большим.
Этой статьей я завершаю тему восстановления данных в Active Directory. Напоследок я приберег самый тяжелый вариант — авторитативное восстановление Active Directory из резервной копии. Авторитативное восстановление (англ. Authoritative restore) — процесс достаточно сложный и долгий, могущий привести к различным неприятным последствиям, поэтому применять его стоит очень аккуратно. Однако ситуации бывают разные, поэтому все, кто работает с Active Directory, должны знать об этом способе восстановления и уметь им пользоваться.