Bt-teh.ru

БТ Тех
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Active Directory

Active Directory

Active Directory («Активный каталог», AD) — службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Первоначально создавалась, как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

Представление решения состоялось в 1999 году, впервые продукт был выпущен вместе с Windows 2000 Server, а затем развит в рамках выпуска Windows Server 2003. Впоследствии новые версии продукта вошли в Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2 и переименован в Active Directory Domain Services. Ранее служба каталогов называлась NT Directory Service (NTDS), это название до сих пор можно встретить в некоторых исполняемых файлах.

В отличие от версий Windows до Windows 2000, которые использовали в основном протокол NetBIOS для сетевого взаимодействия, служба Active Directory интегрирована с DNS и работает только поверх TCP/IP. Для аутентификации по умолчанию используется протокол Kerberos. Если клиент или приложение не поддерживает Kerberos-аутентификацию, используется протокол NTLM [1] .

Для разработчиков программного обеспечения предоставляется программный интерфейс доступа к службам Active Directory — ADSI.

Содержание

Устройство [ править | править код ]

Объекты [ править | править код ]

Active Directory имеет иерархическую структуру, состоящую из объектов. Объекты разделяются на три основные категории: ресурсы (например, принтеры), службы (например, электронная почта) и учётные записи пользователей и компьютеров. Служба предоставляет информацию об объектах, позволяет организовывать объекты, управлять доступом к ним, а также устанавливает правила безопасности.

Объекты могут быть хранилищами для других объектов (группы безопасности и распространения). Объект уникально определяется своим именем и имеет набор атрибутов — характеристик и данных, которые он может содержать; последние, в свою очередь, зависят от типа объекта. Атрибуты являются составляющей базой структуры объекта и определяются в схеме. Схема определяет, какие типы объектов могут существовать.

Сама схема состоит из двух типов объектов: объекты классов схемы и объекты атрибутов схемы. Один объект класса схемы определяет один тип объекта Active Directory (например, объект «Пользователь»), а один объект атрибута схемы определяет атрибут, который объект может иметь.

Каждый объект атрибута может быть использован в нескольких разных объектах классов схемы. Эти объекты называются объектами схемы (или метаданными) и позволяют изменять и дополнять схему, когда это необходимо и возможно. Однако каждый объект схемы является частью определений объектов, поэтому отключение или изменение этих объектов могут иметь серьёзные последствия, так как в результате этих действий будет изменена структура каталогов. Изменение объекта схемы автоматически распространяется в службе каталогов. Будучи однажды созданным, объект схемы не может быть удалён, он может быть только отключён. Обычно все изменения схемы тщательно планируются.

Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имён, но, в отличие от объекта, контейнер не обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Структура [ править | править код ]

Верхним уровнем структуры является лес — совокупность всех объектов, атрибутов и правил (синтаксиса атрибутов) в Active Directory. Лес содержит одно или несколько деревьев, связанных транзитивными отношениями доверия. Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS — пространствами имён.

Объекты в домене могут быть сгруппированы в контейнеры — подразделения. Подразделения позволяют создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать, например, организационную или географическую структуру организации в службе каталогов. Подразделения могут содержать другие подразделения. Microsoft рекомендует использовать как можно меньше доменов в службе каталогов, а для структурирования и политик использовать подразделения. Часто групповые политики применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение является самым низким уровнем, на котором могут делегироваться административные полномочия.

Другим способом деления являются сайты, которые являются способом физической (а не логической) группировки на основе сегментов сети. Сайты подразделяются на имеющие подключения по низко скоростным каналам (например, по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например, через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании службы каталогов важно учитывать сетевой трафик, создающийся при синхронизации данных между сайтами.

Ключевым решением при проектировании службы каталогов является решение о разделении информационной инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для такого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.

Физическая структура и репликация [ править | править код ]

Физически информация хранится на одном или нескольких равнозначных контроллерах доменов, заменивших использовавшиеся в Windows NT основной и резервные контроллеры домена, хотя для выполнения некоторых операций сохраняется и так называемый сервер «операций с одним главным сервером», который может эмулировать главный контроллер домена. Каждый контроллер домена хранит копию данных, предназначенную для чтения и записи. Изменения, сделанные на одном контроллере, синхронизируются на все контроллеры домена при репликации. Серверы, на которых сама служба Active Directory не установлена, но которые при этом входят в домен Active Directory, называются рядовыми серверами.

Репликация каталога выполняется по запросу. Служба KCC (Knowledge Consistency Checker) создаёт топологию репликации, которая использует сайты, определённые в системе, для управления трафиком. Внутрисайтовая репликация выполняется часто и автоматически с помощью средства проверки согласованности (уведомлением партнёров по репликации об изменениях). Репликация между сайтами может быть настроена для каждого канала сайта (в зависимости от качества канала) — различная «оценка» (или «стоимость») может быть назначена каждому каналу (например, DS3, T1, ISDN), и трафик репликации будет ограничен, передаваться по расписанию и маршрутизироваться в соответствии с назначенной оценкой канала. Данные репликации могут транзитом передаваться через несколько сайтов через мосты связи сайтов, если «оценка» низка, хотя AD автоматически назначает более низкую оценку для связей «сайт—сайт», чем для транзитных соединений. Репликация «сайт—сайт» выполняется серверами-плацдармами в каждом сайте, которые затем реплицируют изменения на каждый контроллер домена своего сайта. Внутридоменная репликация проходит по протоколу RPC, междоменная — может использовать также протокол SMTP.

Если структура Active Directory содержит несколько доменов, для решения задачи поиска объектов используется глобальный каталог: контроллер домена, содержащий все объекты леса, но с ограниченным набором атрибутов (неполная реплика). Каталог хранится на указанных серверах глобального каталога и обслуживает междоменные запросы.

Читать еще:  Программа для синхронизации кпк компьютер

Возможность операций с одним главным компьютером позволяет обрабатывать запросы, когда репликация с несколькими главными компьютерами недопустима. Есть пять типов таких операций: эмуляция главного контроллера домена (PDC-эмулятор), главный компьютер относительного идентификатора (мастер относительных идентификаторов или RID-мастер), главный компьютер инфраструктуры (мастер инфраструктуры), главный компьютер схемы (мастер схемы) и главный компьютер именования домена (мастер именования доменов). Первые три роли уникальны в рамках домена, последние две — уникальны в рамках всего леса.

Базу Active Directory можно разделить на три логических хранилища или «раздела». Схема является шаблоном для службы и определяет все типы объектов, их классы и атрибуты, синтаксис атрибутов (все деревья находятся в одном лесу, потому что у них одна схема). Конфигурация является структурой леса и деревьев Active Directory. Домен хранит всю информацию об объектах, созданных в этом домене. Первые два хранилища реплицируются на все контроллеры доменов в лесу, третий раздел полностью реплицируется между репликами контроллеров в рамках каждого домена и частично — на сервера глобального каталога.

База данных (хранилище каталогов) в Windows 2000 использует расширяемую подсистему хранения Microsoft Jet Blue ( англ. ) , которая позволяет для каждого контроллера домена иметь базу размером до 16 терабайт и 1 миллиард объектов (теоретическое ограничение, практические тесты выполнялись только с приблизительно 100 миллионами объектов). Файл базы называется NTDS.DIT и имеет две основные таблицы — таблицу данных и таблицу связей. В Windows Server 2003 добавлена ещё одна таблица для обеспечения уникальности экземпляров дескрипторов безопасности.

Именование [ править | править код ]

Служба поддерживает следующие форматы именования объектов: универсальные имена типа UNC, URL и LDAP URL. Версия LDAP формата именования X.500 используется внутри службы.

Каждый объект имеет выделенное имя (англ.  distinguished name , DN) [2] . Например, объект принтера с именем HPLaser3 в подразделении «Маркетинг» и в домене foo.org будет иметь следующее выделенное имя: CN=HPLaser3,OU=Маркетинг,DC=foo,DC=org , где CN  — это общее имя, OU  — раздел, DC  — класс объекта домена. Выделенные имена могут иметь намного больше частей, чем четыре части в этом примере. У объектов также есть канонические имена. Это различающиеся имена, записанные в обратном порядке, без идентификаторов и с использованием косых черт в качестве разделителей: foo.org/Маркетинг/HPLaser3 . Чтобы определить объект внутри его контейнера, используется относительное выделенное имя: CN=HPLaser3 . У каждого объекта также есть глобально уникальный идентификатор (GUID) — уникальная и неизменная 128-битная строка, которая используется в Active Directory для поиска и репликации. Определённые объекты также имеют имя участника-пользователя (UPN, в соответствии с RFC 822) в формате объект@домен .

Интеграция с UNIX [ править | править код ]

Различные уровни взаимодействия с Active Directory могут быть реализованы в большинстве UNIX-подобных операционных систем посредством LDAP-клиентов, но такие системы, как правило, не воспринимают большую часть атрибутов, ассоциированных с компонентами Windows, например, групповые политики и поддержку односторонних доверенностей. Однако с выходом Samba 4 появилась возможность использовать групповые политики и инструменты администрирования Windows.

Сторонние поставщики предлагают интеграцию Active Directory на платформах UNIX, Linux, Mac OS X и ряд приложений на Java, среди них — продукты корпорации Centrify [en] DirectControl и Express, UNAB (Computer Associates), TrustBroker (CyberSafe), PowerBroker Identity Services (BeyondTrust) [3] , Authentication Services (Quest Software), ADmitMac (Thursby) [3] . Сервер Samba — пакета программ PowerBroker Identity Services совместимости с сетевыми службами Microsoft — может выполнять роль контроллера домена [4] [5] .

Добавления в схему, поставляемые с Windows Server 2003 R2, включают атрибуты, которые достаточно тесно связаны с RFC 2307, чтобы использоваться в общем случае. Базовые реализации RFC 2307 — nss_ldap и pam_ldap , предложенные PADL.com, непосредственно поддерживают эти атрибуты. Стандартная схема для членства в группе соответствует RFC 2307bis (предлагаемому) [6] . Windows Server 2003 R2 включает Консоль управления Microsoft для создания и редактирования атрибутов.

Альтернативным вариантом является использование другой службы каталогов, например, 389 Directory Server (ранее — Fedora Directory Server, FDS), eB2Bcom ViewDS XML Enabled Directory [en] или Sun Java System Directory Server [en] , выполняющих двухстороннюю синхронизацию с Active Directory, реализуя таким образом «отражённую» интеграцию, когда клиенты UNIX- и Linux-систем аутентифицируются на собственных серверах, а клиенты Windows — в Active Directory. Другим вариантом является использование OpenLDAP с возможностью полупрозрачного перекрытия, расширяющей элементы удалённого сервера LDAP дополнительными атрибутами, хранимыми в локальной базе данных.

Устранение неполадок, связанных с ошибками обработки групповой политики в домене Active Directory

Сводка: Как устранить ошибки обработки групповой политики на компьютерах Windows в домене Active Directory. Свернуть Как устранить ошибки обработки групповой политики на компьютерах Windows в домене Active Directory.

Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.

Симптомы

Резюме статьи. В этой статье представлена информация по устранению неполадок, связанных с ошибками обработки групповой политики на компьютерах с ОС Windows в домене Active Directory.

Участники домена Active Directory (AD) могут столкнуться с проблемами при применении групповой политики по ряду причин. В этой статье обсуждаются некоторые наиболее распространенные проблемы, а также приводятся рекомендации по поиску и устранению основных проблем.

Общие способы устранения неполадок
Первым шагом при устранении этих проблем является определение степени проблемы. Если обработать групповую политику не может только один компьютер, проблема, скорее всего, связана с неисправностью или неправильной конфигурацией этого компьютера, а не с самим контроллером домена (DC) или AD. В случае возникновения проблем, связанных с конкретным компьютером, выполните команду gpupdate /force на этом компьютере перед дальнейшим поиском и устранением неисправностей, чтобы убедиться, что неисправность не была вызвана временной неполадкой сети, которая была разрешена автоматически.

Если компьютеру не удается обработать групповую политику, в журнале приложений обычно создаются одна или несколько ошибок Userenv. Эти ошибки обычно имеют следующие идентификаторы событий: 1030, 1053, 1054 и 1058. Обычно представление о проблеме можно получить из описания конкретных ошибок на указанном компьютере.

Проблемы с DNS
Пожалуй, самой распространенной причиной сбоев групповой политики (и многих других проблем в AD) является проблема при разрешении имен: клиент пытается обновить параметры групповой политики, но не может определить имя контроллера домена в домене, не может разрешить имя контроллера домена в IP-адрес или разрешает это имя в IP-адрес компьютера, который не является контроллером домена или даже не существует. Если ошибки Userenv на указанном компьютере включают фразы «Сетевой путь не найден» или «Не удалось найти контроллер домена», то, возможно, причина ошибки заключается в DNS. Ниже приведены несколько советов по устранению этой проблемы:

  • Откройте командную строку на компьютере и выполните команду nslookup имя_домена (например, nslookup mydomain.local). Эта команда должна возвратить IP-адреса всех контроллеров домена в домене. Если возвращаются другие адреса, вероятно, в DNS имеются недопустимые записи. Команду nslookup также можно использовать для разрешения имен отдельных контроллеров домена в их IP-адреса (например, nslookup dc1.mydomain.local).
  • Выполните команду ipconfig /all на компьютере и убедитесь, что на нем настроено использование только внутренних DNS-серверов. Использование неправильных DNS-серверов является основной причиной ошибок DNS в домене, и эту проблему легко устранить. На всех компьютерах, присоединенных к домену, должны использоваться только внутренние DNS-серверы, которые обычно являются контроллерами домена.
  • Если на компьютере, на котором произошел сбой, используются правильные DNS-серверы, проверьте наличие соответствующих записей в консоли DNS на контроллере домена. Убедитесь, что на каждом контроллере домена есть две записи хоста (A) в зоне прямого просмотра домена: одна с именем хоста контроллера домена и одна с именем «(same as parent folder)». Обе записи должны содержать IP-адрес контроллера домена.
  • После устранения проблемы DNS не забудьте выполнить команду ipconfig /flushdns на всех подверженных этой проблеме компьютерах, чтобы удалить все недопустимые данные из кэша преобразователя на этих компьютерах.
Читать еще:  Ошибка чтения ответа сервера яндекс при синхронизации браузера

Проблемы с защищенным каналом
Такая проблема обычно возникает, когда компьютер, присоединенный к домену, находился в автономном режиме достаточно долго, чтобы пароль учетной записи компьютера в AD больше не совпадал с локальной кэшированной копией этого пароля компьютера, но может возникнуть и в других ситуациях. Проблема с защищенным каналом препятствует аутентификации компьютера в контроллере домена и обычно проявляется в виде сообщения об ошибке «Отказано в доступе» при обращении к ресурсам домена, включая обновления групповой политики. Конечно, не все сообщения об ошибках «Отказано в доступе» связаны с проблемами с защищенным каналом, но если на проблемном компьютере есть ошибки Userenv в журнале приложений с пометкой «Отказано в доступе» в их описании, рекомендуется проверить защищенный канал.

  • Для проверки (и при необходимости для сброса) защищенного канала участника домена можно использовать команду nltest
  • С помощью команды netdom также можно протестировать и сбросить защищенный канал.
  • Если установлен модуль PowerShell Active Directory, протестировать и/или сбросить защищенный канал также можно с помощью командлета PowerShell Test-ComputerSecureChannel.
  • В некоторых случаях для сброса защищенного канала может потребоваться удалить проблемный компьютер из домена, сбросить учетную запись компьютера AD и повторно присоединить компьютер к домену.

Проблемы с SYSVOL
Файлы групповой политики хранятся в подпапках SYSVOLdomainPolicies в общем ресурсе SYSVOL на всех контроллерах домена. Если общий ресурс SYSVOL отсутствует на контроллере домена, это обычно указывает на проблему либо со службой репликации файлов (FRS), либо с репликацией распределенной файловой системы (DFS-R) в зависимости от того, какой из этих типов репликации используется для репликации SYSVOL.

В этой статье не могут быть приведены исчерпывающие инструкции по устранению проблем с FRS или DFS-R, но вы можете обратить внимание на следующие статьи:

Смещение времени
По умолчанию если после синхронизации часовых поясов время на проблемном компьютере отличается от времени на контроллере домена более чем на пять минут, то этот компьютер не сможет пройти проверку подлинности в контроллере домена и, следовательно, не сможет обработать групповую политику. Для участников домена должна быть настроена синхронизация времени с контроллером домена, а контроллеры домена, в свою очередь, должны синхронизировать время с контроллером домена, поддерживающим роль эмулятора PDC. По этой причине эмулятор PDC должен быть единственным компьютером в домене, на котором настроена синхронизация с внешним источником времени (например, с общедоступным сервером NTP).

Дополнительные сведения о настройке службы времени Windows можно найти здесь.

Отсутствуют файлы групповой политики
Возможно, один или несколько файлов групповой политики были удалены из папки, в которой они были расположены, в общем ресурсе SYSVOL. Самый простой способ проверить это — открыть папку SYSVOLdomainPolicies в Проводнике Windows и проверить наличие файлов, упомянутых в ошибках Userenv на проблемных компьютерах. Файлы каждого объекта групповой политики находятся в подпапке папки Policies. Имя каждой подпапки соответствует GUID объекта групповой политики, файлы для которого она содержит.

Если файлы политик отсутствуют на всех контроллерах домена, их можно восстановить из резервной копии. Если файлы политики домена по умолчанию или файлы политики контроллера домена по умолчанию отсутствуют и резервная копия недоступна, можно восстановить настройки обеих политик по умолчанию с помощью команды dcgpofix. Дополнительные сведения о команде dcgpofix см. в этой статье.

Синхронизация ESET PROTECT Cloud с Active Directory

С помощью модуля сканирования ESET Active Directory можно синхронизировать компьютеры Active Directory с веб-консолью ESET PROTECT Cloud.

Модуль сканирования Active Directory не может синхронизировать пользователей Active Directory. Эта функция будет добавлена позже.

Необходимые условия

• Запустите модуль сканирования Active Directory от имени пользователя Active Directory на компьютере, подключенном к Active Directory .

• Поддерживаемые операционные системы (поддержка HTTP/2 ): Windows 10, Windows Server 2016 и более поздних версий.

Использование Active Directory Модуль сканирования

1. В ESET PROTECT Cloud Web Console создайте сценарий развертывания агента GPO.

2. Авторизуйтесь на компьютере в службе Active Directory с помощью учетной записи пользователя Active Directory. Убедитесь, что выполнены приведенные выше обязательные условия.

4. Распакуйте загруженный файл.

5. Загрузите сценарий развертывания агента GPO (созданный на шаге 1) и скопируйте его в папку ActiveDirectoryScanner (папку, содержащую все файлы модуля сканирования Active Directory).

6. В ESET PROTECT Cloud Web Console откройте Компьютеры и выберите статическую группу, в которой нужно синхронизировать структуру Active Directory.

7. Щелкните значок шестеренки рядом с выбранной статической группой, выберите Модуль сканирования Active Directory и скопируйте созданный маркер доступа.

У каждой статической группы есть свой маркер. Маркер определяет статическую группу, в которой будет синхронизироваться служба Active Directory.

Чтобы сделать недействительным текущий маркер из соображений безопасности, нажмите кнопку Создать повторно для создания нового маркера. Если синхронизация Active Directory с ESET PROTECT Cloud уже запущена, она прекратится после изменения маркера безопасности. Чтобы повторно включить синхронизацию Active Directory, нужно запустить модуль сканирования Active Directory с новым маркером.

8. Запустите модуль сканирования Active Directory (замените token_string маркером, скопированным на предыдущем шаге).

ActiveDirectoryScanner.exe —token token_string

По умолчанию последняя версия модуля сканирования Active Directory не синхронизирует отключенные компьютеры Active Directory. Для синхронизации отключенных компьютеров Active Directory используйте параметр —disabled-computers :

ActiveDirectoryScanner.exe —token token_string —disabled-computers

9. При запросе введите пароль пользователя Active Directory.

10. После завершения синхронизации модулем сканирования Active Directory структура Active Directory (подразделения с компьютерами) отобразится в разделе Компьютеры в ESET PROTECT Cloud Web Console в виде статических групп с компьютерами.

Модуль сканирования Active Directory создает задачу синхронизации Active Directory в планировщике задач Windows с интервалом повторения триггера, для которого задано значение «1 час». Интервал синхронизации Active Directory можно настроить в планировщике задач в соответствии с вашими предпочтениями. Все будущие изменения в структуре Active Directory появятся в ESET PROTECT Cloud Web Console после следующей синхронизации.

Ограничения синхронизации Active Directory:

o Модуль сканирования Active Directory синхронизирует только подразделения Active Directory, содержащие компьютеры с именами DNS. Подразделения, не содержащие ни одного компьютера, синхронизироваться не будут.

o В случае изменения имени подразделения в Active Directory после следующей синхронизации в ESET PROTECT Cloud Web Console будет создана новая статическая группа с новым именем. Статическая группа, имя которой соответствует старому имени подразделения, останется в ESET PROTECT Cloud Web Console и будет пустой — включенные в нее компьютеры будут перемещены в статическую группу с новым именем.

Читать еще:  Синхронизация яндекс браузер вход

o При удалении подразделения в Active Directory все компьютеры в нем будут удалены из соответствующей статической группы в веб-консоли ESET PROTECT Cloud.

o Если удалить синхронизированный компьютер Active Directory с ESET PROTECT Cloud Web Console, он не появится после следующей синхронизации даже в том случае, если он остается в Active Directory.

Чтобы просмотреть справку по модулю сканирования Active Directory, используйте один из этих параметров: -? , -h , —help .

active_directory_scanner

В целях устранения неполадок просмотрите журналы, расположенные в папке C:ProgramDataESETActiveDirectoryScannerLogs .

Кроме того, можно использовать одно из перечисленных ниже обходных решений:

Экспортируйте список компьютеров из Active Directory и импортируйте его в ESET PROTECT Cloud

Это решение обеспечивает только однократную синхронизацию Active Directory и не синхронизирует никакие будущие изменения Active Directory.

1. Экспортируйте список компьютеров из Active Directory В зависимости от способа управления Active Directory можно использовать разные средства. Например, откройте Пользователи и компьютеры Active Directory , а затем в домене щелкните правой кнопкой Компьютеры и выберите Экспортировать список .

cloud_export_ad_computers

2. Сохраните список экспортированных компьютеров Active Directory в виде файла .txt .

3. Измените список компьютеров так, чтобы форматирование было приемлемым для импорта ESET PROTECT Cloud. Убедитесь, что каждая строка содержит один компьютер и имеет следующий формат:
GROUPSUBGROUPComputer name

4. Сохраните обновленный файл .txt со списком компьютеров.

5. Импортируйте список компьютеров Active Directory в веб-консоль ESET PROTECT Cloud. Щелкните Компьютеры , а затем щелкните значок шестеренки возле статической группы Все и выберите команду Импорт .

cloud_export_import_computers

Развертывание агента ESET Management на компьютерах Active Directory с помощью объекта групповой политики

2. Разверните агент ESET Management с помощью объекта групповой политики (GPO). Начните с шага 3 из статьи базы знаний.

3. После успешного развертывания агента ESET Management с помощью объекта групповой политики агент ESET Management будет установлен на компьютерах Active Directory и эти компьютеры будут отображаться в веб-консоли ESET PROTECT Cloud на экране Компьютеры .

В будущем при каждом добавлении нового компьютера в Active Directory он будет отображаться в веб-консоли ESET PROTECT Cloud на экране Компьютеры .

Windows: синхронизация файлов и папок по сети или резервное копирование кратко

Итак, у нас есть задача: синхронизировать некоторый набор папок с лежащими в них файлами. Причем задача стоит именно так:

  • Синхронизация должна поддерживать передачу файлов по сети — т.е., например, с одного компьютера на другой;
  • Синхронизация должна уметь копировать только новые файлы, не передавая заново уже существующие;

Из своей практики я могу предложить 2 пути: ROBOCOPY и XCOPY.

Путь первый — ROBOCOPY

Данная утилита идет из коробки в Windows 7 и Server 2008. На более старых ОС ее может не оказаться (например, на XP и Server 2003 из коробки ее точно нет). В таком случае можно скачать и установить Windows Server 2003 Resource Kit Tools: вот отсюда

. В этот тулкит, кроме всего прочего, входит наш инструмент.

Итак, вот пример использования данной утилиты:

В данном примере:
Мы копируем папку "исходная папка", находящуюся на локальном диске D:
Мы копируем эту папку на компьютер \192.168.0.1 в папку "целевая папка"
/E : Мы копируем все подпапки и файлы
/Z : Включаем поддержку докачки (на случай обрыва связи)
/COPY:TDASO : Копируем все атрибуты и ACL прав доступа NTFS (но не копируем атрибуты аудита)
/DCOPY:T : Копируем время создания папок
/M : Копируем только файлы с установленным атрибутом "A — Архивный" и сбрасываем этот атрибут, что позволяет нам копировать только измененные файлы.
/R : Количество повторных попыток копирования файла в случае, если копирование не удалось. Причем "не удалось" срабатывает и в том случае, если доступ к файлу закрыт. По-умолчанию = 1 миллионы, т.е. бесконечно, потому копирование благополучно встанет на первом же файле, к которому не будет доступа.
/W : Задержка в секундах между попытками копирования. По-умолчанию = 30 секундам.

Заметка. Очень рекомендую задавать вручную параметры /R и /W, иначе при автоматической синхронизации она попросту зависнет, встретив на своем пути ошибку доступа.

Много больше опций Вы можете почерпнуть из хелпа:

Чем эта утилита хороша по сравнению с XCOPY:

  • Она умеет работать с файлами, длина имени которых больше 256 символов
  • Она умеет делать зеркало, т.е. чистую синхронизацию, при которой файлы, удаленные в папке-источнике, будут удалены и в папке назначения.

Для того, чтобы зеркалировать папки (т.е. удалять в папке назначения все файлы, которые более не существуют в папке-источнике) — нужно добавить ключ "/PURGE":

А вот несколько примеров запуска этой утилиты

Скопировать файлы, измененные за последние 5 дней (исключая сегодня):

Переместить все файлы (не копировать):

Копировать только указанные файлы по шаблону

Windows: синхронизация файлов и папок по сети или резервное копирование

Путь второй — XCOPY

Данная утилита более старая, чем ROBOCOPY, и имеет меньше возможностей. Так, она не поддерживает пути с длинной имени более 256 символов (как это не умело делать FAT) и она не умеет делать зеркалирование. Более того, у нее отмечаются проблемы с копированием прав доступа ACL NTFS, как минимум — при копировании файлов на Samba- сервер .

Вот пример ее запуска:

  • Копируем все файлы из директории "исходная папка", находящейся на диске "D:"
  • Копируем все файлы на компьютер \192.168.0.1 в папку "целевая папка"
  • /D : Копируем только измененные файлы (по дате изменения)
  • /E : Копируем подкаталоги, включая пустые
  • /C : Игнорируем ошибки , если они возникли во время копирования, и продолжаем копирование
  • /I : Целевой объект — это папка
  • /H : Копировать скрытые и системные файлы
  • /R : Перезаписываем файлы, предназначенные только для чтения
  • /K : Копируем атрибуты, такие, как "только для чтения", "архивный", "системный", "скрытый"
  • /Y : Не спрашивать подтверждение на перезапись файлов
  • /F : Вывод полных имен исходных и целевых файлов (иначе — только имена файлов, без папок)
  • /O : Если установлен — копировать так-же ACL NTFS атрибуты доступа

По моему личному опыту ROBOCOPY лучше справляется со своей работой, в особенности, если Вы копируете файлы файловой помойки, куда лазят несколько сотен людей — бардака там бывает достаточно и длинна файловых имен с путем нередко больше 256 символов.

Rsync для линукс

Для линукс сущетвует приложение Rsync кодом, которое можно использовать для синхронизации файлов и папок с локального компьютера на удаленный и наоборот. Примечательная особенность Rsync — возможность передавать зашифрованные файлы с помощью SSH и SSL. Кроме того, здесь передача файлов выполняется в один поток, в отличие от других подобных программ, создающий отдельный поток для передачи каждого файла. Это увеличивает скорость и убирает дополнительные задержки , которые становятся проблемой при передаче большого количества маленьких файлов.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector