Каковы наиболее распространенные периодические действия, которые необходимо выполнять, чтобы обеспечить бесперебойную и безопасную работу средней и большой реализации Active Directory.
В зависимости от вашей среды вы можете захотеть узнать, когда определенные группы меняют членство (например, отдел заработной платы). Я предлагаю найти инструмент / метод, который вам нравится. У меня было несколько скриптов, и я запускал windiff, чтобы визуально увидеть изменения.
Microsoft Baseline Security Analyzer может быть хорошим способом отслеживать количество необходимых исправлений.
Active Directory (NTP, DNS, LDAP, NTFRS)
NTP - убедитесь, что ваш эмулятор PDC синхронизируется по времени из Интернета.
DNS - мне сказали, что на контроллерах домена есть все переходы к главному контроллеру домена, на котором запущен DNS в качестве первого DNS-сервера, указанного для них, а второй DNS-адрес указан на собственном IP-адресе сервера.
LDAP - у меня было 14 контроллеров домена, о которых нужно было позаботиться, поэтому я создал подразделение и создал контакты для каждого из контроллеров домена, у меня были скрипты на контроллере домена, запускаемые каждые 10 минут для обновления поля описания с использованием GMT и местного времени. Таким образом, если мой администратор Exchange или кто-либо другой захотел узнать, когда контроллеры домена в последний раз получили изменение репликации с другого сайта, они могли бы посмотреть на постоянный ток локального сайта в ADUC в этой ОС и увидеть изменения времени.
NTFRS - это то, что реплицирует информацию групповой политики. Я видел, как p2v на контроллере домена (не поддерживается) вызывает проблемы для репликации групповой политики, после этого я хотел знать, когда групповая политика не реплицируется, поэтому я бы обновил txt-файл в папке тестовой политики, а затем посмотрел, если этот файл обновлено на моих контроллерах домена.
Обязательно ведите записи о том, какой DC также является GC, где держатели роли FSMO - и какие шаги следует предпринять, если один из DC выйдет из строя.
Если вы блокируете учетную запись после определенного количества недействительных попыток или если система настроена для принятия мер для подобных событий, вы можете периодически запускать их, чтобы видеть, что они работают должным образом.
Мне также нравится проводить аудит ключа удаления, информации о конфигурации IP, установленных компонентов Windows.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Удалить HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Setup \ OcManager \ Subcomponents ipconfig / all> ip_info.txt
отметка
Удаление или отключение бывших пользователей и компьютеров. Пользоваться довольно легко, но компьютеры могут быть трудными в зависимости от ваших настроек. Ознакомьтесь с множеством сценариев Powershell, они действительно могут упростить управление AD. Также убедитесь, что ваша структура OU сохраняется. Просмотрите все объекты групповой политики, которые могут оказаться ненужными, и отключите их.
Я добавлю в качестве базовых функций replmon и repadmin - их следует проверять не реже одного раза в неделю, чтобы убедиться, что ваша репликация AD работает правильно.
Если вы можете получить все соответствующие журналы событий (служба каталогов, DNS, FRS) со своих контроллеров домена, это также хороший способ понять, что происходит.
DCDiag.exe - хорошее место для начала.