Как проверить уровень домена / леса AD DS с рабочей станции, присоединенной к домену?
Можно ли определить доменные / лесные функциональные уровни AD DS с присоединенной к домену рабочей станции? Желательно через CLI/PS и, если возможно, без прав администратора домена. Как я могу это сделать?
5 ответов
Для следующего Powershell не требуется доступ администратора или администратора домена. Я тестировал пользователя с ограниченными правами на присоединенной к домену рабочей станции с Powershell v2/v3. Для этого не требуются сторонние инструменты или модули Powershell.
$dse = ([ADSI] "LDAP://RootDSE") # Domain Controller Functional Level $dse.domainControllerFunctionality # Domain Functional Level $dse.domainFunctionality # Forest Functional Level $dse.forestFunctionality Возвращенные значения будут представлять отдельный функциональный уровень:
Value Forest Domain Domain Controller 0 2000 2000 Mixed/Native 2000 1 2003 Interim 2003 Interim N/A 2 2003 2003 2003 3 2008 2008 2008 4 2008 R2 2008 R2 2008 R2 5 2012 2012 2012 6 2012 R2 2012 R2 2012 R2 7 2016 2016 2016 Просто дополнительное решение принятого ответа, так как я оказался здесь более или менее с той же необходимостью. Разница в том, что декодируется имя уровня:
Import-Module ActiveDirectory $ForestRoot = 'top.domain' (get-adforest -identity $ForestRoot).ForestMode (get-adforest -identity $ForestRoot).Domains | ForEach-Object
Вы просто хотите это проверить или изменить? Изменение этого потребовало бы определенных административных прав на домен / лес.
Самым простым способом, который я могу придумать без dsquery или PS Get-ADDomain (который потребовал бы импорта модуля AD), является использование команды ADFIND от Joeware.
adfind -rootdse domaincontrollerfunctionality domainfunctionality forestfunctionality Пример вывода из моего домена:
AdFind V01.47.00cpp Джо Ричардс ([email protected]) октябрь 2012
Используя сервер: DOMAIN-DC1.hahaha.local:389
Каталог: Windows Server 2008 R2
дп:
Функциональность домена: 4 [Режим домена Windows Server 2008 R2]
forestFunctionality: 4 [Лесной режим Windows Server 2008 R2]
domainControllerFunctionality: 4 [Режим Windows Server 2008 R2]
Для подхода на основе графического интерфейса вы можете использовать Active Directory Explorer. Щелкните правой кнопкой мыши по верхнему узлу домена, выберите Свойства и проверьте значение domainControllerFunctionality, domainFunctionality или forestFunctionality. Они имеют целочисленные значения, соответствующие:
0 = Win 2000
1 = Win 2003 смешанный / промежуточный
2 = Win 2003
3 = Победа 2008
4 = Win 2008 R2
5 = Победа 2012
6 = Win 2012 R2
7 = Победа 2016
Вам нужно задать этот вопрос немного по-другому, потому что я не уверен, что вы пытаетесь сделать. Это означает, что вам нужен скрипт powershell или пакетный файл, который может выполнять чрезвычайно административные задачи, не работая от имени пользователя, который способен выполнять эти задачи. Если это то, что вы спрашиваете, это не возможно, по замыслу.
Однако, если вы спрашиваете об администрировании AD с рабочей станции, то, передав пользователю скрипт, который может запускать команды, которые пользователь иначе не сможет (т.е. вы хотите запросить AD из непривилегированной учетной записи службы), нам нужно знать какую версию Powershell вы используете и какую версию сервера вы используете.
Вы могли бы также рассмотреть веб-службы AD для единовременных задач, которые вы хотите делегировать.
Из сообщения TechNet: Запустите ниже DSQUERY
Dsquery * CN = разделы,CN= конфигурация, DC = мидомен, DC = базовая область действия -attr msDS-Behavior-Version
Выход: msDS-Behavior-Version 2
Атрибуты, которые указывают DFL и FFL: — Настройка уровня леса
Имя: msDS-Behavior-Version Путь: CN= Разделы,CN= Конфигурация, DC =, DC = com
Значение: 0 или не установлено = смешанный лес уровня
1= уровень промежуточного леса Windows Server 2003 2= уровень леса Windows Server 2003 3= уровень леса Windows Server 2008
Имя: msDS-Behavior-Version Путь: DC=, DC=, DC=com (корневой домен) Значение: 0 или не задано = домен смешанного уровня
1= уровень домена Windows Server 2003 2= уровень домена Windows Server 2003 3= уровень домена Windows Server 2008
Путь: DC=, DC=, DC=com (корневой домен)
Значение: 0= домен собственного уровня 1= домен смешанного уровня
Я не уверен в требованиях к роли пользователя, чтобы запустить это, но вы ничего не меняете с этим, и все это использует DSQUERY (из RSAT, бесплатно скачивается с Microsoft). Прокомментируйте, если нам нужно посмотреть на этот конец.
Источник
Определение функционального уровня домена или леса
Функциональные уровни определяют возможности службы AD DS (Active Directory Domain Services), доступные в домене или в лесу. Они также ограничивают версии операционных систем Windows Server, которые можно использовать на контроллерах домена в домене или в лесу. Но функциональные уровни не влияют на то, какие операционные системы могут использоваться на рабочих станциях и рядовых серверах, входящих в домен или лес.
При создании нового домена или нового леса устанавливайте максимально возможные функциональные уровни домена и леса, которые может поддерживать среда. Таким образом, можно будет пользоваться преимуществами максимального количества возможностей службы AD DS. Например, если известно, что в домен или лес никогда не будут добавлены контроллеры домена с операционной системой Windows Server 2008 (или более ранней версией), выберите режим работы Windows Server 2008 R2. С другой стороны, если существует вероятность того, что будут добавлены или оставлены контроллеры домена с операционной системой Windows Server 2008 или более ранней версией, выберите при установке режим работы Windows Server 2008. Повысить функциональный уровень можно и после установки, когда появится уверенность в том, что подобные контроллеры домена не используются и не будут добавляться.
При установке нового леса будет предложено определить функциональный уровень леса, а затем функциональный уровень домена. Нельзя определить для функционального уровня домена значение, меньшее функционального уровня леса. Например, если установлен режим работы леса Windows Server 2008 R2, можно установить только режим работы домена Windows Server 2008 R2. Режимы работы домена Windows 2000, Windows Server 2003 и Windows Server 2008 на странице мастера Задание режима работы домена будут недоступны. Кроме того, всем доменам, впоследствии добавляемым в лес, по умолчанию будет назначаться режим работы домена Windows Server 2008 R2.
После установки значения режима работы домена его нельзя отменить или понизить, за исключением следующего случая: режим работы домена повышается до Windows Server 2008 R2, а для леса установлен уровень работы Windows Windows Server 2008 или ниже. В этом случае можно восстановить режим работы домена Windows Server 2008. Режим работы домена может быть понижен только с Windows Server 2008 R2 до Windows Server 2008. Режим работы домена Windows Server 2008 R2 нельзя понизить, например, до Windows Server 2003.
После установки значения режима работы леса его нельзя отменить или понизить, за исключением следующего случая: режим работы леса повышается до Windows Server 2008 R2, а корзина Active Directory не включена. В этом случае можно восстановить режим работы леса Windows Server 2008. Режим работы леса может быть понижен только с Windows Server 2008 R2 до Windows Server 2008. Режим работы леса Windows Server 2008 R2 нельзя понизить, например, до Windows Server 2003.
В следующем разделе объясняются наборы возможностей, доступные при различных функциональных уровнях домена и леса.
Возможности, доступные на функциональных уровнях доменов
В следующей таблице перечислены доступные возможности и поддерживаемые операционные системы контроллеров домена для каждого функционального уровня домена.
- Универсальные группы как для групп рассылки, так и для групп безопасности
- Вложенные группы
- Преобразование групп, позволяющее выполнять преобразование между группами рассылки и группами безопасности
- Журнал идентификаторов безопасности
- Для переименования контроллера домена доступно средство управления доменом Netdom.exe.
- Обновление метки времени входа в систему. Атрибут lastLogonTimestamp получит значение времени последнего входа в систему пользователя или компьютера. Этот атрибут реплицируется внутри домена. Обратите внимание, что этот атрибут не может быть обновлен, если проверку подлинности учетной записи осуществляет контроллер домена только для чтения (RODC).
- В качестве эффективного пароля для объектов inetOrgPerson и объектов пользователей может быть определен атрибут userPassword.
- Возможно перенаправление контейнеров пользователей и компьютеров. По умолчанию предусмотрено два общеизвестных контейнера для размещения учетных записей компьютеров и пользователей/групп: cn=Computers, и cn=Users,. Благодаря этой возможности можно определить новое общеизвестное местонахождение этих учетных записей.
- Диспетчер авторизации может хранить свои политики авторизации в службе AD DS.
- Ограниченное делегирование, позволяющее приложениям использовать преимущество защищенного делегирования учетных данных пользователя с помощью протокола проверки подлинности Kerberos. Делегирование можно настроить так, чтобы оно было доступно только конкретным целевым службам.
- Поддержка выборочной проверки подлинности, позволяющая задать пользователей и группы из доверенного леса, которым разрешено проходить проверку подлинности на серверах ресурсов доверяющего леса.
- Поддержка репликации распределенной файловой системы (DFS) для SYSVOL, обеспечивающая более надежную и подробную репликацию содержимого SYSVOL. Чтобы использовать репликацию DFS для SYSVOL, может понадобиться выполнить дополнительные действия. Для получения дополнительных сведений см. описание файловых служб (http://go.microsoft.com/fwlink/?LinkId=93167).
- Поддержка расширенных служб шифрования (AES 128 и 256) для протокола Kerberos.
- Сведения о последнем интерактивном входе в систему, показывающие время последнего успешного входа пользователя в систему, с какого компьютера был выполнен вход, также количество неудачных попыток входа с последнего входа в систему.
- Детальные политики паролей, позволяющие определять для пользователей и глобальных групп безопасности в домене политики блокировки учетных записей и паролей.
- Контроль механизма проверки подлинности, позволяющий определить примененный пользователем метод входа в систему (смарт-карта или имя пользователя и пароль) по его токену Kerberos. Если этот компонент включен в сетевой среде, в которой развернута инфраструктура управления федеративными удостоверениями (например, службы федерации Active Directory (AD FS)), данные токена могут извлекаться при каждой попытке доступа пользователя к поддерживающим утверждения приложениям, которые предназначены для определения авторизации на основе метода, применяемого пользователем для входа в систему.
Возможности, доступные на функциональных уровнях лесов
В следующей таблице перечислены доступные возможности и поддерживаемые операционные системы контроллеров домена для каждого функционального уровня леса.
- доверие леса;
- переименование домена.
- Репликация связанных значений (изменения членства в группах, чтобы сохранить и реплицировать значения для отдельных членов вместо репликации всего членства как единого блока). Это изменение приводит к уменьшению используемых пропускной способности локальной сети и ресурсов процессора при репликации, а также устраняет возможность потери обновлений при одновременном добавлении или удалении различных членов на различных контроллерах домена.
- Возможность развертывания RODC
- Улучшенные алгоритмы и масштабируемость проверки согласованности знаний (KCC). Генератор межсайтовой топологии (ISTG) использует улучшенные алгоритмы, масштабируемые для поддержки лесов с увеличенным количеством сайтов, чем может поддерживаться на функциональном уровне леса Windows 2000.
- Возможность создавать экземпляры динамического вспомогательного класса dynamicObject в разделе каталога домена.
- Возможность преобразовывать экземпляр объекта inetOrgPerson в экземпляр объекта пользователя и обратно.
- Возможность создавать экземпляры новых типов групп, называемых базовыми группами приложений и группами запросов LDAP, для поддержки авторизации на основе ролей.
- Деактивация и переопределение атрибутов и классов в схеме
- Корзина, предназначенная для полного восстановления удаленных объектов во время работы служб AD DS.
Все домены, впоследствии добавленные в лес, по умолчанию будут работать в режиме Windows Server 2008 R2.
Источник