Active Directory

Все записи о службе каталога Active Directory Domain Services

Обзор фреймворка BloodHound для аудита рисков в Active Directory

Обзор фреймворка BloodHound для аудита рисков в Active Directory

Рассматриваемый в данной статье инструмент представляет интерес как для сотрудников ИБ, изучающих риски в инфраструктуре Active Directory, так и для атакующих, поскольку даёт наглядное графовое представление связей и сущностей в Active Directory. Инструмент позволяет быстро найти всех доменных администраторов; найти все хосты, на которых залогинены доменные администраторы; выстроить цепочку от компьютера атакующего до компьютера на котором есть сессия доменного администратора и много другой полезной информации. BloodHound представляет собой одностраничное Javascript веб приложение. Для сбора данных используется сценарий PowerShell PowerView. Приступим к установке.

Продолжить →

Опубликовано Павел Антипов в AD DS, 0 комментариев
Полезные LDAP запросы для поиска в Active Directory

Полезные LDAP запросы для поиска в Active Directory

Функционал сохранённых запросов (Saved Queries) в оснастке MMC Active Directory Users and Computers (ADUC) до сих пор остаётся полезным и актуальным, даже несмотря на появление PowerShell и соответствующего модуля для Active Direcotory. LDAP запросы позволяют вывести объекты в едином представлении невзирая на иерархию OU в домене. Полученный результат можно экспортировать в текстовые файлы с разделителями, либо выполнить групповые операции над найденными объектами. Также функционал сохранённых запросов полезен в тех случаях, когда необходимо обеспечить неквалифицированный персонал средством поиска в Active Directory по заранее настроенным запросам. В этой статье я создам небольшой список-обзор запросов, которыми пользуюсь сам и, которые, я думаю, будут полезны всем.

Продолжить →

Опубликовано Павел Антипов в AD DS, 0 комментариев
PowerShell: назначение Dial-in IP адреса пользователям Active Directory

PowerShell: назначение Dial-in IP адреса пользователям Active Directory

Назначение статического IP адреса пользователя Active Directory на вкладке Dial-in может быть крайне утомительной процедурой, если вам необходимо внести несколько сотен IP адресов. В данной статье я опишу процесс автоматизации этой процедуры с помощью PowerShell. Продолжить →

Опубликовано Павел Антипов в AD DS, 0 комментариев
PowerShell и Active Directory: «скопировать» группы пользователя и добавить в эти группы другого пользователя

PowerShell и Active Directory: «скопировать» группы пользователя и добавить в эти группы другого пользователя

С помощью PowerShell и командлетов Get-ADUser, Add-ADGroupMemger можно довольно просто «скопировать» членство в группах одного пользователя и добавить в эти группы другого пользователя.
Рассмотрим на примере. Существующий пользователь Source-user входит в набор групп, в которые мы включим пользователя с именем Destination-user.
Продолжить →

Опубликовано Павел Антипов в AD DS, 0 комментариев
Доступ на чтение к почтовому ящику Exchange 2013/2016 и его автоподключение в Outlook

Доступ на чтение к почтовому ящику Exchange 2013/2016 и его автоподключение в Outlook

Автоподключение дополнительного почтового ящика в Outlook обычно автоматически происходит, когда мы предоставляем «полный доступ» (Full Access) к почтовому ящику. Если же необходимо настроить доступ только на чтение, то автоподключение уже не произойдёт, но его можно «организовать» изменив соответствующий атрибут в Active Directory объекта пользователя, ящик которого мы хотим подключить. Продолжить →

Опубликовано Павел Антипов в Exchange Server, 9 комментариев
Использование Simple Display Name в Exchange Server для отправки сообщений в Интернет с другим именем в поле From:

Использование Simple Display Name в Exchange Server для отправки сообщений в Интернет с другим именем в поле From:

В этой статье мы рассмотрим одну интересную возможность Exchange Server, которая позволяет с помощью Simple Display Name изменять имя пользователя при отправке сообщений за пределы организации

Применимо к Exchange 2003, 2007, 2010, 2013, 2016

Продолжить →

Опубликовано Павел Антипов в Exchange Server, 1 комментарий
Ldifde — перенос структуры OU между доменами AD

Ldifde — перенос структуры OU между доменами AD

Иногда при миграциях бывает необходимо воспроизвести структуру организационных подразделений Active Directory из исходного домена в целевом. Самый быстрый способ сделать это – экспортировать структуру OU с помощью утилиты ldifde из исходного домена в ldf файл, отредактировать полученный файл с помощью текстового редактора и импортировать полученный файл в целевой домен.

Продолжить →

Опубликовано Павел Антипов в AD DS, 0 комментариев
Краткий обзор разделов Active Directory (Active Directory Partitions)

Краткий обзор разделов Active Directory (Active Directory Partitions)

Внутри базы данных Active Directory существуют разделы каталога, также их называют naming context, которые содержат в себе однотипные объекты.

Основные Naming Context следующие:

• Domain (Domain Naming Context (NC)) — содержит все объекты хранящиеся в домене, включая пользователей, группы, компьютеры и контейнеры групповой политики (GPC)
• Configuration (Configuration Naming Context) — содержит объекты, представляющие собой логическую структуру леса, такие как домены, сайты, подсети, сервисы.
• Schema (Schema NC) — содержит классы объектов и их атрибуты для всего каталога. Продолжить →

Опубликовано Павел Антипов в AD DS, 0 комментариев

Как ограничить репликацию Active Directory-интегрированной DNS зоны конкретными серверами

DNS зоны в AD хранятся в специальном разделе «Application Directory Partition». По умолчанию доступны следующие варианты репликации этих разделов:
• To All DNS Servers In This Forest (на все DNS сервера в лесу)
• To All DNS Servers In This Domain (на все DNS сервера в этом домене)
• To All Domain Controllers In This Domain (на все контроллеры домена в этом домене)
• To All Domain Controllers In The Scope Of This Directory Partition – репликация на все контроллеры домена в указанном разделе приложений. Продолжить →

Опубликовано Павел Антипов в DNS, 0 комментариев