2020. március 23., hétfő

Core módban kiadható parancsok

A parancsok segítségével adminisztratív feladatok egyszerűen hajthatók végre a címtáron. A parancsok elhelyezhetők batch fájlokban és így később sokkal gyorsabban és egyszerűbben használhatók. Például egy felhasználó létrehozása vagy egy meglévő adat módosítása megoldható egy dupla kattintással. Ma a számítógép fiókok felvételével és csatlakoztatásával foglalkozunk.

Csoportházirend; 

Group Policy Management Console-t (GPMC) Házirendekkel prioritizálni lehet a kliens-szerver hálózati sávszélességet bizonyos alkalmazások vagy szolgáltatások számára, így magasabb szolgáltatási minőséget (Quality of Service) lehet elérni. A Server Core telepítési mód továbbfejlesztett változatában az operációs rendszer teljes grafikus felülete eltávolítható. Az új Server Core támogatja a .NET Frameworköt, beleértve az ASP.NET alkalmazásokat, továbbá a Windows PowerShell 2.0-t, és a tanúsítványszolgáltatásokat. Az R2 kiadás fejlesztésekor leginkább a teljesítmény növelésére koncentráltak; a Microsoft állítása szerint erőfeszítéseket tettek a rendszerindítás időigényének csökkentésére, az I/O műveletek sebességének megnövelésére, miközben az energiafogyasztáson is javítottak, és általában a tárolóeszközök sebességének növelésére, különösen az iSCSI-éra.

A segédprogram;

Parancssori segédprogramunk neve: NETDOM.EXE
Használata kliens gépeken
Több kapcsoló inkább a munkaállomásokon használható nagyobb hatásfokkal, mint a kiszolgálón. Két lehetőség közül lehet választani: az egyik, hogy a Windows 2000 Server telepítő CD-ről a munkaállomásra is feltesszük a \SUPPORT\TOOLS csomagot, ekkor melléktermékként felkerül az összes többi segédprogram is. Másik, hogy a kiszolgáló %Program Files%\Support Tools mappájából átmásoljuk a NETDOM.EXE-t. Elegendő csak ezt, mert a help és az összes kapcsoló ebben az egyetlen állományban tárolódik.
Súgó használata
A parancsba épített súgó a következő módokon érhető el:
netdom
Kilistázza a fő kapcsolókat:
netdom help
Szintén a főbb kapcsolókat jeleníti meg, de más formában:
netdom help kapcsoló
Az adott kapcsolóról és alkapcsolóiról ad részletes információt, például:
netdom help add
Ha nem férne ki a képernyőre:
netdom help add | more
Munkaállomás vagy kiszolgáló felvétele a tartományba
kapcsoló: add
A címtárba új számítógép fiókokat vehetünk fel segítségével. Ez nem azt jelenti, hogy az adott gépet csatlakoztatjuk a tartományhoz, hanem, hogy a gépnév megjelenik a címtár objektumai között, mintegy előkészítve a csatlakoztatást.
Vegyük fel a WATT nevű gépet a MYWORLD tartományba:
netdom add watt /Domain:myworld
Alapértelmezésben munkaállomásként a Computers tárolóba kerül. Ellenőrizzük az egyik tartományvezérlőn a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) MMC konzoljával.
Másik helyre a hely LDAP szintaxis szerinti (RFC 1779) megadásával helyezhetjük:
netdom add watt /Domain:myworld /OU:OU=network,DC=myworld,DC=com
Fenti példánkban a WATT nevű gépet a MYWORLD.COM tartomány NETWORK szervezeti egységébe helyeztük.
Mindkét alkalommal új munkaállomás jött létre a címtárban, ha tartományvezérlőt vagy tagkiszolgálót akarunk létrehozni, használjuk a /DC kapcsolót. Fontos, hogy ekkor a Domain Controllers szervezeti egységbe kerül a fiók és az előbbi /OU kapcsoló nem használható.
netdom add watt /Domain:myworld /dc
Az új objektum létrehozása az aktuálisan bejelentkezett felhasználó nevével és jelszavával történik, ami csak akkor megfelelő, ha a tartományban is érvényes és elégséges jogosultsággal rendelkezik. Ellenkező esetben meg kell adnunk az érvényes hitelesítési adatokat:
netdom add watt /Domain:myworld /OU:OU=network,DC=myworld,DC=com /UserD:rendszergazda /PasswordD:123456
Ahol a felhasználói név: rendszergazda és a hozzá tartozó jelszó: 123456. Figyelnünk kell a biztonságra minden alkalommal, ezért a fenti sorokat ne helyezzük batch fájlba, mert aki hozzáfér, könnyedén kiolvashatja a nevet és jelszót. Helyette használható a következő formula:
netdom add watt /Domain:myworld /OU:OU=network,DC=myworld,DC=com /UserD:rendszergazda /PasswordD:*
Ekkor a parancs futtatásakor kell beírni a jelszót, ami lényegesen nagyobb biztonságot eredményez. Egyetlen kompromisszum, hogy az interaktivitás erejéig megszakad a művelet.
Hibakeresés:
Sikertelen lesz a hozzáadás, ha már létezik az adott fiók. Az sem számít, ha másik tárolóban van, lényeg, hogy a teljes tartományon belül csak egyszer szerepelhet.
Megjegyzés:
Nem történik arra vonatkozóan ellenőrzés, hogy a megadott gép valóban létezik-e.
Munkaállomás vagy kiszolgáló csatlakoztatása tartományhoz
kapcsoló: join
Míg az előbbi parancsnál csak egy új számítógép objektumot hoztunk létre, a JOIN kapcsolóval teljes mértékig lehet a munkaállomást vagy kiszolgálót csatlakoztatni a tartományhoz.
A /Domain, /OU, /UserD, /PasswordD kapcsolók ugyanúgy használhatók, mint az előbb.
netdom join edison /Domain:myworld
Példánkban az EDISON nevű gépet csatlakoztattuk a MYWORLD tartományhoz. Ahhoz, hogy valóban elkezdjen tartományi tagként működni, újra kell indítani, ami a /REBOOT kapcsolóval lehetséges.
netdom join edison /Domain:myworld /reboot
Ha nem adunk meg mást, a csatlakozás után 30 másodperc elteltével újraindul az operációs rendszer, erről és a hátralévő időről egy ablakban kapunk tájékoztatást. Ezalatt még el lehet végezni a szükséges állományok mentését. Megváltoztathatjuk az idő intervallumot, ha másodpercben megadjuk a /REBOOT után:
netdom join edison /Domain:myworld /reboot:120
Hibakeresés:
Sikertelen lesz a csatlakoztatás, ha az adott gép már létezik a címtárban és akkor is, ha nem valós vagy elérhetetlen gépnevet adunk meg.
A munkaállomás vagy kiszolgáló eltávolítása a tartományból
kapcsoló: remove
Az eltávolításnál használható kapcsolók egy az egyben megegyeznek a csatlakozásnál megismertekkel, csupán a JOIN helyett a REMOVE kifejezést kell használni.
netdom remove edison /Domain:myworld
Fenti példa alkalmazása eltávolítja az EDISON nevű gépet a MYWORLD tartományból és áthelyezi az ugyanilyen nevű munkacsoportba. Sajnos a parancson belül nem tudjuk szabályozni, hogy más legyen a munkacsoport neve, de talán nem is olyan fontos. Fontos viszont a kliens újraindítása:
netdom remove edison /Domain:myworld /reboot
Információlekérés
kapcsoló: query
A QUERY kapcsolóval különféle információkat kérhetünk le a címtárból.
Munkaállomások listázása a MYWORLD tartományban:
netdom query workstation /Domain:myworld
Kiszolgálók listája:
netdom query server /Domain:myworld
Tartományvezérlők listája:
netdom query dc /Domain:myworld
Szervezeti egységek listája:
netdom query ou /Domain:myworld
Az elsődleges tartományvezérlő (PDC = Primary Domain Controller) gépnevének lekérdezése:
netdom query pdc /Domain:myworld
Az Active Directory tartományvezérlői nem homogének, magának a címtárnak a működése követeli meg, hogy bizonyos szerepkörökre (szám szerint 5 db van belőlük) lehessen osztani. Ezek lehetnek egy tartományvezérlőn, de biztonsági és teljesítménybeli okok miatt célszerűbb szétosztani több gépre. Következő parancsunkkal megtudjuk, hogy melyik szerepkör melyik gépen található:
netdom query fsmo /Domain:myworld
Az FSMO rövidítés a Flexible Single Master Operations kifejezésből származik.
Tartományi meghatalmazások listázása:
netdom query trust /Domain:myworld
Ha a fenti adatokat közvetlenül egy általunk megadott tartományvezérlőről akarjuk lekérni és nem az elsőtől, amelyik kiszolgál minket, akkor a /SERVER kapcsoló után adjuk meg a nevét.
netdom query trust /Domain:myworld /Server:Einstein
A meghatalmazás működésének ellenőrzése:
netdom query trust /Domain:myworld /verify
Hogy mit ellenőriz? A biztonsági csatorna működését a tartományvezérlő és a kliens között.
Mindjárt alapállapotba is állíthatjuk a csatornát:
netdom query trust /Domain:myworld /reset
Külön kilistázhatjuk a közvetlen munkaállomás - kiszolgáló meghatalmazásokat, figyelmen kívül hagyva az indirekt tranzitív linkeket:
netdom query trust /Domain:myworld /direct
Ha az aktuálisan bejelentkezett felhasználói fiók nem rendelkezik megfelelő jogosultsággal a lekérdezésekhez, adjunk meg rendszergazdai jogokat birtokló hitelesítő adatokat.
netdom query dc /Domain:myworld /direct /userD:rendszergazda /passwordD:123456
Itt ugyanaz a probléma, amire az előző részben már utaltunk: batch fájlban nem szerencsés jelszót tárolni, mert semmi nem védi olvasás ellen. Ilyenkor jelszó helyett a * karaktert használjuk és a futtatás közben kéri be a parancs a jelszót:
netdom query dc /Domain:myworld /direct /userD:rendszergazda /passwordD:*
Munkaállomás vagy kiszolgáló átmozgatása másik tartományba
kapcsoló: move
Főleg akkor vehetjük hasznát a parancsnak, ha a meglévő tartományt felbontjuk kisebb tartományokra és meg akarjuk spórolni az ismételt konfigurálást.
A /DOMAIN kapcsoló után annak a tartománynak a nevét kell megadni, amelyikben a számítógépfiók megtalálható. A /OU kapcsoló után LDAP szintaxis szerint (RFC 1779) a céltartomány és azon belül is a szervezeti egység következik, ahol a fiókot ismételten létrehozza a parancs.
netdom move edison /Domain:myworld /ou:ou=Computers,DC=NewWorld,DC=net
Példánkban az EDISON nevű gépet átmozgattuk a MYWORLD tartományból a NEWWORLD.NET tartományba.
A változtatások érvényre juttatásához a számítógépet újra kell indítani, tegyük meg rögtön a mozgatással együtt:
netdom move edison /Domain:myworld /ou:ou=Computers,DC=NewWorld,DC=net /reboot
Alapértelmezésben a művelet befejezését követően, 30 másodperc múlva történik az újraindítás.
Ha az aktuálisan bejelentkezett felhasználó nem rendelkezik megfelelő jogosultsággal, használjuk a fenti /userD, /passwordD kapcsolókat. Ugyanígy a céltartományba is szükséges lehet bejelentkezni, erre a /userO és /passwordD kapcsolók szolgálnak.
netdom move edison /Domain:myworld /ou:ou=Computers,DC=NewWorld,DC=net /reboot /userD:rendszergazda /passwordD:123456 /userO:administrator /passwordO:admin123
Megjegyzés:
Bár eddig mozgatásról beszéltünk és a fő kapcsoló neve is MOVE, valójában nem mozgatás történik: az új helyen létrejön a számítógép fiók, a régin pedig letiltódik, de nem törlődik.
Ugyanazon a tartományon belül nem mozgatható át a fiók.
A céltartomány egyetlen tárolójában sem létezhet a számítógép fiók, még akkor sem, ha más helyre tesszük.
Biztonsági csatorna alapállapotba hozása
kapcsoló: reset
Minden Windows 2000/XP munkaállomás és Windows 2000/.NET kiszolgáló között egy biztonsági csatornán keresztül zajlik a kommunikáció. Név szerint a Net Logon szolgáltatás használja. Időnként szükség lehet a csatorna alapállapotba hozására, amit megtehetünk a számítógép újraindításával vagy egyszerűbben a /RESET kapcsolóval. Tipikusan ilyen eset, ha a számítógép fiók jelszava és a helyi jelszó nincs szinkronban és nem lehet távoli erőforrásokat elérni.
netdom reset edison /Domain:myworld
Példánkban az EDISON nevű gép biztonsági csatornáját hoztuk alapállapotba a MYWORLD tartományban. A parancs kimeneteként láthatjuk, hogy melyik kiszolgálóval történt az inicializálás.
Ha egy konkrét kiszolgáló és a munkaállomás közötti kapcsolaton akarjuk ugyanezt elvégezni, akkor adjuk meg a /SERVER kapcsoló után az adott kiszolgáló nevét.
netdom reset edison /Domain:myworld /server:kentaur
Ha az aktuálisan bejelentkezett felhasználó nem rendelkezik elég joggal a művelet elvégzéséhez, akkor adjunk meg másik fiókot.
netdom reset edison /Domain:myworld /userO:rendszergazda /passwordO:123abc
Jelszónál itt is érvényes a korábbi részekben megismert formula:
netdom reset edison /Domain:myworld /userO:rendszergazda /passwordO:*
Számítógép fiók jelszavának alapállapotba hozása
kapcsoló: resetpwd
Normális esetben nem kell foglalkozni a számítógép fiókok jelszavaival, mert a rendszer automatikusan kezeli őket. Ha biztonsági okokból mégis szükség lehet az inicializálásukra, akkor adjuk ki a következő utasítást:
netdom resetpwd edison /Domain:myworld
Felhasználói nevet és jelszót is beírhatunk, de az előző kapcsolónál megismertekkel ellentétben nem /USERO, hanem /USERD szerint változik a szintaxis. Figyeljünk oda.
netdom resetpwd edison /Domain:myworld /userD:rendszergazda /passwordD:123abc
vagy
netdom resetpwd edison /Domain:myworld /userD:rendszergazda /passwordD:*
Biztonsági csatorna ellenőrzése
kapcsoló: verify
Mielőtt nekiállnánk a biztonsági csatorna alapállapotba hozásának, nem árt, ha lefuttatunk egy ellenőrzést /VERIFY kapcsolóval.
netdom verify edison /Domain:myworld
Nem garantált, hogy megtudjuk a hiba okát, de probléma esetén legalább kapunk egy visszajelzést és tudjuk, hogy milyen irányban kell tovább keresni.
A művelet végrehajtásához hitelesítő adatok megadása megint a /USERO és /PASSWORDO kapcsolókkal történik.
netdom verify edison /Domain:myworld /userO:rendszergazda /passwordO:123abc
vagy
netdom verify edison /Domain:myworld /userP:rendszergazda /passwordO:*

Nincsenek megjegyzések:

Megjegyzés küldése