Windows Server w wersji Core jest z nami już od wersji 2008 zatem to sprawdzona technologia jak na standardy IT. Wersja Core jest unikana przez administratorów, co trochę nie zrozumiałe, zwłaszcza w w dużych środowiskach lub w takich które wymagają niestandardowego podejścia do bezpieczeństwa. Windows Server Core to minimalna, ale uwaga, domyślna opcja instalacji! Jest dostępna zarówno dla wersji Standard jak i Datacenter.
Wersja Core obsługuje większość ról i funkcji Windows Server (choć nie wszystkie). Ma sporo zalet: potrzebuje mniejszej ilość zasobów sprzętowych (mniejsze jest użycie procesora, pamięci RAM i miejsca na dysku). Jest mniej podatny na zagrożenia (posiada mniej elementów, bibliotek, zależności podatnych na ataki). Aktualizacje systemu są mniejsze, wymagają mniej ponownych uruchomień co w wypadku środowisk wysoko dostępnych może być duża zaletą.
Server Core został zaprojektowany do zdalnego zarządzania, dlatego też opcje dostępne lokalne są sprowadzone do konfiguracji podstawowych ustawień takich jak: adresacja kart sieciowych, zmiana nazwy serwera, dodanie do domeny czy zdalne zarządzanie.
Zarządzane Konto Usługi (MSA Managed Service Account) i Konto Usług Zarządzane Grupowo (gMSA Group Managed Service Accounts)
W tradycyjnym podejściu do kont dla usług administrator Active Directory zakładał konto użytkownika – rezygnował ze wymuszenia zmiany hasła i z użyciem takiego konta instalował np MS SQL Server.
Nie jest to bezpieczne rozwiązanie (hasło ktoś zna, ktość zapisuje, samo nie podlega zmianie) a już na pewno nie jest to tradycyjne rozwiązanie ponieważ Zarządzane Konto Usługi MSA (Managed Service Account) i Konto Usług Zarządzane Grupowo gMSA (Group Managed Service Accounts) są z nami od Windows Server 2008 R2 (MSA) i Windows Server 2012 (gMSA). Zatem jak ich używać?
PowerShell: Blokada nieaktywnych kont użytkowników
Mamy znaleźć nieaktywnych użytkowników, następnie ich zablokować. Użyjemy do tego celu polecenia Search-AdAccount z modułu Active Directory. Przed ich zablokowaniem potrzebujemy dość szczegółowych informacji tak aby nasze porządkowanie nie pozbawiło dostępu do AD konta systemowego, czy kogoś kto rzadko zagląda do naszego środowiska. Sprawdzone rozwiązanie z użyciem PowerShell znajdziecie poniżej.
Czytaj dalej „PowerShell: Blokada nieaktywnych kont użytkowników”PowerShell: Lista wyłączonych użytkowników w AD
Poniżej one liner generujący listę wyłączonych kont użytkowników z AD, użyłem do tego polecenia Get-ADUser , ze względu na to że potrzebowałem na swojej liście atrybutów odpowiadających kiedy konto zostało utworzone i kiedy zamknięte.
Czytaj dalej „PowerShell: Lista wyłączonych użytkowników w AD”PowerShell: Modyfikacja atrybutów użytkownika AD
Użytkownicy w Active Directory, posiadają zazwyczaj dość dużą liczbę dodatkowych atrybutów. Zadanie jest dość proste: uzupełnić istniejący atrybut wartością innego także już wypełnionego. Zacznijmy budowę skryptu krok po kroku…
Czytaj dalej „PowerShell: Modyfikacja atrybutów użytkownika AD”