J3qx

information archive

Prepopulate password cache for an RODC

Posted by j3qx на Февраль 10, 2017

Можно делать это двумя способами, скриптами, и вручную, в данном документе приведены оба.

1) Скрипты

Есть два варианта, через powershell метод sync ad-object, или заворачивая в powershell команды repadmin (repadmin /rodcpwdrepl) repadmin подойдет для более старых версий windows, в остальных случаях лучше использовать powershell.

*************************************************************************

cls

[array]$Object = $null

$c = 0

$RWDC = «TD-DC-13v»

$RODC = «PD-SRV-19v»

$Date = Get-Date
-Format «yy.MM.dd»

$Object += (Get-ADUser
-Filter *).DistinguishedName

$Object += (Get-ADComputer
-Filter *).DistinguishedName

$Object | foreach {

    try

    {

        Sync-ADObject
-Source $RWDC -Destination $RODC -Object $_ -PasswordOnly
-PassThru

        $c++

    }

    catch

    {

        $error[0] | out-file «C:\script\Logs\$Date»+»_PWDprep.log» -Append

    }

}

write-host «Учетных записей надено»$object.count»,PWD prepopulate выполнен для $c»

**************************************************************************

cls

[array]$Object = $null

$c = 0

$RWDC = «TD-DC-13v»

$RODC = «PD-SRV-19v»

$Date = Get-Date
-Format «yy.MM.dd»

$Object += (Get-ADUser
-Filter *).DistinguishedName

$Object += (Get-ADComputer
-Filter *).DistinguishedName

$Object | foreach {

    try

    {

        Sync-ADObject
-Source $RWDC -Destination $RODC -Object $_ -PasswordOnly
-PassThru

        $c++

    }

    catch

    {

        $error[0] | out-file «C:\script\Logs\$Date»+»_PWDprep.log» -Append

    }

}

write-host «Учетных записей надено»$object.count»,PWD prepopulate выполнен для $c»

**********************************************************************************

Эти же скрипты будут приложены в виде файлов.

Make-PrepAll.ps1

Make-PrepCurrent.ps1

2) В ручном режиме из консоли ADUC

В консоли ADUC зайти в OU=Domain Controllers, выбирать по очереди все RODC и проводить с ними следующие операции.

Выбрать очередной контроллер правой кнопкой, в контекстном меню выбрать Properties.


В появившемся окне Свойств объекта контроллера перейти на вкладку Password Replication Policy и нажать кнопку Advanced.


В открывшемся окне будут отображены все объекты, чьи пароли в данный момент хранятся на этом RODC.
Для добавления новых объектов нажать кнопку Prepopulate Passwords…


Откроется стандартное окно поиска и выбора доменных учетных записей. Необходимо найти и выбрать все учетные записи домена.




Далее откроется окно со списком распознанных выбранных объектов, в котором нужно просто нажать Ok.


Последнее окно носит информативный характер и предупреждает нас о том, что для успешной авторизации на RODC при потери связи с полноценными DC необходимо кешировать пароли как пользовательских учетных записей, так и учетных записей их компьютеров. Также данные учетные записи должны быть включены в список разрешенных к кешированию.


 

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: