Jan 09

Certificate Import Wizard: An internal error occurred. Either the user profile is not accessible or the private key that you are importing might require a cryptographic service provider that is not installed on your system

В KB919074 са описани три причини, които могат да бъдат причина за възникването на въпросната грешка.

Днес открих още една: ако профилът е нов (т.е. папката C:\Users\{username}\AppData\Roaming\Microsoft\Crypto\RSA е празна) и компютърът няма връзка към домейн контролер, ще получите същата грешка.

Явно при натискане на бутона Finish,Certificate Import Wizard конзолата търси домейн контролер.Следи за това има в DNS кеша:

Continue reading

Jan 08

Configuring Windows Components Logging

“Човек и добре да живее, все ще му се наложи да дебъгва”:

Directory Services Debug Logging Primer

Списъкът е огромен, но не очаквам да е изчерпателен.

Jan 15

“Could not retrieve default replication accounts” during RODC Promotion

The task was to promote the first RODC in a mixed OS domain with Windows 2003 Forest/Domain functional levels. Before DC promotion the AD Schema was successfully extended and there was one Writable Domain Controller (Windows Server 2013 R2) up and running.

I noticed some RODC related groups are missing even trough adprep finished without any errors:

  • Read-only Domain Controllers
  • Allowed RODC Password Replication Group
  • Denied RODC Password Replication Group

I thought they will appear after first RODC promotion. But that was not the case!

These groups, along with many others, are created AFTER you transfer the PDC role to a domain controller, running Windows Server 2008 or later!

After transferring the PDC role these groups were created:

Nice to know it 🙂

Thereafter the first RODC was promoted successfully!

References:

Dec 14

Set-ADUser : Insufficient access rights to perform the operation when setting the Title attribute in Active Directory

Представете си, че имате обикновен потребител в Active Directory домейн, примерно Updater@pkg.lab. Искате той да има право да променя полето Title на определен списък с потребители.

Атрибутът Title отразява длъжността (т.е. Job Title) на потребителя в организацията.

За тази цел сте делегирали права Read/Write за атрибута Title в определени организационни единици:

Continue reading

Mar 24

How-To: Конфигуриране на Skype чрез групова политика

  Невероятно, но факт! Аз лично четох три пъти статията, докато повярвам, че е истина 🙂 Най-сетне може да се опитоми поне малко ужасът за всички системни администратори – Skype. От версия 3.0 насам определени настройки на Skype подлежат на централизирано конфигуриране чрез групови политики.  Официално е публикуван .ADM файл, чиято версия в този момент е 1.7. Можете да го видите на този адрес: [ http://www.skype.com/security/Skype-v1.7.adm ].

С горния линк се отваря съдържанието на .ADM файла. Трябва да съхраните текста в обикновен текстов файл с разширение .ADM. Кодирането трябва задължително да бъде ASCII (т.е. без никакви Unicode и UTF8 истории).

За Ваше удобство съм направил всичко това и можете да свалите файла от тук: ADM файл за Skype (v1.7) / 9.97 KB / (1049)

Интересна подробност е и, че Skype може да се свали в .MSI вариант (наречен “бизнес” вариант) за по-лесна масова инсталация. Но едва ли бизнеса гори от желание служителите да използват такава програма по време на работа 🙂 🙂 🙂

Continue reading

Feb 07

EFS recovery policy contains invalid recovery certificate

Симптомите:
При опит за криптиране на произволен файл, използвайки EFS, получавате съобщение за грешка:

След преглед на System лога попадате на съобщението:

Event Type: Error
Event Source: EFS
Event Category: None
Event ID: 6028
Date:  05.02.2009
Time:  19:33:08
User:  N/A
Computer: XXXXXX
Description:
EFS recovery policy contains invalid recovery certificate.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

 

Continue reading

Nov 22

Как да забраним функцията Drag-And-Drop в конзолата Active Directory Users & Computers

   Drag-And-Drop функцията е доста полезна като цяло . Тя присъства и в конзолата Active Directory Users & Computers (ADUC) в сървърните версии на Windows, когато имате домейн. В този контекст маркирате даден потребителски/компютърен акаунт или организационна единица, провлачвате с мишката и обектът отива на новото място. Но при малко невнимание можете да сбъркате целевото OU и обектът да попадне на друго място. Това би създало много проблеми, особено ако не го забележите – в конкретното OU може да се отразяват различни групови политики, може да има делегиран контрол. Въобще – неприятна случка.

От SP1 за Server 2003 нагоре можете да забраните функцията Drag-And-Drop в ADUC. Атрибутът, който трябва да се модифицира се нарича flags и за всеобщо щастие се намира в самата Активна директория.

Continue reading

Nov 22

Active Directory Maximum Limits или колко много е “много”?

   Активната Директория е хранилището, в което се съхранява информация за разнообразни обекти, като потребителски акаунти, компютърни акаунти, принтери и какво ли още не. Дефакто на ниско ниво тя представлява “обикновена” база данни, която си има полета и записи. Задавали ли сте си въпроса обаче какви са ограниченията, свързани с нея, колко най-много потребители можете да създадете и т.н.?

   Скоро попаднах на един документ, който дава отговори на тези многобройни въпроси. Преведен, заедно с моите коментари, изглежда така:

[code]Допускам, че описаното важи и за Windows Server 2008, защото до този момент не виждам да има подобна статия за тази операционна система[/code]

 

  • Максимален брой обекти

Continue reading

Nov 14

Protect object against accidental deletion в Active Directory при Windows Server 2008

   Когато за пръв път се сблъсках с ADUC (Active Directory Users & Computers) в Server 2008 нещо ми направи впечатление. При създаване на организационна единица (OU – Organizational Unit) има една нова отметка, която гласи: “Protect object against accidental deletion”:

Continue reading

Nov 13

Присъединяване на отдалечен компютър към Active Directory домейн чрез NETDOM

   Присъединяването на компютър към домейн през Command Prompt става чрез тулчето NETDOM. Синтаксисът е:

[code]NETDOM /JOIN myComputer /Domain:myDomain /Userd:[domain\]someAdminUser /PasswordD:adminPass[/code]

Всичко става за броени секунди. Обаче! Обърнете внимание на параметъра “myComputer”. Обикновено това е името на станцията, в която сме се логнали и която станция искаме да присъединим. А ако вместо него напишем името на друг съществуващ и работещ компютър – примерно “otherComputer”…какво ще стане? Отговорът: от компютъра, на който седите (myComputerName) отдалечено ще присъедините към домейна myDomain машината otherComputer 🙂

Разбира се трябва първо да сте се автентикирали пред otherComputer, за да стане тази врътка.

Как стават тези магии?
Continue reading