Jan 10

Dynamic Objects in Active Directory

Sometimes we need to create users/groups/computers in Active Directory that will be used temporary (by a contractor, for testing etc.). The typical workflow is: Create > Use for a while > Delete. The deletion is manual and often these objects are being forgotten which poses some security risks.

It is little known fact that we can create the so called Dynamic objects (DOs, a.k.a. temporary objects) that get deleted from AD automatically when the associated TTL expires. Microsoft added this capability in Windows Server 2003. In fact the “Dynamic object” is an auxiliary class (OID = 1.3.6.1.4.1.1466.101.119.2). When linked to an object it adds some new attributes like the entryTTL (Entry-TTL) and ms-DS-Entry-Time-To-Die attribute.

Continue reading

Jan 05

WinRM would not listen on port 5985

The WinRM was configured to allow remote administration via a GPO but it wouldn’t let us connect with Enter-PSSession. The firewall rule was there passing the traffic on TCP port 5985.

Checking WinRM config showed something strange:

Listener [Source=”GPO”]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = null

So WinRM was actually configured but wasn’t listening on any network interface. Why?

Continue reading

Nov 13

Присъединяване на отдалечен компютър към Active Directory домейн чрез NETDOM

   Присъединяването на компютър към домейн през Command Prompt става чрез тулчето NETDOM. Синтаксисът е:

[code]NETDOM /JOIN myComputer /Domain:myDomain /Userd:[domain\]someAdminUser /PasswordD:adminPass[/code]

Всичко става за броени секунди. Обаче! Обърнете внимание на параметъра “myComputer”. Обикновено това е името на станцията, в която сме се логнали и която станция искаме да присъединим. А ако вместо него напишем името на друг съществуващ и работещ компютър – примерно “otherComputer”…какво ще стане? Отговорът: от компютъра, на който седите (myComputerName) отдалечено ще присъедините към домейна myDomain машината otherComputer 🙂

Разбира се трябва първо да сте се автентикирали пред otherComputer, за да стане тази врътка.

Как стават тези магии?
Continue reading

Nov 03

Домейн контролер с две или повече мрежови карти, който държи и DNS роля

   Скоро ми се наложи да вдигна домейн с два домейн контролера (DC1 и DC2) върху виртуални машини. Те трябваше да бъдат и DNS сървъри, които държат зоната lab.dom (това е само за пример!). И допуснах една глупава грешка, която ми костваше 30 минути лутане 🙂

Единият от домейн контролерите има две мрежови карти. Едната към вътрешната виртуална мрежа, в която оперират машините от домейна (172.16.0.0/24), а втората беше привързана към картата на компютъра ми т.е. към вътрешната ми мрежа (192.168.3.0/24).

Драмата дойде от това, че машината с две мрежови карти регистрираше два Host A записа за себе си (фиг. 1):

dc1 -> 172.16.0.11
dc1 -> 192.168.3.99

Continue reading

Aug 18

Къде присъединих станцията?!?

   Присъединяването на работна станция към домейн не е кой знае колко трудно. Когато домейнът има само един домейн контролер (ДК ) даже е лесно – станцията се присъединява към него и няма какво да я мислим толкова. Представете си обаче, че имате 10 домейн контролера в един АД сайт, които обслужват десетки компюти и HUB-AND-SPOKE топология. В този случай Continue reading