Каковы периодическое обслуживание и операции безопасности для средней большой Реализации Active Directory?
Ну, назад в день Вы могли использовать ls-il, или статистика для распечатывания inode файла затем используют, находят с флагом-inode и использованием - должностное лицо называть комнату на том файле!
Я предполагаю, что постначало 90-х все еще звонит мне...... :)
Я добавлю replmon и repadmin как основы - они должны быть проверены, по крайней мере, однажды в неделю, чтобы гарантировать, что Ваша AD репликация функционирует правильно.
Если можно вытянуть все соответствующие журналы событий (Служба каталогов, DNS, FRS) от DCS, это - также хороший способ разобраться с тем, что продолжается.
Удаление или отключение бывших пользователей и компьютеров. Пользователи довольно легки, но компьютеры могут быть трудными в зависимости от Вашей установки. Проверьте множества сценариев Powershell, они могут действительно сделать AD управление легче. Также проверьте, чтобы удостовериться, что Ваша структура OU сохраняется. Рассмотрите любой GPOS, который не мог бы быть необходимым и отключить их.
В зависимости от Вашей среды можно хотеть знать, когда определенные группы изменяют членство (как отдел платежной ведомости), я предлагаю найти инструмент/метод, которым Вы довольны. Я имел некоторые сценарии и выполню windiff для визуального наблюдения изменений.
Безопасность Microsoft Baseline, которую Анализатор был бы хорошим способом отслеживать количество патчей, необходима.
Active Directory (NTP, DNS, LDAP, NTFRS)
NTP - убедитесь, что Ваш эмулятор PDC синхронизировал время из Интернета.
DNS - Мне сказали на DCS, имеют все goto основной DC рабочий DNS как первый DNS serer перечисленный для них, имеют второй адрес DNS собственным IP сервера.
LDAP - У меня было 14 DCS для заботы о так, я создал OU, и создайте контакты для каждого DCS, у меня были сценарии на DC, выполняемом каждые 10 минут для обновления поля описания с GMT и местное время. Тот путь, если мой администратор Exchange или кто-либо еще хотели знать, когда DCS длятся полученное изменение репликации от другого сайта, они могли посмотреть на dc локального сайта в ADUC в этой ОС и видеть изменения времени.
NTFRS - это - то, что копирует информацию о групповой политике. Я видел p2v на DC (не поддерживаемый) проблемы причины для репликации групповой политики, после этого я хотел знать, когда групповая политика не копировала так, я обновлю txt файл в тестовой папке политики, затем надеются видеть, обновил ли тот файл через мои контроллеры домена.
Besure для хранения примечаний, на котором DC также GC, где ролевые держатели FSMO - и какие шаги должны быть сделаны, если один из DCS должен перестать работать.
Если Вы блокируете учетную запись после определенного числа недопустимых попыток или имеете системную установку для принятия мер для событий как этот, можно хотеть инициировать их периодически, чтобы видеть, что они работают как ожидалось.
Мне также нравится, сохраняют аудит ключа удаления, IP информации о конфигурации, компоненты окон установленный.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OcManager\Subcomponents ipconfig / все> ip_info.txt
Mark