Pull to refresh

Администрирование для самых маленьких (Part 1: наводим порядок)

System administration *
Каждый раз удивляюсь, когда знакомые админы, которые абсолютно без проблем работают в linux теряются и не знают что делать, когда сталкиваются с администрированием домена AD.
Для большинства опытных администраторов вряд ли данная статья окажется полезной, но…

Итак, вы устроились на работу. Условия хорошие, зарплата большая, секретарши улыбаются, охрана приветливая, а кофе — бесплатное, но предыдущий сисадмин был студентом третьего курса техникума сельского хозяйства и оставил после себя 50 компьютеров с именами типа «NOVENKIY», «SPORTSMEN», «UVALEN», «23FG34». Ну еще стоит заметить, что половина компьютеров в AD — мертвецы. А те, которые и названы по фамилиям сотрудников — названы фамилиями тех, кто давно не работает в компании.

Кроме всего прочего, этот тип вручную наделал кучу гадостей «для безопасности». И вам абсолютно непонятно, как и с чего начинать. А начинать лучше всего с наведения порядка.

Удаление


Для начала лучше всего скачать утилиту OldCmp — используя её мы отсеем компьютеры, которые не регистрировались в системе больше 30 дней.

oldcmp -disable -unsafe -forreal -llts -age 30

Этой командой мы отключаем те машины, на которые никто не логинился в течении 30 дней. Для доменов младше windows 2003 можно использовать команду, которая обрабатывает не логины, но смену пароля компьютера внутри домена (не пользователя, а именно компьютера)

oldcmp -disable -unsafe -forreal -age 50

Если в течении двух-трех недель (надо оставить это время на «отпускников») к вам никто не обратился — можно удалять отключенные компьютеры:

oldcmp -delete -age 0 -onlydisabled -forreal

Итак, у нас остались только те компьютеры, которые были использованы в течении последних 30 дней.
Как же быть с переименованием?

Теоретическая часть


Тут тоже всё просто. Для начала нам надо скачать утилиты от Microsoft: PsTools, а так Support Tools.

Теперь, что бы правильно переименовать компьютеры лучше всего воспользоваться системой уникальных идентификаторов, наклеенных на компьютер. Так как в компании мы еще не знакомы с всеми людьми — лучше всего попросить у HR (или кого-угодно) список сотрудников по отделам — это может помочь нам в распределении компьютеров (и пользователей впоследствии) по папкам AD.

Кстати да, создайте в дереве AD папку Companyname_Computers, а в ней — подпапки с именем — названием отдела. Это небольшое действие избавит вас от многих проблем в будущем.

Что бы узнать какой компьютер кому принадлежит воспользуемся утилитой PsLoggedOn. Синтаксис очень простой. Мы будем использовать её в таком виде:

psloggedon -l \\computername

На выходе мы получим список пользователей, которые залогинены на компьютере. Если утилита не выполняется — значит выключен сервис удаленного редактирование реестра. Включаем его при помощи комады PsService.

psservice \\computername start remoteregistry

После того как мы получаем имя пользователя залогиненого в систему — переносим компьютер в соответствующую папку AD а в Description отмечаем имя пользователя, который сидит за этим компьютером.

Так же, всем администраторам в новой компании я рекомендую воспользоваться утилитой PsPasswd, для смены пароля локального администратора на известный вам.

pspasswd \\camputername Administrator Password

Теперь настало время воспользоваться утилитой NetDom

Эта утилита из скачанного нами ранее пакета Support Tools — может много чего. Мы будем использовать её для переименования компьютера.
В целом, команда должна выглядеть так:

netdom renamecomputer computername /newname:newcomputer /userd:domainname\adminname /passwordd:*

Эта программа, в отличии от PsTools не умеет исполняться из под текущего пользователя и имя админа надо указывать вручную. Что бы не держать пароль в открытом виде — мы вставили звездочку в поле passwordd — пароль будет запрошен.

После того, как мы переименовали компьютер — нам надо отметить новое имя на списке с пользователями, напротив фамилии сотрудника, для того, что бы потом просто пройтись по отделам и наклеить имена компьютеров на их корпуса (имею ввиду корпуса компьютеров, а не сотрудников).

… И сбоку бантик


Для удобства использования я создал батник, возможно он будет вам удобен:

@echo off
Set DomainName=
Set DomainAdminName=
Set LocalAdminName=
Set LocalPass=
Set PsToolsFolder=
Set SupportToolsFolder=
Set /P TARGET= Enter computer name:
%PsToolsFolder%\psservice \\%TARGET% start remoteregistry
%PsToolsFolder%\psloggedon -l \\%TARGET%
%PsToolsFolder%\pspasswd \\%TARGET% %LocalAdminName% %LocalPass%
echo " "
echo " "
echo " "
Set /P NEWNAME= Set new name of PC:
%SupportToolsFolder%\netdom renamecomputer %TARGET% /newname:%NEWNAME% /userd:%domainname%\%domainadminname% /passwordd:*
echo " "
echo " "
echo " "
echo " "
Set /P Ok= PressAnyKey to exit


Не забудьте заполнить первые поля внутри батника до Set /p TARGET — дальше ничего заполнять не надо.
Ну и не забывайте про отметки на списке и переносе пользователей и компьютеров в соответствующие папки — они нам будут нужны для следующих шагов.

Закрепление


Итак, мы запускаем батник, вводим имя компьютера, и узнаем, кто в теремочке живет, после чего делаем отметку в списке напротив фамилии пользователя и переносим компьютер в нужную нам папку в дереве AD, дальше вводим новое имя компьютера, свой пароль и радостно жмем любую кнопку после завершения процедуры.

После того как все компьютеры переименованы — берем наш листик с пользователями и именами компьютеров, наклейки с именами компьютеров и за 20 минут обходим офис по отделам, клея бумажки на корпуса компьютеров.

После этого когда кто-либо звонит вам вы просто просите прочитать имя компьютера на его корпусе, после чего… Ну, а это уже тема следующей статьи :)
Tags: windowsADpstoolsnetdomпорядок в голове
Hubs: System administration
Total votes 137: ↑129 and ↓8 +121
Comments 133
Comments Comments 133

Popular right now