1. розгортання принтерів
2. управління живленням
3. управління файлами
4. Налаштування служб
5. Управління браузером IE
6. обслуговування реєстру
7. Обмеження на використання пристроїв
8. Робота з користувачами і групами
9. Налаштування меню Start

Q. Як швидко виконати очистку метаданих (clean up metadata) при видаленні контролера домену?
A. В Windows Server 2008 і пізніше, якщо ви видаляєте контролер домену в консолі Active Directory Sites and Services, все пов'язані з цим контролером домену метадані також видаляються. Однак, в ранніх версіях Windows Server цього не відбувається.
Для ранніх версій Windows Server, Microsoft пропонує використовувати скрипт з графічним інтерфейсом.
Q. Які служби необхідні для нормальної роботи Active Directory Domain Services?
A. Для нормального функціонування AD DS необхідна робота наступних служб:

• Active Directory Domain Services
• DNS Client
• NetLogon
• TCP / IP NetBIOS Helper
• Windows Time
• Workstation
• Distributed File System
• DNS Server
• File Replication Service
• Remoute Procedure Call (RPC) Locator
• Intersite Messaging
• Kerberos Key Distribution Center

Q. Чи не виконується команда adprep з Windows Server 2008 R2 на 32-х бітних контролерів домену, в чому помилка?
A. Windows Server 2008 R2 використовує тільки 64-бітну платформу, команда adprep виконується тільки в 64-х розрядних середовищах. Виконайте команду adprep32, що знаходиться в тій же папці, для роботи в 32-х бітної середовищі.
Q. Контролери домену з роллю RODC можуть бути використані в якості серверів глобального каталогу?
A. Контролери домену з роллю RODC можуть бути використані як сервери глобального каталогу, якщо у всіх доменах лісу виконана команда adprep / domainprep і використовуються контролери з Windows Server 2008 і вище.
В. Як створити список користувачів певної групи?
О. Найбільш швидкий спосіб це експортувати список користувачів групи в текстовий файл, використовуючи команду
Net group "Name_Group" / domain> listusers.txt
В. Як знайти всі заблоковані облікові записи в домені?
О. Що б знайти всіх заблокованих користувачів в Active Directory необхідно скористатися PowerShell
Search-ADAccount -accountdisabled | FL SamAccountName

Q. Що таке переваги групової політики (Group Policy Preferences)?
Уподобання групової політики (нова функція в операційній системі Windows Server 2008) включають в себе більше двадцяти нових розширень групової політики, що збільшують діапазон параметрів, що настроюються в об'єкті групової політики (GPO). Уподобання групової політики забезпечують більш точну настройку завдяки режимам дій і впливу на рівні елементів. Крім цього, призначені для користувача інтерфейси з розширеною функціональністю і XML-конфігурації на основі стандартів надають більше можливостей і забезпечують більшу гнучкість при роботі з керованими комп'ютерами через адміністрування об'єктів групової політики.
Q. Які можливості представляє розширення Group Policy Preferences?
A, Всього в набір Group Policy Preferences входить 21 функція. Основні з них:

розгортання принтерів

Ця функція дає можливість розгортати принтери TCP / IP і локальні принтери (для користувача або для комп'ютера) або спільно використовувані принтери (тільки для користувача).

управління живленням

Налаштування Group Policy Preferences Power Options розташовуються в розділах Computer Configuration і User Configuration папки PreferencesControl Panel SettingsPower Options. Ці настройки дають можливість використовувати в настільних системах нові засоби управління електроживленням на базі групових політик.

управління файлами

За допомогою розширення Group Policy Preferences Files, розташованого в розділі Computer ConfigurationPreferencesWindows SettingsFiles можна доставити на клієнтську систему файл або декілька файлів. А за допомогою налаштувань політики Group Policy File Security, розташованих в розділі Computer ConfigurationPoliciesWindows SettingsSecurity Settings File System, можна застосувати до цих файлів список управління доступом.

Налаштування служб

Налаштування Group Policy Preferences Services (Computer ConfigurationPreferencesControl Panel SettingsServices) дозволяють змінювати пароль локальний системний обліковий запис, змінювати параметри відновлення в разі збою служби, призначати іншу програму, виконувану в разі відмови служби, або передбачати перезапуск комп'ютера при збої.

Управління браузером IE

Установки Group Policy Preferences подібні налаштувань IE Maintenance групової політики. Налаштування Internet Settings набору Group Policy Preferences кілька розширюють можливості групової політики. Налаштування IE розміщуються в папці User ConfigurationPreferencesControl Panel SettingsInternet Settings. Вказівка ​​установок (preferences) означає наступне: адміністратор задає початкові настройки, але користувачі можуть змінювати їх.

обслуговування реєстру

Даний елемент конфігурації дозволяє розміщувати параметри реєстру практично в будь-якій його області.

Обмеження на використання пристроїв

Механізм дії розширення Group Policy Preferences Devices відключає пристрій або порт. Однак, користувачі володіють правами локального адміністратора можуть включити пристрій в Device Manager.

Робота з користувачами і групами

Параметр Group Policy Preferences Local Users and Groups розміщується в двох вузлах - Users і Computer - в розділі PreferencesControl Panel SettingsLocal Users and Groups. За допомогою розширення Local Users and Groups можна видаляти локальні групи і вказувати для видалення з груп тих чи інших користувачів; наприклад, виключити з групи локальних адміністраторів одного користувача.

Налаштування меню Start

настройки Group Policy Preferences Start Menu в розділі User ConfigurationPreferencesControl Panel SettingsStart Menu, являють собою кращі установки, їх можна розглядати скоріше як рекомендації для користувача. Якщо користувачам не подобаються запропоновані налаштування меню Start, він може їх змінити. Існує можливість заборони зміни налаштувань користувачем через параметр Apply once and do not reapply відповідного елемента Group Policy Preferences.
Q. Вимоги до системи і установка для використання переваг групової політики
A. Щоб використовувати переваги групової політики, виконайте наступні дії.
Встановіть набір клієнтських розширень на клієнтські комп'ютери. Операційні системи: Windows Vista RTM або пізніша версія, Windows XP з пакетом оновлень 2 (SP2) або пізнішої версії, Windows Server 2003 з пакетом оновлень 1 (SP1) або пізнішої версії. Розташування завантаження:
Windows Vista (x86): http://go.microsoft.com/fwlink/?LinkId=111859
Windows Vista (x64): http://go.microsoft.com/fwlink/?LinkID=111857
Windows XP (x86): http://go.microsoft.com/fwlink/?LinkId=111851
Windows XP (x64): http://go.microsoft.com/fwlink/?LinkId=111862
Windows Server 2003 (x86): http://go.microsoft.com/fwlink/?LinkId=111852
Windows Server 2003 (x64): http://go.microsoft.com/fwlink/?LinkId=111863
Додаткові відомості див. У статті 943729 бази знань Microsoft.
Встановіть XMLLite, засіб аналізу XML низького рівня, на клієнтські комп'ютери, що працюють не під управлінням ОС Windows Vista. Операційні системи: Windows XP з пакетом оновлень 2 (SP2) або пізнішої версії, Windows Server 2003 з пакетом оновлень 1 (SP1) або пізнішої версії. Розташування завантаження: http://go.microsoft.com/fwlink/?LinkId=111843 (Може бути англійською мовою)
Щоб налаштувати переваги групової політики на комп'ютері під керуванням ОС Windows Server 2008, використовуйте вікно редактора управління груповими політиками в консолі управління груповими політиками. У цьому випадку нічого завантажувати не потрібно, оскільки переваги групової політики входять в консоль управління груповими політиками в Windows Server 2008. Додаткову інформацію про перегляд переваг групової політики див. В наступному підрозділі «Перегляд переваг групової політики».
Q.Просмотр переваг групової політики
A. Відкрийте консоль управління груповими політиками. Щоб відкрити консоль управління груповими політиками, натисніть кнопку Пуск і послідовно виберіть пункти Адміністрування та Управління груповою політикою.
У дереві консолі управління груповими політиками розгорніть вузол Об'єкти групової політики в лісі і домені, що містять змінюваний об'єкт групової політики.
Клацніть правою кнопкою миші об'єкт групової політики, який потрібно змінити, і виберіть команду Змінити.
У дереві консолі розгорніть вузол Конфігурація комп'ютера або Конфігурація користувача, потім розгорніть вузол Уподобання, а потім розгорніть або виберіть елементи в разі потреби. У дереві консолі виберіть елемент, щоб переглянути пов'язані з ним параметри в області відомостей.
Q. Можливості Fine Grained Password Policy
A. Функція гранульованої настройки пральних політик (Fine Grained Password Policy) - нова можливість в Windows 2008, дозволяє використовувати різні політики паролів для користувачів і груп. Дана можливість знімає гораніченіе минулих версій Windows, раніше було можливо налаштовувати тільки одну парольний політику в кожному домені. Тепер їх можна налаштовувати кілька.
Q. Які утиліти використовуються для створення об'єктів параметрів паролів?
А. Існує два способи створення об'єктів параметрів паролів (Password Settings Object - PSO):
за допомогою редактора ADSI;
за допомогою команди ldifde.
Q. Які існують особливості використання Fine Grained Password Policy
А. Щоб забезпечити правильну роботу детальних політик блокування облікових записів і паролів в конкретному домені, необхідно
Встановити для режиму роботи цього домену значення Windows Server 2008.
Для зберігання докладних політик паролів в Windows Server 2008 використовуються два нових класу об'єктів в схемі доменних служб Active Directory (AD DS):
контейнер параметрів паролів (Password Settings Container - PSC);
параметри пароля (Password Settings Object - PSO).
Клас об'єкта Контейнер параметрів паролів створюється за замовчуванням в системному контейнері домену. У ньому зберігаються об'єкти параметрів паролів для цього домену. Цей контейнер неможливо перейменувати, перемістити або видалити.
Якщо користувачі об'єднані в підрозділи, можна створити для цих підрозділів "тіньові" групи, до яких потім застосувати створені детальні політики блокування облікових записів і паролів. Тіньова група - це глобальна група безпеки, яка логічно ставиться у відповідність підрозділу для введення в дію детальної політики блокування облікових записів і паролів. Після додавання користувачів або членів підрозділу до новоствореної тіньову групу до неї можна застосувати детальну політику блокування облікових записів і паролів. При переміщенні користувача з одного підрозділу в інший необхідно оновити його членство у відповідних тіньових групах.
До об'єкту користувача або групи може бути прив'язане кілька об'єктів параметрів паролів.
Для вирішення конфліктів політики паролів використовується пріоритет
Менше значення атрибута пріоритету вказує на те, що даний об'єкт параметрів паролів має більш високий пріоритет.
Об'єкт параметрів паролів PSO свзанний з користувачем, має пріоритет над PSO групи цього користувача.
Покрокове керівництво по детальної налаштування політик блокування облікових записів і паролів.
Q: При використанні fine-grained password policies, як визначити яка політика застосовується до конкретного користувача?
A: Нова можливість Fine-grained password policies з'явилася в Windows Server 2008. Вона дозволяє використовувати різні політики паролів і блокування користувачів для груп, замість застосування політики до всього домену.
Для перевірки, яка політика паролів застосовується до користувача, використовуйте наступну команду на контролері домену:
dsquery user -samid <username> | dsget user -effectivepso
Q. Що таке software restriction policy?
A. Software restriction policy (політика обмеженого використання програм) - це заснований на політиці механізм, який ідентифікує і контролює використання програмного забезпечення на клієнтських комп'ютерах. Software restriction policy використовує правила для визначення можливості запуску програмного забезпечення.
Q. Які способи використовує Software restriction policy для визначення можливості запуску програмного забезпечення?
A. Software restriction policy підтримує такі можливості ідентифікації програмного забезпечення:
Hash-хеш файлу.
Certificate- підпис файлу цифровим сертифікатом.
Path- локальний або мережевий ресурс, де розташований файл.
Zone- Зона інтернет.

Питання: Чому я консоль Server Manager (консоль Диспетчер сервера) не вдалося підключитися до віддаленого комп'ютера?
О. В Windows Server 2008 консоль Server Manager (консоль Диспетчер сервера) існує незрозуміле обмеження. Ви можете використовувати її тільки для управління локальним комп'ютером. Для віддаленого управління комп'ютерами доводилося використовувати стару консоль Computer Management (Керування комп'ютером).
Однак, в Windows Server 2008 R2 з'явилася можливість управляти іншими Windows Server 2008 R2 комп'ютерами за допомогою Server Manager. Для цього на сервері необхідно дозволити remote management.
Відкрийте консоль Server Manager, клацніть на Configure Server Manager Remote Management (Налаштувати віддалене управління за допомогою диспетчера серверів).

Встановіть чекбокс, що дозволяє віддалене підключення консолі Server Manager.

В. Що являє собою кошик Active Directory?
О. Кошик Active Directory допомагає зменшити час простою служби каталогів, покращуючи таким чином можливість збереження і відновлення випадково видалених об'єктів Active Directory без необхідності відновлення даних Active Directory з архівів, перезапуску доменних служб Active Directory (AD DS) або перезавантаження контролерів домену.
Якщо кошик Active Directory включена, все посилальні і нессилочние атрибути віддалених об'єктів зберігаються, а об'єкти повністю відновлюються в тому ж логічно узгодженому стані, в якому вони перебували безпосередньо перед видаленням. Наприклад, відновлені облікові записи користувача автоматично відновлюють все членства в групах і відповідні права доступу, якими вони володіли всередині і поза доменів в момент перед видаленням.
Кошик Active Directory працює як для середовища доменних служб Active Directory, так і для середовища служб Active Directory полегшеного доступу до каталогів (AD LDS).
В. Які умови необхідні для включення кошика Active Directory?
Відповідь: За умовчанням в Windows Server 2008 R2 кошик Active Directory відключена. Для включення кошика Active Directory середовище повинне задовольняти вимогам:

• всі контролери домену в лісі Active Directory працюють під управлінням Windows Server 2008 R2.
• режим роботи лісу Active Directory - Windows Server 2008 R2

В. Як включити кошик Active Directory?
О. В даній версії Windows Server 2008 R2 процес включення кошика Active Directory незворотній. Після включення кошика Active Directory для конкретної середовища відключити її буде не можна. Після установки Windows Server 2008 R2 в якості режиму роботи лісу можна включити кошик Active Directory за допомогою командлета Enable-ADOptionalFeature модуля Active Directory.
Натисніть кнопку Пуск, виберіть пункт Адміністрування, клацніть правою кнопкою миші пункт Модуль Active Directory для Windows PowerShell і виберіть пункт Запуск із правами адміністратора.
У командному рядку Active Directory module for Windows PowerShell введіть таку команду та натисніть клавішу ENTER:
Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>
Розрізнювальне ім'я (DN) кошика Active Directory - CN = Recycle Bin Feature, CN = Optional Features, CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = <домен>, DC = <com>, де <домен> і <com> представляють ім'я кореневого домену відповідного лісу середовища доменних служб Active Directory (AD DS).
Наприклад, щоб включити кошик Active Directory для contoso.com, введіть таку команду та натисніть клавішу ENTER:
Enable-ADOptionalFeature -Identity 'CN = Recycle Bin Feature, CN = Optional Features, CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = contoso, DC = com' -Scope ForestOrConfigurationSet -Target 'contoso .com '
Запитання: Як відновлення віддаленого об'єкта Active Directory?
О. Відновити віддалений об'єкт Active Directory можна за допомогою командлетів Get-ADObject і Restore-ADObject Модуль Active Directory для Windows PowerShell. Рекомендується використовувати командлет Get-ADObject для вилучення віддаленого об'єкта, а потім передавати його за допомогою конвеєра в командлет Restore-ADObject.
Відновлення одного віддаленого об'єкта Active Directory за допомогою командлетів Get-ADObject і Restore-ADObject
Натисніть кнопку Пуск, виберіть пункт Адміністрування, клацніть правою кнопкою миші пункт Модуль Active Directory для Windows PowerShell і виберіть пункт Запуск із правами адміністратора.
У командному рядку Active Directory module for Windows PowerShell введіть таку команду та натисніть клавішу ENTER:
Get-ADObject -Filter {String} -IncludeDeletedObjects | Restore-ADObject
Наприклад, щоб відновити випадково видалений об'єкт - користувача з наведених ім'ям Elen, введіть таку команду та натисніть клавішу ENTER:
Get-ADObject -Filter {displayName -eq "Elen"} -IncludeDeletedObjects | Restore-ADObject
Для отримання додаткових відомостей про Командлети Get-ADObject і Restore-ADObject в командному рядку Active Directory module for Windows PowerShell введіть Get-Help Get-ADObject або Get-Help Restore-ADObject і натисніть клавішу ENTER.

В. Ми використовуємо SCOM для моніторингу ІТ інфраструктури. Досить часто з'являється повідомлення виду:
AD Replication Monitoring: encountered a runtime error.
Failed to obtain the InfrastructureMaster using a well known GUID .
The error returned was: 'Failed to get the' fSMORoleOwner 'attribute from the object' LDAP: //DC1.contoso.loc/ <WKGUID = 2fbac1870ade11d297c400c04fd8d5cd, DC = DomainDnsZones, DC = contoso, DC = loc> '.
The error returned was: 'There is no such object on the server.' (0x80072030) '(0x80072030)
Як виправити?
О. Дане повідомлення генерується після некоректного видалення контролера домену. Що б виправити ситуацію виконайте наступні дії.

1. Відкрийте консоль Adsiedit.msc.
2. У меню виберіть підключитися до DC = DomainDnsZones, DC = <domain>, DC = <suffix>.
3. Відкрийте властивості об'єкта Infrastructure.
4. Перевірте атрибут fSMORoleOwner.

Значення має бути такого виду:
CN = NTDS Settings, CN = <servername>, CN = Servers, CN = <sitename>, CN = Sites, CN = Configuration, DC = <domain>, DC = <suffix>
Перевірте значення даного атрибута підключившись до DC = ForestDnsZones, DC = <domain>, DC = <suffix>.

джерело: NAVUS