Администрирование компьютеров

Для администрирования компьютеров в домене Эллес с помощью утилиты samba-tool используется группа подкоманд computer.

Добавление компьютера

Для добавления компьютера в домене Эллес используется следующий формат вызова:

  • с помощью подкоманды add:

    samba-tool computer add <computername> [options]

  • с помощью подкоманды create:

    samba-tool computer create <computername> [options]

В качестве обязательного аргумента подкоманда ожидает имя компьютера в формате sAMAccountName.

Компьютеры служат представлением физических объектов, подключенных к сети (например, рабочих станций). Они являются субъектами безопасности, которым присваиваются соответствующие идентификаторы (SID).

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --computerou=COMPUTEROU — имя (DN) альтернативного расположения (без или с domainDN), в котором будет создан компьютер (вместо используемого по умолчанию CN=Computers);

  • --description=DESCRIPTION — информация о компьютере;

  • --prepare-oldjoin — опция указывает, что компьютер создается с целью его последующего ввода в домен;

  • --ip-address=IP_ADDRESS_LIST — IPv4-адрес для A-записи компьютера либо IPv6-адрес для AAAA-записи компьютера;

  • --service-principal-name=SERVICE_PRINCIPAL_NAME_LIST — значение атрибута Service Principal Name (SPN) для компьютера.

Примеры

Пример добавления в домен нового компьютера с указанием удаленного LDAP-сервера:

samba-tool computer add Computer1 -H ldap://samba.samdom.example.com -U Administrator

Пример добавления в домен нового компьютера на локальном сервере:

samba-tool computer add Computer2

Пример добавления нового компьютера в подразделение OrgUnit:

samba-tool computer add Computer3 --computerou='OU=OrgUnit'

Изменение атрибутов компьютера

Для изменения состава и значений атрибутов компьютера в домене Эллес используется следующий формат вызова:

samba-tool computer edit <computername> [options]

В результате выполнения команды в системном текстовом редакторе или текстовом редакторе, переданном в качестве значения параметра --editor, открывается список атрибутов компьютера. Редактирование и сохранение внесенных изменений выполняется средствами текстового редактора.

В качестве обязательного аргумента подкоманда ожидает имя компьютера в формате sAMAccountName.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --editor=EDITOR — текстовый редактор, который следует использовать вместо редактора, заданного в операционной системе по умолчанию, либо вместо vi, если в операционной системе не задан редактор по умолчанию.

Примеры

Пример запуска редактирования атрибутов компьютера в домене с указанием удаленного LDAP-сервера:

samba-tool computer edit Computer1 -H ldap://samba.samdom.example.com -U Administrator

Пример запуска редактирования атрибутов компьютера в домене на локальном сервере:

samba-tool computer edit Computer2

Пример запуска редактирования атрибутов компьютера в домене с использованием редактора nano:

samba-tool computer edit Computer3 --editor=nano

Удаление компьютера

Для удаления существующего компьютера в домене Эллес используется следующий формат вызова:

samba-tool computer delete <computername> [options]

В качестве обязательного аргумента подкоманда ожидает имя компьютера в формате sAMAccountName.

При удалении компьютера также удаляются все связанные с ним разрешения, права и членства в группах. Если в последствии в домен будет добавлен компьютер с тем же именем, он не получит разрешения, права или членства удаленной записи, так как ему будет присвоен новый идентификатор безопасности (SID).

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример удаления в домене компьютера с указанием удаленного LDAP-сервера (значение параметра -H):

samba-tool computer delete Computer1 -H ldap://samba.samdom.example.com -U Administrator

Пример удаления в домене компьютера на локальном сервере:

samba-tool computer delete Computer2

Получение списка компьютеров

Для получения полного списка компьютеров в домене Эллес используется следующий формат вызова:

samba-tool computer list [options]

По умолчанию выводится список имен учетных записей SAM (sAMAccountName).

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --full-dn — выводить в списке вместо имен учетных записей SAM (sAMAccountName) уникальные составные имена (DN);

  • -b BASE_DN|--base-dn=BASE_DN — выводить в списке только компьютеры с указанным базовым уникальным именем (DN).

Примеры

Пример получения списка имен (SAM) компьютеров:

samba-tool computer list

Пример получения списка уникальных составных имен компьютеров (DN):

samba-tool computer list --full-dn

Перемещение компьютера в подразделение/контейнер

Для перемещения компьютера в домене Эллес в указанное подразделение (OU) или контейнер используется следующий формат вызова:

samba-tool computer move <computername> <new_parent_dn> [options]

В качестве обязательного аргумента подкоманда ожидает имя компьютера в формате sAMAccountName.

Имя подразделения или контейнера может указываться в формате полного уникального составного имени (DN) или без компонента domainDN.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример перемещения компьютера в подразделение OrgUnit с указанием удаленного LDAP-сервера:

samba-tool computer move Computer1 'OU=OrgUnit,DC=samdom,DC=example,DC=com' -H ldap://samba.samdom.example.com -U Administrator

Пример перемещения компьютера обратно в контейнер CN=Computers на локальном сервере:

samba-tool computer move Computer1 CN=Computers

Получение атрибутов компьютера

Для получения атрибутов компьютера в домене Эллес используется следующий формат вызова:

samba-tool computer show <computername> [options]

В качестве обязательного аргумента подкоманда ожидает имя компьютера в формате sAMAccountName.

В параметре --attributes может передаваться список атрибутов (через запятую), значения которых требуется отобразить. Если параметр --attributes не задан или задан в формате --attributes=*, выводятся все доступные атрибуты.

В дополнение к доступным атрибутам могут выводиться скрытые атрибуты. Для этого достаточно явно указать их имя в параметре --attributes наряду с *.

Если запрошенный в параметре --attributes атрибут отсутствует у указанного компьютера, он опускается в выводе.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --attributes=COMPUTER_ATTRS — список атрибутов (через запятую), которые требуется вывести.

Примеры

Пример получения атрибутов компьютера в домене с указанием удаленного LDAP-сервера:

samba-tool computer show Computer1 -H ldap://samba.samdom.example.com -U Administrator

Пример получения атрибутов компьютера в домене на локальном сервере:

samba-tool computer show Computer2

Пример получения значений атрибутов objectSid и operatingSystem компьютера:

samba-tool computer show Computer3 --attributes=objectSid,operatingSystem

Смена пароля машинной учетной записи контроллера домена

Для смены пароля машинной учетной записи компьютера, на котором развернут контроллер домена Эллес, используется следующий формат вызова:

samba-tool computer update_pwd [options]

Подкоманда запускает процедуру смены пароля машинной учетной записи контроллера домена. Предназначена для ситуаций, когда запуск в стандартном режиме не обеспечивает смену пароля по причине какой-либо проблемы.

Она должна вызываться на контроллере домена Эллес с правами суперпользователя (root/sudo). В этом случае, как и при автоматической регулярной смене пароля, используется машинная учетная запись контроллера домена.

Если по какой-либо причине (например, при аварии или иной непредвиденной ситуации) выполнить подкоманду с использованием машинной учетной записи не удается, она может быть запущена с дополнительным параметром --force-user, указывающим на необходимость использования:

  • действующего билета Kerberos вызывающего подкоманду пользователя, если в вызове также передается параметр --use-kerberos=required;

  • учетных данных пользователя из значения дополнительного параметра -U|--username.

См. подробнее в разделе «Смена пароля машинной учетной записи контроллера домена».

Параметры

Параметры вызова:

  • --force-user — запуск подкоманды с действующим билетом Kerberos текущего пользователя (если используется параметр --use-kerberos=required) или учетными данными пользователя, указанного в параметре -U|--username.

    Данный дополнительный параметр обеспечивает возможность передачи в вызове учетных данных пользователя, необходимых для взаимодействия с удаленными контроллерами домена в процессе выполнения процедуры смены пароля.

Примеры

Пример запуска процедуры смены пароля машинной учетной записи на контроллере домена Эллес:

samba-tool computer update_pwd

Пример запуска процедуры смены пароля машинной учетной записи на контроллере домена Эллес с указанием учетных данных пользователя:

samba-tool computer update_pwd --force-user -U Administrator

Управление атрибутами LAPS компьютера

Local Administrator Password Solution (LAPS) — технология автоматического управления паролями локальных администраторов на компьютерах в корпоративной среде.

В рамках samba-tool computer предоставляются подкоманды для управления относящимися к компьютеру атрибутами LAPS.

Просмотр значений атрибутов LAPS компьютера

Для просмотра значений атрибутов LAPS компьютера используется следующий формат вызова:

samba-tool computer laps show <computername> [options]

В качестве обязательного аргумента подкоманда ожидает имя компьютера в формате sAMAccountName.

В текущей версии Эллес подкоманда возвращает текущее значение одного из следующих атрибутов LAPS:

  • ms-Mcs-AdmPwd — текущий пароль локального администратора на указанном компьютере в незашифрованном виде при использовании Legacy Microsoft LAPS;

  • msLAPS-Password — текущий пароль локального администратора на указанном компьютере в незашифрованном виде при использовании Windows LAPS.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример отображения пароля локального администратора, хранящегося в БД Эллес в незашифрованном виде:

samba-tool computer laps show pc101 -H ldap://ldc1.samdom.example.com