Active Directory

Exchange Sunucuların Desteklediği AD Versiyonları ile Domain ve Forest Seviyeleri

Ortamınızdaki Exchange sunucusunu ya da Domain Controller işletim sistemlerini değiştirmeyi planlıyorsanız aşağıdaki tabloları dikkate almanızı öneririm.
Desteklenen ürünler X ile gösterilmiştir.

Operating system environment

Exchange 2013

Exchange 2010 SP3

Exchange 2010 SP2

Exchange 2007 SP3

Exchange 2003 SP2

Windows 2000 Server SP4 Active Directory servers

       

X

Windows Server 2003 SP1 Active Directory servers

     

X

X

Windows Server 2003 SP2 Active Directory servers

X

X

X

X

X

Windows Server 2008 Active Directory servers

X

X

X

X

X

Windows Server 2008 SP2 Active Directory servers

X

X

X

X

X

Windows Server 2008 R2 Active Directory servers

X

X

X

X

X

Windows Server 2008 R2 SP1 Active Directory servers

X

X

X

X

X

Windows Server 2008 read-only Active Directory servers

         

Windows Server 2008 R2 read-only Active Directory servers

         

Windows Server 2012 Active Directory servers

X

X

X

X

 

Windows Server 2012 read-only Active Directory servers

         

 

Domain and forest functional level

Exchange 2013

Exchange 2010 SP3

Exchange 2010 SP2

Exchange 2007 SP3

Exchange 2003 SP2

Windows 2000 Server mixed domain functional level

       

X

Windows 2000 Server native functional level

     

X

X

Windows Server 2003 interim domain functional level

       

X

Windows Server 2003 domain functional level

X

X

X

X

X

Windows Server 2008 domain functional level

X

X

X

X

X

Windows Server 2008 R2 domain functional level

X

X

X

X

X

Windows Server 2012 domain functional level

X

X

X

X

 

Windows 2000 Server forest functional level

     

X

X

Windows Server 2003 interim forest functional level

       

X

Windows Server 2003 forest functional level

X

X

X

X

X

Windows Server 2008 forest functional level

X

X

X

X

X

Windows Server 2008 R2 forest functional level

X

X

X

X

X

Windows Server 2012 forest functional level

X

X

X

X

 

 

Kaynak : http://technet.microsoft.com/en-us/library/ff728623(EXCHG.141).aspx

 

GPO ile Proxy Ayarı Göndermek

Domain üyesi kullanıcılarınıza GPO ile Proxy ayarı gönderimi için aşağıdaki adımları uygulayabilirsiniz. Yeni bir GPO oluşturun ve Proxy ayarının uygulanmasını istediğiniz OU’lara link’leyin.

İlk Yöntem
olarak Internet Settings Seçeneğini kullanabilirsiniz. Burada ortamınızda bulunan IE sürümlerinin her biri için ayrı ayrı ayar gönderebilirsiniz.

Yukarıdaki resme bakarak IE11 yok bu listede dediğinizi duyar gibiyim. IE 10 üzerinden yaptığınız ayarlar IE 11 içinde uygulanacaktır. Kaynak: http://support.microsoft.com/kb/2898604

Burada dikkat etmek gereken bir konu var. Bu ekrandan herhangi bir IE sürümü seçtiğinizde gelen ayar ekranında bazı ayarların altında KIRMIZI ÇİZGİ
var ise o ayarı yapsanız da çalışmayacak demektir. Bu yüzden o alanda iken klavyeden “F5” tuşuna basınız!

(daha&helliip;)

Active Directory Recycle Bin Özelliğinin Aktif Hale Getirilmesi ve Kullanımı

Active Directory Recycle Bin özelliği hayatımıza Server 2008R2 ile gelen bir özelliktir. Amaç silinen bir objenin geri getirilebilmesidir. Default olarak kapalı gelen bu özellik konsol’ dan ya da komut satırından aktif hale getirilebilir.
Bu özelliğin kullanılabilmesi için Forest functional seviyenizin 2008R2 olması zorunludur.

Önemli Uyarı: Bu özellike aktif hale geldikten sonra kapatılamaz.

Konsol’ dan aktifleştirmek için “Active Directory Administrative Center” konsolu açılır, sol menüden domain adı tıklanır ve “task pane” de bulunan “Enable Recycle Bin” link’i tıklanır.

Komut satırından aktifleştirmek için PowerShell üzerinden aşağıdaki komut kullanılır.

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=sertactopal,DC=local’ –Scope ForestOrConfigurationSet –Target ‘sertactopal.local’

Özelliğin Kullanımı:

İlk olarak yapmak istediğim bilgilendirme bu özellik kapalı iken silinen kullanıcılar bu özellik aktif hale getirildiğinde geri getirilemez.

Silinen objeleri konsoldan geri getirebilmek için ““Active Directory Administrative Center” açılır ve domain adı tıklanır. Sonrasında “Deleted Objects” e girilir.


Geri almak istediğiniz kullanıya sağ tıl ile eski bulunduğu yere yada başka bir OU altına dönmeniz mümkün.

Geri alma işlemini Powershell üzerinden yapmak için aşağıdaki komut kullanılır.

Get-ADObject -Filter {displayName -eq “User1”} -IncludeDeletedObjects | Restore-ADObject

NOT: Kullanıcı geri alındığında üye olduğu gurup bilgileri de geri gelir.

 

Kaynak :
http://technet.microsoft.com/tr-tr/library/dd379481(v=ws.10).aspx

http://technet.microsoft.com/en-us/library/dd379509(v=WS.10).aspx

Active Directory Domain ve Forest Functional Seviyelerini Düşürmek

İlk olarak aşağıdaki komutlar ile mevcut durumu görüntüleyelim:

Get-ADForest | format-list forestmode
Get-ADDomain | format-list domainmode

Daha sonra roolback işlemini yapalım ve kontrol edelim:

Set-ADForestMode -Identity “sertactopal.local” -ForestMode Windows2008R2Forest
Set-ADDomainMode -Identity “sertactopal.local” -DomainMode Windows2008R2Domain

ve kontrol komutlarımız

Get-ADForest | format-list forestmode
Get-ADDomain | format-list domainmode

Bu işlemin yapılabileceği koşullar aşağıdaki tabloda ki gibidir:

Mevcuc domain functional seviyeniz

Mevcut forest functional seviyeniz

Geri almak imkânı

Windows Server 2012 R2

Windows Server 2012 R2

İlk olarak Forest seviyesini düşürmek zorundasınız, sonrasında domain seviyesi

Windows Server 2012 R2

Windows Server 2012

Windows Server 2012

Windows Server 2012 R2

Windows Server 2008 R2

Windows Server 2012 veya Windows Server 2008 R2

Windows Server 2012 R2

Windows Server 2008

Windows Server 2012, Windows Server 2008 R2, veya Windows Server 2008

Windows Server 2012

Windows Server 2012

İlk olarak Forest seviyesini düşürmek zorundasınız, sonrasında domain seviyesi

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008 R2

Windows Server 2012

Windows Server 2008

Windows Server 2008 R2 veya Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

İlk olarak Forest seviyesini düşürmek zorundasınız, sonrasında domain seviyesi

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008

Windows Server 2008 veya altı

Windows Server 2008 veya altı

Yok

Eğer yapınızda Recycle Bin özelliği aktif ise koşullar aşağıdaki şekilde değişiyor.

Mevcut forest functional seviyeniz

Recycle Bin Aktif Edildi mi?

Geri almak imkânı

Windows Server 2012 R2

Evet

Windows Server 2012 veya Windows Server 2008 R2

Windows Server 2012 R2

Hayır

Windows Server 2012, Windows Server 2008, veya Windows Server 2008 R2

Windows Server 2012

Evet

Windows Server 2008 R2

Windows Server 2012

Hayır

Windows Server 2008 R2 veya Windows Server 2008

Windows Server 2008 R2

Evet

Yok

Windows Server 2008 R2

Hayır

Windows Server 2008

 

Kaynak : http://technet.microsoft.com/library/understanding-active-directory-functional-levels(v=WS.10).aspx

Active Directory Domain ve Forest Functional Seviyelerini Yükseltmek

Domain
sevinizi aşağıdaki komut ile yükseltebilirsiniz:

Set-ADDomainMode -Identity “sertactopal.local” -DomainMode Windows2008R2Domain
YADA
Set-ADDomainMode -Identity “sertactopal.local” –DomainMode 4

DomainMode parametresi olarak kullanılabilecek değerler.

Rakam Olarak Yazı Olarak
0 Windows2000Domain
1 Windows2003Domain
2 Windows2003InterimDomain
3 Windows2008Domain
4 Windows2008R2Domain
5 Windows2012Domain
6 Windows2012R2Domain

 

Forest
sevinizi aşağıdaki komut ile yükseltebilirsiniz:

Set-ADForestMode -Identity “sertactopal.local” -ForestMode Windows2008R2Forest
YADA
Set-ADForestMode -Identity “sertactopal.local” -ForestMode 4

DomainMode parametresi olarak kullanılabilecek değerler.

Rakam Olarak Yazı Olarak
0 Windows2000Forest
1 Windows2003Forest
2 Windows2003InterimForest
3 Windows2008Forest
4 Windows2008R2Forest
5 Windows2012Forest
6 Windows2012R2Forest

 

Active Directory Domain ve Forest Functional Seviyeleri Uyumluluk Tablosu

AD yapınızda yenilik yaparak yeni bir DC kurmak istiyorsunuz. Kafanızdaki ilk soru acaba sorun olur mu? Hangi DC’ler birbirleri uyumlu?
Bu sorunun cevabını aşağıdaki tablolarda bulabilirsiniz.

Domain Functional Seviyenize Göre Uyumluluk Tablosu

Domain functional level

Domain controller’lar için desteklenen işletim sistemleri

Windows Server 2003

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012

 

Forest Functional Seviyenize Göre Uyumluluk Tablosu

Forest functional level

Domain controller’lar için desteklenen işletim sistemleri

Windows Server 2003

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2008 R2

Windows Server 2008

Windows Server 2008 R2 (default)

Windows Server 2012

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012

Kaynak : http://technet.microsoft.com/en-us/library/cc771294.aspx

Active Directory Domain ve Forest Functional Seviyelerini Görüntülemek

Active Directory ortamınızda Domain ve Forest seviyelerini görüntülemek için aşağıdaki komutları kullanabilirsiniz.

İlk olacak PowerShell komut istemcisi açılır ve Active Directory ile ilgili komutların çalışabilmesi için gerekli komut modülü eklenir.

Import-Module ActiveDirectory (bu komutu girmeden aşağıdaki komutları girdiğinizde modül otomatik olarak yüklenebilir)

Sonrasında Domain ve Forest seviylerini görüntülemek için aşağıdaki iki komut girilir.

Get-ADDomain | format-list domainmode

Get-ADForest | format-list forestmode

SID Çakışmasını Tespit Etmek

AD ortamında sanırım hiç bir admin SID çakısması olsun istemezler. Peki bunun kontrolünü nasıl yapabiliriz?
Bunun için çeşitli tool’lar var. Psgetsid de bunlardan biri. Ama amacınız tüm AD yapınızı konrol etmek ise aşağıdaki komutu önerebilirim.

dsquery * -filter “(objectcategory=computer)” -attr objectsid -limit 10000 >sid.txt

10000 yerinde AD’de bulunan bilgisayar hesabı sayısına göre artırabilirsiniz. Komutu çalıştırdığınızda sid.txt isminde bir çıktı verecek. Bu çıktıyı Exel’e atarak koşullu biçimlendirme özelliğini kullanarak aynı olan SID’leri görüntüleyebilirsiniz. Sonra elde ettiğiniz SID hangi bilgisayara ait bunu tespit etmeniz gerekecek. Bu işide bu tool’u kullanarak yapabilirsiniz.

Bu işin uzun yoluydu J

Kısa yol şu şekilde

To start Ntdsutil:

  1. Click Start, and then click Run.
  2. In the Open box, type ntdsutil, and then press ENTER.

Look for a Duplicate SID

  1. At the Ntdsutil command prompt, type security account management, and then press ENTER.
  2. At the Security Account Maintenance command prompt, type connect to server DNSNameOfServer, and then press ENTER. Connect to the server that stores your SAM database.
  3. At the Security Account Maintenance command prompt, type check duplicate sid, and then press ENTER. A display of duplicates appears.

Clean Up a Duplicate SID

  1. At the Ntdsutil command prompt, type security account management, and then press ENTER.
  2. At the Security Account Maintenance command prompt, type connect to server DNSNameOfServer, and then press ENTER. Connect to the server that stores your SAM database.
  3. At the Security Account Maintenance command prompt, type cleanup duplicate sid, and then press ENTER. Ntdsutil confirms the removal of the duplicate.
  4. At the Security Account Maintenance command prompt, type q, and then press ENTER.
  5. When you are finished with Ntdsutil, type q, and then press ENTER.

Kaynak  : http://support.microsoft.com/kb/816099/en-us