什么是最常见的定期活动,以确保中等到大型活动目录实施顺利和安全地执行。
DCDiag.exe是一个很好的开始。
我将添加replmon和repadmin作为基础 – 这些应至less每周检查一次,以确保您的AD复制function正常。
如果您可以从您的数据中心提取所有相关的事件日志(目录服务,DNS,FRS),这也是处理发生的事情的好方法。
删除或禁用以前的用户和计算机。 用户是相当容易的,但电脑可能会很难,取决于您的设置。 看看大量的Powershell脚本,他们真的可以使ADpipe理更容易。 另外检查,以确保您的OU结构被保留。 查看任何可能不需要的GPO并将其禁用。
根据您的环境,您可能想知道某些团体何时更换会员资格(例如工资部)。我build议您find一个您满意的工具/方法。 我有一些脚本,并会运行windiff直观地看到变化。
Microsoft基准安全分析器将是跟踪所需补丁数量的好方法。
活动目录(NTP,DNS,LDAP,NTFRS)
NTP – 确保您的PDC模拟器正在从互联网获取时间同步。
DNS – 我被告知DC有一个主要的DC运行DNS作为第一个DNS服务器列出他们,具有第二个DNS地址由服务器自己的IP地址。
LDAP – 我有14个DC需要照顾,所以我创build了一个OU并为每个DC创build了联系人,我每隔10分钟就在DC上运行脚本,用GMT和当地时间更新描述字段。 这样,如果我的Exchangepipe理员或任何其他人想知道DC最后从另一个站点获得复制更改的时间,他们可以在此OS的ADUC中查看本地站点的dc,并查看时间更改。
NTFRS – 这是什么复制组策略信息。 我曾经看到DC上的一个p2v(不支持)导致组策略复制的问题,之后我想知道组策略何时不复制,因此我会更新testing策略文件夹中的txt文件,然后查看该文件更新我的域控制器。
为了logging哪些DC也是GC,FSMOangular色所在的位置 – 如果其中一个DC出现故障,应该采取哪些步骤。
如果您在一定数量的无效尝试后locking了帐户,或者系统设置为这样的事件采取措施,您可能需要定期触发它们以查看它们是否按预期运行。
我也喜欢对安装的键盘,ip config info,windows组件进行审计。
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Setup \ OcManager \ Subcomponents ipconfig / all> ip_info.txt
标记