Műveletek DC géppel

A PassMan-ban lehetőségünk van kifejezetten Domain Controller (DC) gépet felvennünk.

Domain Controller csak Windows Server lehet, fiókjait pedig az Active Directory (AD) alkalmazás segítségével tudjuk létrehozni.

Domain Controller gép felvétele:

     

A 'Domain vezérlő' mezőbe a teljes gépnevet kell megadnunk (vagy pedig az távoli gép IP címét)

      

*Ha név formátumban adjuk meg, akkor szükségünk lesz a címfeloldásra (IP-gépnév megfeleltetésre) is hozzá.

Amennyiben a távoli gépen fut DNS program, úgy ezt a gépet vegyük fel DNS szerverként

Ezt a Padmin-ban tudjuk megtenni: 

1. Rendszerbeállítás / Hálózat

       

2. Itt az 'ÚJ' gombra kattintva vegyük fel DNS-ként a DC gép IP címéjét.

       

Ettől kezdve a PassMan már ismerni fogja ennek a gépnek az IP/Domain név megfeleltetését (címfeloldását), 

így elkerülhető lesz, hogy a létrehozott fiókok 'Nincs Szinkronban' státuszba kerüljenek.

Szolgáltatás-jelszócsere DC-ről:

A DC-gépen nem szükséges bekapcsolni, hogy Szolgáltatások jelszavait is cserélje,

       

arra viszont ügyelnünk kell, hogy az AD-hoz tartozó felhasználó bekapcsolva maradjon,

illetve a Service owner is legyen bejelölve.

       

 A DC gép fiókjain akkor fogunk tudni szolgáltatás-jelszót is frissíteni, ha van Szerviz fiókunk ('S'-fiók) is ezen a DC eszközön.

Célrendszerenként továbbra is csak 1db 'S' fiók engedélyezett.

     

Most már használhatjuk a Fiók felderítése funkciót is (lap alján középen található gomb)

Felderítés DC gépen:

A kezdeti képernyőn kiválaszthatjuk, hogy:

1. Minden fiókot felfedezzünk-e újra, vagy csak azokat, amelyek még nincsenek az eszközre felvéve.
2. Kapjunk-e visszajelzést a felfedezés végén, hogy az adott fiók nevében van-e szerviz felvéve
3. Továbbá megadhatjuk azt az útvonalat, ahol a keresés lefusson. 

     

A DC gép a saját fiókjait mindenképpen fel fogja deríteni, a kérdés az, hogy a member-gépek közül miket vizsgáljon. (Elég magát a struktúrát megadni, pl. MemberTargets/IT_Support, tehát a tartomány neve nem kell az útvonal elején)

A mi esetünkben így nézne ki a beírni kívánt keresési útvonal, ha csak az 'alatta' mappa tartalmára keresnénk: PassManSearch/alatta

     

*Mindenképp érdemes útvonalakat definiálni, amennyiben nagyon hosszú ideig futna egy 'teljes felderítés'.

• Amennyiben a DC gépen van olyan fiók, amely nevében szolgáltatás fut a member gépeken, úgy az ilyen fiókok szerviz tulajdonos: igen státusszal kerülnek felfedezésre.

Ha pl. a _chrTest' fiók nevén a DC gépen nem fut szerviz, de a Member gépen igen, akkor 'Igen' fog megjelenni a listában. (Amennyiben az adott útvonalon is futtott a keresés - alapból minden útvonalon lefut) 

Érdemes úgy hozzáadni a listához a felfedezett fiókot, hogy jelszót is cserélünk rajta egyből (különben ismeretlen státuszba kerülne)

A művelet hatására nem csak a belépési jelszó fog frissülni ezen a fiókon, hanem minden olyan szolgáltatás jelszava is, amely a fiók nevében fut.

Így a member gépeken pl. a DEMOPASSMANAD\suser nevében futó szolgáltatások tovább tudnak futni (illetve újraindíthatók lesznek), immár az új szolgáltatás jelszót használva.

Nem domain / member gépek esetén egy picit más előfeltételek vannak, hogy a szolgáltatás-jelszócsere sikerrel járjon. A 'sima mezei' esetet (és annak ellenőrzését) ITT mutatjuk be.

   

• A felfedezés lehetőséget kínál arra is, hogy kilistázza azokat a gépeket, melyeken DC gép fiók nevében fut szolgáltatás.

Ekkor a jelölőnégyzet segítségével a szóban forgó eszköz is bekerül a PassMan-ba. 

Ehhez mind a 3 négyzetet be kell jelölni: tehát a fiók hozzáadása és a jelszócsere is meg fog valósulni.

     

        Az így létrehozott eszköz abba a mappába kerül, ahol a felfedezésre használt gép is található.

     

Hiba esetén:

• Amennyiben a felfedezés semmilyen találatot nem hozni, úgy győződjünk meg arról, hogy a DC gép IP-címmel van-e felvéve (eszköz neve mezőben),

 és, hogy a 'Domain vezérlő' mezőben is ugyanez az IP szerepel-e. (Névvel is felvehetjünk felvehetjük a gépeket, de akkor a DC gépen egy DNS szolgáltatás szükséges, amely a neveket fel tudja oldani,

illetve a Padmin / System settings / Network menüpontban vegyük fel a DC gép IP-címét is, mint DNS)

•   Ellenőrizzük, hogy a PowerShell.Remoting engedélyezve van-e a távoli gépen
  
  

Jelszó megváltoztatása 'hagyományos' módon:

Ha azt szeretnénk, hogy kézzel adjunk meg új jelszót (vagy épp generálva), úgy azt a meglévő (már felfedezett, vagy kézzel felvett) fiókokra is meg tudjuk tenni a hagyományos módon kiegészítve néhány beállítással:

Szóval mielőtt a '...' menü: 'Azonosítók módosítása' menüpontjára lépnénk

     

*előtte győződjünk meg arról, hogy member gép névvel (és nem IP-vel) fel van-e véve a PassMan-ban.

Az is fontos, hogy a 'Domainben' mezőbe az az érték kerüljön, ami a DC target-en a 'Domain vezértlő értéke' (ez könnyen kiválasztható a 'dropdown' lista segítségével).

     

→ erre csak akkor van szükség, ha a felfedezés során még nem adtuk az eszközt a listánkhoz.

Szerviz felvétele (segédlet):

Szolgáltatás definiálására pl. a NSSM (Non 'socking' Service Manager) szolgál, amelyet parancssorból lehet indítani. (letölthető: INNEN). A kicsomagolt és általunk egyszerűbbre nevezett (pl. 'nssm-2.24') mappát érdemes a 'C' meghajtó egy könnyen hozzáférhető struktúrájába tenni (vagy a gyökérbe). A parancssorban a cd.. és dir, (cd mappanév) stb. segítségével látogassuk meg azt a mappát, ahol az .exe file található. Ilyenkor ehhez hasonlóan paranccsal indítsuk ez az .exe file-t: nssm install notepadservice. A parancs utolsó része tetszőleges, de érdemes a leendő szolgáltatás nevére utalnia. Tallóznunk kell az alkalmazást, amit szolgáltatássá szeretnénk alakítani. Ezt az első lapon tudjuk megtenni. A lapok között állítható, hogy kézzel induljon el, vagy automatikusan fusson. Az utóbbi esetben legelőször még szintén szükséges a kézi indítás. Ha a saját fiókunk nevében szeretnénk futtatni, akkor a létező azonosítóinkat ennek megfelelően kell megadni, tehát fióknév és jelszó kétszer.

Ha épp DC member gépen vagyunk és pl. a következő formátumot választjuk, akkor a szolgáltatás gazdája a DC gép (pontosabban annak egy fiókja) lesz, az ő nevében fog futni szolgáltatás: de a member-gépre magára kerül a futó szolgáltatás.

demopassmanad\FELHASZNÁLÓNÉV

     

Ha a DC-gépen ennek a fióknak a jelszavát változtatjuk, akkor kifrissül a szolgáltatás jelszava is.

Tehát a Member-gépen futó szolgáltatás jelszava szintén felül tud íródni, amikor a DC gépen azonosítót változtatunk erre a fiókra.