Làm cách nào để kiểm tra cấp độ chức năng miền / rừng AD DS từ máy trạm tham gia miền?


8

Có thể xác định các cấp chức năng miền / rừng AD DS từ máy trạm tham gia miền không? Tốt nhất là thông qua CLI / PS và nếu có thể với quyền Quản trị viên tên miền ... Làm thế nào tôi có thể hoàn thành nó?

Câu trả lời:


10

Powershell sau đây không yêu cầu quyền truy cập của quản trị viên hoặc quản trị viên tên miền, tôi đã thử nghiệm với tư cách là người dùng hạn chế trên máy trạm gia nhập miền với Powershell v2 / v3. Nó không yêu cầu bất kỳ công cụ của bên thứ ba hoặc mô-đun Powershell.

$dse = ([ADSI] "LDAP://RootDSE")

# Domain Controller Functional Level
$dse.domainControllerFunctionality

# Domain Functional Level
$dse.domainFunctionality

# Forest Functional Level
$dse.forestFunctionality

Các giá trị được trả về sẽ đại diện cho một mức chức năng riêng biệt:

Value  Forest        Domain             Domain Controller
0      2000          2000 Mixed/Native  2000
1      2003 Interim  2003 Interim       N/A
2      2003          2003               2003
3      2008          2008               2008
4      2008 R2       2008 R2            2008 R2
5      2012          2012               2012
6      2012 R2       2012 R2            2012 R2
7      2016          2016               2016

Người giới thiệu:


3

Chỉ là một giải pháp bổ sung cho câu trả lời được chấp nhận, vì tôi đã kết thúc ở đây ít nhiều với cùng một nhu cầu. Sự khác biệt là người ta được giải mã tên cấp độ:

Import-Module ActiveDirectory
$ForestRoot = 'top.domain'

(get-adforest -identity $ForestRoot).ForestMode

(get-adforest -identity $ForestRoot).Domains |
ForEach-Object {Get-ADDomain -Identity $_ |
ft DNSRoot,DomainMode -AutoSize}

1
+1. Đáng chú ý của bạn yêu cầu Microsoft Powershell AD Module. Ví dụ ADSI thì không.
jscott

Đúng là bạn, đang chỉnh sửa nó trong ..
ErikE

Cải thiện nhỏ. Bạn thực sự không cần phải bao gồm các -identity $ForestRootphần của các lệnh get-adforest khi bạn đang chạy nó từ một máy tham gia vào khu rừng mà bạn đang cố gắng truy vấn. Lệnh ghép ngắn sẽ chỉ lấy thông tin của máy hiện tại.
Ryan Bolger

2

Bạn chỉ muốn kiểm tra nó hoặc thực sự thay đổi nó? Thay đổi nó sẽ yêu cầu một số quyền quản trị nhất định trên miền / rừng.

Cách dễ nhất mà tôi có thể nghĩ đến mà không cần đến DSquery hoặc PS Get-ADDomain (sẽ yêu cầu nhập mô-đun AD) là sử dụng lệnh ADFIND của Jocare.

http://www.joware.net/freetools/tools/adfind/

adfind -rootdse domaincontrollerfunctionality domainfunctionality forestfunctionality

Ví dụ đầu ra từ tên miền của tôi:

AdFind V01.47.00cpp Joe Richards (joe@jonterest.net) Tháng 10 năm 2012

Sử dụng máy chủ: DOMAIN-DC1.hahaha.local: 389

Thư mục: Windows Server 2008 R2

đn:

domainF rốiality: 4 [Chế độ miền Windows Server 2008 R2]

ForestF rốiality: 4 [Chế độ rừng Windows Server 2008 R2]

domainControllF rốiality: 4 [Chế độ Windows Server 2008 R2]

Trả lại 1 đối tượng


1

Đối với cách tiếp cận dựa trên GUI, bạn có thể sử dụng Active Directory Explorer . Nhấp chuột phải vào nút trên cùng của tên miền, nhấp vào Thuộc tính và kiểm tra giá trị của domainControllF rốiality, domainF rốiality hoặc ForestF rốiality. Chúng có các giá trị nguyên tương ứng với:

0 = Win 2000
1 = Win 2003 hỗn hợp / tạm thời
2 = Win 2003
3 = Win 2008
4 = Win 2008 R2
5 = Win 2012
6 = Win 2012 R2
7 = Win 2016


0

Bạn cần phải hỏi câu hỏi này một chút khác biệt, bởi vì tôi không chắc bạn đang cố gắng làm gì- Cách đọc này là bạn muốn một tập lệnh powershell hoặc tập tin bó có thể thực hiện các tác vụ cực kỳ quản trị mà không cần chạy như một người dùng có khả năng thực hiện các nhiệm vụ đó. Nếu đó là những gì bạn đang hỏi, thì không thể, theo thiết kế.

Tuy nhiên, nếu bạn đang hỏi về việc quản trị AD từ máy trạm, bằng cách trao cho người dùng một tập lệnh có thể chạy các lệnh mà người dùng sẽ không thể (nghĩa là bạn muốn truy vấn AD từ tài khoản dịch vụ không được ưu tiên), chúng tôi sẽ cần biết phiên bản Powershell nào bạn đang sử dụng và phiên bản Máy chủ nào bạn đang sử dụng.

Bạn cũng có thể xem xét các dịch vụ web AD cho các nhiệm vụ một lần mà bạn muốn ủy quyền.

Từ một bài đăng trên TechNet: Chạy DSQUERY bên dưới

Dsquery * CN = Phân vùng, CN = Cấu hình, DC = Mydomain, DC = com -scope base -attr msDS-Behavior-Version

Đầu ra: msDS-Behavior-Phiên bản 2

Các thuộc tính chỉ ra DFL và FFL: - Cài đặt cấp rừng

Tên: msDS-Hành vi Phiên bản Đường dẫn: CN = Phân vùng, CN = Cấu hình, DC =, DC = com

Giá trị: 0 hoặc không được đặt = rừng cấp hỗn hợp

1 = Windows Server 2003 tạm thời cấp rừng 2 = Windows Server 2003 rừng cấp 3 = cấp rừng Windows Server 2008

  • Cài đặt cấp tên miền

Tên: msDS-Hành vi-Phiên bản Đường dẫn: DC =, DC =, DC = com (tên miền gốc) Giá trị: 0 hoặc không được đặt = tên miền cấp hỗn hợp

1 = cấp miền Windows Server 2003 2 = cấp miền Windows Server 2003 3 = cấp miền Windows Server 2008

  • Cài đặt chế độ hỗn hợp / bản địa

Tên: ntMixedDomain

Đường dẫn: DC =, DC =, DC = com (tên miền gốc)

Giá trị: 0 = Miền cấp độ bản địa 1 = Miền cấp độ hỗn hợp

Tôi không chắc chắn về các yêu cầu vai trò của người dùng để chạy cái này, nhưng bạn không thay đổi bất cứ điều gì với nó và tất cả đều sử dụng DSQUERY (Từ RSAT, tải xuống miễn phí từ Microsoft). Nhận xét nếu chúng ta cần nhìn vào kết thúc của nó.


Câu hỏi của tôi là về một tình huống khi giả sử thành viên của bộ phận CNTT không phải là quản trị viên tên miền cần nhanh chóng xác minh / kiểm tra hai cấp độ miền / chức năng rừng với những quản trị viên tên miền nên biết hơn & có tất cả các bảng điều khiển & công cụ thích hợp để kiểm tra. .. Bất kỳ phương pháp nhanh chóng và đơn giản nào cũng có thể giúp tôi
Mikhail

1
Tôi hiểu rằng câu hỏi này là một bài tập trong "làm thế nào có thể thực hiện được", tuy nhiên tôi không thể nghĩ ra một kịch bản duy nhất mà một thành viên nhóm CNTT không có quyền thích hợp sẽ cần phải làm điều này trong quá trình việc của họ.
joeqwerty

Tôi đã làm việc tại một công ty lớn, và loại thông tin này sẽ hữu ích ở một công ty như vậy. Dưới đây là một ví dụ: vị trí của bạn có một miền với DC cũ và bạn cần triển khai tính năng của FL mới hơn để đáp ứng yêu cầu vé. Bạn có thể không thân mật với quản trị viên tên miền đã quá tải. Để thực hiện các trường hợp nâng cấp cần thiết, bạn phải kết hợp quy trình, đây hoàn toàn là nghiên cứu để bạn có thể nhận được yêu cầu thay đổi cùng nhau - đây là một yêu cầu ITIL. Điều này sẽ rất hữu ích trong tình huống như vậy.
dùng1467163
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.