Advanced AD DS Management Using Active Directory Administrative Center (Level 200)

Статья
08/25/2023

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье рассматривается обновленный Центр администрирования Active Directory и приводится более подробное описание новой корзины Active Directory, детальной политики паролей и средства просмотра журнала Windows PowerShell, включая их архитектуру, примеры задач и информацию об устранении неполадок. Вводные сведения см. в разделе Introduction to Active Directory Administrative Center Enhancements (Level 100).

Архитектура центра администрирования Active Directory

Исполняемые файлы Центра active Directory Администратор istrative Center, библиотеки DLL

Модуль и базовая архитектура Центра администрирования Active Directory с появлением новой корзины Active Directory, детальной политики паролей и средства просмотра журнала не изменились,

Microsoft.ActiveDirectory.Management.UI.dll
Microsoft.ActiveDirectory.Management.UI.resources.dll
Microsoft.ActiveDirectory.Management.dll
Microsoft.ActiveDirectory.Management.resources.dll
ActiveDirectoryPowerShellResources.dll

Базовый Windows PowerShell и слой операций для новой корзины представлены ниже:

Illustration that shows the underlying Windows PowerShell and layer of operations for the new Recycle Bin functionality.

Активация и администрирование новой корзины Active Directory через Центр администрирования Active Directory

Возможности

Центр Администратор istrative Center Windows Server 2012 или более поздней версии Active Directory позволяет настроить корзину Active Directory для любого раздела домена в лесу и управлять ими. Для активации корзины Active Directory или восстановления объектов в разделы доменов больше не нужно использовать Windows PowerShell или Ldp.exe.
В Центре администрирования Active Directory есть расширенные условия фильтрации, упрощающие адресное восстановление в крупных средах с большим количеством удаленных объектов.

Ограничения

Поскольку Центр администрирования Active Directory позволяет управлять только разделами доменов, он не может восстанавливать удаленные объекты из разделов "Конфигурация", "DNS-домен" и "DNS-лес" (удалять объекты из раздела "Схема" нельзя). Для восстановления объектов из разделов, не принадлежащих к домену, используйте командлет Restore-ADObject.
Центр администрирования Active Directory не позволяет восстанавливать поддеревья объектов за одно действие. Например, если вы удалите организационное подразделение с вложенными подразделениями, пользователями, группами и компьютерами, то при восстановлении этого организационного подразделения дочерние объекты восстановлены не будут.

Примечание.

Операция пакетного восстановления Центра Active Directory Администратор istrative Center выполняет "лучшие усилия" для удаленных объектов в выделенном фрагменте, поэтому родители упорядочены перед дочерними элементами списка восстановления. В простых тестовых случаях поддеревья объектов можно восстановить одним действием. Но угловые случаи, такие как выбор, содержащий частичные деревья - деревья с некоторыми удаленными родительскими узлами отсутствуют - или случаев ошибок, таких как пропуск дочерних объектов при сбое родительского восстановления, может не работать должным образом. В связи с этим поддеревья объектов необходимо восстанавливать только после восстановления родительских объектов.

Для корзины Active Directory требуется функциональный уровень леса Windows Server 2008 R2, и вы должны быть членом группы корпоративных Администратор. Активированную корзину Active Directory отключить нельзя. Корзина Active Directory увеличивает размер базы данных Active Directory (NTDS.DIT) на каждом контроллере домена в лесу. Объекты сохраняются в корзине вместе со всеми соответствующими данными атрибутов, поэтому со временем она занимает все больше места на диске.

Активация корзины Active Directory через Центр администрирования Active Directory

Чтобы включить корзину Active Directory, откройте Центр администрирования Active Directory и щелкните имя своего леса на панели управления На панели Задачи выберите команду Включить корзину.

Screenshot that shows how to enable the Recycle Bin in the Active Directory Administrative Center.

В Центре администрирования Active Directory откроется диалоговое окно Подтверждение включения корзины . Оно содержит предупреждение о том, что операция включения корзины необратима. Нажмите кнопку ОК , чтобы включить корзину Active Directory. В Центре администрирования Active Directory откроется другое диалоговое окно с сообщением о том, что корзина Active Directory не будет функционировать полностью, пока изменения в конфигурации не будут реализованы на всех контроллерах доменов.

Внимание

Параметр включения корзины Active Directory недоступен, если:

функциональный уровень леса ниже Windows Server 2008 R2;
корзина уже включена.

Эквивалентный командлет Active Directory Windows PowerShell:

Enable-ADOptionalFeature

Дополнительные сведения об использовании Windows PowerShell для включения корзины Active Directory см. в статье Пошаговое руководство по использованию корзины Active Directory.

Управление корзиной Active Directory через Центр администрирования Active Directory

В этом разделе в качестве примера используется существующий домен corp.contoso.com. Он объединяет пользователей в организационное подразделение UserAccounts. Организационное подразделение UserAccounts содержит три подразделения, каждое из которых, в свою очередь, содержит свои подразделения, пользователей и группы.

Screenshot that shows an example of an existing domain.

Хранение и фильтрация

Все объекты, удаленные в лесу, попадают в корзину Active Directory. Объекты хранятся в соответствии с атрибутом msDS-deletedObjectLifetime , который по умолчанию совпадает с атрибутом tombstoneLifetime леса. В любом лесу, созданном с помощью Windows Server 2003 SP1 или более поздней версии, значение атрибута tombstoneLifetime по умолчанию устанавливается равным 180 дням. В любом лесу, обновленном с Windows 2000 или установленном с помощью Windows Server 2003 (без пакетов обновления), атрибут tombstoneLifetime по умолчанию НЕ УСТАНАВЛИВАЕТСЯ, поэтому Windows использует внутреннее значение по умолчанию, равное 60 дням. Все эти параметры можно настраивать. Для восстановления объектов, удаленных из разделов доменов в лесу, можно использовать Центр администрирования Active Directory. Для восстановления объектов, удаленных из других разделов, например из раздела "Конфигурация", используйте командлет Restore-ADObject . При включении корзины Active Directory под каждым разделом домена в Центре администрирования Active Directory появляется контейнер Удаленные объекты .

Screenshot that highlights the Deleted Objects container.

Контейнер Удаленные объекты содержит список всех доступных для восстановления объектов в этом разделе домена. Удаленные объекты с превышенным значением атрибута msDS-deletedObjectLifetime называются утилизированными. Центр администрирования Active Directory не показывает утилизированные объекты и не позволяет их восстановить.

Более подробно архитектура и принципы работы корзины описываются в статье Корзина Active Directory: общие сведения, реализация, рекомендации и устранение неполадок.

Центр администрирования Active Directory искусственно ограничивает количество отображаемых в контейнере объектов до 20 000 штук. Чтобы увеличить этот лимит до 100 000 объектов, откройте меню Управление и выберите пункт Параметры списка управления.

Screenshot that shows how to raise the limit of the number of objects returned from a container by selecting the Management List Options menu option.

Восстановление

Фильтрация

Центр администрирования Active Directory предлагает эффективные критерии поиска и параметры фильтрации, которые необходимо изучить до того, как они вам потребуются в реальной жизни. Домены намеренно удаляют многие объекты за их время существования. С вероятным временем существования удаленного объекта в течение 180 дней невозможно просто восстановить все объекты при возникновении аварии.

Screenshot that shows the filtering options available during a restoration.

Вместо того чтобы составлять сложные фильтры LDAP и конвертировать значения UTC в даты и время, составьте список соответствующих объектов с помощью простого и расширенного меню Фильтр . Если вы знаете дату удаления, названия объектов или другие ключевые данные, используйте их в качестве фильтра. Для переключения расширенных параметров фильтрации используйте шевроны справа от поля поиска.

Операция восстановления поддерживает все стандартные параметры фильтрации точно так же, как и другие поисковые службы. Из встроенных фильтров для восстановления объектов обычно используются следующие:

ANR (разрешение неоднозначных имен — не указано в меню, но используется при вводе текста в полеФильтр)
Последнее изменение между заданными датами
Объект — пользователь, InetOrgPerson, компьютер, группа или организационное подразделение
Имя.
Дата удаления
Последний известный родительский объект
Тип
Описание
Город
Страна или регион
Отдел
Код сотрудника
Имя
Должность
Фамилия
SAMaccountname
Область, республика, край, округ
Номер телефона
UPN
Почтовый индекс

Можно добавить несколько критериев. Например, можно найти все объекты пользователей, удаленные 24 сентября 2012 года из Чикаго, Штат Иллинойс, с должностью менеджера.

Вы также можете добавить, изменить или переупорядочить заголовки столбцов, чтобы получить больше данных для выбора объектов к восстановлению.

Screenshot that shows where to also add, modify, or reorder the column headers to provide more detail when evaluating which objects to recover.

Дополнительные сведения о разрешении неоднозначных имен см. в разделе Атрибуты ANR.

Один объект

Восстановление удаленных объектов всегда выполнялось в одно действие. Центр администрирования Active Directory упрощает эту операцию. Чтобы восстановить удаленный объект, например отдельного пользователя, выполните указанные ниже действия.

Щелкните имя домена на панели управления Центра администрирования Active Directory.
Дважды щелкните Удаленные объекты в списке управления.
Щелкните нужный объект правой кнопкой мыши и выберите команду Восстановитьили выберите команду Восстановить на панели Задачи .

Объект вернется в свое исходное расположение.

Screenshot that highlights the menu used for restoring an object to its original location.

Нажмите кнопку " Восстановить", чтобы изменить расположение восстановления. Это полезно, если родительский контейнер удаленного объекта также был удален, но не требуется восстановить родительский контейнер.

Screenshot that shows where you can restore an object without restoring the parent.

Несколько аналогичных объектов

Вы можете восстановить сразу несколько объектов одного уровня, например всех пользователей организационного подразделения. Удерживая клавишу CTRL, щелкните один или несколько удаленных объектов, которые нужно восстановить. Щелкните Восстановить на панели задач. Вы также можете выбрать все указанные объекты, нажав комбинацию клавиш CTRL+A, или определенный диапазон объектов, нажав и удерживая клавишу SHIFT, а затем первый и последний искомые объекты.

Screenshot that shows the restoration of multiple peer-level projects.

Несколько дочерних и родительских объектов

Центр администрирования Active Directory не позволяет восстанавливать вложенные деревья удаленных объектов за одно действие, поэтому восстанавливать объекты нужно в определенном порядке.

Восстановите верхний удаленный объект в дереве.
Восстановите дочерние элементы этого родительского объекта.
Восстановите дочерние элементы этих родительских объектов.
Повторяйте процедуру, пока не будут восстановлены все объекты.

Восстановить дочерний объект можно только после того, как будет восстановлен родительский, в противном случае система выдаст следующую ошибку:

Не удалось выполнить операцию, так как родительский объект либо не установлен, либо удален.

Родительские отношения каждого объекта обозначаются атрибутом Последний известный родительский объект . При обновлении Центра администрирования Active Directory после восстановления родительского объекта атрибут Последний известный родительский объект переносится из удаленного в восстановленное расположение. Таким образом, можно восстановить дочерний объект, если расположение родительского объекта больше не отображает различающееся имя контейнера удаленных объектов.

Предположим, что администратор случайно удалил организационное подразделение Sales, содержащее дочерние подразделения и пользователей.

Во-первых, обратите внимание на значение атрибута Last Known Parent для всех удаленных пользователей и как оно считывает OU=Sales\0ADEL:<guid+deleted objects containered name>:

Screenshot that highlights the value of the Last known parent attribute.

Отфильтруйте неоднозначное имя Sales. Вы получите список удаленных подразделений, которые затем нужно будет восстановить:

Screenshot that shows the Restore menu option.

Обновите центр Администратор istrative Center Active Directory, чтобы просмотреть измененный атрибут последнего известного родительского объекта пользователя на восстановленное имя подразделения Sales OU с различающимся именем:

Screenshot that highlights where you can see the deleted user object's Last Known Parent attribute change to the restored Sales OU distinguished name.

Отфильтруйте всех пользователей подразделения Sales. Нажмите комбинацию клавиш CTRL+A, чтобы выбрать всех удаленных пользователей подразделения Sales. Щелкните Восстановить , чтобы перенести объекты из контейнера Удаленные объекты в организационное подразделение Sales с теми же атрибутами и членством в группах.

Screenshot that shows the selected objects and the progress as they move from the Deleted Objects container to the Sales OU.

Если организационное подразделение Sales включало дочерние подразделения, восстановите сначала эти подразделения, а затем их дочерние объекты и т. д.

Порядок восстановления всех вложенных удаленных объектов путем указания удаленного родительского контейнера см. в Приложении Б. Восстановление сразу нескольких удаленных объектов Active Directory (образец сценария).

Командлет Active Directory в Windows PowerShell, предназначенный для восстановления удаленных объектов, выглядит следующим образом:

Restore-adobject

Командлет Restore-ADObject в Windows Server 2008 R2 и Windows Server 2012 работает одинаково.

Фильтрация на стороне сервера

С течением времени число объектов в контейнере "Удаленные объекты" в средних и крупных организациях может вырасти до 20 000 (и даже 100 000), после чего возникнут сложности с отображением полного списка объектов. Поскольку механизм фильтрации в Центре администрирования Active Directory использует фильтрацию на стороне клиента, он не может отображать объекты сверх установленного лимита. Чтобы обойти это ограничение, выполните поиск на стороне сервера согласно приведенным ниже инструкциям.

Щелкните контейнер Удаленные объекты правой кнопкой мыши и выберите команду Искать в этом узле.
Щелкните шеврон, чтобы открыть меню Добавить условия , а затем выберите и добавьте параметр Последнее изменение между заданными датами. Последнее изменение между заданными датами (атрибут whenChanged ) будет приближено к времени удаления, а в некоторых средах эти значения будут идентичны. Этот запрос запускает поиск на стороне сервера.
Выберите удаленные объекты для восстановления с помощью дополнительной фильтрации, сортировки и других действий с результатами поиска, а затем восстановите объекты как обычно.

Настройка и администрирование детальной политики паролей через Центр администрирования Active Directory

Настройка детальной политики паролей

Центр администрирования Active Directory позволяет создавать объекты детальной политики паролей (FGPP) и управлять такими объектами. Функция FGPP была представлена в Windows Server 2008, но первый графический интерфейс для управления этой функцией появился только в Windows Server 2012. Детальная политика паролей настраивается на уровне домена и позволяет перезаписывать единый пароль домена, предусмотренный в Windows Server 2003. При создании различных FGPP с различными параметрами отдельные пользователи или группы получают различные политики паролей в домене.

Информацию о детальной политике паролей см. в пошаговом руководстве по детальной настройке политик блокировки учетных записей и паролей доменных служб Active Directory (Windows Server 2008 R2).

На панели навигации выберите представление в виде дерева, щелкните свой домен, Система, Контейнер параметров паролей, а затем на панели "Задачи" щелкните Создать и Параметры пароля.

Screenshot that shows where you can add new password settings.

Управление детальной политикой паролей

При создании новой или редактировании уже существующей детальной политики паролей открывается редактор Параметры пароля . Здесь можно настроить все желаемые политики паролей как Windows Server 2008 или Windows Server 2008 R2, но только в специальном редакторе.

Screenshot that shows the Password Settings editor for creating or editing Fine-Grained Password Policies.

Заполните все обязательные (отмеченные звездочкой) и желаемые дополнительные поля и щелкните Добавить , чтобы указать, к каким пользователям или группам необходимо применить эту политику. FGPP перезаписывает параметры политики домена по умолчанию для выбранных субъектов безопасности. На представленном выше рисунке максимально ограничивающая политика применяется только к встроенной учетной записи администратора, чтобы предотвратить компрометацию. Эта политика слишком сложна для ее соблюдения стандартными пользователями, но идеально подходит для учетной записи высокого риска, которой пользуются только специалисты.

Также необходимо указать очередность применения и выбрать пользователей и группы для применения политики в соответствующем домене.

Screenshot that shows where you can set precedence and to which users and groups the policy applies within a given domain.

Командлет Active Directory в Windows PowerShell, предназначенный для настройки детальной политики паролей, выглядит следующим образом:

Add-ADFineGrainedPasswordPolicySubject
Get-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicySubject
New-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicySubject
Set-ADFineGrainedPasswordPolicy

Командлет для настройки детальной политики паролей в Windows Server 2008 R2 и Windows Server 2012 работает одинаково. На приведенном ниже рисунке обозначены соответствующие атрибуты для этих командлетов:

Illustration that shows the associated arguments for cmdlets.

Центр администрирования Active Directory позволяет также найти результирующую детальную политику паролей, примененную к конкретному пользователю. Щелкните правой кнопкой мыши любой пользователь и щелкните "Просмотреть результирующий пароль", чтобы открыть страницу "Пароль Параметры", которая применяется к пользователю с помощью неявного или явного назначения:

Screenshot that highlights the View resultant password settings menu option.

В разделе Свойства вы найдете Напрямую связанные параметры пароля— параметры детальной политики пароля, назначенные соответствующему пользователю или группе напрямую:

Screenshot that highlights the Directly Associated Password Settings section.

Неявное назначение FGPP здесь не отображается; Для этого необходимо использовать параметр "Просмотр результирующих параметров пароля... ".

Использование средства просмотра журнала Windows PowerShell в Центре администрирования Active Directory

Будущее управления Windows связано с Windows PowerShell. Благодаря размещению графических средств поверх платформы автоматизации задач управление сложнейшими распределенными системами стало последовательным и эффективным. Зная принципы работы Windows PowerShell, вы сможете полностью раскрыть свой потенциал и извлечь максимальную пользу из своих инвестиций в компьютерное оборудование.

Теперь Центр администрирования Active Directory позволяет просматривать историю выполнения всех командлетов Windows PowerShell, включая их аргументы и значения. При этом историю командлетов можно скопировать для дальнейшего изучения или изменения и повторного использования. Вы можете создавать примечания к задачам и описывать, какой результат команды Центра администрирования Active Directory дали в Windows PowerShell. Также можно фильтровать историю на предмет интересных моментов.

Средство просмотра журнала Windows PowerShell в Центре администрирования Active Directory позволяет учиться на основе практического опыта.

Screenshot that shows the Active Directory Administrative Center Windows PowerShell History Viewer.

Чтобы открыть средство просмотра журнала Windows PowerShell, нажмите на шеврон (стрелку).

Screenshot that shows how to show the Windows PowerShell History Viewer.

Затем создайте пользователя или измените членство в группе. Средство просмотра журнала постоянно обновляется — в нем появляется свернутое представление каждого командлета, выполненного Центром администрирования Active Directory, и указываются его аргументы.

Разверните любую интересующую вас строку, чтобы увидеть значения всех аргументов командлета:

Screenshot that shows how to expand a line item to see all the values provided to the cmdlet's arguments.

Откройте меню Запустить задачу и создайте заметку, а затем воспользуйтесь Центром администрирования Active Directory для создания, изменения или удаления объекта. Укажите свои действия. Закончив внесение изменений, выберите команду Закончить задачу. В заметке к задаче все выполненные действия будут представлены в виде свернутого примечания, позволяющего лучше понять суть задачи.

Например, все команды Windows PowerShell, которые использовались для изменения пароля пользователя и удаления пользователя из группы, будут выглядеть следующим образом:

Screenshot that highlights how to see the Windows PowerShell commands used to change a user's password and remove the user from a group.

Если установить флажок "Показать все", в окне появятся также командлеты Windows PowerShell с глаголом Get-*, предназначенные только для извлечения данных.

Advanced AD DS Management

В средстве просмотра журнала отображаются тексты всех команд, выполненных Центром администрирования Active Directory, и может показаться, что некоторые команды выполняются без причины. Например, создать нового пользователя можно с помощью команды:

new-aduser

и нет необходимости использовать команды:

set-adaccountpassword
enable-adaccount
set-aduser

Структура Центра администрирования Active Directory предусматривает минимальное использование кодов и модулей. Таким образом, вместо отдельных наборов функций для создания новых пользователей и изменения уже существующих он выполняет каждую задачу по минимуму, а затем соединяет их воедино с помощью командлетов. Помните об этом при изучении модуля Active Directory в Windows PowerShell. Эту особенность можно также использовать как способ изучения, показывающий, как просто выполнять отдельные задачи с помощью Windows PowerShell.

Устранение неполадок в управлении доменными службами Active Directory

Общие сведения об устранении неполадок

Ввиду относительной новизны и небольшого опыта применения в реальных условиях доступные в Центре администрирования Active Directory варианты устранения неполадок довольно ограниченны.

Параметры устранения неполадок

Параметры ведения журнала

Центр Администратор istrative в Active Directory теперь содержит встроенное ведение журнала в составе файла конфигурации трассировки. Создайте или измените следующий файл, расположенный в той же папке, что и файл dsac.exe:

dsac.exe.config

Создайте следующее содержимое:

<appSettings>
  <add key="DsacLogLevel" value="Verbose" />
</appSettings>
<system.diagnostics>
 <trace autoflush="false" indentsize="4">
  <listeners>
   <add name="myListener"
    type="System.Diagnostics.TextWriterTraceListener"
    initializeData="dsac.trace.log" />
   <remove name="Default" />
  </listeners>
 </trace>
</system.diagnostics>

Уровни детализации для параметра DsacLogLevel — это None(Нет), Error(Ошибки), Warning(Предупреждения), Info(Информация) и Verbose(Подробно). Выходной файл записывается в папку с файлом dsac.exe, и его можно переименовать. Выходные данные позволяют узнать больше о том, как работает ADAC, с какими контроллерами доменов устанавливается связь, что делают команды Windows PowerShell, какие ответы были получены и другие данные.

Например, при использовании уровня детализации INFO (Информация) выдаются все результаты, кроме данных на уровне трассировки:

Запускается файл DSAC.exe.
Начинается ведение журнала.

Запрашиваются исходные данные домена с контроллера домена.

[12:42:49][TID 3][Info] Command Id, Action, Command, Time, Elapsed Time ms (output), Number objects (output)
[12:42:49][TID 3][Info] 1, Invoke, Get-ADDomainController, 2012-04-16T12:42:49
[12:42:49][TID 3][Info] Get-ADDomainController-Discover:$null-DomainName:"CORP"-ForceDiscover:$null-Service:ADWS-Writable:$null

Домен Corp возвращает контроллер домена DC1.

Загружается виртуальный диск PS AD.

[12:42:49][TID 3][Info] 1, Output, Get-ADDomainController, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] Found the domain controller 'DC1' in the domain 'CORP'.
[12:42:49][TID 3][Info] 2, Invoke, New-PSDrive, 2012-04-16T12:42:49
[12:42:49][TID 3][Info] New-PSDrive-Name:"ADDrive0"-PSProvider:"ActiveDirectory"-Root:""-Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 2, Output, New-PSDrive, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] 3, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49

Извлекаются данные домена Root DSE.

[12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 3, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] 4, Invoke, Get-ADOptionalFeature, 2012-04-16T12:42:49

Извлекаются данные корзины Active Directory.

[12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 4, Output, Get-ADOptionalFeature, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] 5, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49
[12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 5, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] 6, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49
[12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 6, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] 7, Invoke, Get-ADOptionalFeature, 2012-04-16T12:42:49
[12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com"
[12:42:50][TID 3][Info] 7, Output, Get-ADOptionalFeature, 2012-04-16T12:42:50, 1
[12:42:50][TID 3][Info] 8, Invoke, Get-ADForest, 2012-04-16T12:42:50

Извлекается лес Active Directory.

[12:42:50][TID 3][Info] Get-ADForest -Identity:"corp.contoso.com" -Server:"dc1.corp.contoso.com"
[12:42:50][TID 3][Info] 8, Output, Get-ADForest, 2012-04-16T12:42:50, 1
[12:42:50][TID 3][Info] 9, Invoke, Get-ADObject, 2012-04-16T12:42:50

Извлекаются данные схемы по поддерживаемым типам шифрования, детальная политика паролей, данные определенных пользователей.

[12:42:50][TID 3][Info] Get-ADObject
-LDAPFilter:"(|(ldapdisplayname=msDS-PhoneticDisplayName)(ldapdisplayname=msDS-PhoneticCompanyName)(ldapdisplayname=msDS-PhoneticDepartment)(ldapdisplayname=msDS-PhoneticFirstName)(ldapdisplayname=msDS-PhoneticLastName)(ldapdisplayname=msDS-SupportedEncryptionTypes)(ldapdisplayname=msDS-PasswordSettingsPrecedence))"
-Properties:lDAPDisplayName
-ResultPageSize:"100"
-ResultSetSize:$null
-SearchBase:"CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com"
-SearchScope:"OneLevel"
-Server:"dc1.corp.contoso.com"
[12:42:50][TID 3][Info] 9, Output, Get-ADObject, 2012-04-16T12:42:50, 7
[12:42:50][TID 3][Info] 10, Invoke, Get-ADObject, 2012-04-16T12:42:50

Извлекается вся информация об объекте домена, которая будет показываться администратору при выборе заголовка домена.

[12:42:50][TID 3][Info] Get-ADObject
-IncludeDeletedObjects:$false
-LDAPFilter:"(objectClass=*)"
-Properties:allowedChildClassesEffective,allowedChildClasses,lastKnownParent,sAMAccountType,systemFlags,userAccountControl,displayName,description,whenChanged,location,managedBy,memberOf,primaryGroupID,objectSid,msDS-User-Account-Control-Computed,sAMAccountName,lastLogonTimestamp,lastLogoff,mail,accountExpires,msDS-PhoneticCompanyName,msDS-PhoneticDepartment,msDS-PhoneticDisplayName,msDS-PhoneticFirstName,msDS-PhoneticLastName,pwdLastSet,operatingSystem,operatingSystemServicePack,operatingSystemVersion,telephoneNumber,physicalDeliveryOfficeName,department,company,manager,dNSHostName,groupType,c,l,employeeID,givenName,sn,title,st,postalCode,managedBy,userPrincipalName,isDeleted,msDS-PasswordSettingsPrecedence
-ResultPageSize:"100"
-ResultSetSize:"20201"
-SearchBase:"DC=corp,DC=contoso,DC=com"
-SearchScope:"Base"
-Server:"dc1.corp.contoso.com"

Выбранный уровень Verbose (Подробно) включает стеки .NET для каждой функции, однако отражаемые данные могут пригодиться только при устранении неполадок с файлом Dsac.exe, связанных с нарушением прав доступа или аварийным сбоем. Такая проблема может возникнуть по двум причинам:

На одном из запрашиваемых контроллеров доменов не запущена веб-служба Active Directory.
Сетевые коммуникации блокируются для службы ADWS с компьютера, на котором работает Центр Администратор истариативных служб Active Directory.