Ondrej Sevecek's Blog

Dobrá, dobrá, tak i já jsem se snížil k použití toho podivného ActiveDirectory module pro PowerShell.

Dnes tu máme přehlednou tabulečku s aktuálními nejvyššími RID pool rozsahy všech DC z celého forestu. Je to hodnota zjištěna z jediného DC v každé doméně, na které se právě ten modul připojuje pomocí Active Directory Web Services (ADWS). Čte to hodnotu rIDAvailablePool, která je normálně replikovaná mezi všemi DC v dané doméně. Řadiče domény mají mnohdy ještě jeden RID rozsah ze kterého možná vydávají nové SIDy - rIDPreviousAllocationPool. Tohle není replikované, protože to ani není potřeba.

Skript se může hodit na představu, jaké SID koncovky, nebo lépe řečeno RID se budou objevovat na vašich DC v nějaké brzké budoucnosti. Také se z toho dá zjistit, jestli nemáte duplicitní RID pool. Proč? Třeba když děláte operaci seize pro RID FSMO, nebo restore nějakého domain controller, který je RID master FSMO. Viz. můj článek o obnově RID master.

Skript následuje:

Get-ADDomain | 
  Select -Expand DistinguishedName |
    % { Get-ADDomainController -Filter "DefaultPartition -eq '$_'" } |
      Select ComputerObjectDN, DefaultPartition, Domain |
% { 
  $ridSet = Get-ADObject "CN=RID Set,$($_.ComputerObjectDN)" -Property *
  $_ | Select *, @{ n = 'Low' ; e = { [int] ($ridSet.rIDAllocationPool % 4GB) } }, @{ n = 'High' ; e = { [int] ($ridSet.rIDAllocationPool / 4GB) } }
}