» Общие вопросы про AD (Active Directory)

greenfox
Вот здесь смотрел? Мне в свое время ОЧЕНЬ помогло.

FreemanRU
C этого и начал поиск реализации предоставления конкретным пользователям возможности для обновления личной инфы. Но не хочется заново изобретать велосипед. На Dot Net написать такую утилиту не сложно. Но правильней сначала посмотреть, что было до тебя. Спасиб...

Добавлено
greenfox
Про утилиты от мелкософта не спрациваю, потому что нашел Microsoft Identity Intergation Server, позволяющий кроме обновления личной информации, делать еще много всякой полезности. Но его использовать для решения такой мелкой задачи, все равно что стрелять по мухе из гаубицы.
Но, то что дает MIIS это счастье и к нему надо стремиться, но только после предоставления юзерам возможности редактирования личных данных.

Добавлено
И еще. Может кто подскажет приложения по работе с данными в AD посредством обычного браузера, что-то вроде SharePoint?
То, что я нашел:
_http://www.systemtools.com/hyena/ad_main.htm
_http://www.calendra.com/us/CED.htm
_http://www.intervate.com/products/intervate_products_orgChart_ad.html
Есть ли аналогичные русские разработки, или **манные дистрибутивы этих систем?

Alan Mon
Цитата:

Вот здесь смотрел? Мне в свое время ОЧЕНЬ помогло.

eue// именно это и читал... может пропустил конечно что - но в самой статье там тоько общее, а по линкам так я там запутался читать - так только нужные поля и не открыл...

sorgy
Цитата:

Про утилиты от мелкософта не спрациваю

ну тебе видней - мне кажется в твоём случае mmc наилучший вариант... хотя редактирование атрибутов в АД через браузер конечно тоже интересный вариант - это вообще возможно?

greenfox
По заявлениям мелкософта - возможно...

greenfox
sorgy

Цитата:

редактирование атрибутов в АД через браузер конечно тоже интересный вариант - это вообще возможно?

Это не просто возможно - это элементарно. При даже посредственном знании .NET можно за пол часа своять такую страничку. В Framework есть отдельные компоненты по работе с каталогом.

greenfox
А что именно ты хотел открыть? Доку по dssec.dat я тоже не нашел, но мне нужно было открыть всего несколько атрибутов и я их просто по именам расковырял

Alan Mon
мне нужно было открыть что бы секретарша могла править только внутренний номер, должность и описание ещё и всё! А получалось то что-н ещё на запись открывалось,, то не открывалось то что нужно... там атрибутов море... конечно вариант про свои кривые руки я не отбрасываю...

greenfox
О! Вспомнил как я нашел нужные мне атрибуты. Может тебе поможет.
Открываешь "ADSI Edit" из "Support Tools". Там идешь "Configuration Container\CN=Configuration,DC=<твой домен>\CN=419". В правом окне открываешь "CN=user-Display". В списке "Select a property to view" выбираешь attributeDisplayNames и в списке Value(s) наблюдаешь сопоставление имен атрибутов из dssec.dat и того, как они называются в окошке свойств пользователя.

Alan Mon
спасибо, посмотрю обязательно когда будет время!

Подскажите, есть ли возможноть или как скопировать группу в AD? Вообщем, нужна группа, точная копия уже существующей, только с несколькими изменениями. Очень не хочется ручками повторять все права в ней. Может я что-то не доглядел?

Alxdhere
ИМХО, нет. Но тебе могут помочь вложенные группы. Попробуй создать новую группу и вложить ее в уже существующую. Тогда все ее члены будут иметь те же права (за исключением специально оговоренных), что и старая. Причем не только в момент "копирования", но и в будущем. Правда, такие вещи лучше сразу документировать, а то потом не разберешься откуда у кого какие права возникают.

Alxdhere
Можно с помощью скриптов сделать.. Достаточно не сложно, примеры есть на сайте Microsoft...
Также можно посмотреть clonegg.vbs и cloneggu.vbs из состава Support Tools Win 2003...
Из TechNET:

Цитата:

Enumerating Group Members
On Error Resume Next
Const E_ADS_PROPERTY_NOT_FOUND = &h8000500D
Set objOU = GetObject _
("LDAP://cn=Users,dc=NA,dc=fabrikam,dc=com")

ObjOU.Filter= Array("user")
For Each objUser in objOU
WScript.Echo objUser.cn & " is a member of: "
WScript.Echo vbTab & "Primary Group ID: " & _
objUser.Get("primaryGroupID")

arrMemberOf = objUser.GetEx("memberOf")

If Err.Number <> E_ADS_PROPERTY_NOT_FOUND Then
For Each Group in arrMemberOf
WScript.Echo vbTab & Group
Next
Else
WScript.Echo vbTab & "memberOf attribute is not set"
Err.Clear
End If
Wscript.Echo VbCrLf
Next

Цитата:

Creating a Domain Local Security Group
Const ADS_GROUP_TYPE_LOCAL_GROUP = &h4
Const ADS_GROUP_TYPE_SECURITY_ENABLED = &h80000000
Set objOU = GetObject("LDAP://cn=Computers,dc=NA,dc=fabrikam,dc=com")
Set objGroup = objOU.Create("Group", "cn=DB-Servers")
objGroup.Put "sAMAccountName", "DBServers"
objGroup.Put "groupType", ADS_GROUP_TYPE_LOCAL_GROUP Or _
ADS_GROUP_TYPE_SECURITY_ENABLED
objGroup.SetInfo

Цитата:

Adding New Members to a Group
Const ADS_PROPERTY_APPEND = 3

Set objGroup = GetObject _
("LDAP://cn=Sea-Users,cn=Users,dc=NA,dc=fabrikam,dc=com")

objGroup.PutEx ADS_PROPERTY_APPEND, "member", _
Array("cn=Scientists,ou=R&D,dc=NA,dc=fabrikam,dc=com", _
"cn=Executives,ou=Management,dc=NA,dc=fabrikam,dc=com", _
"cn=MyerKen,ou=Management,dc=NA,dc=fabrikam,dc=com")

objGroup.SetInfo

FreemanRU
Этот (или подобный) код создаст группу с теми же членами, но не присвоит ей те же права, что и родительской группе. А это та еще работа.

Alan Mon
Мда... до слов
Цитата:

Очень не хочется ручками повторять все права в ней

как всегда не дочитал....
Это даже в теории скопировать нельзя... ведь разрешение могут быть где угодно... только так, как сказал Alan Mon на пост выше...

Спасибо.

Потребовалось на всех Windows XP в Power Users прописать группу пользователей в Power Users
1. На уровне домена сделал еще одну политику, по приоритету она идет после Default Domain Policy
2. В новой политике в Restricted Groups добавил Power Users, в Power Users добавил группу IT

Все это было сделано еще вчера, но вчера эта пллитика так и не применилась к компам. Сегодня наконец-то на компах в Power Users появилась группа IT. Однако, если ее там стереть, то ни после перезагрузки. ни после пары часов группа там не появляется.

Почему так тормозит применение политики?

Windows 2000 mixed mode domain

AlexSSS
Где-то есть возможность применить политику вручную. Но где - увы не помню. Никогда было не нужно.

psj
2000: secedit /refreshpolicy MACHINE_POLICY или secedit /refreshpolicy USER_POLICY
XP: gpupdate /force
ты об этом ?
AlexSSS
Computer Configuration\Administrative Templates\System\Group Policy \ Group Policy refresh interval for computers.
что у тебя здесь ? что в логах ?
принудительное (выше^) обновление дает результат ?

G14
Не помню! Самому не приходилось этого делать, поэтому как-то в голове не отложилось. А учебники MS-та дал людям на почитать, поэтому посмотреть негде.
Хотя подозреваю что у человека проблема не в этом. Я не понял для чего прописывать кого-то в Power User. Если пользователю не хватает каких-то прав, это решается другими путями, но не ослаблением политики безопаности относительно каждого компьютера.

> XP: gpupdate /force
да, на клиенте это помогает, однако надо это сделать централизованно

> Group Policy refresh interval for computers.
был по умолчанию неотконфигурен. Относительно недавно перешли на 2000-й домен, все настройки клиентов до сих пор настраиваюися скриптами.

Тем не менее, был железно уверен, что политика применяется при каждом логоне + time interval. Но вот при логонах она не менялась почему-то

> Я не понял для чего прописывать кого-то в Power User
Есть большая бухгалтерско-экономическая программа
Пора уже обновить ее, для этого на серваке ставятся все апгрейты, а клиентская часть проги при старте сама проверяет, надо ли себя обновлять. Но для этого клиент должен быть минимум Power User-ом.
Поэтому на полдня пропишем пользователей этой проги в Power Users, после чего понизим до обычных.
Таких клиентов около сотни, поэтому самостоятельно их апгрейтить, пусть даже терминалом, не хочется.

> Если пользователю не хватает каких-то прав,
> это решается другими путями
каталоги проги и так уже сделаны для полного доступа всем пользователям компа, но нет никакой гарантии, что апдейт не захочет еще чего-нибудь.

AlexSSS
Есть такая штука: http://www.autoitscript.com/autoit3/. Она позволяет запускать программы от имени любого пользователя. Есть описание на русском. Т.е. запускайтеОДНУ задачу хоть от имени администратора.

psj

Цитата:

поэтому посмотреть негде

microsoft.com>search вроде еще не отменили
AlexSSS

Цитата:

при каждом логоне

...применяется user policy. при каждой загрузке - machine policy.

Цитата:

Но для этого клиент должен быть минимум Power User-ом

разрешение политиками на ветку реестра + права ntfs на папку с прогой не помогает ?

Цитата:

но нет никакой гарантии, что апдейт не захочет еще чего-нибудь.

то есть это ты не проверял ? и что нужно этой проге для апдейта ты не знаешь ?

Цитата:

все настройки клиентов до сих пор настраиваюися скриптами.

через ж... конечно, но строку gpupdate..... можно добавить в логон скрипт...
eventlog что нить говорит по поводу политик ?

G14

Цитата:

microsoft.com>search вроде еще не отменили

А оно мне надо? Я данную проблему решил другими методами!

1. поставил refresh interval for computers на пять минит, рандомизацию на минуту
2. на локальном компе gpupdate /force, все нормально, появляется нужная группа в Power Users
3. Стираю все из Power Users, перегружаю компьютер, на всякий случай жду еще десять минут - в Power Users ничего не появляется

AS> Но для этого клиент должен быть минимум Power User-ом
G14> разрешение политиками на ветку реестра + права ntfs на папку с прогой не помогает ?
Для обычной работы достаточно, для апгрейта нет.

AS> но нет никакой гарантии, что апдейт не захочет еще чего-нибудь.
G14> то есть это ты не проверял ? и что нужно этой проге для апдейта ты не знаешь ?
разрешение на ветку программы в hkey_local_mashine и NTFS права на папки программы установлены.
Апгрейт ругается. Мониторить дополнительно реестр и файловую систему на проверку, что ей еще надо, нет ни времени, ни желания. Уж лучше один раз разобраться с политиками ;o)

AS>все настройки клиентов до сих пор настраиваюися скриптами.
G14> через ж... конечно
когда в домене до сих пор больше 250 компов Windows 9X - это нормально ;o)

G14> но строку gpupdate..... можно добавить в логон скрипт...
без проблем, так и сделаю, если по другому не выйдет. Но уж если я взялся за применение политик, это надо добить до нормальной работы, тем более накопилось еще куча вещей, которые надо перевести на политики

> eventlog что нить говорит по поводу политик ?
и на серваке и на клиенте - пусто.

AlexSSS
У меня была похожая проблема. 3-х этажное здание, ~60 активно работающих пользователей в 17 подсистемах на 1 SQL-сервер. Система критична к длительным остановам. Обновления подсистем и таблиц ~1-2 раза в месяц, централизованно из головного предприятия. Обновление ставится тоже по приказу головного предприятия. Проблему решил следующим образом: SQL-сервер вынесен на отдельный сервер (по железу), был собран приличный файловый сервер на котором были размещены ВСЕ подсистемы. На рабочем столе каждого пользователя прописаны ТОЛЬКО те подсистемы на которые он имеет право в доменной политике (это делается при каждом логоне скриптами). Обновление делается ТОЛЬКО на файловом сервере. При необходимости, инсталяция некоторых DLL, которые приходят с обновлениями, на каждую рабочую станцию, производится при помощи доменных политик с помощью AutoIt. Обновление всех подсистем (сейчас их 24) и таблиц SQL-сервера происходит в течении 20-40 минут.
НО ЭТО ПЕРЕСТРОЙКА ВСЕЙ ТЕХНОЛОГИИ ВАШЕЙ РАБОТЫ!!! Вам может и не подойти.

AlexSSS
Попробуй включить логи обработки политик на клиенте. Может там что-нибудь откопаешь.
How to Enable Logging for Security Configuration Client Processing in Windows 2000

AlexSSS
А Мелкософтовской утилиткой GPResult пробывали посмотреть что к чему?

Цитата:

This command-line tool displays information about the result Group Policy has had on the current computer and logged-on user.

Вроде она идет вместе с Resource Kit, но я ее скачивал отдельно...
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/gpresult-o.asp

psj
программа использует
1. Выделенный SQL Server
2. Выделенный сервер приложений, где крутятся какие-то сервисы и расположены программые файлы.
3. Клиентская часть на локальном компьютере, которая автообновляется с второго сервера при наличии там обновлений.
Клиент стоит где-то на 130 машинах, одновременно работать могут до 75 клиентов (лицензии, однако). Порядка 20 клиентов работает через терминал сервер

В свое время стоило достаточных усилий настроить стабильную работу этой системы и менять технологию работы точно уж не хочется ;o)

По поводу AutoIt - насколько я понял, он может криптовать исполняемый скрипт (при aut2exe)?
RunAsSet - функция безусловно полезная, однако, если нет криптования текста, грош ей цена

Добавлено
pazdak
GPResult попробовал после Вашего сообщения, насколько могу судить, вроде все в порядке.

Вызывает вопрос только одно - в хелпе к проге описан результат одной строки как
Last time Group Policy was applied: Monday, September 07, 1999 at 7:51:59 AM

для начала мне как раз и требуется узнать, в какие моменты времени все же проходило обновление политик. Однако в моем логе эта строка идет без даты-времени
Last time Group Policy was applied: 23 Group Policy was applied from: srv.dom1.dom2

еще раз сформулирую проблему- по gpupdate /force все замечательно обновляется. Если же не делать принудительного обновления, то ни логоф/логон, ни перезагрузка не помогают. Политика срабатывает в течении нескольких часов, но когда именно отловить не удалось

Добавлено
Alan Mon, спасибо
логи обработки политик на клиенте включил, именно там накоец-то нашел время, когда у меня все же обновлялась политика на компе
Это происходило при первом входе на комп утром (уже пару дней), либо при принудительном gpupdate /force

2 All
1. Могут ли быть проблемы с обновлением политик из-за 2000 mixed domain
тем более, что в домене есть еще один windows nt 4 BDC
2. Политика, которая должна примениться, сделана на уровне домена (не OU) и стоит второй по приоритету после Default Domain Policy. Default Domain Policy трогать не хочется. Могут ли на уровне домена или каждого OU быть по несколько политик?

AlexSSS

Цитата:

Могут ли быть проблемы с обновлением политик из-за 2000 mixed domain

сомневаюсь....

Цитата:

Могут ли на уровне домена или каждого OU быть по несколько политик?

да. и применяется это (если не выставлено запрещение наследования) по порядку:
Сайт>домен>OU . в каждом из них , если есть несколько политик, права на которые есть у всех, применяется "снизу вверх" и если параметр определен несколько раз в разных политиках-работает применившийся последним.

Всем большое спасибо, практически со всем разобрался

Последние эксперименты сводились к тому, что я убивал всех в локальной группе Power Users и ждал, пока там все же появится группа, прописанная в доменной политике. Однако, применение политики происходит тогда, когда на сервере и клиенте разные версии политик. Если же на них одна версия, то политика не применяется. Удаляя группу на компе, версия политики на локальном компе не изменяется и соответственно политика заново не обновляется. Если же обновить политику на сервере, то в течении заданного интервала она обновится и на клиенте.

осталось не совсем понятным, почему раньше не всегда обновлялась политика после перезагрузки, но сейчас уже все обновляется.

Есть ли возможность задать принудительное обновление политик при логоне, даже если политики не изменились (аналог gpupdate /force в логон-скрипте)?