» Общие вопросы про AD (Active Directory)

Домен на w2kSer, AD, 2 контроллера, соответственно на обоих есть папка с логон-скриптами для пользователей - точнее на каждом по несколько, соответственно вопросы:
1. как между собой согласуются эти папки, те если добавить такой логон-скрипт на первый контроллер, то как поведёт себя система, будет искать этот скрипт на обоих контроллерах, на каком-то одном!? На втором этот скрипт появиться после репликации!?
2. в какую папку лучше добавлять скрипт: в C:\WINNT\SYSVOL\sysvol\"имя домена"\scripts или в другую C:\WINNT\SYSVOL\domain\scripts!? И в чём их разница!?

Да и ещё, после внесения изменений на каком-н из DC изменения происходят не сразу, а по истечении какого-то времени - насколько я понимаю это время между репликациями 2-х DC. А можно как-н дать команду, чтоб реплика была произведена немедленно, а не через время указанное в настройках!? просто надо иногда, чтоб изменения отразились сразу...
Заранее спасибо за ответ.

Duke Shadow

Цитата:

Попробуй распихать компы по OU. Кажется в этом случае открываешь домен, а потом нужное OU - получится примерно то, чего ты добиваешься.

А более подробно не мог бы объяснить, хоть где именно смотреть?

ПРОБЛЕМА 1
В сети 2 сервера Вин2000. Один из них рулит Актив Директори как главный контроллер домена. Хотел второй сервак сделать вторым контроллером домена, но после запуска мастера Актив Директори на втором сервере пишет, что не удаётся подключиться к домену, хотя этот сервер в домен входит и проблем с ним нет. ЧТО ДЕЛАТЬ?
ПРОБЛЕМА 2
Политика безопасности домена и контроллера домена действует только на сервере, а не на сетевых ПК. Например, указал на политике безопасности домена не отображать имени последнего пользователя, так на сервере не отображает, а на остальных компах есть, и параметр в их же реестре DontDisplayLastUserName теперь не действует. В чём моя ошибка?
ПРОБЛЕМА 3
Можно ли сделать так, чтобы юзеры логинились в домене с чётко определённого компа? А то сел за один ПК работать, потом за другой и т.п.

vworld

Цитата:

А более подробно не мог бы объяснить, хоть где именно смотреть?

В оснастке Active Directory Users and Computers создай в домене новые Organizational Unit и перенеси компьютеры из Computers в новые OU. В этом случае, кажется, компьютеры отображаются не непосредственно в домене, а в своём OU.

vworld

Цитата:

ПРОБЛЕМА 1

Цитата:

ПРОБЛЕМА 2

Видимо, у тебя c DNS проблемы. Проверь правильность прописки всяческих ресурсов. Ключевое слово - dcdiag.

Цитата:

ПРОБЛЕМА 3

1) В свойствах пользователя в Users and Computers можно прописать имена разрешённых компьютеров 2) Тема обсуждалась уже не раз, в том числе и ограничения по IP (даже на этой страничке). Ищи.

Pazan
В свойствах учетной записи юзета переходи на вкладку аккаунт и жми кнопку Лог он ту ну и тама ставь с каких машин.

По поводу первого смотри логи, чаво там написано.

По поводу второго политика безопасности домена действует на все машины домена, разве что ты запретил наследование политики на ОУ компьютерс.

а на мой вопрос кто-н подскажет что!?

Duke Shadow

Цитата:

и перенеси компьютеры из Computers в новые OU.

Так там только машинки домена под управлением W2000, а если 98/Me?

greenfox

Цитата:

как между собой согласуются эти папки, те если добавить такой логон-скрипт

Так-же ка и на DFS
C:\WINNT\SYSVOL\sysvol\ - частный случай DFS

По лакалке репликация идет моментально
с политиками (вернее их прменение на клиентов дольше от 10-90 мин.кажись)
что то в suppot-tools было, для принудительного начала прменеий GRO и старта FRS посмотри хелпу на серваке
2Duke Shadow
кстати некто не видел M$ поделку для одного логина пользователя
а то есть у меня 5 деятелей все под одним логином ходит.

Pazan
не хорошо вопросы дублировать
greenfox
Попробуй на DC gpupdate /force --- для принудительного применения
изменений в групповых политиках

DedaFlint
не доконца понял ответ...

Jovanotti

Цитата:

Попробуй на DC gpupdate /force

он и логон скрипты таким образом "сверит"!?

greenfox

Цитата:

1. как между собой согласуются эти папки, те если добавить такой логон-скрипт на первый контроллер, то как поведёт себя система, будет искать этот скрипт на обоих контроллерах, на каком-то одном!?

Смотря как у тебя прописан путь к скрипту. Если указан конкретный сервер, то будет искать на нём.

Цитата:

А можно как-н дать команду, чтоб реплика была произведена немедленно, а не через время указанное в настройках!? просто надо иногда, чтоб изменения отразились сразу...

Здесь можешь почитать про различные варианты запуска процесса репликации в принудиловку:
http://support.microsoft.com/default.aspx?scid=kb;en-us;232072
На счёт остального - извини - не в курсе.

vworld

Цитата:

Так там только машинки домена под управлением W2000, а если 98/Me?

Не знаю. Честно. Я с переходом на 2000 со всеми 9х распрощался успешно. 2000 не сильно требовательнее к ресурсам, а возможностей - не сравнить.

DedaFlint

Цитата:

кстати некто не видел M$ поделку для одного логина пользователя
а то есть у меня 5 деятелей все под одним логином ходит.

Не знаю. Тут нашли только от IS Decisions.
Кстати, что тебе мешает воспользоваться закладкой Logon to в свойствах пользователя?

Duke Shadow

Цитата:

Смотря как у тебя прописан путь к скрипту

В AD на закладке "Профайл" просто написано user.bat - куда он полезет сначало в его поисках!?

greenfox

Цитата:

В AD на закладке "Профайл" просто написано user.bat - куда он полезет сначало в его поисках!?

Это в шаре NETLOGON. %SystemRoot%\SYSVOL\sysvol\имя_домена\scripts
Теоретически всё это дело автоматически реплицируется и при запуске берётся с ближайшего DC. Блин, как всё красиво сразу! Так не бывает

Duke Shadow

Цитата:

Теоретически всё это дело автоматически реплицируется

ну да... а если я изменил логон скрипт на одном DC а потом сразу законектился, получается, если подсоеденился не к тому и реплики ещё не было, то изменений не увидишь!!?

Цитата:

при запуске берётся с ближайшего DC

а какой считается ближайшим, если пинг примерно одинаков и сегмент один!? Просто в случ порядке выбирается на коком искать этот самый логон скрипт!?

greenfox

Цитата:

ну да... а если я изменил логон скрипт на одном DC а потом сразу законектился, получается, если подсоеденился не к тому и реплики ещё не было, то изменений не увидишь!!?

Совершенно верно.

Цитата:

а какой считается ближайшим, если пинг примерно одинаков и сегмент один!

Вообще выбирается по сайтам. А как внутри одного сайта - не знаю. Может по пингу, может по порядку, а может ещё как. Можешь у kibkalo поинтересоваться - он признанный спец по виндам.

З.Ы.: Не забудь в случае положительного решения ответ в тему запостить.

Duke Shadow
а папки разные на одном DC со скриптами (смотри преведущие посты) - они чем отличаются!?

smadmax

Цитата:

ты запретил наследование политики на ОУ компьютерс.

Где это посмотреть?

greenfox

Цитата:

В AD на закладке "Профайл" просто написано user.bat - куда он полезет сначало в его поисках!?

если 2к и ХР
\\<имя_твоего_домена>.<local>\SYSVOL\и далее
если 9х
\\<имя_твоего_домена>\NETLOGON

как узнать какая реплики актвна?
смотришь любую папку\файл закладка DFS там это покажут сразу.

Куда пишуться изменеия политик\скриптов?
На актвную реплику


Цитата:

служба репликации файлов (FRS)
Служба, обеспечивающая репликацию файлов с несколькими хозяевами для указанных деревьев каталога между заданными серверами Windows Server 2003. Указанные деревья каталога должны находиться на разделах, отформатированных для версии файловой системы NTFS, используемой в семействе Windows Server 2003. FRS используется распределенной файловой системой (DFS) для автоматической синхронизации содержимого между назначенными репликами, а также каталогом Active Directory для автоматической синхронизации системных сведений между контроллерами домена. winHelp

Подробнее:
MSDN
Platform SDK: Active Directory Schema
Active Directory Schema

ALL
Народ... Есть проблема. Есть домен на Win2003. Нужно создать групповые политики для разработчиков ПО. Лазить по GPE уж больнл тяжко... Может кто подскажет прогу для создания политик (не GPE)... Ну а если есть готовое решение - то киньте линку... =) Буду признателен...
P.S.
Требования:
1. Полноценная работа в VS. Т.е. установка необходимых приблуд к ней, компиляция, Build и т.д.
2. Ставить ПО можно, но не в системные дирректории...
3. Можно почти все, кроме изменения параметров сети, реестра, системных папок, отключения сервисов...
Корочего говоря, все системное - ЗАПРЕЩЕНО, а остальное - ПОЖАЛУЙСТА.... =)

greenfox - разницы в папках нет. Первая (C:\WINNT\SYSVOL\domain\scripts) сделана только для совместимости с 3.5х и 4.х контроллерами - чтобы они могли работать наряду с 5.х.
Синхронизуются они через FRS практически мгновенно (то есть к метрике при изменении файла прибавляется 1000, что автоматом запускает процесс репликации). Папки одинаковы.
Profile во вкладке юзера запускает скрипты из \\domainname.company.ru\NETLOGON - то есть со всех контроллеров. Ближайший есть контроллер твоего сайта. В случае если их несколько - тот что в твоей подсети. Если таких несколько (или нет), то выбирается случайным образом (без всяких пингов).
Рекомендую пути у всех скриптов давать именно \\domainname.company.ru\NETLOGON - это идеологически верно, остальное работает также, но не везде и не всегда

smadmax

Цитата:

В свойствах учетной записи юзета переходи на вкладку аккаунт и жми кнопку Лог он ту ну и тама ставь с каких машин.

Алгоритм такой:
1. установил протокол NetBIOS
2. записал NetIOS-имя ПК, типа room-12-pc01
3. результат -- юзер не может войти --ошибка: Интерактивный вход в систему невозможен в связи с локальной политикой этого компьютера
4. сделал профиль перемещаемым, в свойствах профиля указав сетевой путь.
5. результат -- юзер не может войти --ошибка: вход в систему невозможен из-за ограничений учётной записи
ЧТО ЕЩЁ НУЖНО СДЕЛАТЬ? А то я уже задолбалася...

DedaFlint

Цитата:

если 2к и ХР
\\<имя_твоего_домена>.<local>\SYSVOL\и далее
если 9х
\\<имя_твоего_домена>\NETLOGON

может имя не домена, а DC!?

Цитата:

как узнать какая реплики актвна?
смотришь любую папку\файл закладка DFS там это покажут сразу.

можно здесь по подробней...

kibkalo
спасибо что ответил!

Цитата:

Папки одинаковы

одинаковы "физически"!? ну те например, я пишу новый логон скрипт для юзера в папку C:\WINNT\SYSVOL\sysvol\"имя домена"\scripts (у ней шар-имя netlogon - насколько я понял из твоего ответа - это именно для совместимости с 98-ми клиентами!?) он сразуже "перепишется" в папку C:\WINNT\SYSVOL\domain\scripts (вот у этой шара - SYSVOL)!? Эти папки обе на одном DC...

Цитата:

Profile во вкладке юзера запускает скрипты из \\domainname.company.ru\NETLOGON - то есть со всех контроллеров

а если простую шару создать на компе, который не является DC, то и на нём искать будет!? Или ище только на DC!?

Цитата:

Рекомендую пути у всех скриптов давать именно \\domainname.company.ru\NETLOGON - это идеологически верно

не совсем понял, а разница то какая!? Что просто прописать батник, что в твоей нотации - всё равно будет искать на всех DC, разве нет!? Может тогда так лучше записать: \\"имя контроллера домена"\NETLOGON!? Тогда он будет обращаться к конкретному DC, по идее... правда если теперь он откажет, то "плакали логон скрипты"...

Добавлено
А как сделать так, чтоб при добавлении нового пользователя в домен, он сразу включался в нужную группу рассылки!?

greenfox

Цитата:

спасибо что ответил!

Не за что

Цитата:

может имя не домена, а DC!?

Именно домена - \\domainname.company.ru\Netlogon

Цитата:

одинаковы "физически"!?

Да

Цитата:

если простую шару создать на компе, который не является DC, то и на нём искать будет!?

Не будет. Только с контроллеров. Если хочешь с обычных компов, то делай новый Domain DFS Root, размазывай его по серверам (не контроллерам) и обращайся к ним (оно уже будет называться не Netlogon)

Цитата:

не совсем понял, а разница то какая!?

Разница в совместимости со старыми клиентами. Если нет таких то все равно.

Цитата:

А как сделать так, чтоб при добавлении нового пользователя в домен, он сразу включался в нужную группу рассылки!?

Что есть группа рассылки? Это про Exchange уже?

kibkalo

Цитата:

Разница в совместимости со старыми клиентами.

а что изменит твоя нотация!?
Цитата:

Рекомендую пути у всех скриптов давать именно \\domainname.company.ru\NETLOGON

- если клиент старый (насколько я понимаю это про 98-е!?) то он всё равно туды полезет, а не в sаsvol, я не прав!?

Цитата:

Что есть группа рассылки? Это про Exchange уже?

да, но можно и с обычной группой в AD - те как сделать так, чтоб при заведении нового пользователя он поподал в группу скажем "человеки"!?

2all
вхожу на комп (ХП, w2k) под доменным админом - права на компе получаю простого пользователя!? В чём может быть трабл!? (это только на некоторых машинах, на остальных всё нормально!!!)

greenfox - именно. если указать sysvol, то 98 туда залезть не сможет, а так смогут все


Цитата:

да, но можно и с обычной группой в AD - те как сделать так, чтоб при заведении нового пользователя он поподал в группу скажем "человеки"!?

Открываешь ADSI Edit, подключаешься к домену, лезешь в
Domain \ DC=domain,DC=ru \ CN=Builtin \ CN=Users
смотришь свойства объекта.
В поле Member добавь Distinguished имя той группы куда совать юзера.

А для Exchange, любой mail enabled user (mailbox, contact,..) автоматом будут попадать в настроенные глобальные адрес списки эксченджа. Это немного другая песня, если надо, говори точнее что нужно, хотя тут я чуток слабее, т.к. пока лишь внедряю его у себя..

Проблема следующая: Хочу запретить пользователям изменять заставки на ПК?
Запустил System Policy Editor, создал новый файл (*.pol) и убрал галочки Desktop -> Wallpaper и Desktop -> Color Sheme. Сохранил его как NTconfig.pol и положил его на \\PDCServerName\netlogon. При вхождении в ОС Win2k заставка ни куда не пропадает (машина находится в домене). Может, кто подскажет как правильно надо настроить?

ShahrayOleg - для 2000 и выше необходимо создавать групповые политики домена! В Active Directory Users & Compuers ткни правой кнопкой в имя домена, свойства, Group Policies, создай новую политику, назови типа Disable Wallpaper Change, в конфигурации USERа запрети все что надо, сохрани политику, посмотри ее свойства, сделай DENY Read & Apply для себя (для тех, на кого она не должна распространяться), наслаждайся...

Спасибо, а для Win98?

Добавлено

Цитата:

в конфигурации USERа запрети все что надо

Что именно?

ShahrayOleg

Цитата:

Что именно?

User Configuration->Administrative Templates->Desktop
и
User Configuration->Administrative Templates->Control Panel->Display

Спасибо, все сделал. Просто ненравится что для того чтобы убрать заставку необходимо активировать Active Desktop.