» Общие вопросы про AD (Active Directory)

greenfox
"Красный крестик" - это выключение учетки (Disable)
А при истечении срока происход locking, что видно только в свойствах учетки в закладки "Account"

FreemanRU
а нельзя как "добавить" что бы этот локинг как-н в mmc консоли тоже отображался... !? А то пару сотен юзверей не удобно просматривать кто там из них залочен а кто задезейблин!?

greenfox
Могу только так посоветовать:

Код:
'Disabled
Const ADS_UF_ACCOUNTDISABLE = 2
Const ADS_UF_LOCKOUT= 16

Set objConnection = CreateObject("ADODB.Connection")
objConnection.Open "Provider=ADsDSOObject;"
Set objCommand = CreateObject("ADODB.Command")
objCommand.ActiveConnection = objConnection
objCommand.CommandText = _
"<GC://dc=fabrikam,dc=com>;(objectCategory=User)" & _
";userAccountControl,distinguishedName;subtree"
Set objRecordSet = objCommand.Execute
intCounterD = 0
intCounterL = 0

While Not objRecordset.EOF
intUAC=objRecordset.Fields("userAccountControl")
If intUAC AND ADS_UF_ACCOUNTDISABLE Then
WScript.echo objRecordset.Fields("distinguishedName") & " is disabled"
intCounterD = intCounterD + 1
End If
If intUAC AND ADS_UF_LOCKOUT Then
WScript.echo objRecordset.Fields("distinguishedName") & " is lockout"
intCounterL = intCounterL + 1
End If

objRecordset.MoveNext
Wend
WScript.Echo VbCrLf & "A total of " & intCounterD & " accounts are disabled."
WScript.Echo VbCrLf & "A total of " & intCounterL & " accounts are lockout."
objConnection.Close

FreemanRU
это скрипт для выведения списка залоченых аккаунтов, я прав понял!? Немного не то что хтелось. но всё равно спасибо...

как разрешить пользователям расшаривать папки в домене? Причём желательно это сделать с помощью GPO или ещё как-то так.

XMMS
расшаривать? А стоит ли плодить шары, тем более пользователям.
не легче ли просто дать пользователям доступ к каталогу (шара- одна), где они могут создавать свои папки и раздавать на них доступ.
Т.е. вместо шар использовать распределение доступа (permission)

AlexSSS
Это планируется сделать позднее... а пока что временная мера - шары. Мне помогло добавление доменного юзера в Power User локально. Но как-то не очень красиво это
Кстати, для предложенного тобой решения нужны ещё какие-то настройки в GPO?

greenfox

Цитата:

Немного не то что хтелось.

Я понимаю. Но известных мне способов изменить остнастку нет. Меню можно подобавить, вкладки в свойства тоже можно, а вот отображение - нет.

Надо привязать к компьютеру только одного (на некоторых машинах два и более) пользователя. т.е. что бы на машину мог залогонитится только один user, а не любой.
Как это можно настроить в домене???

Neoromantic
Если я правильно понял твой вопрос, то:
Control Panel -> Administrative Tools -> Active Directory Users and Computers
В соответствующем контейнере, там где у тебя находится искомая машина, нажми на ней правой кнопкой мыши и выбери All Tasks -> ResultantSet Of Policy (Logging) и далее настрой как тебе нужно.

Neoromantic
Локально на машине - gpedit.msc->Computer Settings->Windows Settings->Securiry Settings->Local Policies->Users Right Assigment->Allow logon localy
Через домен - морока.

FreemanRU
А если компов Очень много??? На каждой машине редактировать локальную политику сложновато будет.

Neoromantic
Я чет не пойму. Тебе надо сделать связку юзер-компу в сети? ТАк не проще пользователю дать право логина только на определнном компе?
Или чего-то не понял?

CoDeR

Цитата:

All Tasks -> ResultantSet Of Policy (Logging) и далее настрой как тебе нужно.

лол.
Читаем:RSoP logging mode

FreemanRU
G14
Вы что, прикалываетесь чтоли?
Neoromantic
В свойствах учетной записи пользователя вкладка "Учетная запись", кнопка "Вход на..." не спасет отца русской демократии?

Alan Mon

Цитата:

Вы что, прикалываетесь чтоли?

Изначально вопрос был такой:

Цитата:

Надо привязать к компьютеру только одного (на некоторых машинах два и более) пользователя

Т.е. (как я понял), необходимо ограничить комп, не ограничивая пользователей.
Солгасись, что это не то, что ты предложил. Хотя ооочень мне кажется, что изначально вопрос был поставлен просто некоректно.

Alan Mon
Спасибо - попробую.

FreemanRU
Возможно и не корректно, но нужно было создать подобие "рабочей группы" - когда на комп может зайти несколько человек а не любой пользователь домена.
А т.к. компьютеров много ставить у каждого локальную политику безопасности кажется не разрешаемой задачей.

Neoromantic
Если ты планируешь создать схему, типа "все сотрудники отдела могут входит на все компы отдела и только на эти компьютеры", то кроме способа, описанного Alan Mon, существует еще один:
-Разделить компьютеры на группы безопасности (например по отделам).
-Создать каждой группе GPO с правами Read и Apply Policy только для этой группы компов.
-Поделить пользователей на группы безопасности (тоже например по отделам).
-в этих GPO настроить параметр Computer Settings->Windows Settings->Securiry Settings->Local Policies->Users Right Assigment->Allow logon localy для группы отдела (или как ты их назвал "рабочей группы").

Естесственно права на вход надо дать и административным аккаунтам и группе техподдержки, ну и остальным, кому надо.
Преимущество такой реализации, как мне кажется, в том, что при перемещении работника (перевод в другой отдел, увольнение...) тебе не придется править пермишены в куче мест, достаточно будет удалить его из группы. Ну и при принятии нового работника ситуация та же - добавил в группу его отдела, и он получил все необходимые права. Ну и конечно нужно внимательно спланировать разделение по группам.

Neoromantic

Цитата:

Возможно и не корректно, но нужно было создать подобие "рабочей группы" - когда на комп может зайти несколько человек а не любой пользователь домена

Тогда учти, что если сделаешь так, как посоветовал Alan Mon, то все другие пользователи, у которых не указан этот параметр спокойно смогут зайти на этот комп. Т.е. тебе придется для всех пользователей указывать список доступных им компов.

Другое решение, более подходяшее как мне кажется решение, разрешить в домене в том параметре, что указывал я группу (н-р AccessYes), созать эту группу ЛОКАЛЬНО на нужных компах (скрпит), и потом через Restricted Group или скрипты вводить-выводить из этой группы пользователей.

Вот тут FreeMan предложил перекидывать народ на рабочий сервер с помощью DNS. Я создал ещё одну запись A, указал IP, и попытался зайти...
Получаю красивую ошибку:

В чём могут быть грабли?

XMMS

Цитата:

Получаю красивую ошибку

Мда. Есть такое. Почему-то ни сетевые диски, не проводник не отктрывает. При этом SQL, FTP и любой другой порт/программа работает.

Приветы !
Кто нибудь поможет ??? У меня такая ситуация. Я использую перемещаемые профили (roaming profile), но вот в чем загвоздка. Когда юзер делает лог офф, то профиль юзера почему-то остаётся на локальном компе. Как это можно устранить ???

Benru
Ну так на компе остаётся но копия уходит в роаминг место. Если надо удалять н акомпе, то политикой прикрути delete roaming profile on exit
Computer Configuration, Administrative Templates, System, Logon -- Delete cached copies of roaming profiles (enabled)
ну и чтоб политик к компам применялась

Подскажите, пожалуйста, как заставить пользователей логониться на компьютеры только используя UPN, т.е. чтобы в поле имени пользователя надо было вводить полностью: Username@DNSDomainName (Username@UPNСуффикс) - хочу, чтобы у этих ГАДОВ чётко отлажилась в башке на уровне ассоциативной памяти связь между их "Именем пользователя" и реальным адресом E-mail.

PIL123
как вариант использовать UPN суфикс на домене....вот только сложно будет всем его поменять (если народу много) ... active directory doamins and trusts->свойства->upn суфикс

angelweb
Дело в том, что юзеров ещё нету вообще в AD, а нужный UPN-суффикс я уже сделал и к себе этот суффикс применил....дело не в этом. Я хочу, чтобы Windows не позволял логониться до тех пор пока не будет введено UPN имя для аутентификации, т.е. хочу, чтобы залогониться стало возможно только при вводе для аутентификации UPN-имени и никакого другого...

есть домен win2k adv.server. Пытаюсь добавить еще один контроллер win2003, сервер выдает ошибку
"операция не выполнена по следующей причине: мастеру установки Active Directory не удается преобразовать учетную запись компьютера salut-bdc$ в учетную запись контроллера домена, "отказано в доступе."


Внутренняя ошибка, возникла ошибка Active Directory.

Дополнительные данные
Значение ошибки (десятичное):
183
Значение ошибки (шестнадцатеричное):
B7
Внутренний ID:
3001183


Внутренняя ошибка, возникла ошибка Active Directory.

Дополнительные данные
Значение ошибки (десятичное):
-1073741823
Значение ошибки (шестнадцатеричное):
С0000001
внутренний ID:
3000е54"

Как лечить?

Satyr
С какими правами(от какого пользователя) запускаешь dcpromo ?

angelweb
Все делаю под доменным админом. ADPREP выполнил.

Satyr
Поностью ошибки выложли (в EventViwer есть кнопка специальная "скопировать"), в more заключить не забудь.