» Общие вопросы про AD (Active Directory)

kibkalo

Цитата:

в конфигурации USERа запрети все что надо, сохрани политику, посмотри ее свойства, сделай DENY Read & Apply для себя (для тех, на кого она не должна распространяться), наслаждайся...

можно подробнее о том, как применить политику к конкретным группам или юзерам, а то у меня политика домена распространяется на всех, включая админгруппу.

kibkalo

Цитата:

если указать sysvol, то 98 туда залезть не сможет, а так смогут все

гм... всё равно не понял зачем писать \\domainname.company.ru\NETLOGON!?
Если в профиле стоит просто usеr.bat и расшарены обе папки (и netlogon и sysvol) то соответственно 98-е полезут в netlogon, а nt-ные - в sysvol. а так как ты сказал, что обе эти папки "физически совпадают" - то что изменит замена user.bat на \\domainname.company.ru\NETLOGON\user.bat !?

greenfox

Цитата:

в конфигурации USERа запрети все что надо, сохрани политику, посмотри ее свойства, сделай DENY Read & Apply для себя (для тех, на кого она не должна распространяться), наслаждайся...

мож подскажеш? а то все молчат... абЫдно

Pazan

Цитата:

мож подскажеш?

да я сам твои посты и ответы к ним читаю внимательно - скоро буду сам политики потрошить!!

Цитата:

то все молчат

ну так... форум то еле живой!

Duke Shadow



Цитата:

Попробуй распихать компы по OU. Кажется в этом случае открываешь домен, а потом нужное OU - получится примерно то, чего ты добиваешься.

Что значит "кажется" ? Сами пробовали ? Допустимо ли OU русскими буквами ? Допустимы ли вложенные OU ?

IGGIPOP

Цитата:

Допустимо ли OU русскими буквами

Да - благо юникод

Цитата:

Допустимы ли вложенные OU

Да при условии что домен работает в 2000 native mode

DedaFlint

А получится ли то, о чем спрашивал bu536 ?


Цитата:

А как сделать так чтобы компьютеры в сети были разделены (например: класс, бухгалтерия и тд) чтобы были какбы рабочие группы но с доменом

IGGIPOP
Нет, грубо говоря домен это одна большая рабочая группа,
в которой возможны подгруппы --- дочерние домены, но это уже другая
история ....

Jovanotti
Тогда может совет дадите. Есть 3 рабочие группы в сети + домен. В рабочих группах Win98 с авторизацией в домене w2k. Хотелось бы перевести рабочие группы на w2k professional с авторизацией в домене. Но совсем не хотелось бы видеть все эти рабочие станции (30 штук) в домене в сетевом окружении. На рабочих станциях тоже не хочется столько юзеров прописывать, так как возможны перемещения пользователей между рабочими станциями.

IGGIPOP

Цитата:

Но совсем не хотелось бы видеть все эти рабочие станции (30 штук) в домене в сетевом окружении

ПОЧЕМУ ?

Цитата:

рабочих станциях тоже не хочется столько юзеров прописывать

на них ничего не прописывается. В том то и суть домена --- доменом будешь рулить с сервера --- контроллера домена. Можно даже забыть о походах на клиентские машины.
Все с СЕРВЕРА !
Разберись подробней сам с MS Server2000 (2003) + Active Directory + DNS
и будет тебе СЧАСТЬЕ !!!
Советую http://www.networkdoc.ru

Jovanotti

Цитата:

Разберись подробней

Куда уж подробней, "не первый год замужем"
Снова формулирую вопрос:
Хочу такую же схему как с Win98 - 30 рабочих станций в 3-х рабочих группах, а пользователи авторизуются в домене (в домен, кроме вышеуказанного, входят еще 18 рабочих станций, пользователи которых тоже авторизуются в домене). В сетевом окружении отображаются 3 рабочие группы (по 10 компов в каждой) плюс домен (18 компов). Теперь хочу заменить Win98 на w2k и сохранить прежнее отображение компьютеров в сети.
Если компы с w2k включать в домен, для авторизации юзеров в домене, они отображаются в сетевом окружении в этом домене, А ЭТОГО НЕ НАДО !!!
Надо сохранить такую же структуру как с win98 (3 рабочие группы + домен).

Проблема стоит уже давно. Если кто может подсказать что-то по существу, пишите, а не отсылайте,
Цитата:

Советую http://www.networkdoc.ru

хотя сайт, безусловно, хороший, сам много чего оттуда позаимствовал.

IGGIPOP
Домен и три поддомена либо не вводи соответствующие рабочие станции в домен.

JcVai

Цитата:

Домен и три поддомена

Что же мне еще три выделенных сервера для этой цели ставить ?

Цитата:

либо не вводи соответствующие рабочие станции в домен

я же сказал НУЖНА АВТОРИЗАЦИЯ ЮЗЕРОВ В ДОМЕНЕ !

IGGIPOP
Регистрация в домене без принадлежности к таковому ?
Помоему это бред
Еще раз спрошу ...

Цитата:

Если компы с w2k включать в домен, для авторизации юзеров в домене, они отображаются в сетевом окружении в этом домене, А ЭТОГО НЕ НАДО !!!
Надо сохранить такую же структуру как с win98 (3 рабочие группы + домен).

Тебя напрягает что все компы в домене в сетевом окружении будут отображаться в одном дереве ?

Ты хочешь умышлено скрыть некоторые компы от отображения в дереве ?
ЗАЧЕМ не пойму

IGGIPOP

Цитата:

Что же мне еще три выделенных сервера для этой цели ставить ?

Какие запросы - такие и решения.


Цитата:

я же сказал НУЖНА АВТОРИЗАЦИЯ ЮЗЕРОВ В ДОМЕНЕ !

А кто сказал, что для авторизации юзера через домен его комп должен входить в этот домен???

Jovanotti

Цитата:

Тебя напрягает что все компы в домене  в сетевом окружении будут отображаться в одном дереве ?

Да, напрягает. Хотя если решения моего вопроса нет, наверное придется с этим смириться.

Цитата:

Ты хочешь умышлено  скрыть некоторые компы от отображения в дереве ?
ЗАЧЕМ не пойму

Незачем злобным юзверям лишний раз по сети ползать, нехай видят только свою рабочую группу, а все остальное что им надо, я подключаю автоматически.

IGGIPOP

Цитата:

нехай видят только свою рабочую группу, а все остальное что им надо, я подключаю автоматически

А права на ресурсы слабо расставить ?

JcVai

Цитата:

А кто сказал, что для авторизации юзера через домен его комп должен входить в этот домен???

А как иначе? Не прописывать же юзеров локально - это не подходит.

IGGIPOP
Странно... как это у меня тогда народ в одной из сеток с не входящих в домен
компов получает доступ к его ресурсам на основе доменных юзерских учеток...
баг наверное.

JcVai
Расскажите подробнее плз.

IGGIPOP

Цитата:

Что значит "кажется" ? Сами пробовали ?

Пробовал. Вроде при открытии домена все компы были по своим контейнерам-OU. Давно дело было - не помню. В настоящее время ни желания, ни, главное, возможности проверить нет. Извини

Цитата:

Незачем злобным юзверям лишний раз по сети ползать, нехай видят только свою рабочую группу, а все остальное что им надо, я подключаю автоматически.

В "Сетевом окружении" создай папку с линками на нужные компы, а "Всю сеть" злобно грохни через политики - как альтернативное решение.

IGGIPOP
А чего тут рассказывать, при подключении ресурса
использовать логин юзер@домен либо домен\юзер, вот и все.

JcVai
Хорошо. А при входе в систему какой пароль набирать ? Локального юзверя ?

IGGIPOP, если хочешь, чтобы 2000-е не были видны в сетевом окружении - выполни на них команду:

NET CONFIG SERVER /HIDDEN:YES и все...

IGGIPOP
LOL
ССЗБ!!!

PS: только если он совпадает с паролем соответствующей доменной учетки.

Если на DC внести изменения скажем в логон скрипт, то они отразятся сразу или через некоторое время при условии, что DC ОДИН в домене!? А если DC два, причём на оба внесли соответствующие изменнеия!?

Jovanotti

Цитата:

Попробуй на DC gpupdate /force --- для принудительного применения

у меня груповые политики как таковые не прописаны, я сейчас всё с логон-скриптами мучаюсь. Эта команда на них повлияет!? Те она приведёт к тому, что новый логон-скрипт прописанный в профиле пользователя на одном из DC вступит в силу или нет!?

Почему у меня политика применяется не ко всем машинам, входящим в домен? Для них что нужно создавать свои OU, типа Отдел 1?

greenfox

Цитата:

то они отразятся сразу или через некоторое время при условии, что DC ОДИН в домене!?

Сразу. (не забудь, что для выполнения логон-скрипта надо залогиниться,
т.е. уже подключившиеся юзеры до переподключения изменений не заметят.




Цитата:

А если DC два, причём на оба внесли соответствующие изменнеия!?

Аналогично. Если изменения внесли только на один - то на втором
проявится после репликации (которая выполнится вручную или по расписанию).




Цитата:

Эта команда на них повлияет!? Те она приведёт к тому, что новый логон-скрипт прописанный в профиле пользователя на одном из DC вступит в силу или нет!?

нет

Pazan
зависит от того, какая политика и какие машины.
Скажем, по дефолту, политика домена применяется на все NT5 и выше,
входящие в домен.

JcVai

Цитата:

которая выполнится вручную

а как это делается!?

greenfox
Через гуи:
Администрирование-Сайты и сервисы-(сайт)-сервера-(сервер)-настройка ntds.
увидишь текущие линки репликации: правой кнопкой на нужном-реплицировать сейчас.