» Общие вопросы про AD (Active Directory)

G14
Не совсем понятно : Pre-Windows 2000 Compatible Access has Read and Enumerate Entire SAM Domain permissions on the object, as follows:
CN=Server,CN=System,DC={TargetDomain},DC={tld}

Добавлено:
Вот насчет этого не уверен: Pre-Windows 2000 Compatible Access has Read and Enumerate Entire SAM Domain permissions on the object, as follows:
CN=Server,CN=System,DC={TargetDomain},DC={tld}

Добавлено:
Сорри - не заметил чо переехал на другую страницу

а теперь ещё и чё то на ДНС ругается.....

timsson
На контроллере домена заюзай dcdiag.exe и все failure и error пиши сюда.
На первый взгляд проблема именно в ДНС сервере, но всякое может быть.

Еще также netdiag.exe запусти и также все варнинги и ошибки сюда

Эти утилиты из Support Tools.

Проблема : локальный администратор при входе в домен становится локальным гостем.

Был локальный пользователь WinXP (в локальной группе Администраторы), делаю компьютер членом домена, пользователь регистрируется и оказывается с правами локального гостя (рабочий стол - по умолчанию, программы устанавливать/настраивать нельзя,...). В локальной политике безопастности "Сетевой доступ: модель совместного доступа" менял, и тот-же параметр в политике домена то-же - проблема без изменений :-(

Что делать ? Пользователь должен мочь софт ставить и настраивать.

До того компьютер работал в Новеловской сети без проблем (почему пришлось перейти - отдельная история...) , до сих пор на нём стоит новелл-клиент. Домен инсталлирован новый, единственный, практически всё - по умолчанию.

Alexandr71
После ввода компа в домен пользователь-локальный админ также присутствует в группе Администраторы на компе?

Я так понимаю групповую политику Назначение прав пользователя пока еще не менял, оставил дефолтной?

Настраивал ли вообще групповую политику в домене?

Clavik

на компе не менял ничего, связанное с пользователями. Локальный пользователь - не Администратор, но входит в группу Администраторы. При входе в домен появляется ещё папка "document and settings\user.000" , старый каталог пользователя (без .000) остаётся , но недоступен. Естественно и посмотреть что-либо в настройках локальной машины этот пользователь, войдя в домен не может. Перерегистрировавшись только в локальный компьютер - все локальные права в порядке.

Групповую политику оставил (пока) дефолтной. Я только создал подразделение с пользователями и группой , ну и права на рабочие каталоги прописал.

Alexandr71

Зайди на комп под учёткой, входящей в группу Domain Admins. Добавь в локальную группу Administrators доменную учётку пользователя.

Но вообще - это "прямое и грубое" нарушение рекомендаций Microsoft - низзя под локальным админом работать. Никому. Софт поставить можно либо использую публикацию, либо, на самый крайняк - Run As.

Clavik
хорошо щас запущу и и ишибки сюда вынесу

Добавлено:
Clavik
вот это результат команды ''dcdiag'':

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SERVER-KIS
Starting test: Connectivity
......................... SERVER-KIS passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERVER-KIS
Starting test: Replications
......................... SERVER-KIS passed test Replications
Starting test: NCSecDesc
......................... SERVER-KIS passed test NCSecDesc
Starting test: NetLogons
......................... SERVER-KIS passed test NetLogons
Starting test: Advertising
Warning: SERVER-KIS is not advertising as a time server.
......................... SERVER-KIS failed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERVER-KIS passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SERVER-KIS passed test RidManager
Starting test: MachineAccount
......................... SERVER-KIS passed test MachineAccount
Starting test: Services
w32time Service is stopped on [SERVER-KIS]
......................... SERVER-KIS failed test Services
Starting test: ObjectsReplicated
......................... SERVER-KIS passed test ObjectsReplicated
Starting test: frssysvol
......................... SERVER-KIS passed test frssysvol
Starting test: frsevent
......................... SERVER-KIS passed test frsevent
Starting test: kccevent
......................... SERVER-KIS passed test kccevent
Starting test: systemlog
......................... SERVER-KIS passed test systemlog
Starting test: VerifyReferences
......................... SERVER-KIS passed test VerifyReferences

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : kis
Starting test: CrossRefValidation
......................... kis passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... kis passed test CheckSDRefDom

Running enterprise tests on : kis.kz
Starting test: Intersite
......................... kis.kz passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 135
5
A Good Time Server could not be located.
......................... kis.kz failed test FsmoCheck

Добавлено:
Clavik
а это результат команды ''netdiag'':
....................................

Computer Name: SERVER-KIS
DNS Host Name: SERVER-KIS.kis.kz
System info : Windows 2000 Server (Build 3790)
Processor : x86 Family 15 Model 4 Stepping 3, GenuineIntel


Netcard queries test . . . . . . . : Passed



Per interface results:

Adapter : ╧юфъы■ўхэшх яю ыюъры№эющ ёхЄш

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : SERVER-KIS
IP Address . . . . . . . . : 192.168.*.*
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.*.*
Dns Servers. . . . . . . . : 127.0.0.1


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{8E45C675-BE4A-454D-92E2-E3FF45108475}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '127.0.0.1'.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{8E45C675-BE4A-454D-92E2-E3FF45108475}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{8E45C675-BE4A-454D-92E2-E3FF45108475}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

Alexandr71
А просто пользователь домена как входит на этот комп?
Попробуй зайти на этот комп пользователем домена, потом админом домена.

Добавлено:
timsson
Вот эти ошибки:
Starting test: Advertising
Warning: SERVER-KIS is not advertising as a time server.
......................... SERVER-KIS failed test Advertising

Starting test: Services
w32time Service is stopped on [SERVER-KIS]
......................... SERVER-KIS failed test Services

Starting test: FsmoCheck
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 135
5

свидетельствуют о том, что ты отключил службу времени на контроллере домена.
Контроллеру домена необходимо служба времени, и более того служба времени должна быть включена и на всех других компах домена.
Параметр безопасности "Максимальная погрешность синхронизации часов компьютера" определяет максимально допустимое Kerberos V5 расхождение (в минутах) между показаниями часов клиента и контроллера домена, обеспечивающего проверку подлинности Kerberos. По умолчанию равен 5 минутам.

Чтобы этот механизм работал надлежащим образом, часы клиента и контроллера домена должны быть синхронизированы с максимально возможной точностью. Иными словами, на обоих компьютерах должны быть установлены одинаковое время и одинаковая дата. Поскольку часы двух компьютеров часто выпадают из синхронности, администраторы могут с помощью данной политики установить максимальный допуск рассогласования часов, приемлемый для Kerberos V5. Если расхождение между показаниями часов клиента и контроллера сервера меньше заданного этой политикой значения, любая отметка времени, используемая в сеансе связи между двумя компьютерами, будет считаться достоверной.

О протоколе безопасности Kerberos V5, можешь почитать тут:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/d55683e8-1258-4555-93cb-77138d33beab.mspx?mfr=true

Clavik
значит у меня сам домен нормально работает?
а службу я вырубил потомучто всё равно компы не синхронизуруют время ...просто в логах всё время была ошибка по win32time:
''NTP-клиент поставщика времени: этот компьютер использует доменную структуру для определения своего источника времени, но для этого домена в корне леса находится PDC-эмулятор, поэтому нет компьютера, расположенного выше в доменной иерархии, который можно использовать как источник времени. Рекомендуется настроить надежную службу времени в корневом домене либо вручную настроить PDC для синхронизации с внешним источником времени. В противном случае этот компьютер будет выступать в роли авторизованного источника времени в доменной структуре. Если внешний источник времени не настроен или не должен использоваться для этого компьютера, возможно, следует отключить NTP-клиент.''
чё делать с этим я просто не знаю..

timsson
На контроллере домена в реестре должно быть так:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NT5DS"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001


А эта ошибка прет из-за того что у тебя на контроллере домена в NtpClient стоит "Enabled"=dword:00000001, а т.к он единственный и последний контроллер домена и ему уже некуда выше обращаться, он тебе и пишет, что не может найти контроллер выше него, чтобы синхронизировать с ним время. На эту ошибку по большому счету можно было забить, но отключать службу времени нельзя.

Вообщем поставь в реестре 0 напротив Enabled в NtpClient и перегрузи службу времени. Такой ошибки больше не будет.

Clavik
ок сделал,,,теперь не должно быть проблем??
а как на счёт работы домена в целом, я имею ввиду по ошибкам кот я прислал...
он нормально работает?

timsson
Ну кроме ошибок с сервером времени, ничего плохого больше не вижу.

Ну если только в качестве рекомендаций:
Если используешь в сети Netbios и сетевое окружение неплохо было бы поставить WINS сервер.
Когда то, когда я перешел на 2003 винду, то запись о ДНС сервере 127.0.0.1 приводила к ошибкам, контроллер домена просто не мог обнаружить ДНС сервер, хотя тесты все проходили нормально, решил эту проблему прописыванием нормального IP сервера вместо loopback.
Было это еще до SP1 и может быть щас уже все пофиксили, но я до сих пор прописываю у себя реальный IP в поле ДНС сервер. Если будут или есть какие-то ошибки по ненахождению контроллером домена своего же ДНС сервера, попробуй прописать реальный IP адрес, может поможет.

Тьфу незаметил я что-то, у тебя же 2000 сервак, а я тебе настройки с 2003 даю.
Так тогда про службу времени в реестре такие настройки ты не найдешь, у 2000 другие.
Щас посмотрю как на 2000 серваке это правится.

Добавлено:
timsson
Для 2000 сервака, взфто из статьи M$:
http://support.microsoft.com/kb/216734/ru

В соответствии с иерархической структурой хозяин операций PDC, расположенный в корневом домене леса, становится основным сервером времени для всей организации. Корпорация Майкрософт рекомендует настроить основной сервер времени таким образом, чтобы он получал значения времени от внутреннего источника. Если основной сервер времени получает эти данные от источника времени в Интернете, то проверка подлинности не выполняется. Кроме того, корпорация Майкрософт рекомендует уменьшить значения параметров, определяющих максимальную величину коррекции времени для серверов и рядовых компьютеров. Это позволит более точно устанавливать время на компьютерах в домене и повысит уровень их безопасности.

Настройка службы времени Windows на использование системных часов

Корпорация Майкрософт рекомендует настроить основной сервер времени таким образом, чтобы он получал значения времени от внутреннего источника. Если основной сервер времени получает эти данные от источника времени в Интернете, то проверка подлинности не выполняется. Чтобы служба времени Windows использовала в качестве источника времени внутренние часы компьютера, выполните следующие действия:1.    Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
2.    Найдите и выделите следующий раздел реестра:
HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
3.    На правой панели щелкните правой кнопкой мыши параметр ReliableTimeSource и выберите команду Изменить.
4.    В появившемся окне Изменение параметра DWORD в поле Значение введите 1 и нажмите кнопку ОК.
5.    Найдите и выделите следующий раздел реестра:
HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
6.    На правой панели щелкните правой кнопкой мыши параметр LocalNTP и выберите команду Изменить.
7.    В появившемся окне Изменение параметра DWORD в поле Значение введите 1 и нажмите кнопку ОК.
8.    Закройте редактор реестра.
9.    Перезапустите службу времени. Для этого введите в командной строке следующую команду и нажмите клавишу ВВОД:
net stop w32time && net start w32time

Clavik
почему 2000?с чего ты взял??...,
у меня 2003

timsson
Вот это из netdiag смутило:
System info : Windows 2000 Server (Build 3790)

вообще билд от 2003, а вот инфа показывает что Windows 2000 Server

вот что netdiag показывает у меня:
System info : Microsoft Windows Server 2003 R2 (Build 3790)

Ладно, тебе же виднее должно быть что у тебя там стоит

Clavik
ИНТЕРЕСНО, а почему он так показывает????
хотя реально там стоит microsoft windows server 2003 enterprises edition

не знаю
посмотри что показывает systeminfo.exe

Clavik

Название ОС: Microsoft(R) Windows(R) Server 2003, Enterprise
Edition
Версия ОС: 5.2.3790 Service Pack 1 сборка 3790

правда он там ещё пишет вот это:
DHCP включен: Нет

хотя он включён и пашет

Добавлено:
Clavik
ааа,я понял скорее всего графа эта "dhcp включён" это имеется ввиду как настроена сеть либо dhcp либо вручную

Kicker



Цитата:

Зайди на комп под учёткой, входящей в группу Domain Admins. Добавь в локальную группу Administrators доменную учётку пользователя.

Да, этот вариант прошёл. Понимаю, что безобразие с безопастностью (много лет уже администрю, только с AD впервые так близко столкнулся, больше новелом приходилось заниматься, там всё иначе :), попробую что-нибудь придумать, что-бы пользователя обесправить.

Но причину я так и не понял, или по мнению майкрософт так и должно быть ?

При входе на этой машине другим пользоателем домена - получаю гостевые права на локальном компьютере. При входе администратором домена - локальные права - администраторские.

Ещё смущает очень долгий вход - после ввода пароля 1-2 минуты ожидания (то, что советуют в литературе в этих случаях - посмотрел, ничего "криминального" не нашёл)

Alexandr71
Посмотри локальную группу Гости и кто в нее входит, а также доменную группу Гости посмотри.

Clavik

Цитата:

Посмотри локальную группу Гости и кто в нее входит, а также доменную группу Гости посмотри.

И в ту и в другую входят только пользователи Гость (локальный и доменный, соответственно), оба гостя "отключены" по умолчанию.

Такой вопрос.
Есть домен к примеру domen. У него есть поддомен - 1c.domen. Если этот поддомен при помощи ntdsutil удалять, это ни чем не чревато для основного домена. Просто ни разу не пользовался таким удалением. Хочется знать опасно это или обычная операция
спасибо.

Всем привет!
Хочу перенести все учетки существующего домена (рабочии станции, пользователи, группы) в новый домен?
Какие могут быть ньюансы?
Понятно, что делатся это будет с помощью ADMT.

Переформулирую вопрос :

Как сделать так, что-бы пользователь домена (он-же член группы домена, но НЕ Администратор(ы) ) , регистрируясь на любом компьютере домена, получал права устанавливать и настраивать софт на этом локальном компьютере ?
(ещё раз оговорюсь - пользователь(и) не имеет никакого отношения к Администраторам домена, но это входит в его служебные обязанности)

заранее спасибо за "конструктивные" ответы :)

Alexandr71
1. Если это подходит по вашим политикам безопасности - через политику restricted groups делать данную группу пользователей локальными администраторами на клиентских машинах. Как именно - пользуемся фильтром, таких тем у нас уже несколько, там все описано.
2. Давать опять же политиками определенным пользователям\группам права на нужные ветки реестра и файловую систему на клиентских компьютерах.

G14


Цитата:

1. Если это подходит по вашим политикам безопасности - через политику restricted groups 2. Давать опять же политиками определенным пользователям\группам права на нужные ветки реестра и файловую систему на клиентских компьютерах.

Спасибо. Попробю ещё подумать в этом направлении Просто на первый взгляд решение для моего случая получается трудозатратное, поэтому и просил "помощь зала" - может есть ещё варианты о которых я не подозреваю...

всем ДД!
сразу оговорюсь, тема конечно популярная, но поискав в интернете не нашел ответа на вопрос...

схема такова
два DC на 2000й и 2003й(server_alb) винде, 2003я(albdc) винда - хозяин всех ролей..
при выполнении
dcdiag /s:albdc
нет ни одной ошибки
при выполнении
dcdiag /s:server_alb
возникает только одна ошибка...
Цитата:

Starting test:
Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
A Global Catalog Server could not be located - All GC's are down.
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
Time Server Name: \\server_alb.ALBUMIN
Locator Flags: 0xe00001f8
Preferred Time Server Name: \\albdc.ALBUMIN
Locator Flags: 0xe00003fd
KDC Name: \\server_alb.ALBUMIN
Locator Flags: 0xe00001f8
......................... ALBUMIN failed test FsmoCheck



не знаю как указать server_Alb глобальный каталог??

в оснастке Active Directory Sites and Services имеются два сервака, вышеперечисленные, в NTDS свойствах albdc выбрано ,что он есть глобал каталог, соответственно в свойствах server_alb этот скрыж убран..может в этом глюк?хотя в доке написанно что так и нужно..
предположительно, все можно вылечить

знаю что может помочь ntdsutil, но не знаю как грамотно ей воспользоваться..подсобите советом

snoopzz
ipconfig /all с обоих....
такое ощущение, что неправильно DNS настроен.... С репликацией проблем нет? Где DNS сервер и какой там тип зоны твоего домена?

albdc
C:\>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : albdc
Primary Dns Suffix . . . . . . . : ALBUMIN
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : Yes
DNS Suffix Search List. . . . . . : ALBUMIN

PPP adapter RAS Server (Dial In) Interface:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.20.2
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI TX NIC (3C905B-TX)
Physical Address. . . . . . . . . : 00-50-DA-3A-DC-11
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.20.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.20.250
DNS Servers . . . . . . . . . . . : 192.168.20.10


server_alb=
Windows 2000 IP Configuration
    Host Name . . . . . . . . . . . . : server_alb
    Primary DNS Suffix . . . . . . . : ALBUMIN
    Node Type . . . . . . . . . . . . : Broadcast
    IP Routing Enabled. . . . . . . . : No
    WINS Proxy Enabled. . . . . . . . : No
    DNS Suffix Search List. . . . . . : ALBUMIN

Ethernet adapter Local Area Connection 3:
    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : 3Com 3C996B Gigabit Server NIC
    Physical Address. . . . . . . . . : 00-0A-5E-1E-FD-DF
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 192.168.20.11
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . : 192.168.20.4
    DNS Servers . . . . . . . . . . . : 192.168.20.10


да вродь все ок с днс...
с репликацией -нет, по крайне мере евент ивер в разделах File ReplicationService и Directory Services на обоих контроллера не показывает никаких ошибок, пишет только
на server_alb
The File Replication Service is no longer preventing the computer SERVER_ALB from becoming a domain controller. The system volume has been successfully initialized and the Netlogon service has been notified that the system volume is now ready to be shared as SYSVOL.

Type "net share" to check for the SYSVOL share.


а что значит
тип зоны твоего домена?

Есть ли на PDC emulator фаерволы ?
что показывают nltest /dclist:твой_домен и nltest /dsgetdc:твой_домен ?

Цитата:

тип зоны твоего домена?

свойства зоны -> Type ...что написано? (хотя теперь это не принципиально)...