» Общие вопросы про AD (Active Directory)

sleepman
абсолютно нормальная ситуация!
Переведи все машины в домен, поставь WIN Server если не поставил и всё.
Можно найти машину указав её прямой IP адрес, либо название компьютера в сети.

Добавлено:
Всем привет!
У меня вот какая проблема, значил сделал глобальную группу Sysadmins, засунул туда группы адмнистраторов домена, адмнинитраторов и т.д, конечно же и пользователей, типа, admin. Создаю общий ресурс, там содздаю папочки по отделам, ставлю запрет для всех на всё кроме чтения, убираю галочку унаследовать разрешения..., для GL Sysadmins ставлю полнуй доступ. Потом на каждой папочке ставлю разрешения в зависимости от определенных Глобальных групп.
В итоге, при попытке создать новую папку в расшареном ресурсе, вылазит кошко с надписью: "...недостаточно прав доступа...", конечно же я под учеткой admin вошел в систему.
Решение проблемы оказалось простым, но не понятным. На расшаренном ресурсе поставил группу Администраторы домена и поставил полный доступ - тут-то всё и заработало как надо.
Вот и возник вопрос: почему? почему вылезло окошко с ругательством (я же для глобальной группы добавил группу администраторы домена и поставил полный доступ)? И почему всё разрешилось добавлением отдельно группы администраторы домена с разрешением полного доступа?

Поиск пока ничего недал. Нашел только как узнать ремя последнего входа в систему. А можно ли узнать имя системы с которой регистрировался пользователь. Хранится ли такая информация в AD?

Мужики! Очень срочно. В общем начались проблемы с сервером. Я отктился на предыдущий стабильный образ через True Image и появилась следующая проблема: Пользователи не могут войти в домен. В логе пишет:
Тип события:    Ошибка
Источник события:    NETLOGON
Категория события:    Отсутствует
Код события:    5722
Дата:        13.03.2007
Время:        9:46:20
Пользователь:        Н/Д
Компьютер:    SERVER
Описание:
При установке сеанса с компьютера BUH2 не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи BUH2$. Ошибка:
Отказано в доступе.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 22 00 00 c0 "..À



Внизу замечательная ссылка :
http://support.microsoft.com/kb/180114/en-us

Совершенно не могу понять почему такая проблема. Я и пользователей удалял и создавал таких-же и компьютеры обновлял в домене. Ничего не помогает. При выдернутом сетевом шнуре нормально заходит. Пожалуйста помогите решить. И не могу понять почему такая проблема вообще взялась...

Такой вопрос.
Разбирал со знакомым его dns. У него фирма небольшая. Есть сайт с именем отличающимся от внутреннего домена. Сайт и dns отвечающий за него находятся у хостера. Сделан mail forwarding на внутренний почтовик. Стоит dhcp и kerio. В DHCP прописан внутренний днс и dns провайдера.

Смущает меня запись в свойствах его внутреннего днс, в разделе форвардинг. Там прописан днс провайдера.
Вопрос нафиг там он нужен, если у него только один домен?

obtim
ну вопрос больше наверно для раздела про DNS
сам вопрос не совсем понятен: в одной куче оказались внутрение-внешние имена, dhcp, dns, "mail forfarding" (!!???), keiro и т.д.
Собственно что до самого "запись в свойствах его внутреннего днс, в разделе форвардинг" то нужна она для того что бы клиенты через этот днс внутренний могли разрешать внешнии имена (за которые внутр. днс ответственноти не несёт).


2all
Вопрос вот по интегрированным зонам dns. Прямые зоны видят все серваки (DC) в AD. А вот с обратными непонятка - на обратный запрос может ответить только тот сервак в домене (онже контроллер с dns) на котором соот-я зона поднята. Вопрос - надо ручками везде прописывать какой сервак за какую обратную зону отвечает (т.е. delegation делать) или есть варианты какие?

ps на серваках в св-ве зоны стоит AD integrated + реплицировать на все контроллеры в АД

Ребят, а как с моим вопросом. Что делать?

Пожалуйста, помогите с этой проблемой: http://forum.ru-board.com/topic.cgi?forum=8&topic=20557#1

У меня вот такая проблемка возникла

1. Поднят домен с двумя контроллерами
2. Включена парольная политика и политика блокировки учетной записи
3. Параметры блокировки учетной записи следующие:
а) блокировка учетной записи на 30 минут
б) пороговое значение блокировки учетной записи - 5 ошибок ввода пароля
в) Сброс счетчика блокировки - через 30 минут

Блокировка учетной записи срабатывает, но ни через 30 минут ни поже пользователь не разблокируется.

А по моему вопросу никто помочь не может?

Johny_x3mal

Цитата:

Всем привет!
У меня вот какая проблема, значил сделал глобальную группу Sysadmins, засунул туда группы адмнистраторов домена, адмнинитраторов и т.д, конечно же и пользователей, типа, admin. Создаю общий ресурс, там содздаю папочки по отделам, ставлю запрет для всех на всё кроме чтения, убираю галочку унаследовать разрешения..., для GL Sysadmins ставлю полнуй доступ. Потом на каждой папочке ставлю разрешения в зависимости от определенных Глобальных групп.
В итоге, при попытке создать новую папку в расшареном ресурсе, вылазит кошко с надписью: "...недостаточно прав доступа...", конечно же я под учеткой admin вошел в систему.
Решение проблемы оказалось простым, но не понятным. На расшаренном ресурсе поставил группу Администраторы домена и поставил полный доступ - тут-то всё и заработало как надо.
Вот и возник вопрос: почему? почему вылезло окошко с ругательством (я же для глобальной группы добавил группу администраторы домена и поставил полный доступ)? И почему всё разрешилось добавлением отдельно группы администраторы домена с разрешением полного доступа?

может у вас в глобальную группу входят пользователи не из того домена где эта глоб. группа создавалась?
http://www.networkdoc.ru/trainers2000/win2000/read.html?article15.html
http://kb.iu.edu/data/ahrl.html
Вообще надо бы знать режим домена\леса вашей AD и как\какие группы\пользователей вы конкретно создаёте...

Xydoy
может ты задал политику не там где надо а именно не в политике безопасности домена?

Как из командной строки изменять владельцев объектов в Active Directory?
Хочется чего-то вроде SetACL (setacl.sourceforge.net) для работы с AD. На сайте SetACL в Feature Requests с 2003 года значится "ACL/ACE manipulation on AD objects", но, похоже, развитие проекта остановилось...
И, может быть можно сменить всех владельцев у всех объектов AD, пусть и без командной строки?

ali1977
Домен поднят на Win2000
Политику задал на уровне всего домена, создал новую групповую политику и переместил ее на самый вверх списка политик.
Политика была настроена в этом месте

Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика блокировки учетный записей.

Вот там все и выставил.

greenfox

Цитата:

может у вас в глобальную группу входят пользователи не из того домена где эта глоб. группа создавалась?

Только из этого домена.


Цитата:

Вообще надо бы знать режим домена\леса вашей AD и как\какие группы\пользователей вы конкретно создаёте...

Опиши вопрос подробнее.
У меня родительский домен. Пользователи - это администраторы, каждый занимается своим делом, но к одному расшаренному ресурсу должны иметь полный доступ.
В Глобальную группу входят:
DnsAdmin
Администраторы
Администраторы DHCP
Администраторы домена
Администраторы предприятия
Администраторы схемы
Пользователи удаленного рабочего стола

Появилась такая ошибка

Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера host/home.domain.local. Использовавшееся конечное имя: cifs/home2.domain.local. Это значит, что пароль, который был использован для шифрования билета службы Kerberos, отличается от пароля на конечном сервере. Обычно это происходит, если в конечной сфере (domain.LOCAL) и в сфере клиента имеются учетные записи компьютеров с одинаковыми именами. Обратитесь к системному администратору.

Произошло это после переустановки системы на одном из серверов (файловая помойка) и занесения его в домен с таким же именем что и раньше. Ниче не понимаю в чем проблема тут.

А старую учетку компа перед этим не удалял? Вот у тебя и ошибки.
Нужно сначала удалить старую, а потом называй как хошь..

есть два леса AD на Windows 2003 R2 в нативном режиме.
между ними установлено доверительное отношение на уровне лесов.

могу ли я добавлять пользователей леса 1 в группы леса 2?

пытался добавлять в глобальные группы и в универсальные группы - ни как для пользователей леса 1, только пользователей из леса 2.

в локальные группы на клиентских ПК или серверах, простых членах домена, в легкую добавляются пользователи их "чужого" леса.

как это же реальзовать в Active Directory?

Xydoy
зайди в программы-администрирование- политике безопасности домена
и там уже выставляй параметры безопасности - политики безопасности паролей и тп. здесь имеет высший приоритет и если тут не настроить то скока в других местах не ковыряй -все бесполезно

Xless

Цитата:

могу ли я добавлять пользователей леса 1 в группы леса 2?

Группы существуют только на уровне домена.

Как работает у нас:
2 леса, в каждом по одному домену. 2003 native
Между ДОМЕНАМИ установлены трасты, причем т.к. лес разный, то отношения не двухсторонние, как следстиве - надо устанавливать 2 траста в обе стороны.
После этого пользователей из другого леса можно добавлять в следующие группы:
- локальные группы на каждом компьютере домена
- локальные группы домена

Сталкивался кто - убрал GC с контроллера, но а DNS (зоны интегрированы в AD) ссылки на gc удалённый вида "_msdsc\gc\_tcp\srv_old_server_rocord_3268port" остались. Их надо ручками что ли чистить или глюк какой? (а то сервера переодически теряют gc когда обращаются к старому)
Спасибо.

здраствуйте люди добрые .... у менеа такая проблема..... еа хочю дабавить пользователя в ацтиве дирецторй а мне пишет што удалёная функция не даступна.... и так уже пастаяна.... не магу дабавить чювака в ацтиве дирецторй ггг помогите пожалуста.... заранее спосибо

Jugulator
сам хоть читал что написал?

Gabzya


ну типа я читал..... но проста проблема есть а тестировать сечяс не могу ..... я на паметь сказал.....

как то давно делал и уже забыл,,,где надо рыть?
чтобы у всех пользователей домена при включении компа началась установка нужной мне проги?
заранее спасибо!

timsson
Group Policy

greenfox
а точнее не знаешь?

Привет Олл!
Проблема один-в-один как описано здесь :
http://forum.ru-board.com/topic.cgi?forum=8&topic=6684


Я ручками АД от всех ссылок про вторичный контролер избавил, а вот вторичный контроллер понизить ч/з ДСПРОМО/ФОРСРЕМУВАЛ ну никак - (((((

Запустил опять DCpromo/forceremoval - началось удаление AD процесс дошел до "Create a new local account database for SAM". Минуту задумался, затем вылетела ошибка "AD installation failed - the remote procedure call failed". И на перезагрузку..... (lsass error -1073741819)

После пререзагрузки перестал запускаться сервис netlogon (но в MSKB вычитал, что нужно поправить ключик в реестре и всё опять заработало)

Вируса sasser - НЕТ .


Чего делать? КАК сервак перевести в розряд простых ( убить нельзя - много чего инсталировано и работает).

danvm

Цитата:

Чего делать? КАК сервак перевести в розряд простых ( убить нельзя - много чего инсталировано и работает).

Сейчас не помню точно ,но там веточка реестра есть в которой меняя значение сервак переходит в обычный stand alone

Вспомнил.

HKLM
Раздел: SYSTEM\CurrentControlSet\Control\ProductOptions

Параметр 1
Название: ProductType
Тип: REG_SZ
Значение: LanmanNT

1) Меняем LanmanNT на ServerNT !!! регистр букв существенен!!! набирать надо именно так ServerNT
2) наслаждаемся standalone server в СТАРОМ домене - грузиться будет долго и войти можно только локально, как Administrator с паролем установленным setpwd.exe.
3) теперь можно вывести сервер из старого домена, ввести в новый и снова накатить AD нового домена.

Мущины, есть домен. В нем несколько контроллеров. Все на 2003 винде. Вопрос - к какому из контроллеров домена должен подключаться по умолчанию инструмент АД юзерз энд компьютерз при выборе опции "подключиться к домену ..."?

mkolesov
Если у тебя все функционирует правильно то к любому. Любые изминения на любом из контролеров при первой же репликации попадут на все остальные контролеры.