» Общие вопросы про AD (Active Directory)

Несколько раз в домене наблюдалось явление: после смены пользователю пароля при попытке входа этим самым пользователем в домен вылетала надпись "учётная запись отключена". В чём может быть трабла!?
ps репликация проходила...

Репликация тут не нужна, изменения пароля сразу идут на PDC эмулятор и в случае ошибки (предполагаемой) всегда идет перепроверка на нем.
Так что скорее всего дело в политике паролей, которая запрещает тривиальные пароли и не пускает с ними в домен.

kibkalo

Цитата:

Так что скорее всего дело в политике паролей, которая запрещает тривиальные пароли и не пускает с ними в домен.

хм... да пароль был простой вроде, но!!!! политика паролей вкл. не была + почему сообщение "уч.запись отключена", причём в АД она не помечалась как таковая!? И пересбрасывание пароля не помогало....


Добавлено
Вот ещё вопросец: как пользователь (например секретарша) может заносить данные о пользователе в АД, чтоб скажем в адресной книге аутглюка можно было посмотреть информацию о человеке!? сорри если вопрос простой....

вопрос:
в здании 1 есть сервак с ad, как из здания 2 получить доступ к ad ( машина хр, логины и пассы админа есть ), радмин плиз не предлагать, он очень долго думает

masmih
Что ты имешь в виду получить доступ к АD ?
Имееть возможность на ХР пользоваться оснасткой AD users and computers
Думаю Adminpak должен помочь + GPMC (консоль для управления GPO).

masmih
Какой доступ?
Я так понимаю, чтобы рабочий стол и прочий workaround увидеть. Сервер терминалов решит твою проблему.

Цитата:

радмин плиз не предлагать, он очень долго думает

А линии связи у тебя какие?

И вообще, имхо, ты не в ту тему попал.

то Jovanotti
чё такое Adminpak и GPMC (консоль для управления GPO)

то Duke Shadow
линии связи отличные , подскажи тогда плиз в какую тему с этим вопросом

Jovanotti

Цитата:

Думаю Adminpak должен помочь + GPMC (консоль для управления GPO).

угу... вот только с правами там полный пи*дец...

greenfox

А подробнее можно ?
Если доменным админом на клиент захожу какие могут быть проблемы ?

Jovanotti

Цитата:

Если доменным админом на клиент захожу какие могут быть проблемы ?

Секретарше доменного админа давать? Не шути так, плз.

masmih
Хотя бы сюда:
Удаленное администрирование Windows - софт
Для начала всегда неплохо смотреть карту:
Обзор (карта) форума "В помощь системному администратору"
И ссылки в начале форума:
Ссылки для сисадминов
Софт для сисадминов

Вот встал вопрос о том, чтоб секретарши дать право на запись некоторых аттрибутов в АД: ну там телефон сотрудникам прописывать, описание, адресс и т.д. Делаю делегирование но там прав и объектов - мама не горюй! Сделал я остнастку, установил Adminpak, вот теперь надо что бы она смогла видеть или редактировать только принадлежность человека к одной из групп рассылки, его персональные данные ну и всё пожалуй... вот какие атрибуты надо задействовать!? Может у кого есть готовый шаблон!? Или почитать что, линки...

И ещё, стоит ли в ад именовать объекты русскими буквами!!? В той что с локалью русской...

Duke Shadow
Ты не правильно понял меня.
Я имел в виду доступ АДМИНА с машины клиента
После поста greenfox ясно что ОН имеет в виду

greenfox
Такого не пробовал ....
Насчет русских букв в АД --- не советую ИМХО

Jovanotti

Цитата:

Насчет русских букв в АД --- не советую ИМХО

а почему!?

Jovanotti

Цитата:

Ты не правильно понял меня.

Да я с вами вообще уже запутался
Ты предлагаешь под админом на машину зайти только для того, чтобы права секретарше дать?

greenfox

Цитата:

а почему!?

Теоретически никаких препятствий к этому нет. Всё хранится в Unicode. Однако мало ли. Кто-нибудь поставит себе WinXP Corp Eng + Rus MUI и зайдёт в консольку. И вместо русских буковок его могут радостно встретить кракозябры.

greenfox - если тебе прийдется работать со скриптами (VBS, WSH) для управления доменом, то все будет ясно. Очень неудобны русские названия.
Если же пользуешься расширенными возможностями схемы, то много не работает с русским в принципе. Например для введения в домен iLO (HP integrated light out - на всех серверах ProLiant позволяет перехват консоли даже до загрузки - например разбивка рейда или перепрошивка биоса) и аутентификации на консоль доменным юзером требуется расширить схему. Все работает нормально, если в пути к каноническому имени объекта HP Device или HP Role нет русских букв...

Duke Shadow

Цитата:

Ты предлагаешь под админом на машину зайти только для того, чтобы права секретарше дать?

Давай оставим в покое бедную секретаршу , я не про неё речь веду, а про возможность доступа к многим настройкам сервака (AD в частности) удаленно
(к примеру связка Hyena+Adminpak.msi).

а какой приоритет у политик - домена, сайта, оу, локальных..? просто из башки вылетело

leputain
Local < Site < Domain < OU
Если OU - вложенные, то по порядку вложенности, начиная с верхнего.
Кажется так.

На всякий случай: вот что по этому поводу думаетЯндекс

Добавлено
От, блин, в соседней же теме есть:
http://forum.ru-board.com/topic.cgi?forum=8&topic=0894#10

о! ништяк. спасибо.

Накопилось еще несколько глупых вопросов:
если я делегирую управление какой-либо папки в АД (например OU Workers) определённому пользователю, как новому человеку(админу) узнать, что и кому я делегировал? где это видно, кому и что делегировано?

что есть сайт в рамках домена майкрософт? если можно поподробнее

как пользоваться оснасткой restricted groups? я уже спрашивал, и даже много искал в инете но так и не смог понять что это и для чего это и главное как этим пользоваться (да, я тупой )

Добавлено
Кстати, если я добавляю КОМПЬЮТЕР, в домен через active directory user and computers значит ли это что мне не надо идти туда и добавлять компьютер в домен локально?

Цитата:

Кстати, если я добавляю КОМПЬЮТЕР, в домен через active directory user and computers значит ли это что мне не надо идти туда и добавлять компьютер в домен локально?

Добавлять однозначно нужно локально. Просто при добавлении из AD уже будет его учеткка. Это сделано для того, чтобы добавлять устаревших клиентов (9х) и linux и т.п. , которые немогут сделать удаленно учетку на серваке.

Цитата:

что есть сайт в рамках домена майкрософт? если можно поподробнее

у тебя домен domen.ru и 2 контроллера домена: 1 в Москве, 2-й у меня дома в Хабаровске . И клиенты у тебя и у меня. Оба мы с тобой админы. Дак вот чтобы твои клиенты не проверялись на моем контроллере и наоборот мы с тобой делаем 2 сайта (и 2 подсети ткам, если захотим) и все. Обмениваются данными только наши с тобой контроллеры, а тачки читают с соседних контроллеров и политики и т.п. (ну роли нужно раздать хорошо). Это еще простой случай. А если по 10 контроллеров и география большая. Я думаю ты понял.


Цитата:

если я делегирую управление какой-либо папки в АД (например OU Workers) определённому пользователю, как новому человеку(админу) узнать, что и кому я делегировал? где это видно, кому и что делегировано?

Никогда этим не занимался, и вот только посмотрел и сам офигел. Этого нигде не видно! Даже если еще раз захочешь кому-либо это ou делегировать - там не видно кому уже делегировано. Сервак w2k3 rus ent. Но это можно с помощью ADSI Edit вычислить и др. утилит.

Добавлено
greenfox

Цитата:

Вот встал вопрос о том, чтоб секретарши дать право на запись некоторых аттрибутов в АД: ну там телефон сотрудникам прописывать, описание, адресс и т.д. Делаю делегирование но там прав и объектов - мама не горюй!

Это да. Но есть выход! есть оснастка ADSI Edit. Присвой телефону сотрудника - какой либо номер уникальный. Запусти ADSI Edit, подключись в контексту domain, дальше перейди в нужное OU и смотри свойства юзера, включи галку отображать тольео установленный значения и найди его. И так со всеми. Повыписывай атрибуты и дай секретарше на них делегирование.
а еще есть утилита ldp. Там и искать можно, и search.vbs...
Ставь suppot tools и resKit и вперед. Там утил по изменеию AD уйма.

Добавлено
kibkalo

Цитата:

Если же пользуешься расширенными возможностями схемы, то много не работает с русским в принципе.

Сие есть горькая правда. Но виноваты тут те, кто юникод плохо держит!

bu536

Цитата:

Накопилось еще несколько глупых вопросов:
если я делегирую управление какой-либо папки в АД (например OU Workers) определённому пользователю, как новому человеку(админу) узнать, что и кому я делегировал? где это видно, кому и что делегировано?

Ты наверное делегируешь с помощью мастера. У него ОЧЕНЬ ограниченные возможности. Гораздо эффективней и удобней напрямую работать с разрешениями на объекты АД и их свойства. Для этого в "Пользователи и компьютеры" нужно включить "Вид\Дополнительные функции". Тогда у каждого объекта появится вкладка "Безопасность". И там уже настраивай и смотри все что угодно. Там вообще много чего интересного.
Но даже после этого далеко не все объекты и свойства видны. Чтобы показать дополнительные нужно редактировать файл dssec.dat, который лежит в %systemroot%\system32. Там перечислены ВСЕ свойства всех объектов АД в виде "имясвойства=7". Вместо "7" пишешь "0", перезапускаешь оснастку "Пользователи и компьютеры" и получаешь доступ к настройкам безопасности конкретного свойства конкретного объекта. Я, например, таким образом у себя дал доступ одному пользователю снимать блокировку учетной записи. Т.е. когда он открывает свойства учетной записи, у него все параметры кроме этой галочки заблокированы.
Вот http://www.osp.ru/win2000/2002/06/008_print.htm неплохая статья на эту тему

Извиняюсь за глупый вопрос но это не моя область:
мне для тестирования на домашнем PC c Windows Server 2003 понадобилась active directory (для моделирования локальной сети я использую MS Virtual PC). Поставил но система начала очень тормозить при загрузке. Думаю проблема в DNS. Я за основу брал имя полученное так nslookup [мой ip адрес] 207.69.188.185. Мне как я понимаю надо сделать чтобы DNS сервер у меня на PC обслуживал только active directory а для interneta всё шло на DNS сервера моего провайдера. Кто разбирается напишите как это сделать.

pita
IP'шник убери из поста. И вообще старайся его поменьше светить. Или хоть какую-то часть заменяй на x.
Для того, чтобы DNS обращался к прову за внешними адресами надо прописать Forwarders. Открывай оснастку DNS, ПКМ по имени сервера, Properties, закладка Forwarders. Ставь галку на Enable Forwarders и добавляй адреса, выданные провом.
Причём тут политика безопасности - не совсем ясно

Duke Shadow

Спасибо, ip там не мой - вместо моего там [мой ip адрес].

People !

when I connect via network to computer registered in AD what does it do ?

Look local SAM before looking into AD ?

First it uses TGT (Kerberos Ticket Granting Ticket) - checks your domain user membership in that PC local groups. If connection is unsuccessfull there are to ways it can go: a) user was authenticated and had no permitions - then acces would be denied. b) user was not authenticated - then OS would ask you to enter credentials

Прописал в Активке на контролере (Win 2003 St Ed) путь к профилю и документам пользователей используя "%username%". Активка сама посаздавла папки соответствующие экаунтам, но заходя на контролере домена в папки профилей - отказывает в доступе. Прописал пути заново указывая эканунты в ручную, пишет что я не имею право на создание этих папок, придется вам создать их в ручную после того как получите право на создание(и это на контролере домена и только к папке с доками, но не профилем)!!! Но и профили папки для профилей приходиться создавать в ручную!!!! Создаю в ручную, появляеться доступ к папкам профилей пользователей, но папки пустые!!!
Что придется теперь на клиента идти и копировать его профиль в папку в ручную???


При указании пути к профилю и докам через "%username%" у администратора домена теряеться право на допольнительные разрешения NTFS, а стоит ли за это переживать?

gorg

Цитата:

но заходя на контролере домена в папки профилей - отказывает в доступе

так и есть это стандартное поведение винды.


Цитата:

а стоит ли за это переживать?

нет не стоит.

Если хочешь иметь к ним доступ - опять же в политиках безопастности - укажи, что админы тоже должны иметь доступ к папкам профилей.

merlkerry
БОЛЬШОЕ СПАСИБО!!!