» Общие вопросы про AD (Active Directory)

TCPIP


Цитата:

Кстати, а для чего вам folder redirection?

а редирект как работает? он только измененные файлы на сервак пересылает или всю папку синхронизирует?
просто если со временем папка разбухнет до пару-тройки сотен метров и вся папка будет пересылаться на сервак то думаю тяжко придется сетке в это время

Как задать членов группы "Опытные пользователи" на рабочих станциях?

ali1977
20:42 29-04-2007
Цитата:

он только измененные файлы на сервак пересылает или всю папку синхронизирует?

Вроде как, всю. Синхронизирует только, если включено использование offline files.


Цитата:

My Documents folder and its contents are copied back and forth between the client computer and the server each time users log on and log off. Redirecting the My Documents folder to a location outside of the user profile can significantly decrease the amount of time it takes to log on and log off because not all of the data in the user profile is transferred to the desktop each time the user logs on — only the data that user requires is transferred

Folder Redirection can be used with Offline Files technologies to make users’ network-based My Documents folder available when they are disconnected from the corporate network. By default in Windows XP and Windows Server 2003, any redirected shell folders such as My Documents, Desktop, Start Menu, and Application Data are automatically made available Offline.

Подробности здесь.

dmc
01:21 30-04-2007
Цитата:

Как задать членов группы "Опытные пользователи" на рабочих станциях?

Можно по-старинке, через net localgroup.
Но лучше, наверное, сделать это через функциональность Member of в Restricted Groups, как здесь. И после gpupdate /force вместо secedit /refreshpolicy

TCPIP
Пробовал вторым способом, Администраторов легко задать, но вот опытных пользователей так и не понял как. Группа "Опытные пользователи" отсутствует на сервере и выбрать ее нельзя, а если ее создать, она все равно не работает как надо

dmc

Цитата:

Группа "Опытные пользователи" отсутствует на сервере

Да. Эта группа отстутсвует на контроллере домена, она есть только на клиентах.

Цитата:

Power Users exist only on computers that aren't domain controllers. Power Users have all the privileges of members of the Users group, as well as a few additional privileges, such as the capability to modify computer settings and install programs

Поэтому вы не увидите этой группы в списке, но вы если я правильно понимаю, вы можете ввести ее вручную. На 8 шаге статьи KB 320065 выбираете имя клиента, а на 10м отмечаете группу в качестве типа объекта. Но имейте в виду, что те группы, которые уже включены в группу Power Users будут удалены. Тут могу и перепутать. Как-то был способ избежать этого удаления, но что-то сейчас не могу сообразить...

TCPIP
Попробовал ручками группу забить, при обновлении политики никак не повлияло на членов локальной группы "Опытные пользователи". Ну да ладно, у меня все равно пользователи сидят только за своим компьютером, проще и правильней будет воспользоваться net localgroup через удаленную консоль, чем давать права опытного пользователя на все рабочие станции. Вам спасибо

Добавлено:
Получилось и с групповой политикой, службу остановил NETBIOS через tcpip чтобы памяти меньше кушала под виртуалкой и перестали политики применяться, пришлось обратно включить

TCPIP
dmc
» Групповые политики (Group Policy, GPO): документация, ссылки -> Как создать такую группу в AD? (Restricted Groups)

Цитата:

greenfox
всё начинается с топологии сети как это не парадоксально

А что по поводу интеграции с новеллом? Кто пробовал этих мостров поселить рядом?

Цитата:

Как задать членов группы "Опытные пользователи" на рабочих станциях?
- через функциональность Member of в Restricted Groups
- Группа "Опытные пользователи" отсутствует на сервере и выбрать ее нельзя...

кроме варианта править руками .inf - файл созданной политики можно запустить консоль пользователей и компьютеров на рабочей станции - тогда группа увидится. Ну а если править, то наверное лучше вставлять не символьное имя а SID.

p.s. у меня политика "зачистка группы повер-юзер" навешена на корень AD, применяется на все компы. Применение этой политики запрещено для группы компов "компы с настроенной группой повер-юзер". Работает нормально.

p.s.s. А вот как не дать Restricted Groups зачистить локальную группу (только добавить пользователей) ??? Я не нашел...

Всем привет!
Может кто сталкивался и сможет помочь...
Проблема с подключением пользователей к терминальной сессии, пишет:
"Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, слен группы пользователи удаленного рабочего стола имеют такое разрешение. Если Вы не являетесь членом группы пользователи удаленного рабочего стола или другой группы, имеющей такое разрешение, или если группа пользователей удаленного рабочего стола не имеет такое разрешение, нужно добавить это разрешение в ручную."

Пользователь наделен правами "пользователь удаленного рабочего стола", в Политиках безопастности контролера домена установленно разрешение на вход в терминальную сессию пользователям удаленного рабочего стола.

Я уже и незнаю где ещё можно рыть, облазил, по моим меркам, все справки и опции, ни х.. не нашел. Помогите, срочно надо, работа стоит, директор злой....

Один сервак принимает терминальных пользователей, но он не должен этим заниматься, на нем стоит сервер лицензирования терминальных сесий и AD.

Johny_x3mal
в политиках безопасности контроллера надо ещё разрешить пользователям локальный вход в систему

Johny_x3mal
В Настройках служб терминалов посмотри вкладку Разрешения в свойствах RDP-Tcp

SHRIKE74
Объясни, пожалуйста, по подробнее. Я там всё облазил, ничего не нашел.
Ведь если у меня пользователь на контролере домена прописан и ему назначены группы пользователи домена и пользователи удаленного рабочего стола, то это и означает, что и локальный вход и удаленный ему разрешен.

dmc
там всё ок. Стоит группа пользователи удаленного рабочего стола и выставлены соответсвенные пермишены.

Добавлено:
Забыл сказать, у меня стоит w2k3 sp2

Johny_x3mal
20:10 04-05-2007
Цитата:

если у меня пользователь на контролере домена прописан и ему назначены группы пользователи домена и пользователи удаленного рабочего стола, то это и означает, что и локальный вход и удаленный ему разрешен

Нет. Подробности я написал во флейме. Надеюсь, сработает.

Вопрос:
Как можно дать право пользователю в домене запускать и останавливать определенную службу на локальном компьютере в домене

SetACL by Klein Helge. Позволяет из командной строки менять права на "Directory/file,
Registry key, Service, Printer, Network share". Вещь грамотная, сам постоянно ей пользуюсь для изменения прав на файловую систему. Ну и как-то было дело, давал с помощью SetACL права на запуск/останов служб.
http://setacl.sourceforge.net
http://sourceforge.net/projects/setacl/

Вот решил поставить и попробывать АД.
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=aaa,DC=bbb,DC=ccc,DC=ddd. Этот файл должен находиться в <\\aaa.bbb.ccc.ddd\sysvol\aaa.bbb.ccc.ddd\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена.

aaa.bbb.ccc.ddd - мой домен.

я так понимаю нужно либо в АД либо в ДНС указать что мой домен aaa.bbb.ccc.ddd является локальным, или просто попровить политику доступа.

Кто знаает - подскажите как.

У меня какой то старнный глюк появился, как с ним бороться я не знаю, да и вообще честно говря не понимаю что происходит. Есть три удаленные сети, через ВПН все друг друга видят, это разные леса!!! В головном офисе стоит LCS пользователи из головного офиса и из 1-го удаленного офиса нормально коннектяться и переписываються. А вот пользователи из 2-го офиса не могут соединиться с LCS так как вылетает ошибка что нет сервера который может обрабоать запрос на вход в сеть, ну или что-то в этом роде, типа мол некому учетные данные проверить. Все это появилось после того как я в головном офисе поднял второй КД он у меня GC как и основной КД, все нормально реплиццируеться и ДНС зоны тоже. Из удаленного офиса все пингуеться и работает, почему не соединяет не пойму.

Добавлено:
В журнале контроллера, в домене откудова не коннектяться юзеры в журнале есть событие

Компьютер не может установить безопасный сеанс связи с контроллером домена MPGHOLDING по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.

Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.


Чё это такое вообще не понятно совсем (

Еще по какой-то причине начальные записи SOA на двух контроллерах одного домена разные, в каждый контроллер у себя в DNS указывает себя как SOA, это нормально?

На втором Контроллере домена периодически вылетает ошибка о том, что не удалось получить сертифика Контрллер домена.... в ГП включена автоматическая подача заявок

Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Контроллер домена (0x80070005). Отказано в доступе.

С Сертификатами решил )

Подскажите как добраться с рабочей станции до своего общесетевого ресурса, который доступен только под правами администратора, расположенный на сервере?
Команда RUN AS... должна выполнятся, но у меня не получается. Пишу :
runas /profile /user:Администратор@TTT.ru "\\Server\Docs\Программы\"

Подскажите, возможно ли вообще такое? Если возможно, то как сделать?

Johny_x3mal
runas /profile /user:Администратор@TTT.ru "c:\Program Files\Internet Explorer\IEXPLORE.EXE \\Server\Docs\Программы\"

FreemanRU
Сработало, спасибо.

Добавлено:
подскажите, когда я ограничиваю время работы юзвера в его учетке на AD, по истечении выделенного времени комп вырубится или надо в групповых политиках назначить такой параметр?

Johny_x3mal
На счет отключения компа не подскажу, но принудительно отключить пользователя можно через групповые политики:
Конфигурация компьютера (Computer configuration) - Конфигурация Windows (Windows settings) - Параметры безопасности (Security settings) - Локальные политики (Local policies) - Параметры безопасности (Security options): Сервер сети Microsoft: отключать клиентов по истечении разрешенных часов входа (Microsoft network server: Disconnect clients when logon hours expire). По умолчанию не определено, т.е. не действует.

Может кто сталкивался с таким гемором :
На клиентской станции, под управлением OS Windows XP, который так же входит в домен, установлен принтер - при открытии общего доступа к принтеру не высвечивается галочка ввода принтера в домен! Рабочая станция террирориально удалена, я пытаюсь включить принтер в домен через удаленное подключение к серверу, а с сервера уже на клиентскую машину. Самое главное, что принтер не отображается в терминальной сессии, хотя на сервере терминалов стоит драйвер этого принтера, сам принтер HP 1020.
Возможности переставить драва не имею, так что может кто подскажет какой - нибудь путь по разрешению проблемки?
Про HP слышал, что что-то надо в реестре клиентской станции прописать, что бы он отображался в терминальной сессии, но хоть убей не могу вспомнить что именно...

Добавлено:
Gatti
Спасибо, помогло

Пожалуйста помогите - так и не нашла нигде приемлимого решения.
Имеется меть с АД. Один контролер домена, два днс-сервера.

И имеется две машинки с вин2000про у которых не применяются политики. В логах идут сообщения -
для машинной:

Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1000
Дата:        16.05.2007
Время:        10:22:39
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    WKS-06
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики Этот файл должен находиться в <>. (). Обработка групповой политики прекращена.

Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1000
Дата:        16.05.2007
Время:        10:22:39
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    WKS-06
Описание:
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

и для пользовательской:

Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1000
Дата:        16.05.2007
Время:        10:22:55
Пользователь:        LOCAL\user
Компьютер:    WKS-06
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики Этот файл должен находиться в <>. (). Обработка групповой политики прекращена.

Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1000
Дата:        16.05.2007
Время:        10:22:55
Пользователь:        LOCAL\salkov
Компьютер:    WKS-06
Описание:
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

Компы оба одинаковые с мамой ASUS P4S800-MX SE c интегрированной картой sis900
на форуме встречалось упоминание о проблемах с этой мамой но другой сетевухой. но там проблемы были только при логоне в сеть. А тут - все время. т.е. если задам принудительное обновление машинной политики - таже самая ошибка... Драйвера карты стоят последние...

Компьютер в АД зарегистрирован...

teg
на выбор:
http://search.microsoft.com/results.aspx?mkt=en-US&form=MSHOME&setlang=en-US&q=userenv+1000&x=0&y=0

Забавно уже читала эти статьи, почему то не нашла сразу ответа.
теперь нашла - почему то оказалась выключена служба Netbios over tcp/ip
спасибо

Подскажите пожалуйста, Advance Server Windows 2000 и Active Directory, DNS, DHCP и сетевые доступы какие основные TCP и UDP порты использует?
а лучше дайте сылку, где это подробно описано?

имеется сеть с АД
нужно чтоб все клиенты работали и сохраняли свои документы на сервере
стою перед выбором прописать в групповых политиках (перенаправления папки на сервак) или в профили у юзера подключать к сетевому диску
как посоветуете сделать настройки папок у юзеров?
и еще вопрос
при изменении свойств перенаправления папок они все равно ломятся синхронизироваться на старый адрес - хотя и gpupdate запускал и сервак перегружал - все авно лезут на первоначальный адрес- где копать?

ali1977
прицепи им сетевые диски и не парься, пусть на них сохранают