» Общие вопросы про AD (Active Directory)

ginnic
Сделать в разных офисах разные подсети (или разные диапазоны одной сети, с таким расчетом, что бы их можно было маской отделить), создать 2 сайта и политики спускать на сайты.

FreemanRU
А еще есть какие-нибудь варианты?
Я пробовал создавать OU и помещал туда необходимые ПК, создавал на них отделную политику... но почему то она не применялась, а когда поместил в этот OU пользователя, то политика применилась

ginnic
А чем сайты не устраивают?

Цитата:

Я пробовал создавать OU и помещал туда необходимые ПК, создавал на них отделную политику... но почему то она не применялась, а когда поместил в этот OU пользователя, то политика применилась

Если память не изменяет, то настройки прокси есть только в секции пользователя. Соотвественно на компьютер не применяется.

Antdik
Может быть поможет - IDEAL Migration?

Цитата:

I'm going to have to migrate user accounts and data from a server located in one of our branch offices to another one 400 miles away. The two servers aren't connected together: is this a problem?

ответ

Цитата:

IDEAL Migration can manage off-line migrations (unapproved domains or unconnected or stopped servers).
To enable this, there are two distinct phases in the migration operation:
Data export from the source computers/domains
Data import onto the destination computers/domain

скажу честно - сам не пользовался

FreemanRU

Цитата:

настройки прокси есть только в секции пользователя

Да это действительно так... но у меня пользователи могут работать на разных ПК обоих офисов
Что делать в этом случае?

ginnic
Дружище, вылези из танка
А же тебе написал - берешь, делаешь сайты, и на них настраиваешь политику. При этом когда пользователь логинеться в одной сети (сайте), он получает одни настройки, когда в другой сети (сайте) - то другие. и всё.

FreemanRU
Спасибо друг ... так и сделаю

Господа. Подскажите, плз - как на WINDOWS2003 получить (экспортировать) список членов группы? Понимаю, что вопрос недалекий, но все же...

dsget group [DN группы] -members

G14, эта группа называется "mail", находится в security group "MyFirm", которая в свою очередь лежит в "Groups". С синтаксисом команды парюсь уже полчаса - и никак не могу получить этот список

при чем ту куда это вложено? русским языком написано - нужно написать DN (distinguished name) группы.

Подскажите плиз слышал можно работать с AD как с базой данных.
Не кинете ссылкой?
Недавно нужно было составить таблицу доступа юзеров к каталогам файлового
сервака. Делал права доступа на папки
xcacls <каталог из списка>\*.* >> <лог файл>
список юзеров в AD - dsquery, dsget. Потом приходилось вручную составлять
итоговую табличку в экселе.
Может уже изобретен велосипед, чтоб все это каким-нибудь sql запросом
из AD вытащить (хотя секурите права не выташиь из ad )?

Кто знает как изменить права пользователям на локальной машине?
В данный момент все пользователи имеют права админа. Сейчас нужно, чтобы пользователи не имели права устанавливать ПО и изменять системные параметры.
Как это провернуть с помощью WMI ? Может кому попадались скрипты?

BadCaT
Групповой политики, -> Локальные политики (Local Policies).
Конфигурация компьютера (Computer Configuration), Конфигурация Windows (Windows Settings), Параметры безопасности(Security Settings), Локальные политики (Local Policies).
Присвоение прав пользователя (User Rights Assignment).

Вопрос такого плана, ntbackup -ом можно сделать бэкап АД вместе с ситем стейтом, соот-но и восстанавливать потом можно только вместе с ситем стэйтом. А возможно ли бэкап сделать только АД - что бы потом и на другой сервак восстановить данные? (скажем с тем же именем поднять новый с новым железом и на него...)

greenfox

Цитата:

скажем с тем же именем поднять новый с новым железом и на него

А смысл? Это и есть восстановление systemState.
А вообещ нельзя, ведь DC - это не обычный сервер. Там разрешения совершенно другие, в реестре куча записей.

FreemanRU
так систем стейт вместе с системными файлами будет восстанавливать АД - а железо то другое, не факт что прокатит... Просто есть куча филиалов где по одному DC - случись что с железом как там восстановить АД?

greenfox
Вот как раз-таки SystemState не сохраняет сведений о железе. Вообще никаких. Тока дрова. Я н-р через него переносил с физических севреров на виртуальные. SystemState как раз таки и предназначен для равертывания на любое железо.

FreemanRU
а линк есть по этому поводу на что-н с мс-а, а то "меня терзают смутные сомнения"(с)?

greenfox
http://support.microsoft.com/kb/249694/en-us
Хм. оказывается я ошибался. Странно, ибо я часто переносил таким образом функционал с одного компа на другой.

greenfox

Цитата:

Вопрос такого плана, ntbackup -ом можно сделать бэкап АД вместе с ситем стейтом, соот-но и восстанавливать потом можно только вместе с ситем стэйтом. А возможно ли бэкап сделать только АД - что бы потом и на другой сервак восстановить данные? (скажем с тем же именем поднять новый с новым железом и на него...)

Кроме собственно базы данных AD (ntds.dit) для функционирования DC нужно еще кучу всего : параметры реестра, файлы, сертификаты (если были) и т.п.
именно поэтому создан system state.
Восстановить из него можно очень тонко, вплоть до отдельных объектов.
http://support.microsoft.com/kb/840001
В Win2003 даже можно устанавливать новые DC из бэкапа существующих(install from media), чтобы не гонять начальную реплику по медленному каналу, например.

Цитата:

так систем стейт вместе с системными файлами будет восстанавливать АД - а железо то другое, не факт что прокатит...

Учитайся и фсе будет ОК
Deploying Active Directory for Branch Office Environments
Windows Server 2003 Active Directory Fast Recovery with Volume Shadow Copy Service and Virtual Disk Service
TechNet Webcast: Active Directory Disaster Recovery (Part 1 of 2) (Level 300)
Аварийное восстановление пользователей и групп службы каталогов Active Directory
Как выполнить принудительное восстановление на контроллере домена в Windows 2000
System State data


Добавлено:
FreemanRU

Цитата:

Странно, ибо я часто переносил таким образом функционал с одного компа на другой.

Ибо (с) у тебя наверняка были схожие контроллеры HDD С одного SCSI контроллера перенести просто system state на другой "непохожий" не получится без бубна

FreemanRU
G14
ну вобщем спасибо, ща сяду читать линки

теоретический вопрос

Если DNS-серверы с интегрированными зонами в разных сайтах, и репликация происходит относительно редко - например, ночью... то, выходит, серверы DNS будут неактуальны в течении больших промежутков времени?

=> следует либо не размещать в разных сайтах серверов DNS с общей интегированной зоной, либо делать на них "дополнительные" зоны? Так?

Или для зон есть исключение в репликации?

Ну вобщем почитал, всё как и предпологалось: если железо примерно такое же то восстановить можно будет, если отличное (контроллеры и т.д.) то баста.

ps статейки на русском языке лучше не читать - такое ощущение что их с помощью промта переводили


Цитата:

Восстановить из него можно очень тонко, вплоть до отдельных объектов.
http://support.microsoft.com/kb/840001

это кстати увы на логическом уровне AD - просто можно выставить какие объекты не будут затёрты репликой с других DC... что вобщем то логично.

Доброго времени суток!

Тип события:    Ошибка
Источник события:    DhcpServer
Категория события:    Отсутствует
Код события:    1059
Дата:        02.07.2007
Время:        9:05:53
Пользователь:        Н/Д
Компьютер:    SERVER
Описание:
Служба DHCP не смогла обнаружить папку для авторизации сервера.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 3a 20 00 00 : ..
------------------------------------
Тип события:    Ошибка
Источник события:    Srv
Категория события:    Отсутствует
Код события:    2019
Дата:        02.07.2007будь мо
Время:        7:00:07
Пользователь:        Н/Д
Компьютер:    SERVER
Описание:
Сервер не смог выделить память из невыгружаемого пула памяти, так как невыгружаемый пул пуст.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 00 00 04 00 01 00 54 00 ......T.
0008: 00 00 00 00 e3 07 00 c0 ....a..A
0010: 00 00 00 00 9a 00 00 c0 ....?..A
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
0028: 04 00 00 00 ....
--------------------

Кто-нибудь может помочь выяснить почему падает DHCP Server и что за ошибка Srv.
По возможности, дайте рекомендации.

Люди помогите разобраться косяк какой-то ужос! Дело в том что есть у меня три домена в разных лесах, находяться все в Москве, соеденены через VPN/ В домене 1 находиться LCS? так вот раньше пользователи со всех удаленных доменов нормально входили в комуникатор, а после того какая поднял в первом домене второ КонтроллерДомена (резервный), пользователи из удаленной сетки не могут попасть не на портал, не в коммуникатора влезть, где косяк? При чем если лезть с серверов в удаленной сети то все ходит отлично просто! Почему не могут клиенты войти?

подскажите пожалуйста
сейчас настроен домен на windows 2000
в сети около 300 компов, все занесены в этот домен.
бывает довольно сложно найти нужный комп в сетевом окружении т.к. они не сгруппированы по подразделениям и цехам т.е. - общий список в домене.можно ли настроить AD так чтобы компы в сетевом окружении были сгруппированы

iogun
Нет.


Цитата:

т.к. они не сгруппированы по подразделениям и цехам

Сам можно сказать и ответил

KocmonpaB
а вообще такое возможно - группировка по подразделениям (в сетевом окружении), но что бы компы были в домене

iogun
Только если разнести по дочерним доменам каждый отдел. Как правило на такое не идут.