» Общие вопросы про AD (Active Directory)

IceFusion
утилита есть соот-я для проверки соеденения до LCS сервера - её поюзай.
вообще вопрос больше для топа по LCS

KocmonpaB
... а для каждого дочернего домена - отдельный контроллер - так?

iogun
Да. Либо разруливаешь на виртуальных серверах.

iogun
Просто в правильно организованной сети никому никогда не придется лазить в Сетевом окружении, просто незачем.

iogun
Не стоит оно того. Лучше не заморачивайся.

FreemanRU
Уж сколько раз талдычили , все равно им такое подавай, может изобрести им такой велосипед. Прибыльное дело.

FreemanRU
правильно организованная сеть - это как, можно по подробнее...
я просто хочу узнать можно ли сгруппировать компы, что бы пользователям было проще найти нужный комп - аналогчно перемещению по папкам...
хорошо..., нельзя так нельзя
а если называть компы русскими именами, скажем "АСУП-ПЕТРОВ", "ЭКОНОМ-ИВАНОВА", или скажем фамилию писать в описании, а компы называть АСУП1, АСУП2... КАДРЫ1....

iogun
В правильно организованной сети пользователи друг к другу на компы не ходят, а работают с ресурсами на серверах или сетевых хранилищах, а если уж захотелось порядок в сетевом окружении навести просто примени единый стандарт именования компьютеров отдел-пользователь или что нибудь в этом роде.

iogun

Цитата:

В правильно организованной сети пользователи друг к другу на компы не ходят, а работают с ресурсами на серверах или сетевых хранилищах

+1.
Найди хоть одну причину, кроме "мы так привыкли", по которой необходимо иметь доступ к чужим компам?

я могу назвать.

на серверах нет места и денег на винты не дают.

se111

Цитата:

на серверах нет места и денег на винты не дают

Неумения админа правильно расставить акценты давайте не рассматривать. Хороший админ знает, как убедить руководство.

iogun
Наставили человека на путь истинный, а теперь можно и посоветовать -
Есть один способ который поможет решить проблему красиво это DFS
Создаешь на контроллере домена корень DFS называешь его к примеру Work
создаешь в этом корне ссылки на все ресурсы в сети и на серверные и на те которые у пользователей на компьютерах, даешь им вменяемые имена
теперь если твой контроллер называется к примеру server ты имеешь сетевую папку \\server\work в которой собраны ресурсы всей сети подключаешь ее как сетевой диск всем пользователя и они забудут о "сетевом окружении"

Имеется AD на 2003, после первой обработки политики при входе клиента в домен либо gpupdate /force на сервере становится недоступным \\mydomain\sysvol\mydomain, клиенты не получают доступ к gpt.ini (eventlog на DC: 1058(Userenv), 1030(Userenv), 1054(Userenv))

Что делать?

а можно ли выделить несколько пользователей домена и удалить их из определенной группы
или нужно открывать каждого по отдельности и вручную удалять

kazakov_ss
http://www.eventid.net/display.asp?eventid=1058&eventno=1752&source=Userenv&phase=1
Посмотри здесь. Если инконсистенция окажется, может быть неприятной штукой. У себя вылавливал очень долго.

KocmonpaB
Установил gpmc, пытаюсь открыть GPO "Default Domain Controller Policy" или "Default Domain Policy" появляется окно: "Невозможно найти сетевой путь"...

Добавлено:
KocmonpaB

Почитал еще eventID, очистил кеш DFC, привязал Client For Microsoft Networks + File&Printer Sharing ко всем адаптерам (multi-homed) обновил политику - пока все норм, вопрос снят... Спасибо за ссылку)

ali1977
зажимаешь контрол и выделяешь...
или с помощью шифта целую группу сразу - вобщем как и в проводнике

greenfox
добавлять получается массово - а удалять нет

ali1977
пункт делит есть??

)))я неправильно выразился
можно ли удалить нескока пользователей из одной из групп безопасности в которой они состоят
добавить в группу безопасности получается а удалить нет

ali1977 скриптом

ali1977
Открой эту группу безопасности и на вкладке "Члены группы" удаляй хоть всех сразу

как обеспечить гостевой вход?
К нам в организацию приезжают товарищи с ноутами, которым необходимо обеспечить доступ к базам 1С8 (sql, com+). Естественно их не нужно логинить в домен и при этом они должны иметь доступ к некоторым ресурсам сети.
объясните пож-та, как это организовать.

BadCaT
сначала для "товарищей с ноутами" надо купить лицензию extconn. а она не 3 рубля стоит, если что.

ну и о безопасности можно было бы задуматься. я бы лично уволил админа, который согласился бы сторонним пользователям открыть доступ напрямую к базам 1С. ну а если бы меня попросили так сделать - объяснил бы чем это черевато..... да и дорого это дело в общем случае получается.

Полностью согласен с weerkostya по поводу безопасности но если все настолько по барабану то нужно расшарить нужные ресурсы а потом в локальной политике безопасности в параметр -
Ceтeвoй дocтyп: paзpeшaть aнoнимный дocтyп к oбщим pecypcaм - прописать имена этих шар

weerkostya
Valery12
Спасибо, я может быть несколько сумбурно выразился. На самом деле сам понимаю, что такое утечка информации и пр., в данном случае соглашение о неразглашении имеется и сказано обеспечить доступ.

Valery12
а как быть с 1С?

А что 1С - расшариваем на компе под именем SERVER папку с базами под именем скажем base1s в нужном параметре в политике безопасности добавляем к имеющимся там COMCFG,DFS$ через запятую base1s, а потом на ноутбуках подключаем в 1С новую базу через путь //server/base1s
но повторяю еще раз это огромная дыра в защите и лично у меня изменение этого параметра блокируется доменными политиками

Добавлено:
пардон слеши конечно \\server\base1s

Есть вопрос про рисунок рабочего стола и политики.. У меня получилось легко и просто установить рисунок у всех, но тут же возникла проблема что к этому рисунку не применяются никакие эффекты.. Т.е. отбрасывание теней значками. и прочие красивости. При том что галки ставятся, а результата нет. Как бы решить данный вопрос?
Никаких доп настроек не делал.. только включил Active Desktop и установил рисунок
Заранее спасибо.

домен находится в одной подсети а сервер который нужно включить в домен в другой, подскажите что нужно сделать чтобы подключаемый комп знал как найти домен. Таблица маршрутов настроена и физическая связь серверами есть, можно обмениваться файлами и т.д. и т.п.
При попытке подключиться к домену выдоется сообщение что нельзя установить контакт с доменом. Интуиция подсказывает что должны быть соотв. записи в DNS (кстати подключаемый сервер и является им), а вот какие не знаю.

iogun
айпи адрес домена вроде надо в списке днс вписать - а то комп будет пакеты на вход в домен пускать куда угодно

Доброе утро.
Есть домен Win2003.
Клиенты - 2к, ХР, 98
Создаю нового пользователя - 2к и ХР логинится в домен, под 98 не логинится.
Уже созданные - логинятся без проблем, что на 98, так и выше.

Захожу под тестовым пользователем созданным в стародавние времена.
Логинится под всеми.
Меняю ему пароль - не заходит под 98 под 2к и выше - заходит.

Куда глядеть? Ладно бы я понял если всех клиентов 98 не пускал, так ведь не пускает только вновь созданных.
Стандартные операции типа - отключить стойкое шифрование и прочее прочее уже сделанно.