» Общие вопросы про AD (Active Directory)

Как более правильно запретить пользователям (или пргогам запуск из под их сеанса) менять префиксы протоколов (ну там для www - http:// и т.д.)!? В GPO указал ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL и дал на неё права только на чтение... но у пользователей иногда создаются похожие ключи в HKCU - это как пофиксить!? Можно конечно просло в логон-скрипт экспорт рег-файла добавить, но может есть более красивый вариант!?

Вопрос такой.
Как сделать в AD, что можно было сделать в 98 машинках, указать в 98 так, что можно быть одновременно при входе в домен и в рабочей группе, т.е. зайдя человек в сетевое окружение видет список в домене рабочих групп...Это я спрашиваю в том смысле, чтобы облегчить жизнь всему народу в локальной сети, а то сейчас у меня один домен и все в нем за исключением машинок с 98, где можно было по мимо входа в домен быть и в рабочей группе?

vworld

Цитата:

Как сделать в AD

Никак. Один домен (Имя) - одна группа. Несколько доменов - несколько групп. В принципе это одно и то же. Разница только в средствах администрирования. А это уже и есть использование AD. В группе её не поднимешь, только в домене.

Цитата:

в 98 машинках

ОС роли не играет, хотя по-полной AD для 98-х в домене не работает (или наоборот 98-я для AD, кому как нравится).
AD - это только управление компами, пользователями и т.д.
Можешь даже на другие машинки поставить 2000, но в домен их не включать. Результат в их сетевом окружении будет тот же.

ZUMR
Тогда так попробую объяснить...
Зайти у себя на компе (например 2000) Мое сетевое окружение - Сеть Microsoft Windows - там будет список рабочих групп - они образованы только пользователями, которые не входят в домен? так? или не так? Так вот суть моего вопроса, как сделать так, чтобы был список вот таких рабочих групп, но так чтобы ВСЕ пользователти входили в домен, а не в рабочие группы...

Возможно ли перенести AD с одного домен контроллера на другой?
Основной сервер умер, поднят временно запасной DC, как перенести AD со старого DC на новый?

vworld

Цитата:

рабочих групп - они образованы только пользователями

Немножко не правильно. Вот как правильно:
Компы могут быть объединены в группы или домены с разными именами. И мы видим эти имена (доменов или групп). Что они представляют (домен или группу) нам до лампочки.
Теперь ты хочешь внутри одного из этих имен создать еще несколько объединений компов, каждое из которых будет иметь свое имя. Не получится внутри одного контролера домена. Простой пример: попробуй внутри одной группы создать еще несколько рабочих групп.
Так что AD одного домена здесь не причем и не поможет.

Что можно сделать:
Создавать несколько доменов со своими контролерами и объединять общим контролером. А теперь подумай какой это гимор в администрировании (использование AD) в составе какой-нибудь маленькой ЛВС. А надо? Если да, то я посоветовал один из выходов.

Student1 - http://forum.ru-board.com/topic.cgi?forum=8&topic=5603

Как дать пользователям права на ветку реестра HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\URL только на чтение!? В GP её нет... что делать!? (хочу таким образом запретить менять программам дефолтовые префиксы)

kibkalo
Мне не нужно создавать 2 домен контроллер он уже есть..
мне необходимо со старого DC перенести AD на новый DC, на основном серваке умерла мать, поэтому я и спрашиваю как перенести AD с одного винта на другой?

Student1
Тебе kibkalo намекнул где задать твой вопрос. Здесь не тот топик.

Добрый день! Сегодня поставил Windows XP Eng Corp. Ed. SP2 и попробовал сделать то, что описано ниже и столкнулся с проблемой. Ситуация такая: имеем домен "DomainName.Local" на Windows Server 2003 и клиентские машины с Windows XP Professional. Домен самый обычный и простенький. Так вот столкнулся с такой проблемой: в моей новой винде (в SP2) есть такая кнопочка по пути Сетевое окружение ==>>Поиск в Active Directory....при нажатии на эту кнопочку компьютер почему-то очень долго (около минуты) соображает, что он является членом домена "DomainName.Local", а после того, как я начинаю искать пользователя, например, то выдаётся сообщение "Объекты, удовлетворяющие критериям поиска, не найдены". Грубо говоря, невозможен поиск в Active Directory. Подскажите, пожалуйста, почему эта проблема имеет место быть?

Спасибо!

greenfox
Сюда заходил скрипт от kibkalo
http://forum.ru-board.com/topic.cgi?forum=8&topic=1908&start=240

как применять в GPEDIT.MSC параметры для какого-то конктретного пользователя ВинХР, а не для всех? ни сети, ни домена, игровой ПК

Pazan - никак.
В случае домена в политике заполняешь User Comfiguraion и на политику даешь право Read & Apply только одному юзеру.
На недоменном ПК политика применяется ко всем.

Надо дать пользователю возможность включать/исключать пользователей из группы. Ставлю на его XP Administrative Tools. Через Active Directory Users and Computers он без проблем может делать это в OU, которое мною прописано.
Однако при этом он может иметь доступ к куче информации, которую обычному пользователю знать совершенно не обязательно, такой, как список домен контроллеров или компьютеров, другие OU, группы или данные пользователей.
По умолчанию, авторизированные пользователи могут смотреть практически все, что есть в "Active Directory Users and Computers". Можно ли их исключить из пермишенов и не возникнет ли после этого каких-то проблем, напр. регистрации

Добавлено
есть домен
сделал OU Firms
в нем OU Firm1
на Firm1 ставлю everyone deny для delete и delete OU object

тем не менее Firm1 легко удаляется

не проходит фишка с евриваном, решил поставить deny delete на всех группах, которые участвуют в разрешениях.
1. Ставлю Deny Delete OU на верхнем OU (firms) для администраторов, операторов и системы, причем для This object and all chield objects. Создаю OU Firm1 (ou=firm1,ou=firms). Firm1 удаляется без проблем.
2. Делаю все то же самое для конкретного ou=firm1,ou=firms. Firm1 удаляется без проблем.

AlexSSS - а ты не давай юзеру право на LIST всего домена - только того OU где есть юзера.
Про удаление что-то у тебя странное творится, не могу понять где ты косячишь. Так быть не должно.

Добавлено
Гы. У меня есть вопрос по Active Directory Schema!

Необходимо поменять значение одного аттрибута схему. конкретно значение isSingleValued (которое отвечает за уникальность созданных объектов) для CN=Phone-Pager-Other,CN=Schema,CN=Configuration,DC=my,DC=domain,DC=ru нужно перевести из FALSE в TRUE.
Система ругается (и в ADSIEdit и в ldifde) с кодом ошибки - 8423 - "The modification was not permitted for security reasons." - ERROR_DS_SECURITY_ILLEGAL_MODIFY
Как можно заменить в схеме аттрибут системного объекта? Брать его в свой ownership я пробовал, - не помогло. Права схема админа, разумеется есть.

kibkalo
1.
> а ты не давай юзеру право на LIST всего домена
> - только того OU где есть юзера
Этого точно достаточно?
И для чего вообще это ему нужно?

Я с утра попробовал поставить DENY для своего пользовательского логина на уровне домена. В результате через оснастку вообще ничего видно. В windows вхожу без проблем, логонные скрипты нормально опознают группы, в которые входит эта учетная запись. Единственное, что пока заметил - не могу взять список пользователей, если, к примеру, хочу зашарить ресурс на своем компе.

2.
> Про удаление что-то у тебя странное творится,
> не могу понять где ты косячишь. Так быть не должно.
Да я и сам ничего не понимаю ;o(
раньше считал, что раздача прав в AD ничем не отличается от администрирования NTFS. Сейчас вижу, что это не так. Пока получается полный бред какой-то

конфигурация домена -
домен 2000-й в mixed mode
2 DC на windows 2000 server SP4, 1 BDC Windows NT4 SPa

Бред продолжается. Решил перепроверить все на NTFS.
Windows XP SP2.
1. делаю папку тест
2. убираю на ней наследование и ставлю полный доступ локальным администраторам
3. Создаю подпапку subfolder, на группе локальных админов ставлю Deny на Delete
3.1. система предупреждает, что Deny обладает приоритетом перед Allow
3.2. на закладке Effective Permissions смотрю права для текущего пользователя - права на удаление у него нет
4. пробую удалить папку - она прекрасно удаляется

PS. Чтобы убедится, что я не спятил окончательно, попросил другого админа запретить удаление папки у него на компе, не отключая наследование прав. Он повторил то же самое, пробуя сделать это через Deny и с таким же результатом

Добавлено
kibkalo
>Гы. У меня есть вопрос по Active Directory Schema!
Проверил у себя - меняю без проблем (вначале не обратил внимание, что про Schema Admins ты написал)

Добавлено
чем дальше, тем хуже

Windows XP SP2.
1. делаю папку тест
2. убираю на ней наследование и ставлю полный доступ локальным администраторам
3. ставлю Deny на Delete
3.1. система предупреждает, что Deny обладает приоритетом перед Allow
3.2. на закладке Effective Permissions смотрю права для текущего пользователя - права на удаление у него нет
4. Перегружаю компьютер
5. пробую удалить папку - она прекрасно удаляется

AlexSSS

Цитата:

4. пробую удалить папку - она прекрасно удаляется

Интересно. Сейчас поэкспериментировал у себя (с папками, не с OU). Subfolder не удаляется если И на нем нет права Delete И на родительской папке нет права Delete subfolders and files

> Subfolder не удаляется если И на нем нет права Delete
> И на родительской папке нет права Delete subfolders and files
у меня получилось то же самое.

провел подобную операцию в AD - запретил на самом верхнем уровне (dom2.dom) всем группам удалять OU. Ничего не измениловь, все как удалялось, так и продолжило удаляться. НО!!! Если на конкретном OU поставить администратору deny delete OU для This object only, то его стереть уже не получается. (это касается OU в корне домена, чтобы запретить удаление вложенных OU, надо чтобы у него стоял запрет на удаление и у родителя стоял запрет удаления OU)

Мы относительно недавно, в июне, перешли на AD, только сейчас решили начать использовать OU, но вот захотелось сделать так, чтобы даже администратор случайно не мог их стереть

Еще один вопрос по наследованию прав в AD. Есть домен dom2.dom. На самом верху выставлены какие-то разрешения. Добавляю в корень домена OU. Кроме наследуемых с верхнего уровня прав, добавляется еще несколько записей с пермишенами (account operators, auth. users, domain admins, print operator, system) c apply to this folders only (причем allow для this folders only выше по приоритету, чем унаследованный deny у this folder, subfolders and files). Откуда беруться эти записи??? Причем domain admins появляется с full control. В результате приходится заходить на каждый новый OU, чтобы проставить конкретные права. А я хочу, чтобы все просто нормально наследовалось!!!

Это проверить очень легко - в корне делате OU, отключаете на нем наследование, система спрашивает, что делать с наследуемыми правами (копировать или удалять). Говорите - удалить!!! И в результате только что созданный OU все равно остается с кучей прав, которые взялись непонятно откуда

Это тебе прямая дорога в схему, там они все. Правда, Microsoft ОЧЕНЬ не рекомендует туда лазить.
http://www.microsoft.com/windows2000/techinfo/reskit/en-us/distrib/dsbe_ext_sfrh.asp - это откуда начать.

http://support.microsoft.com/default.aspx?scid=kb;en-us;326310 - а это как туда попасть.

Еще раз. Лучше сто раз подумать прежде чем туда залезать.

Alan Mon, спасибо, во всяком случае теперь понятно, откуда это все взялось.
Думать сто раз мне лень, поэтому уж я лучше ручками перепропишу все права в существующих OU, а в новых стазу буду ставить необходимые

Можно ли как-то малой кровью вытащить в читабельном виде список всех пермишенов, которые относятся к конкретному обьекту в AD, напр. конкретному OU?

AlexSSS - глянь скрипт http://forum.ru-board.com/topic.cgi?forum=8&topic=1908&start=366

еще одно отличие пермишенов AD от NTFS
На NTFS невозможно удалить каталог, если в нем есть хоть один неудаляемый файл или подкаталог. В AD OU легко удаляется, даже если в нем есть неудаляемые обьекты

> а ты не давай юзеру право на LIST всего домена
>- только того OU где есть юзера.
решил выкинуть из AD лишние права авторизированных пользователей на просмотр AD.
Оставил права просмотра только на корень, все OU, Computers и Users. У пользователей под win98, которые входят в OU, в логон скрипте появились проблемы с определением вхождения учетной записи в глобальные группы.

Пришлось открыть еще доступ на просмотр BuildIn, после чего все нормально заработало.

У XP или 98-х пользователей, которые не сидят в OU, этой проблемы не наблюдалось

прошу прощения если пишу офтоп
у меня стоит Adminpak от 2003 сервера на машинке под ХР. так вот, при вызове групповой политики, там есть ссылочка на обновление консоли групповой политики (GPMC). почитал на майкрософтовском сайте о предлагаемом обновлениии. вроде-бы нормальная вещь, управление политикой, как я понял, выводится в отдельную оснастку, со всякими расширенными возможностями. файлик весит 5,5 метров. вот ссылочка http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
вопрос: кто-нибудь пробовал это устанавливать и есть ли там подводные камни?
а то уже налетал разок на проблемку http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=6429&start=60#lt , хорошо на руборде помогли (еще раз спасибо Alan Mon).

Zeleznick - GPMC это палка о двух концах. Она удобна если нужно планировать политики, но катастрофически неудобна для частого редактирования (очень громоздка). К сожалению установив GPMC ты лишишься обычного редактора политик (его заменит этот монстр) У меня она стоит на одном из контроллеров. На своем компе ставить не стал

Продолжая тему Активы. Столкнулся с проблемой. У меня в сети(довольно молодой - компов 10) определены группы пользователей, администраторов и тому подобное. А проблема вот в чем. Некоторые программы требуют прав записи в каталог, в частности у меня это драйвер сканера. На тачке со сканером папке назначаю дополнительного владельца(пользователя сканера). Все работает до поры до времени - на следующий день права вылетают. И процедуру добавления приходится выполнять по новой.

Возможно эта папка в процессе работы создается и удаляется. Тогда при новом создании она наследует права родительской.

kibkalo

Цитата:

Гы. У меня есть вопрос по Active Directory Schema!

Может говорю известную вещь, но для редактирования схемы нужно это разрешить в реестре. Сейчас точно не скажу где, но в хелпе это оговорено.
To enable schema changes on a schema master running Windows 2000 - название топика.

Цитата:

To enable schema changes on a schema master running Windows 2000
Open Registry Editor.
Caution

Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. You can also use the Last Known Good Configuration startup option if you encounter problems after manual changes have been applied.
In Registry Editor, navigate to the Parameters registry key:
Where?

HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
NTDS
Parameters
On the Edit menu, click New, and then click DWORD Value.
Type Schema Update Allowed, and then press ENTER.
Double-click the Schema Update Allowed registry key that you just created, and then, in Value data, type 1 to enable schema

У меня другая проблема:
Когда-то решил понизить Domain Admins и убрать их с некоторых учётных записей и контейнеров в AD. Просто нужно определённой группе людей дать права домен админов, а именно - быть админами на каждой доменной машине. При этом нужно перекрыть доступ к самой AD, к редактированию пользователей находящихся в группе Administrators и т.п (т.е. потенциальную возможность поднять свои права). Так вот, привело это к тому, что система просто каждый час! (так и не понял при каком событии, но точно не репликация), сама сбрасывает пермишены обратно, возвращая домен админов обратно на все группы и аккаунты, откуда я их убрал. Ладно если б один раз, а то каждый час! Как будто не понимает, что и так уже всё стоит...
В журнале вот такое событие:

Цитата:

Security
Account Management
684
NT AUTHORITY\ANONYMOUS LOGON


Set ACLs of members in administrators groups:
Target Account Name: Enterprise Admins
Target Domain: DC=xxx,DC=xxx
Target Account ID: myDomain\Enterprise Admins
Caller User Name: myPDC$
Caller Domain: myDomain
Caller Logon ID: (0x0,0x3E7)
Privileges: -

Пытался это решить через схему, но не тут то было - можно выставить дефолтовые пермаки на создаваемых юзеров и группы в AD, но это ничего не даёт - система всё равно продолжает каждый час чудить с пермаками.
Так вот, как от этого избавиться, ну и если есть решение - как всё-таки убрать домен админов с определённых аккаунтов и групп?

> Когда-то решил понизить Domain Admins и убрать их с некоторых учётных записей
> и контейнеров в AD. Просто нужно определённой группе людей
> дать права домен админов, а именно - быть админами на каждой доменной машине.
не трожь святое, домен админов!!!! ;o)
тем людям достаточно было дать право просто быть локальными админами на клиентских машинах. А для домена они остануться обычными пользователями. Чтобы не бегать по всем машинам, можно прописать это через политику.