» Общие вопросы про AD (Active Directory)

tulalex
Я думаю если мы хотим совместить перемещаемые профиля и перенаправление папки мои документы ее нужно исключить из перемещаемого профиля

Valery12
Пробовал исключать "Мои документы" из перемещаемого профиля: у меня в этом случае редирект отказывался работать.

blinking99
Значит был неправ, просто у себя я такую комбинацию не делаю, в принципе - если перенаправлять все 4 папки которые позволяет групповая политика то зачем вообще перемещаемый профиль нужен, а если его использовать то зачем еще перенаправление делать?

Valery12
blinking99
Задумка какая, опишите подробнее, помогу советом

Valery12
перенаправление папок надо если не хочешь использовать перемещаемые профили, а просто хочешь хранить что-то пользовательское на сервере. Перемещаемые профиля нужны, чтобы человек не видел разницы в окружении, когда он работает за разными компьютерами. Перенаправление можно и нужно совмещать с перемещаемым профилем. иначе если не перенаправишь папку мои документы, то она будет копироваться с сервера на каждую машину на которую вошел пользователь с перемещаемым профилем. А если документов у него 5 гиг, вот и подумай сколько они у тебя по сетке будут копироваться.

ITeXPert
А если в групповой политике кроме папки "мои документы" я перенаправляю "Application Data" "рабочий стол" и "главное меню" разве я не получаю одинаковую рабочую среду пользователя на любом компьютере? и что тогда останется на долю перемещаемого профиля?

ITeXPert
Спасибо. Но пока всё работает.

Юзеры работают под перемещамыми профилями, а "Мои документы" с помощью
редиректа сделаны общими.

Народ почему вот такая байда выходит,,?подскажите плиз
Starting test: systemlog
An Error Event occured. EventID: 0x40000004
Time Generated: 10/29/2007 17:46:40
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 10/29/2007 17:47:06
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 10/29/2007 17:47:48
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 10/29/2007 17:49:09
Event String: The kerberos client received a
An Error Event occured. EventID: 0x40000004
Time Generated: 10/29/2007 17:51:19
Event String: The kerberos client received a
An Error Event occured. EventID: 0x00000457
Time Generated: 10/29/2007 17:58:46
(Event String could not be retrieved)
An Error Event occured. EventID: 0x40000004
Time Generated: 10/29/2007 18:12:28
Event String: The kerberos client received a
An Error Event occured. EventID: 0x00000457
Time Generated: 10/29/2007 18:21:59
(Event String could not be retrieved)
......................... CAPSDC failed test systemlog

Добавлено:
это от dcdiag

Доброе время суток фсем.
Вопрос на засыпку, если поставить Денвер
на комп на котором находится AD это никак не повредит AD.
Заранее СПС.

timsson
Могу предложить только стандартную цепочку FrsDiag, Ultrasound, Replmon, Repadmin, [dcdiag сделано, но не видно, какая строчка перед этими сообщениями], netdiag, addiag, nltest. Как проводить диагностику репликации. Попробуйте посмотреть в эту ветку, возможно, это чем-то поможет.

G14

Цитата:

GC вообще тут не при чем.

Разве совсем ни при чем? Или в данном случае ни при чем? Поясните пожалуйста.

Цитата:

In Windows Server 2003 domains with global catalog replication, tuning the global catalog synchronization state is preserved rather than reset, minimizing the work generated as a result of a Partial Attribute Set (PAS) extension by only transmitting attributes that were added. The overall benefit is a reduction in replication traffic and more efficient PAS updates.

Цит. по Active Directory Technical Overview

Про комментарии к блогу: ну, можно было бы вам вопросы задавать... не знаю, как вам это понравится.

всем привет! главное не нужно бить ногами!
сказали учи Activ diirectory, два дня лазил уже голова пухнит!
дайте бедному ссылочки по знакомуству с этой штукой для усеров!
на что обратить внимание в первую очередь??

j0hn b
жжешь...
из шапки

Цитата:

» Полезные ресурсы по Active Directory (AD)

Ребята подскажите можно как нибудь привязать учетную запись из домена к определенной рабочей станции ....

а остальные исключить кроме админа

Косяк с перемещаемым профиле! Перемещается все кроме фонового рисунка экрана. В чем косяк ?

klif_b
А почему просто не включить соответствующую политику?
А он у вас не в %USERPROFILE%\Local Settings часом лежит?
User Profiles and Folder Redirection FAQ
rosalin

Цитата:

Ребята подскажите можно как нибудь привязать учетную запись из домена к определенной рабочей станции ....

Например через Microsoft LimitLogin. FAQ;
Limiting a user's concurrent connections in Windows Server 2003, Windows 2000, and Windows NT 4.0

Цитата:

The LimitLogin utility has the following capabilities:
It can limit the number of logins for each user from any computer in the domain. This includes terminal server sessions.
...
It can remotely delete and log off user sessions from the Active Directory Users and Computers MMC snap-in

Ежели же это нужно сделать только для одного пользователя, то еще проще: ADU&C > дважды щелкаете учетную запись пользователя и в диалоговом окне свойств задаете машину в Log on To на вкладке Account.

Кроме того, можно создать подразделение, поместить в него компьютеры, к которым вы разрешаете доступ, создать GPO и в нем задать политику Access this computer from the network, находящуюся в контейнере Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assessment, определить учетные записи для этой политики и установить связь созданного GPO с созданным подразделением.
j0hn b

Цитата:

на что обратить внимание в первую очередь??

Ну вы даете! Шапка, в сообщении перед вами документ, на предыдущей странице документ. Так что правильный ответ: обратите внимание на текущую ветку.

TCPIP

Картинка лежит в моих документах. Ссылка на политику не работает!

Привет!

Есть Active Directory на Windows 2003, и есть MS Exchange 2003. поставил последний админпак, но в Users & Computers нет привязки к Exchange, т.е. я не вижу свойства его почтового ящика, при создании нового пользователя не могу создать ему почтовый адрес и т.д. что мне поставить еще (или настроить), чтобы я в Active Directory мог работать с Exchange?

Спасибо за ответ.

Texnar_POLITEX
Запусти на нужном dc установку exchange, выбрав Ms exchange system management tool.

klif_b
А что говорят GPO modeling и fdeploy.log? Кроме того, перенаправление папок просто не работает, если обнаруживается медленное соединение. Проверить так ли это можно запустив gpresult. Форсировать перенаправление папок даже, если было обнаружено медленное соединение можно включив политику Folder Redirection policy processing в контейнере Computer Configuration\Administrative Templates\System\Group Policy\ю

Texnar_POLITEX

Цитата:

я не вижу свойства его почтового ящика, при создании нового пользователя не могу создать ему почтовый адрес и т.д

Посмотрите, пожалуйста, следующие статьи: Exchange-related tasks are missing from the Active Directory Users and Computers snap-in; All Exchange features are disabled on Active Directory Users and Computers
Дополнительно может быть полезно ознакомиться со статьей Брайена Пози Exchange Options Not Available in Active Directory Users and Computers; посмотрите, что у вас на вкладке Exchange General и что там с полем Alias, ну и проверьте First Organization (Exchange)|Recipients|Recipients Policies|Default Policy|Properties|E-mail addresess (policy)|SMTP.

KocmonpaB

Спасибо, все получилось!

rosalin
в свойствах учетной записи пользователя на вкладке Account есть кнопка Log On To - там указывается список машин с которых разрешен доступ в сеть

Valery12
По виду да, только вот не все ярлыки работать будут (для этого необходимо, чтобы список программ установленным на разных компютерах был одинаковым)

Всем привет. Такая проблема:
Scheduler - запускает задачу из под пользователя домена - всё ок, но потом сыпится такая ошибка

The attempt to log on to the account associated with the task failed, therefore, the task did not run.
    The specific error is:
    0x80070569: Logon failure: the user has not been granted the requested logon type at this computer.
    Verify that the task's Run-as name and password are valid and try again.

Приходится заново проль вбивать на задание, как вылечить ?

Траблы с профилями пользователей:
Хотел создать перемещаемый профиль для юзера.Для этого создал «Share Folder» и дал Permissions “Full Control”.Потом указал в “Profile Path” \\server name\sharefolder\user .Roaming Profile работает, проблема в том что я не могу зайти и посмотреть на их профиль.То есть доступ к папке \sharefolder\user нету почему то. Теоретически я имею доступ к просмотру профайлов пользователя?
Заранее спасибо.

Цитата:

и дал Permissions “Full Control”

а кому? только пользователю? или себе тоже?

у меня вопрос другого характера?
у меня есть домен и два контроллера домена (DC и BDC) пусть будет old.net,
начальство проявило свое хочу и хочет один отдел перевести в др. домен назавем его new.net . Можно ли пользователям new.net (нового домена) давать прова на использования ресурсов (fileserver, принтеры, terminal server) old.net (страого домена) и как это сделать?
спасибо.

Цитата:

а кому? только пользователю? или себе тоже?

to Everyone

rkhodjaev
может выставить, конктретно свою учетку для этой паки и выставить ей фул контрол?
по поводу организации леса из двух доменов есть мысли? ткните хоть куда почитать, кто это делал?

rkhodjaev

Цитата:

Траблы с профилями пользователей:
Хотел создать перемещаемый профиль для юзера.Для этого создал «Share Folder» и дал Permissions “Full Control”.Потом указал в “Profile Path” \\server name\sharefolder\user .Roaming Profile работает, проблема в том что я не могу зайти и посмотреть на их профиль.То есть доступ к папке \sharefolder\user нету почему то. Теоретически я имею доступ к просмотру профайлов пользователя?

Это поведение по-умолчанию. Чтобы его изменить, вам нужно либо взять права владельца, либо изменить поведение, настроив политику Do not check for user ownership of Roaming Profile Folders в контейнере Computer configuration\Administrative Templates\System\User Profiles

Ed_73
Я через админовскую запись заходил, поэтому для меня все был Full Control.Но попробую честно говоря.
TCPIP
Спасибо после обеда попробую.Думаю здесь точно дольно получится, мне даже голов не пришло сюда заглянуть.
Спасибо вам ребята.

Ed_73
Идея хорошая, вот когда я книжки читаю об AD сразу в голову бьется кто-нибудь использует ли многодоменную структуру?Так что мне тоже очень интересно узнать что-нибудь об многодоменной структуре.


Еще я не давно в одном месте читал результаты контрольной работы по курсу «Администрирование в ИС » и там были разные ответы.Поэтому мне хотелось узнать ваши ответы на эти вопросы:

1. Что такое Active Directory.
2.Перечислите объекты групповой политики.
3.Что такое схема Active Directory.
4.Что такое глобальный каталог.
5.Что такое сайт (область).
6.Что такое служба каталогов.
7.Что такое котроллер домена.

После ваших ответов мне хотелось некоторые веши обсудить так как есть вопросы у меня.Вот они:

1.AD – это служба каталога?То есть он централизованно хранить всю инфу и управляет ими так, или?
2.Юзера и компы.А вот принтер может быть, то есть в объекту принтер мы можем применять групповую политику?Кроме этих что еще может быть объектом групповой политики?
3.?
4.Он же не все информацию леса хранить, вроде всю реплику своего домена и частичные реплики(первое необходимые реплики) остальных доменов,так,
5.?
6.?
7.?

Пункты с знаком ? хочу обсудить с вами.Но остальные пункты тоже можете оставить ваши комментарии,буду очень рад за советы и ответы.

Цитата:

1.AD – это служба каталога?То есть он централизованно хранить всю инфу и управляет ими так, или?

Да так, это доменная структура организации.

Цитата:

2.Юзера и компы.А вот принтер может быть, то есть в объекту принтер мы можем применять групповую политику?Кроме этих что еще может быть объектом групповой политики?

пользователи, компьютеры, принтеры, приложения или общие сетевые папки — и его атрибуты

Цитата:

3.?

Схема определяет, какие типы объектов могут существовать в AD.
Два типа объекты классов схемы и объекты атрибутов схемы

Цитата:

4.Что такое глобальный каталог

вот тут то и хранится все.

Цитата:

5.Что такое сайт (область).

ну для начала есть подсееть (кусок сети со своими ip), а сайт это группа этих подсетей.

Цитата:

6.Что такое служба каталогов.

это Active Directory

Цитата:

7.Что такое котроллер домена.

Это машинка на которой стоит серверная ОС на которой все и лежит...

3.
Цитата:

Схема определяет, какие типы объектов могут существовать в AD.
Два типа объекты классов схемы и объекты атрибутов схемы

Не очень то понятно, можешь как то по другому объяснишь?!!
4.
Цитата:

вот тут то и хранится все.

Вот с этим я не согласен, то есть ГК не хранить же всю информацию леса (если там боле одного домена),а всю инфу своего домена и вроде частичные инфи с остальных доменов и в итоге не получится – ВСЯ информация а где-то 70%.Я так думаю,а может ошибаюсь.
7.
Цитата:

Это машинка на которой стоит серверная ОС на которой все и лежит...

Под словом все что понимается?Где же AD?Или же физически AD не существуеть,а всего лищь КД+лес(домены,ОП-я) образуеть AD.......?

rkhodjaev
googl не кто не отменял
Контроллер домена — центральный (главный) компьютер локальной сети (сервер), на котором работают службы каталогов и располагается хранилище данных каталогов. Контроллер домена хранит параметры учетных записей пользователей, параметры безопасности (применимо к томам с файловой системой NTFS), параметры групповой и локальной политик. Также контроллер домена может хранить перемещаемые профили пользователей.
При создании первого контроллера домена в организации, создаются также первый домен, первый лес, первый сайт и устанавливается Active Directory. Контроллеры домена, работающие под управлением Windows Server 2003, хранят данные каталога и управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Контроллеры домена создаются при использовании мастера установки Active Directory.

Global Catalog (глобальный каталог): индексированная структура, содержащая <b>ВСЕ</b> объекты AD, но отражающая только некоторые атрибуты каждого из них. Глобальный каталог помогает пользователям и приложениям найти в лесу доменов применяемые чаще других объекты и атрибуты. НАпример если у тебя не будет связи с ГК то ты не сомжешь авторизоватся. Поэтому обычно поднимают BDC для обеспечения отказоустойчивости.

Схема. Схему лучше не трогай... работает и ладно. Это грубо говоря:
ЧТО, КУДА, ПО КАКОМУ ПРИНЦИПУ, КОГДА, И ВООБЩЕ ЗАЧЕМ ВСЕ ЭТО НАДО.
Если уж совсем интересно, на msdn у мелкомяких посмотри. как ее лучше првить.