» Общие вопросы про AD (Active Directory)

rkhodjaev - вот здесь все расписано про тип домена
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/b3674c9b-fab9-4c1e-a8f6-787126471271.mspx?mfr=true

Доброго времени суток
Разрешите задать несколько общих простеньких вопросов:
1) Вошел юзер в систему, отошел попить чаек - в итоге "Компьютер может разблокировать только Юзер такой-то". Вопрос: где посмотреть\изменить интервал времени, через который блокируется компьютер?
2) Как узнать\изменить допустимое кол-во неправильных вводов пароля при входе в учетную запись
3) Как узнать какие права предоставлены группе в AD?
4) Где посмотреть настройки синхронизации времени в AD?

G14
Спасибо большое, отключил резервный.После чего делал gpupdate после обновления gpresult. И выдал сообщение что групповая политика была применена из test1.А что даст если я на обеих контроллерах домена подниму глоб. каталог?

walerchik
Вам тоже спасибо,прочитал.Думаю стоит ли менять режим работы на Windows Server 2003, так оба контроллеры домена у меня работает под 2003.Можно у вас тоже узнать что даст если я поменяю, то есть какие возможности появятся?

gbcfkf
3) Прочитай GPO, в GPO можно различные ограничения ввести и права на какие либо действие ввести .А если ты имеешь виду какие права есть у пользователя(админ: домена,схемы и т.д.), тогда загляни в свойства юзера> "Member of(Член группы)", там найдешь список кем он является и заодно можешь изменить чего нибудь.

rkhodjaev

Цитата:

А что даст если я на обеих контроллерах домена подниму глоб. каталог?

Наличие глобального каталога в домене при падении одного из серверов. Там же, куда показывал тебе walerchik :
Роль глобального каталога

Цитата:

Вам тоже спасибо,прочитал.

Цитата:

Можно у вас тоже узнать что даст если я поменяю, то есть какие возможности появятся?

Заметно, как прочитал. Прочитай еще раз. Там в таблицах что нарисовано?

Походил, почитал! Но все-таки интересует вопрос для чего публиковать принтеры в AD? Неужели только для удобного поиска?

Цитата:

Неужели только для удобного поиска?

да. и вообще для возможности поиска.

G14

Цитата:

Наличие глобального каталога в домене при падении одного из серверов. Там же, куда показывал тебе walerchik :

Я знаю роль глоб. каталога, просто думал не будет ли конфликт если в домене несколько глоб. каталогов.+ у меня всего лишь 2-а контроллера домена и вот стоит ли на обоих поднять глоб. каталог?

Цитата:

Заметно, как прочитал. Прочитай еще раз. Там в таблицах что нарисовано?

Не прочитать то я прочитал и видел при каких типах будут какие ограничения, ну да самая оптимальная 2000 так как вдруг понадобится добавить конт. домена с 2000.Просто у меня все контроллеры на 2003, хотелось бы просто узнать- если я тип домена буду менять то кроме ограничений, то есть я не смогу добавить НТ и 2000, если мне польза – например что даст мне это – скорость увеличится или что-нибудь другое?


А вот продолжение проблемы с 2-я DC, я выключил резервный DC, и оставил домен работать на основном DC.Потом пользователи начали звонить что у них долго грузится система и входить в систему. Спустился убедился сам, долго параметры пользователя грузится .Включил резервный и заново зашли, все путем. Я думаю просто он сперва обращался к резер. контроллеру после чего не находя его переключался к основному.Вот теперь вопрос как сделать чтобы все автоматом обратились к основному?Не подскажите

Цитата:

Я знаю роль глоб. каталога, просто думал не будет ли конфликт если в домене несколько глоб. каталогов.+ у меня всего лишь 2-а контроллера домена и вот стоит ли на обоих поднять глоб. каталог?

Важно каким образом распределены роли между твоими DC, нельзя поднимать ГК на мастере инфраструктуры и очень желательно, что бы он стоял на мастере именования доменов.

По второму вопросу, если у тебя есть старые клиенты (не XP) им нужен DC исполняющий роль эмулятора PDC и в случае его недоступности они в сеть не войдут, а XP будут тормозить если введен неверный пароль, потому что в этом случае проверка будет повторяться тоже на эмуляторе PDC.
Вторая причина торможения, если домен работает в естественном режиме - нужен доступный сервер ГК для проверки членства пользователя в универсальных группах.

Цитата:

нельзя поднимать ГК на мастере инфраструктуры

Если домен в лесу один или все DC в лесу являются серверами GC - абсолютно все равно, у кого роль Infrastructure Master, так как он бездействует.

Valery12 и G14

Все роли у меня на основном конт.домена + там же установлен глобальный каталог. Все клиенты сидят на ХР.Да у меня 1 домен в лесу и один сайт всего лишь пока.Что подскажите теперь?

G14
Ну если на то пошло то при такой конфигурации и GC не нужен, просто я считаю что если разворачивать домен то нужно делать это сразу правильно с перспективой на его дальнейший рост, что бы потом ничего не перекраивать.
Поэтому раз появился второй контроллер домена роли нужно разносить, самая большая нагрузка ложиться на эмулятор PDC поэтому его на более свободный контроллер, мастера инфраструктуры и ГК, всетаки разнести на разные машины, мастер именования доменов оставить с ГК (потом, когда будешь добавлять новые домены это может спасти от большого гемороя)

Цитата:

мастер именования доменов оставить с ГК (потом, когда будешь добавлять новые домены это может спасти от большого гемороя)

Это ограничение было в Win2000 контроллерах. Если контроллер домена, являющийся domain naming master, работает на Win2003, непринципиально GC-сервер он или нет.

Цитата:

Ну если на то пошло то при такой конфигурации и GC не нужен

Ну да, зачем поднимать уровень леса, пользоваться какими то там универсальными группами, планировать развертывание приложений типа Exchange 200x? Можно пережить и так...

В данной конфигурации (два контроллера в небольшом домене) смысла что-то разносить нет. Ибо Schema, DN, Infrastructure мастера бездействуют, RID мастер испытывает очень минимальные нагрузки, так что все ресурсы и так остаются PDC эмулятору.


Цитата:

с перспективой на его дальнейший рост, что бы потом ничего не перекраивать.

..нужно стараться, чтобы в лесу было как можно меньше доменов(и не нужен был Infrastructure мастер) и роли хранились компактно (то есть все forest level роли - на одном DC, RID мастера и PDC эмулятор можно развести потом, если домен реально большой и RID мастер испытывает значимые нагрузки).

Valery12 и G14
Спасибо Вам но я пока ничего не поменял, то есть до сих пор все роли лежать у основного контроллера домена. Честно говоря я не очень то понял функциональные обязанности каждой роли FSMO. Я прочитал отсюда http://support.microsoft.com/kb/197132/RU/ но честно говоря полностью не врубился. Можете вкратце своими словами объяснить. Спасибо заранее.

Подскажите как войти локальным админом на контроллер домена. Система SBS 2003 R2. После повышения роли сервера просит ввести только доменные учетки!

Hlebunov

Цитата:

Подскажите как войти локальным админом на контроллер домена

НИкак. ДЛя контроллера домена локальных учеток не существует.

При загрузке компьютер опрашивает контроллер домена на предмет обновления групповых политик... Есть подозрение, что в этот момент связь еще не установлена надлежащим образом.
Вопрос: можно ли указать, чтобы компьютер сначала подождал, а только потом связывался с DC?

Update:
Вопрос решен. Это делается через административные шаблоны-Система-Вход в систему



Зато возник другой, более общий вопрос: в каких случаях на рабочей станции обновляется GP? Ну в момент загрузки компьютера это понятно, а затем?

люди разьясните, я запутался:
в gp есть конф.компа и конф.пользователя
эти два абзаца оба применяются, если gp стоит на папке с учетками? еслитолько конф. пользователя, тогда как быть? (создать папку, внее включить все компы и применить туже политику?)

Hlebunov
f8 и грузишься в режиме восстановления контроллера домена.


Добавлено:
snayper7
У меня два подразделения одно для компов, одно для юзеров, в том что для юзеров отключен раздел "конфигурация компьютера", в том что для компов отключена "конфигурация пользователя".
А что тебе мешает забросить в одну ячейку компы и юзеров?

Lykym
да зачем перемешивать?

Цитата:

в том что для юзеров отключен раздел "конфигурация компьютера", в том что для компов отключена "конфигурация пользователя".

как разделы отключать?
и на все это применена одна и таже политика?
еще вопрос ко всем:
учетке дал права лок.админа, завершил сеанс\вошел заново - все хорошо, на след.день даже время системное не могу поменять , где-то не доделываю?

gbcfkf
Через определенный интервал, который можно поменять через Gp.

Добавлено:

Цитата:

как разделы отключать?

В свойствах политик ставишь соответствующую галочку.


Цитата:

и на все это применена одна и таже политика?

Нет две разные, а что мешает одну туже, тогда проше в одо подразделение все засунуть, и компы и юзеров.


Цитата:

учетке дал права лок.админа, завершил сеанс\вошел заново - все хорошо, на след.день даже время системное не могу поменять , где-то не доделываю?

На какой машине, на контролере или на рабочей станции.

А можно ли посмотеть лог измений AD? Кто какие учётки добавлял, блокировал, какие компы когда переименовывали и прочее?

Такая вот проблема:
есть домен Вин2003 Active Directory, вместе с ним Днс , все работает....
в домене 20 машин ВИН ХР.....профили перемещаемые ,с правами доступа к папке
профилей тоже все нормально? профиль перемещаеться коректно...
проблема в следуешем , необходимо с помошью административных шаблонов перенаправить папку мои документы , однако не тут то было папка не перенаправляеться в логах как на сервере так и на раб.станциях тишина,
причем характено что какие бы настройки не ставил для перенаправления сохраняеться либо "не задано" либо "Создать папку на корневом пути"...и путь к хоум дир....
Политика привязана к контейнеру содержащему всех юзверей домена...
Обход перекресной проверки включен.все как микрософт просит...
В чем может юыть проблема?????? Заранее Пасибо....

Добавлено:
Да кое что забыл
Юзвери домена , на каждой машине в группе администраторов записаны....
По умолчанию были в пользователях...

Gusev Artem


Цитата:

причем характено что какие бы настройки не ставил для перенаправления сохраняеться либо "не задано" либо "Создать папку на корневом пути"...и путь к хоум дир....

Не понятно где че сохраняется. Я делаю так: вначале в свойствах юзера подключаю ему домашний каталог,ка сетевой диск, например W:, а затем перенаправления "мои документы" в домашний каталог.
Вообще мож у тебя проблемы с доступом к папке, посмотри права на доступ к папке по сети, и при помощи разрешений Ntf. Еще поставь чтоб юзер был владельцем папки, попробуй зайти юзером на рабочую станцию и просто подключить сетевой диск, т.е. папку в которую у тебя мои документы должны перенаправляться.
Проверь работаю ли политики вообще.

Lykym

Цитата:

На какой машине, на контролере или на рабочей станции.

на раб.станции
мне на ней нужно, чтобы он был админом

snayper7

Цитата:

мне на ней нужно, чтобы он был админом

Вроде нет. Просто правый щелчок на знак «Мой компьютер», далее подключить диск.После чего укажешь имя диска, и путь расшаренной папки.Второй способ: из командной строки ведешь cmd> net use W:\\PCname\share_folder name
После этого у тебя расшаренная папка в другой машине будет как сетевой диск отображаться.
У меня вопрос возник.Зачем исаользовать перенаправления папок. Как будет функционировать данная схема? Значить я создаю Home Folder, потом перенаправлю все доки юзера, что даст кроме переполнения Жесткого Дика сервера?

Цитата:

У меня вопрос возник.Зачем исаользовать перенаправления папок. Как будет функционировать данная схема? Значить я создаю Home Folder, потом перенаправлю все доки юзера, что даст кроме переполнения Жесткого Дика сервера?

1) Это даст возможность отвязать пользователя от конкретной рабочей станции.
2) Даст возможность малыми телодвижениями проводить архивацию документов.
3) Возможность совместной работы нескольких пользователей с одним набором документов (при необходимости).

Есть такая ситуация.
ноут в домене, но уехал на долго и досупа к домену пока не будет.
Есть ли ограничение на кол-во входов или по времени что бы логинится доменным аккаунтом на ноуте, и если есть, где его изменить/снять.

Nick13
Политиками домена, входи локально, т.е. при вводе имени и пароля выбери не домен, а локальную машину, и входи сколько хочешь, правда если локальная учетная запись есть.


Добавлено:
snayper7
Юзер должен входить в группу Администраторы домена, либо назначать его админом через политики, раздел "группы ограниченного доступа".

Доброго времени суток.
Есть желание установить Active Directory в небольшую локальную сеть (около 40 машин 2000 и XP + один сервер 2003, DHCP).Сейчас все работают в сети через рабочую группу. Но так как я буду делать это в первый раз, то хотелось-бы сначала установить AD на сервер, потом настроить но одной-двух машинах, разобраться и только после этого постепенно подключать к AD остальных. Возможно ли это, смогут ли одновременно находиться на сервере рабочая группа и AD? Смогут ли нормально продолжать работать люди в 1С, обращаться на сервер (файловое хранилище) и т.д. , в то время как я буду разбираться (настраивать) AD на сервере и на свем компьютере?

подскажите, такая проблема.
захожу на сервак (2003 r2) под администратором и не могу сменить в эксплорере настройку защиты с Высокого на Средний уровень (св-ва обозревателя, безопасность...)

пишет выберите не ниже высокого, мол отказоно в доступе изменения рекомендуемых параметров. таким же образом не могу удалить некоторые папки... хотя в системе как администратор... и права вроде бы все присутствуют.... голова кругом...

заранее благодарен за ответ