» Общие вопросы про AD (Active Directory)

SelfCoder

Цитата:

На отдельной чистой машине был установлен Windows 2003, поднят домен, и в нём не меняя настроек самбы всё проходило на ура.

Ну и что? Это говорит только о том, что в текущем домене какие-то настройки безопасности блокируют ввод или же настройки безопасности самбы недостаточны для работы с DC. Посмотрите лог контроллера на предмет матюков, обдумайте и исправтье то, что мешает ввести линух в домен. ИМХО, переставлять АД из-за того, что какая-то тачка с линухом не смогла прицепиться к АД - извращение. Где гарантия что вторая линуксовая тачка на новом домене не поведёт себя также после какой-то настройки (сбоя) АД? Опять будете домен переставлять? Этим можно баловаться, пока DC один, но правильно - исправить настройки, ведь не будете же Вы переставлять домен с несколькими DC из-за одной линуксовой машины?

Добавлено:
riwen

Цитата:

Так все-таки возможно ли временное сосуществование рабочей группы и AD? На другом ресурсе говорят что это возможно ("если не вводить пользователя в домен то он по прежнему будет работать в рабочей группе и для него ничего не измениться" - RUS-FAQ)

Возможно конечно. Что мешает?
1. Netbios имя домена должно совпадать с названием рабочей группы
2. адрес DC должен быть в той же сети, что и компы юзеров (желательно).
3. В домене необходимо завести всех пользователей из этой рабочей группы с их паролями. Если логины/пароли совпадают в АД и на локальной тачке, то авторизация на сетевые шары будет прозрачной.
4. дальше прописываешь права на шары на сервере для доменных пользователей.
Пользователи, ессно должны иметь логины и пароли на своих компах, иначе придётся включать гостевой вход на DC, что врядли хорошее решение (ну только временно).

Добавлено:
Valery12

Цитата:

Но вот если общие папки на контроллере домена то доступа к ним рабочая группа не получит, потому что на КД локальных учетный записей нет, естественно варианты когда на КД снижают уровень безопасности и разрешают к шарам анонимный доступ я не учитываю как извратный.

При совпадении логина/пароля на локальной тачке с учёткой в домене - получит, если будут разные - придётся ввести пароль для учётки домена.

Цитата:

При совпадении логина/пароля на локальной тачке с учёткой в домене - получит, если будут разные - придётся ввести пароль для учётки домена.

даже комментировать нет желания

Lykym

Цитата:

я где то читал что могут заходить админы

Что ты имееш под словом админы?пользователи у которые входять в группу "админы домена?
RoDeZiya

Цитата:

Не совсем. При использовании перенаправления папок можно указать расположение отдельно каждого из каталогов: "Мои Документы", "Рабчий стол" и еще каких-то...

А где можно по подробнее прочитат?

Valery12

Цитата:

Но вот если общие папки на контроллере домена то доступа к ним рабочая группа не получит, потому что на КД локальных учетный записей нет, естественно варианты когда на КД снижают уровень безопасности и разрешают к шарам анонимный доступ я не учитываю как извратный.

Шары можно подключить и те которые находятся на контроллере домена,
user: domen.ru\user
pass: user pass. Сколько раз уже так подключал, да и пост мой выше.

rkhodjaev
Посмотри статью на OSZone.

Lykym

Цитата:

Шары можно подключить и те которые находятся на контроллере домена,

Полностью согласен.
Valery12

Цитата:

даже комментировать нет желания

Да и не надо. Возьми тачку не в домене, создай там свою учётку с паролем и убедись, что все сетевые шары тебе доступны.
А то я уже начал задумываться, как это мне с домашней тачки удаётся по доменным ресурсам ходить. Шайтан однако.

а куда можно всунуть всмысле для чего "Active Directory" ??

Цитата:

Ну и что? Это говорит только о том, что в текущем домене какие-то настройки безопасности блокируют ввод или же настройки безопасности самбы недостаточны для работы с DC. Посмотрите лог контроллера на предмет матюков, обдумайте и исправтье то, что мешает ввести линух в домен. ИМХО, переставлять АД из-за того, что какая-то тачка с линухом не смогла прицепиться к АД - извращение. Где гарантия что вторая линуксовая тачка на новом домене не поведёт себя также после какой-то настройки (сбоя) АД? Опять будете домен переставлять? Этим можно баловаться, пока DC один, но правильно - исправить настройки, ведь не будете же Вы переставлять домен с несколькими DC из-за одной линуксовой машины?

У меня нет ни капли желания переустанавливать домен. Логи конечно же смотрел. Там нет ничего подозрительного. Политики, которые создавал сам, отключил. Политики по умолчания сбросил в стандартные - dcgpofix. dcdiag и netdiag тоже без ошибок. Подскажите где еще можно покопать.

Цитата:

Цитата:Так все-таки возможно ли временное сосуществование рабочей группы и AD? На другом ресурсе говорят что это возможно ("если не вводить пользователя в домен то он по прежнему будет работать в рабочей группе и для него ничего не измениться" - RUS-FAQ). Направьте на путь истинный. Заранее благодарен за ответы.

По-моему вы неверно представляете себе сети с AD.
1) Компьютер находится одновременно в рабочей группе и в домене не может.
2) Если смотреть со стороны конечного пользователя, то внешне работа в домене ничем не отличается от работы в рабочей группе - те-же компьютеры в сетевом окружении, те-же шары на серверах. Внешне "Сетевое окружение" выглядит одинаково, что в домене, что в рабочей группе.
3) Компьютеры не введенные в домен (работающие в рабочей группе) могут обращаться к шарам доменых серверов/компьютеров. Единственная заметная на глаз разница - что пользователь AD один раз ввел пароль для входа в систему и все. И под этим аккаунтом его будет пускать ко всем дозволенным ресурсам всего домена. Пользователю рабочей группы при обращении к доменным шарам прийдется вводить пароль при подключении к каждому компьютеру.

Спасибо всем за ответы, кажется я услышал то-что хотел подтвердить. Итак, насколько я понимаю можно смело поднимать сервер до контроллера домена, настраивать AD, затем ввести в домен свой компьютер и потихоньку разбираться, учиться и экспериментировать с AD. Но главное при этом - остальные пользователи смогут спокойно продолжать работать, до тех пор пока я не стану вводить их компьютеры в AD.Для меня ведь важно сначала разобраться самому с работой AD, но при этом не мешая остальным. Поправьте, если в чем не прав.

SelfCoder
IMHO копай в линухе, Ад не причем если логи чистые и диаги без ошибок. Если ты вводишь линух в домен, а ад не пускает всеравно чего-нибудь в логах бы появилось.
Попробуй виндовую машину в домен ввести, если не пустит тогда точно Ад(сомневаюсь что не пустит).


Добавлено:
riwen
Я вводил сразу домен, но потом еще пару раз переставлял и бегал потом по машинам заново их перевводил в домен. Твой вариант лучше, если че не так домен переставишь, да пару машин которые введены в него переподключишь.

Подскажите как разрешить анонимный доступ к ресурсам контроллера домена? Как ни пытаюсь, все равно при входе, пароль спрашивает...

fly_house
гость разрешен? и гдето по моему была политика - разрешить анонимный доступ

вопрос по организации AD
виндовс рекомендует при установке АД чтобы журнал аудита был на отдельном жестком диске - стоит ли так организовывать АД
у меня около 150 пользователей, на 2-х серверах по 2 диска SAS 15000 оборотов
думаю может лучше рейд1 организовать или все таки при таком количестве пользователей будет нагрузка на диски

ali1977

Цитата:

стоит ли так организовывать АД
у меня около 150 пользователей

нет. ИМХО данное справедливо начиная от тысячи пользователей/на один DC

RoDeZiya

Цитата:

rkhodjaev
Посмотри статью на OSZone.

Спасибо,статейка хорошая попробую в ближайщие дни попробовать!

Цитата:

fly_house
гость разрешен? и гдето по моему была политика - разрешить анонимный доступ

гость разрешен, что еще посмотреть?

FreemanRU

Цитата:

нет. ИМХО данное справедливо начиная от тысячи пользователей/на один DC

то есть рекомендуете рейд 1 ставить чтоб зеркало было?

ali1977
Рекомендую 2 контроллера иметь. Тоды и рэйд не нужен.

FreemanRU
Одно другому не мешает
Роли переносить тоже время надо, а так всего лишь диск заменить.

FreemanRU

Цитата:

Рекомендую 2 контроллера иметь. Тоды и рэйд не нужен.

так и будет 2 контроллера домена на каждом по 2 диска SAS - просто думал как их организовать - оба в зеркало или оставить обычную систему

ali1977

Цитата:

каждом по 2 диска SAS

Чтоб я так жил...... Конечно тогда лучше зеркало.
У меня DC, на котором основные функции до прошлой недели жил на матери VIA, 768 Мб памяти, P4-1,5 и HDD 40Gb Seagate доисторическом. Щаз на виртуалке. Так что завидую по-хорошему.

Цитата:

Конечно тогда лучше зеркало.

и 2-а lun'а, а то без кэширования зеркало не особо шустрое получится.

Цитата:

DC, на котором основные функции до прошлой недели жил на матери VIA, 768 Мб памяти, P4-1,5 и HDD 40Gb

а не обманываешь?

Цитата:

Щаз на виртуалке

где крутятся еще штук 6-.. виртуалок, короче 4-хпроцессорная штука с "от 16 гигами озю"

Цитата:

виндовс рекомендует при установке АД чтобы журнал аудита был на отдельном жестком диске

по моему там есть рекомендации что бы сама база Ад была на отд.диске т.к. кэширование на нём отключается при установке (именно на физ.диске) ... Или там ещё что-то есть?

5555555

Цитата:

не обманываешь?

Нет Могу фотку прислать В домене 600 пользователей, на этом конкретно авторизовывалось примерно 400, плюс GK, плюс CA
5555555

Цитата:

где крутятся еще штук 6-.. виртуалок, короче 4-хпроцессорная штука с "от 16 гигами озю

не, всего 4 вирт. сервера, 2-а Xeon-а c 4мя ядрами, завтра будет 6 Гб FB-DIMM-ов, и 2 RAID5 SCSI по 140 Гб.

Цитата:

Щаз на виртуалке

на какой? Где то слышал мысль что вобщем то второй DC можно под VMware поднять - так сказать как резервный вариант - и вос-ть быстро и ресурсов "жрёт меньше"

greenfox

Цитата:

Или там ещё что-то есть

И то, и другое. Там такие же рекомендации, как и у любой журналируемой БД (н-р MSSQL).

Добавлено:

Цитата:

на какой

Virtual Server 2005 R2. ИБо покупаешь один Win2003 Enteprise за $2000, и пользуешь 4 в виртуале (т.е. $740(цена Standard)*4=~#3000, чистая экономия в $1000).

FreemanRU

Цитата:

Virtual Server 2005 R2. ИБо покупаешь один Win2003 Enteprise за $2000, и пользуешь 4 в виртуале (т.е. $740(цена Standard)*4=~#3000, чистая экономия в $1000)

т.е. по простому - мощный сервак, на него w2k3 с виртуалкой Virtual Server 2005 R2 и соот-но одновременно запущеными 4-мя машинами? Ну и как, не тормозит?
+ что по мимо DC\CA крутится т.о.?

FreemanRU

Цитата:

один Win2003 Enteprise за $2000, и пользуешь 4 в виртуале

Ага, ага!

Цитата:

Могу фотку прислать

а пришли
что-то отвлеклись - я заканчиваю, а то настучат за оффт.

greenfox

Цитата:

Ну и как, не тормозит

Шикарно всё работает. Была основная проблема (слава богу тестировали перед боевой эксплуатацией) - это производительность дисковой системы. Поэтому 2 контроллера и два массива.
Крутится:
- VPN-сервер (примерно 40 одновременных подключений, трафик в основном MSSQL-ный), он же front-end для Exchange (5 пользователей , тестовый прогон)
- сервер WSS, там портальчег маленький. Там же разработка.
- сервер антивируса, OpenFire, внутренний сайт ОИТ.
- ну и описанный мною DC

Еще в планах туда же посадить продакшн-WSS.

Плюсов от виртуализации - море. Это и бакап, и легкий перенос с сервера на сервер, и место в автозале, и попу от стула не надо отрывать чтоб новый сервак установить

FreemanRU
мне фотку тоже
+ надо бы открыть ветку по виртуализации, поделиться опытом А то я пока только с VMWare эксперементировал

Вот и у меня - обновление парка... На новом сервере установил Win2003 и AD.
Хочется сделать все "по уму", а не так как было ("работает - и ладно").
При установке, как обычно, было создано безмерное количество групп безопасности.
Действия, которые допустимы в той или иной группе не будет выполнять в реалии ни один из пользователей.
Хочу ВСЕ что есть удалить и создать 3 реальных группы:
Админы (т.е. просто переименовать имеющуюся группу "Администраторы домена") - чтобы могли делать абсолютно все и в домене и на любой клиентской машине (независимо от того имеет ли она подключение к сети).
Юзеры (на основе группы "Users") - им все запретить, но при невозможности выполнения ими своих прямых обязанностей, что то временно разрешить.
Продвинутые - их создам потом, скопировав права юсеров вместе с теми возможностями что временно разрешил, но только у юсеров я эти дополнительные права сразу отберу, а этим - так и оставлю.
...
Я смутно догадываюсь что не совсем прав, но мне очень хотелось бы услышать как поступаете вы - опытные администраторы? Так и держите в неприкосновенности туеву хучу никому не нужных групп безопасности? Если надо пользователя наделить какими то правами, то пихаете его сразу в несколько приблизительно подходящих групп?
Мелкософт это называет "гибкость". Я же считаю что эта предустановленная структура взаимосвязанных и пересекающихся прав только вводит в ступор начинающего администратора.
В общем вопрос такой: Как правильно и максимально просто сделать такую 3х уровневую систему безопасности?