» Общие вопросы про AD (Active Directory)

rkhodjaev

Цитата:

Вот я тоже думаю какую нибудь улью реестера оставить открытим,ну ту что использует НОД.А вот не знаю возможно ли веточки реестра управлять при помощи GPO

Конечно можно, конфигурация компьютера-> конфигурация windows-> параметры безопастности->реестр.
Но скорее всего надо смотреть разрешения на доступ к файлам.



Цитата:

Хорошо значит это папка где поднять домен так-ntds.dit?

Я не знаю куда ты устанавливал Ad при повышении роли, у меня он лежит в папке Ntds.

SniZ
Сервакам некоторое время нужно на репликация, так как они долгое время друг друга не видели.
Почисти логи на srv1 и запускай dcdiag/q - меньше логи будут, а выводится будут только ошибки.

Цитата:

Сервакам некоторое время нужно на репликация, так как они долгое время друг друга не видели.
Почисти логи на srv1 и запускай dcdiag/q - меньше логи будут, а выводится будут только ошибки.

Код:
C:\Documents and Settings\Администратор.ORG>C:\WINDOWS\ServicePackFiles\i386\dcd
iag.exe /a /q /c /e
** Did not run Outbound Secure Channels test
because /testdomain: was not entered
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... SRV2 failed test frsevent
[SRV2] No security related replication errors were found on this DC! T
o target the connection to a specific source DC use /ReplSource:<DC>.
** Did not run Outbound Secure Channels test
because /testdomain: was not entered
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... SRV1 failed test frsevent
[SRV1] No security related replication errors were found on this DC! T
o target the connection to a specific source DC use /ReplSource:<DC>.

ALL
Сеть 20 компов winXP со статическими адресами и 2 сервера (работает пока один) с AD на win2003.
Выхода в инет нет и не будет никогда.
Для нормальной работы AD достаточно одного DNS сервера на PDC?
Я думаю нет строгой необходимости поднимать остальные роли?
А может и без DNS сервера обойдемся? (хотя я столько врмени на его отладку убил)

P.S. Кому то вопрос покажется глупым. Но я думаю что лучше побыть один раз дураком чем оставаться в своих укоренившихся заблуждениях всю жизнь...

mozers

Цитата:

А может и без DNS сервера обойдемся

Без DNS AD не работает. ВООБЩЕ.
И лучше держать 2 сервера, для отказоустойчивости, есть они не просят.

FreemanRU
СПАСИБО.
Я слышал что кто то умудряется обходится и без DNS сервера, но поскольку все методы решения проблем с AD начинаются со слов "убедитесь в правильной работе DNS сервера", решил не рисковать.

ALL, ЕЩЕ ВОПРОС:
Системой создан каталог, владельцем которого является только его создатель (обычный пользователь). Я, являясь членом групп "Administrators" и "Администраторы домена" не могу не попасть в этот каталог ни сменить его владельца (в списке "Владелец" - "Изменить владельца на" администраторы отсутствуют - только 2 имени текущего создателя - как локального пользователя и как пользователя домена и кнопочки внизу "Иные пользователи и группы" нету.).
Вопрос такой - КАК сменить владельца каталога???

Цитата:

Вопрос такой - КАК сменить владельца каталога???

Эм...
Контекст > св-ва > безопасность > владелец.

Но это не из оперы АД.
или как раз этот способ не пашет?

Booklet
Именно этот способ и "не пашет". А AD свои щупальца и на права NTFS распостраняет...

mozers

Цитата:

Именно этот способ и "не пашет". А AD свои щупальца и на права NTFS распостраняет...

что-то вы путаете, АД как хранилище учёток добавляет только доменных пользователей в систему со всеми вытекающими (их авторизацией и т.д.) А вот что там за права на папке и кто владелец afaik уже система настраивает сама...
У вас на лок. машине (что за система кстати, что там ещё крутится) в группу administrators входит доменная группа domain admins? (машина вообще в домене?)

greenfox
Цитата:

АД как хранилище учёток добавляет только доменных пользователей в систему со всеми вытекающими (их авторизацией и т.д.) А вот что там за права на папке и кто владелец afaik уже система настраивает сама...

Ну настраивает то она, исходя из информации AD. Вот щас, например, владелец многих каталогов DOMEN-NAME\Administrator.

Цитата:

У вас на лок. машине (что за система кстати, что там ещё крутится) в группу administrators входит доменная группа domain admins? (машина вообще в домене?)

Это 3 вопроса 3 ответа:
1. WinXP
2. В "Default Domain Policy" - "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" - "Группы с ограниченным доступом" добавил DOMAIN-NAME\Администраторы домена.
Как железно проверить что это работает??? (По дискам на компах пользователей лазаю без проблем - где угодно создаю/удаляю файлы, а вот тут...)
3. да

Наверное, входит.
Вероятно, mozers именно об этом говорит фразой "AD свои щупальца и на права NTFS распостраняет".
Механизм там чуть иной, конечно...

Ладно, расскажу как такое дело можно смоделировать
Создайте перенаправленную папку с помощью стандартного аплета в групповой политике. При создании поставьте галку "Предоставить пользователю монопольный доступ". И ВСЕ.
Хрен с этой папкой что сделаешь. Даже зайти в нее будет невозможно! НИ ПОД КАКИМИ СУПЕР-ПУПЕР ПРАВАМИ. Вот так.
Просто пользователь становится ЕДИНСТВЕННЫМ владельцем этой папки. И все. Кранты.
Как это дело отменить иначе чем через ту самую галку???

mozers

Цитата:

Как это дело отменить иначе чем через ту самую галку???

Так задумано. Доступ можно получить как обычно - взяв права владельца, о чем читай в указанной статье.

Да, тут разговор про группы шел. Так, на всякий случай. Наверняка многие знают, но, тем не менее, это иногда бывает полезно при разрешении конфликтов.

Подскажите плз, как предоставить рядовому пользователю домена право только на добавление компьютеров в домен?

Hi to All
Прблема.Начал использовать корпоративный НОД,то есть с Administrative Console.Когда установил на свою машины,то без каких либо проблем смог Install,Uninstall and etc под доменным пользователем(с админовским паролем).Потом решил на сервере установить и пусть работает,мало ли что я меня будет.Теперь после этого с сервера не возможно Install,Uninstall and etc на удаленных машинах сети под доменным пользователем (с админ. правами),а под локальном возможно.Не знаете в чем может быть ошибка или что-то я не проделал.

sLap
Можешь попытаться дать вот эти права:
http://img184.imageshack.us/img184/3056/accountadminsqq8.gif
+ каждый пользователь имеет право (если не менялись политики) ввести 10 компов в домен.

sLap
Да вроде он и так имеет такие права.

Lykym
Без прав на контейнер Computers пользователь сможет ввести машину в домен только если учетная запись компа уже была создана.

Добавлено:
rkhodjaev

Цитата:

Теперь после этого с сервера не возможно Install,Uninstall and etc на удаленных машинах сети под доменным пользователем (с админ. правами),а под локальном возможно.

Расшифруй эту фразу.
И какое-то сообщение об ошибке он же должен выдавать...

PhoenixUA
Решил проверить, у меня server 2003, рабочая станция WinXp, домен работает в режиме Windows 2003. На контейнер Computers Domain users имеет права только на чтения, и то из-за того что он входит в группу прошедшие проверку. Вывел станцию из домена, перезагрузил, на контроллере удалил машину из контейнера. Зашел на машину под локальным админом, открыл соответствующее окно и там ввел машину в домен под аккаунтом Domain user-а.

Добавлено:

Цитата:

каждый пользователь имеет право (если не менялись политики) ввести 10 компов в домен.

С этим согласен, было такое.

PhoenixUA

Цитата:

Расшифруй эту фразу.

То есть сейчас с сервера можно удалить и установить НОД на пользовательские машины удаленно. Но только под локальным учетным записью машины, то есть когда начинаешь удалять или устанавливать он запрашивает логин и пароль(+ раб.группа или домен).Ну вот через локальную учет.запись+раб.группа все норма, а когда под учет.запись домена.то выдает ошибку “Access Denied”!

PhoenixUA
Спасибо, Уважаемый! Попытаюсь дать права. О результатах отпишусь. А про 10 компов в домен каждому пользователю это эдакая встроенная рекламная акция от M$ чтоль?? ))

Lykym
Проверил, действительно работает.
А где-то читал, что надо еще дополнительно права дать... Ну и ладно...
Может права нужны, если больше 10 машин...
Upd: Нашел вот статью:
http://support.microsoft.com/kb/251335

Добавлено:
rkhodjaev
А администраторы домена входят в локальную группу "Администраторы" на компе?

PhoenixUA

Цитата:

А администраторы домена входят в локальную группу "Администраторы" на компе?

Добавил машину в группу Domain Admins and Administrator.После чего к клиентской машине без проблем коннектится и дает информацию об НОДе клиента.Ну вот потом при установке и удалении НОДа выдает ошибку - "Could not set up IPC connection to target computer(SC error code 6,GLE error code 1326)" В чем может быть проблема?

rkhodjaev
Не понял, что ты куда добавил. Если учетную запись компа, то этого делать было не нужно.
Остальное здесь вроде оффтопик, но первая ссылка в гугле:
http://www.eset.eu/support/possible-error-messages-when-installing-nod32-to-windows

ГОРЮ!
Потерял доменного юзера.
Что делал:
Правой кнопочкой по нему (в оснастке "юзеры и компы") и "переместить".
Видимо, переместил не туда...
Теперь не могу его найти.
Хотя под ним вход происходит.

Booklet
Правой кнопкой по домену - Найти...

PhoenixUA
Разумеется попробовал в первую очередь.

Вероятно, это как-то связано с синхнонизацией. Сейчас сработало, 5 минут назад - фиг.

В общем, решено.

А можно поподробнее узнать про возможность обычному пользователю 10 компов в домен добавить? Что за политика за это отвечает?

KDSKDS
Г-н PhoenixUA любезно указал чуть выше в своем посте ссылку на исчерпывающую статью от M$.

KDSKDS
По ищу через внимательнее где-то недавно мы обсуждали что-то похожее на это.То есть как ограничить вход пользователю одновременно на нескольких компах.По умолчанию стоит 10.

PhoenixUA
Спасибо тебе большое, нашел в чем проблема, просто забыл пароль для удалении и установ по умолчание сделать.Теперь вроде все нормально пашет.
Теперь возникла другая проблема по ходе работы, кто-нибудь подскажить что-нибудь pleasee:
1)Не возможно удаленно устан. или удал. НОД если вкл. Firewall, в некоторых компах оказывается вкл. и поэтому надо подойти выкл., просто это тяжело- физически не успеваю.Вопрос в том что можно ли всем сразу как то из DC выключить?
2) Почему не возможно использовать команду net send в домене? Я вроде вкл. службу «Служба сообщений» но все равно не отправляет. Может на DC что-то надо делать?
3)Смотрите возникла такая ситуатция.У компа имя было (пример) PC200, и потом я спустился и переименовал на PC199.После рестарта он заходить в домен,а домен не пускает?!через свой logon name тоже не пустил. Пришлось один раз перейти на Workgroup после чего на домен,потом все заработало.Не подскажите как правильно переименовать комп пользователя без больших проблем (то есть тратить мин времени)?

Спасибо всем заранее.