» Общие вопросы про AD (Active Directory)

rkhodjaev

Цитата:

1)Не возможно удаленно устан. или удал. НОД если вкл. Firewall, в некоторых компах оказывается вкл. и поэтому надо подойти выкл., просто это тяжело- физически не успеваю.Вопрос в том что можно ли всем сразу как то из DC выключить?

Я уже ответил на этот вопрос в Групповых политиках.

Цитата:

2) Почему не возможно использовать команду net send в домене? Я вроде вкл. службу «Служба сообщений» но все равно не отправляет. Может на DC что-то надо делать?

Лучше всего оставить её выключенной. Во первых в этой службе находили уязвимости, во-вторых - это отличный способ флудить.

Цитата:

3)Смотрите возникла такая ситуатция.У компа имя было (пример) PC200, и потом я спустился и переименовал на PC199.После рестарта он заходить в домен,а домен не пускает?!через свой logon name тоже не пустил. Пришлось один раз перейти на Workgroup после чего на домен,потом все заработало.Не подскажите как правильно переименовать комп пользователя без больших проблем (то есть тратить мин времени)?

Скорее всего переименование компьютера осуществлялось не с той учетной записью, с которой компьютер был введен в домен.

RoDeZiya

Цитата:

Лучше всего оставить её выключенной. Во первых в этой службе находили уязвимости, во-вторых - это отличный способ флудить.

Но понимаете иногда возникает необходимость по сетке всем отправить служебное сообщение, но не хочется какие либо прог. установить.Просто отправлять какие либо информации(пример) сохраняйте все документы или перезагрузите систему и т.д.

Цитата:

Скорее всего переименование компьютера осуществлялось не с той учетной записью, с которой компьютер был введен в домен.

Да так как учетная его запись был с пользователскими правами.И я через локальную уч. запись переименовал?
Ну тогда выйти из ситуатции когда у данной уч.записи пользоват. права?

rkhodjaev
Решение следующее: нужно вводить в домен компьютер под учетной записью пользователя домена, запоминать эту учетную запись, а потом, в случае необходимости, при переименовании указывать эту учетку.
Либо совершать эти операции под учеткой доменного админа.

RoDeZiya

Цитата:

вводить в домен компьютер под учетной записью пользователя домена, запоминать эту учетную запись, а потом, в случае необходимости, при переименовании указывать эту учетку.

Ужос. А если у меня тысячи компьютеров в домене, мне что гроссбух вести??
rkhodjaev
Первый способ тебе сказали уже -
Цитата:

совершать эти операции под учеткой доменного админа.

Второй способ (более быстрый) - поставить Support Tools и использовать
NETDOM RENAMECOMPUTER machine /NewName:new-name
/UserD:user [/PasswordD:[password | *]]
[/UserO:user [/PasswordO:[password | *]]]
[/Force]
[/REBoot[:Time in seconds]]

RoDeZiya
Окей получился

Hi to All
А можно сделать такое в домене.Я хочу что бы юзкры с пользовательскими правами не смог ли создавать расшаренные папки на своем компе.Это для того чтобы пользователи хранили папки которые были специально созданы заранее на сервере. Вкратце как можно запретить пользователям создавать шаринные папки на своих компах.
Инфо- у всех пользователей ХР + FAT!



Добавлено:
G14
Первый способ получился, а вот второй не получился как то я запутался!

rkhodjaev


Цитата:

как можно запретить пользователям создавать шаринные папки на своих компах.

если я не ошибаюсь то простые пользователи по умолчанию не могут разшаривать папки по крайне мере у меня так на 2003 сервере ниче вроде не настраивал дополнительно
а если не хочешь чтоб на компе ваще чтото сохраняли то отключи обзор всех дисков

Всех с наступившим, наилучшие пожелания. Вопрос такой - реально ли поднять DHCP+DNS на W2k3 без AD? Сеть небольшая, пара десятков компов плюс гости через WiFi. Сейчас адреса раздаются Netgear FVX538, в принципе все работает нормально, но был случай выхода железки из строя как раз в момент отсутствия админа (т.е. меня) в офисе по причине отпуска, и поэтому до момента замены ее по гарантии накрылся не только интернет но и сеть. Хочется обезопасить себя и фирму от подобных сюрпризов в будущем и поднять DHCP еще и на сервере, и сделать его основным. Особого желания (да и смысла) поднимать домен пожалуй нет.

Цитата:

Всех с наступившим, наилучшие пожелания. Вопрос такой - реально ли поднять DHCP+DNS на W2k3 без AD?

Абсолютно реально.

golkanavt

Цитата:

Всех с наступившим, наилучшие пожелания. Вопрос такой - реально ли поднять DHCP+DNS на W2k3 без AD?

Поднять DHCP и DNS без AD конечно-же можно. Просто добавте эти две роли и произведите необходимые настройки.

Народ, помогите, поставил домен на Виндовс 2003 сервер,
всё норм, завел пользователей, подцепил к домену.
но все они по умолчанию "пользователи домена" и соответсвенно нифига не могут:

правая кнопка=> создать -есть тока папка и ярлык (обычно там много чего еще)

запускаешь Ворд, он говорит типа вот ты новый пользователь, введи имя инициалы, всё норм, при следующем запуске - тоже самое

ну еще много нюансов, которые делают неудобной работу.

всё это реально решается, если сделать их администраторами, но это им жирно

как решить проблему без повышенияя прав пользователей до админа?

Заранее благодарен

Lanista
Это можно сделать мильоном способов. Можно через net localgroup. Можно воспользоваться таким сценарием. А можно добавить пользователя через функционал restricted groups.
Пардон. Несколько не то вам посоветовал... А если попробовать такой подход и ограничивать права пользователей только при работе с некоторыми приложениями? Или через AutoIt запускать приложение с правами администратора, а сам сценарий AutoIT зашифровать, делая это таким образом?

Lanista

Цитата:

правая кнопка=> создать -есть тока папка и ярлык (обычно там много чего еще)

А что нужно? "много чего еще" - это что? Если на рабочей станции установлены программы, то попробуйте их запустить под учетной записью пользователя.


Цитата:

запускаешь Ворд, он говорит типа вот ты новый пользователь, введи имя инициалы, всё норм, при следующем запуске - тоже самое

Это не должно быть связано с тем, что пользователи работают под ограниченными учетными записями. Такое поведение Word'а у вас наблюдается на всех машинах?


Цитата:

ну еще много нюансов, которые делают неудобной работу.

Каких?

С профилями и настройкой групповых политик не мудрили?

RoDeZiya
Роли уже добавлены, в DHCP настройки областей указал, но без авторизации сервер адреса не раздает, а авторизация без домена не проходит. Как объехать это ограничение? Перекурил кучу мануалов бумажных и электронных, ответа не нашел.

Добавлено:
Вот что удалось найти здесь

Цитата:

A J Anto [MSFT] (Expert):
Q: Ok, is it possible to authorize a DHCP Windows Server 2003 without being in an active directory?
A: if you want the DHCP server to operate in a non-active directory environ, then you should not domain-join the machine. In that case, the machine will be authorized independently of the Active Directory.

Домена нет, но как авторизовать сервер?

golkanavt
IMHO проблема в чем то другом, ты уверен что он не раздает, как я понимаю из предыдущего твоего поста у тебя есть альтернативный Dhcp.

Цитата:

A J Anto [MSFT] (Expert):
Q: Ok, is it possible to authorize a DHCP Windows Server 2003 without being in an active directory?
A: if you want the DHCP server to operate in a non-active directory environ, then you should not domain-join the machine. In that case, the machine will be authorized independently of the Active Directory.

А это говорится про Dhcp сервак который сам в ходит в домен, опять же чтоб его не надо было авторизировать его просто надо вывести из домена.

Цитата:

if you want the DHCP server to operate in a non-active directory environ, then you should not domain-join the machine

Ага, там же:

Цитата:

A: Authorization happens this way: if a machine is attached to a domain, then it would check with AD to see if it authorized. If the server is not joined to any DHCP Active directory, then the authorization happens automatically - based on certain concepts.

Перезапустил DHCP сервер, выключил имеющийся в сети, запускаю ipconfig /renew на тестовом компе, в ответ получаю "DHCP server unreachable"

golkanavt
Блин щас проверю, но по моему на серваке который не входит в домен нет даже такой кнопки в настройках авторизация .

Добавлено:
Проверил, действительно нет, зато есть кнопка активировать/деактивировать область(пул), и не чего не мешает нажать эту кнопку. Проверить его работу в сети нет возможности, данный сервак стоит на домашней машине, но я думаю что все будет работать.

Lykym
Меня смущало сообщение о необходимости авторизации сервера. После перезапуска оно действительно пропало, осталось разобраться, почему не выдаются адреса.

ali1977

Цитата:

если я не ошибаюсь то простые пользователи по умолчанию не могут разшаривать папки по крайне мере у меня так на 2003 сервере ниче вроде не настраивал дополнительно

Спасибо,да по умолчанию юзеры не смогут шарит папку(честно до етого не знал,пробовал и убедился).Оказывается у тех пользователей было локальная админ.право.Может мне кто нибудь подскажет что это за вещь?Как создается и как узнать что он является локальным админом или нет?

rkhodjaev

Цитата:

Оказывается у тех пользователей было локальная админ.право.Может мне кто нибудь подскажет что это за вещь?Как создается и как узнать что он является локальным админом или нет?

Restrict Group - задается через GPO в разделе computer configuration

Переезжаем в следующую часть:

Общие вопросы про AD (Active Directory) - часть II