» Настройка Active Directory в Win2000 Server

kibkalo

Цитата:

http://support.microsoft.com/default.aspx?scid=kb;en-us;257420&sd=tech

черт... все так просто....

С кластерами ваще не работал да и сервак у меня один. Подразделение небольшое.

Цитата:

File Server Migration Kit

дай урлю...

mikas - не надо считать, что кластеры это тока для крупных компаний.
В целях консолидации тебе они должны очень понравиться.
Вин2003 кластер ставится на обычную железку (один или несколько серверов) без всякого дискового массива. Если узел один (стандартная ситуация) то на нем можно создать несколько групп - по виртуальному серверу для подразделения - они будут уверены, что их обслуживает выделенная железка, а тебе на порядок проще..


Про миграцию глянь тут:
http://www.microsoft.com/windowsserver2003/upgrading/nt4/tooldocs/msfsc.mspx
и тут:
http://www.microsoft.com/downloads/details.aspx?FamilyId=AC13F926-A398-44D3-A37A-14B38E6E0550&displaylang=en

запостил в тему http://forum.ru-board.com/topic.cgi?forum=8&topic=4939#1
а то какой-то получается.

Hi all.
Подскажите пожалуйста способ переименовать встроенные (builtin) группы AD.

JcVai
А зачем это тебе нужно +) ?

У меня такая ситуация: Была рабочая группа сервер - W2000 Advanced Server SP4 и рабочии станции W2000SP4, но пришлось переходить на AD...Создал я на сервере контроллер домена, ввёл машинки в него. Чудно! Начал я настраивать политики безопасности контроллера, но как ни крутил, чего не менял - политики безопасности не применялись на рабочих станциях!
Плюнул я на это дело и забыл! А сегодня ввёл новую машину в домен и, о чудо, заброшенные мной политики безопасности действуют на этот компьютер!?!?
Вывод: локальные политики блокируют политики безопасности домена!

Но как от этого избавиться?
У меня стоит галочка на против политики безопасности домена "не перекрывать".
Надеюсь на внимание!
Заранее спасибо!

oleg065
а на тех машинках, где политика не применяется, ты в домен логинишся? и как ты их в домен загонял, из active directory или с локального компа? а вообще-то есть такая фишка помоему с локальной политикой...но вот что-бы она доменную перебивала (при конфликте параметров) в случае логина в домен...надо поэксперементировать.


Добавлено
только не получиться поэксперементировать. у меня проблема возникла с политикой, собственно поэтому и зашел в топик. есть у нас домен под управлением Win2000 Adv. Server SP4 (два контроллера). несколько админов. я давно уже администрю из-под WinXP. никаких проблем. но вот поставил на днях сервис пак второй. только я с политикой поковырялся, как у остальных в оснастке activе directory (Win2k), начались жуткие глюки при попытке попасть в групповую политику. винда ругается: "строка имеет слишком большую длину и была усечена". далее следует описание параметра групповой политики. и так много раз. ОЧЕНЬ много раз. у меня на ХР при это все в порядке, только задумывается над административными шаблонами. при этом политика применяется на рабочих станциях без сбоев. делали откаты с бекапов, все работает, пока я не залезу. меня чуть не прибили. при этом кое где есть рабочие станции под ХР и администрить их расширенные функции, например брандмауер, просто необходимо. написал мелкомягким (а у нас лицензионный софт), ни ответа ни привета. может кто сталкивался и посоветует патчик (пропатчить СП2 -ха)? откатываться обратно смысла нет, я могу и с сервака в эктив директори попасть, только там ХРёвые примочки не видны, а юзера уже начали ICMP вовсю перекрывать, потом воют - не работает. во всяком случае примите к сведению, глюк довольно неприятный.

Zeleznick
Ты не об этом ?

oleg065

Цитата:

А зачем это тебе нужно +) ?

Чтобы политики и скрипты корректно работали.
(Достался домен, поднятый на рускоязычных серверах)

oleg065
если ты вводил тачки в домен с самих тачек (да подругому и никак) то все должно работать.

Alan Mon
Спасибо, помогло. И что интересно, ru-board намного оперативнее microsoft...

oleg065
Как я не крутил а локальная политика не смогла перебить доменную. Да они и не пересекаются почти. А где пересекаются, там доменная забивает локальную. У меня по крайней мере. А галка не перекрывать... Вот у нас есть домен DOMEN.RU и в нем кучка контейнеров, среди них, допустим, IT, у которого своя политика (можно всё) и стоят галки "не перекрывать" и "блокировать наследование". Но если я в политике домена тоже поставлю галку "не перекрывать", то когда контроллеры снюхаются, политика домена применится и к IT. Можно правда Домен Админам поставить галочку " запретить применение групповой политики", но к тачкам всё равно применится. Вот так.
Если я не прав, поправьте пожалуйста, буду рад узнать побольше про политики, которые, по-моему, придумывались в бредовом состоянии.

Zeleznick - если запрет наследования стоит на OU то ничего сверху не применится. (проверяется командой gpresult).
По поводу запрета на применение политики для домен админов. Разумеется это отменит только юзерскую часть политики! Но ты не думал, что есть еще аккаунты компов, которым тоже можно дать денай

kibkalo
так про то и говорю
Цитата:

но к тачкам всё равно применится

kibkalo
Цитата:

если запрет наследования стоит на OU то ничего сверху не применится.

ставлю в политике домена "не перекрывать" и получаю применение и к IT, хотя стоит галка "не прекрывать" и "блокировать..." домен на Win2000 SP4. Хотелось бы в доменной политике галочку "не перекрывать" оставить все-таки. Как быть?

Привет всем.
Помогите плз...
У меня проблема: есть 2 серавка W2k Serv - главній и доп. контроллер домена SV1- главный и хозяин операций RID, PDC и инфраструктуры, на нём размещён глобальный каталог, НО создать юзверя можно только с дополнительного сервера SV2, на главном выдаёт сообщение...
"не удалось создать обьект ...
Служба каталогов не смогла выделить относительный идентификатор "

у меня подозрение на DNS в логе ошибка 16650 - инициализация относительного идентификатора

Gorets
http://support.microsoft.com/default.aspx?scid=kb;en-us;839879

Ситуация такая. Я новичок в администрировании сетей и я столкнулся с таким делом. В школе, где я устроился на работу, 14 компьютеров Windows 2000 SP4. Есть сервер под управлением Windows 2000 Server. Перенял я все установленное и решил ничего не менять. В AD прописаны все компьютеры сети и пользователи.
Тот, кто был до меня, по его словам, пробывал настроить Group Policies, но у него не получилось. Начал пробывать я. Ничего не получаеться.
Как написано в manual'ах. Сделал одну OU с подгруппами. Внутри сделал все нужные подразделения и сделал все права без "No Override" и "Block Policy Inheritance". Как писали в мануалах "сделайте продуманную иерархию". Проверяю работоспособность - не работает.
Снова читаю. Прочитал про время, через которое каждая машина проверяет наличие изменений в GPO. Поставил на 0 (7 секунд). Снова не идёт.
Проверил чтобы у каждого пользователя был Apply Group Settings был включен (галочка стоит везде). Мало того, добавил все возможные группы, в которых только могут быть пользователи (что по-моему излишне) - все равно не работает.
Где то у буржуев прочитал, что на Security Group не действую GPO. Это так? Если да, то как поступить? Builtin groups все security groups.
Что, возможно, я упустил? Про что забыл? Не работают policies хоть убей.

Буду признателен за любую информацию по этому поводу. Иначе меня школьники добьют.

Ты самих пользователей переместил в свои OU?

G14
Спасибо, конечно, за ссылку, но у меня чуть другая ситуация.
Я дополнительный домен SV2 понизил с контроллера, проделал все операции, описанные на microsoft - не помагает. repadmin указывает на наличие INBOUND NEIBORS SV1 какого уже давно нет.
(Этот RID меня уже просто достал!) Подскажите, как мне с наименшими потерями его поднять?
может лучше сделать експорт АД с помощью Ldifde, переустановить домен и импортнуть учётные записи?

Цитата:

Ты самих пользователей переместил в свои OU?

Нет. Для начала я сделал нового пользователя и с ним эксперементировал.

Vermin у юзеров должно быть разрешение на ЧТЕНИЕ и применение политики


Добавлено
Vermin у юзеров должно быть разрешение на чтение групповой политики

Vermin
Ладно. А этот новый экспериментальный пользователь находится в OU или в users?

Zeleznick

Стоят Read All Attributes и отмечены все поля где есть слово Read и отмечены Apply Group Policy у каждого юзера и группы.

Alan Mon

Ну создавал я его в OU, но он автоматически становиться частью группы <Domain name>/Domain Users.

Updated:

Ни у кого нет ни каких идей? Так не хочется переустанавливать сервер

Стоит ОС Win2003. Зачем используется в DNS Dynamic Update и что там надо поставить?
У нас просто IP на сервере 10.xx.xx.xx и после поднятия DNS он очень ругается, что указана сетка А и т.д.Поэтому прийшлось поставить в Dynamic Update = none

Привет всем!

Народ, может ли, кто ни будь подсказать, какое количество пользователей можно подключить к Active Directory?

Проблема. При подключении клиентов в домен возникли проблемы с выбором учетных записей, для расшаривания ресурсов на клиентских машинах. При открытии окошка «Выбор: Пользователи, Компьютеры или Группы» (Свойства объекта > Безопасность > Добавить), выдается сообщение: «В данном месте содержится более 0 объектов. Только первые 0 из них будут отображены». После чего предоставляется перечень стандартных (тех, которые присутствуют в домене по умолчанию) групп, а учетных записей нет.
Расклад. Сервак (он же контроллер домена) – Windows 2000 Server – 1 шт.; клиенты: Windows 2000 Pro – 3 шт.;Windows XP Pro – 1 шт.; Windows XP Home Edition – 2 шт.; Windows 95 – 1 шт.; Windows ME – 1 шт. Итого: 8 шт. клиентов. На этих 8ми все в порядке, только при подключении 9того (и на всех последующих) начались проблемы с учетными записями.
Уточнение. При инсталляции сервака в окошке выбора одновременных подключений было установлено значение 9999.
Вопрос. Подскажите, пожалуйста, как устранить эту проблему? Или дайте ссылку на сайт по тематике подключения клиентов в домен.
Заранее благодарен.

Pilot7

Цитата:

какое количество пользователей можно подключить к Active Directory?

AD может содержать до 40000 объектов в mixed или interim режимах и до миллиона в 2000 native или 2003.

Цитата:

Проблема.

результат dcdiag с контроллера и ошибки из лога проблемного клиента.

Подскажите если кто знает...!
Есть домен на win2000 server,
На этом серваке постоянно в эвенте ошибки пишет так:

Клиентское расширение Security групповой политики передало флаги (17) и возвратило код ошибки (5).

Выполнено распространение политики безопасности с предупреждением.
0x5 : Отказано в доступе.
Дополнительные сведения содержатся в разделе "Устранение неполадок" справки по безопасности.

Как с этим бороться....подскажите плиз.

ПО эвентам есть спец тема,
проидись по фильтру EventID ....

Есть: 2000 server- русский, SP4 - 50 юзеров, всё висит под доменом. Надо: в Active Directory задать групповую политику на запрет удаления сообщений в эл. почте. Часть народа по специфике работы пользуется Аутлук экспрессом, часть Майкрософт аутлуком, как задать политику, чтоб она распространялась на всех юзеров, кроме админа. Если такое возможно скриптом то каким. в принципе часть ресурсов разделена именно скриптом.

Lodo Создаешь ячейку, туда юзеров и на них политику