» Общие вопросы про AD (Active Directory) - часть II

люди, вопрос?
Исходники: сервак-AD, DNS, ISA, EXCHANGE, TERM.
Что произошло: один великикй Админчег решил удалить юзера "Администратор". но так как учетка эта встроенная, он был послан далеко и надолго. после чего он не успакоился и попытался вывести эту учётку из групп администраторы и создатели групповой политики(в общем из тех групп, которые прописываеются изначально). вот тут и произошло интересное: все группы пропали, кроме группы "администраторы", т.к. она так же встроенна и неразлучна с учёткой "Администратор". но после перезагруза сервака учетка "Администратор" перестала пользоваться правом устанавливать программы(у вас нет прав на ...). Я перекопал все AD, просмотрел все права администратора- все нормально, я заглянул в gpedit, secpol- тоже самое. в свойствах непосредственно exe файлов(инсталов прог) администратор так же имеет все права. дефултовские политики gpo на контроллере в AD так же не изменены. на всякий случай я админа снова ввел во все управленческие группы(домена, предприятия, управления груп пол), но результата это не принесло. sysstate делался последний раз 3 месяца назад, а за это время много, что изменилось, так что воспользоваться этим не могу. а еженедельный бэкап диска С ни к чему не привел, как было, так и осталось.
Что делать: подскажите, что нужно сделать:
-может кто знает, как откатить дефуотовские права пользователей или снести политики?
-может где в реестре есть парам, который нужно исправить?
-может прога кака есть, что сама правит это дело?
-может что сами предложите?

veryom
а ты крутой !

P.S разобрался со всем сам =)

Приветы.
Стоит ли поднимать домен на русской windows 2003 ? В инете натолкнулся на топик где человек с пеной урта кричал, что не в коем случаи этого делать не надо (без объяснений). Пока я разбирался с AD на тестовых доменах столкнулся только с проблемой невозможности установить gpmc (нету для руской винды, вроде..). Возможно в будущем будут засады ? Подскажите по опыту.

goodwen
Да работает все .

Цитата:

невозможности установить gpmc

Установить можно англ. версию, т.к. другой нет (вроде).

goodwen
как говорит Leo1000 все работает - сам проверял неоднократно
а пена у рта это один из признак бешенства - таких нужно слушать очень аккуратно )))

Leo1000

Цитата:

Установить можно англ.

Пробовал, ругнулся на язык ос и не встал.

goodwen

Цитата:

Пробовал, ругнулся на язык ос и не встал.

Может с системой что не так? У меня на рус. сервере стоит, ни на что не ругается. И вообще по поводу языка ни разу ни одной серьезной проблемы не появлялось.

Leo1000

Цитата:

Может с системой что не так?

Видима дистр gpmc какой-то не такой был. Щас скачал последний, все встало.
ali1977
Leo1000
Вобщем уболтали)). буду Русский использовать

приходится пользоваться русской.
не нравится.
иногда бывают засады на русских именах юзверей.
скрипты приходится адаптировать на русские имена, вводить условия и т.п.

но если глубоко не копать, а "поставить и пусть стоит", то разницы нет.

Ни разу не было проблем из-за русского языка системы.
Логины пользователей к языку интерфейса системы никакого отношения не имеют.
А использовать логины на русском языке - это нестандартный секс со многими приложениями. Поэтому очень не советую их использовать...

может кто и на мой вопрос ответит?

Leo1000
локальная политика по твоему совету почищенная так и осталась старой
и еще хотел узнать - как долго может включаться компьтер который не имеет связи с домен-контроллером
к примеру завел комп в домен и отдал его в филиал конторы
не сработает ли какое нить ограничение по времени или числу включений компьютера?

ali1977

Цитата:

локальная политика по твоему совету почищенная так и осталась старой

Политика результирующая одна, если что-то прописано на уровне домена, то оно и будет политикой.

Цитата:

как долго может включаться компьтер

В плане включаться и работать в отрыве от домена? Неопределенно долго.

ali1977

Цитата:

и еще хотел узнать - как долго может включаться компьтер который не имеет связи с домен-контроллером
к примеру завел комп в домен и отдал его в филиал конторы
не сработает ли какое нить ограничение по времени или числу включений компьютера?

Сработает. Навскидку: пользователь домена может зайти не более десяти раз подряд на компьютер при недоступном контроллере домена.

veryom
а можно ли это органичение снять в политиках

ali1977

Цитата:

а можно ли это органичение снять в политиках

Снять нельзя. Можно увеличить с 10 по-умолчанию до 50. При вводе цифры более 50 будет использовано 50. Крутить здесь: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности\Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена).

люди, а мне помочь?

А у меня такая трабла,
Есть старенький Домен на Windows 2000 Server, как правельно или как лучше сделать миграцию на новый сервак (железо), хочется поставить Windows Server 2003 или 2008, юзверей около 100 голов. Помогите.

Ubutu
В самом приближенном виде: поднимаешь dc, ждешь репликации, переводишь роли со старого dc на новый, опускаешь старый dc. Комбинировать до результата. Подробные руководства смотри в гугле.


Цитата:

хочется поставить Windows Server 2003 или 2008, юзверей около 100 голов.

Полюбопытствую: есть насущная необходимость переходить с Windows 2000? Или просто "хочется"?

Доброго времени суток Уважаемые подмкажите как происходит репликация перемещаемых профилей?
Т.е. я установил два контроллера домена на первом создал перемещаемые профили в свойствах юзера указал перемещаемый профиль \\dc1\UserProfiles\%Username%" на втором у меня ничего не появляется Подскажите как лучше всего настроить перемещаемые профили на случай падения первого контроллера

FClipper

Репликация проходит без сбоев? Что показывает repadmin /showrepl и repadmin /showutdvec? Восстановление контроллеров домена не проводили?

Я не силен в доменах но когда обновляю групповые политики или создаю объекты на первом контроллере то на втором все нормально работает Я токо уткнулся в вопросы с перемещаемыми профилями как быть что бы бы пользовательские данные так же перемещались на другой контроллер домена

Если я что то не так объясняю извините

FClipper
Ну а что-ж ты хочешь, если они у тебя сохраняются в обыкновенную расшаренную папку на одном контроллере. Поднимай DFS с папками на обоих контроллерах.

FClipper

Цитата:

Я токо уткнулся в вопросы с перемещаемыми профилями как быть что бы бы пользовательские данные так же перемещались на другой контроллер домена

Где находятся профили? Чтобы данные реплицировались между контроллерами домена, нужно чтобы они лежали в SYSVOL.

Есть машина, которая находится не в домене. Есть доменный принтер.
Можно ли настроить доменный аккаунт таким образом, чтобы с помощью него можно было только печатать на доменном принтере?

str1k3r в безопасности принтера выстави что пользоавтелю можно только печатать

Ребята............ как в АД задать профиль на подключения сетевого диска для Юзеров.. каков синтаксис и где это делать....
спасиб !!!

VovaMozg
Я немного не верно задал вопрос. Уточню
Мне необходимо чтобы с машины, которая находится не в домене, юзер мог подключиться только к доменной машине с принтером, а на други зайти не мог.

IeugeniyI

Свойства пользователя - вкладка Профиль - Домашняя папка - Подключить - выбираете букву диска и пишите UNC-путь, например такой: \\SERVER\pupkin$.

rezets
У тебя что, несколько AD? На одном все удалено а на других не торонуто, тогда репликации с это контроллера не идут на другие. Самый простой вариант понизить его до рядового сервера, а затем опять повысить.