» Общие вопросы про AD (Active Directory) - часть II

Цитата:

Мне необходимо чтобы с машины, которая находится не в домене, юзер мог подключиться только к доменной машине с принтером, а на други зайти не мог.

На этой машине создаёшь учётку, с которой к ней можно конектится и всё. Дальше этой машины никуда не уйдёшь

rezets
Хотя нужно будет вычищать пониженный сервер из AD

Цитата:

Свойства пользователя - вкладка Профиль - Домашняя папка - Подключить - выбираете букву диска и пишите UNC-путь, например такой: \\SERVER\pupkin$.

а возможно это организовать... там есть Логон Скрипт....... это что ?

IeugeniyI

Цитата:

а возможно это организовать...

Не понял утверждение (или вопрос?).


Цитата:

там есть Логон Скрипт....... это что ?

Здесь указывается путь к файлу скрипта, который будет выполняться только для этого пользователя при его регистрации в системе. Если указывается только имя файла скрипта, то считается, что файл находится в каталоге по-умолчанию, а именно в ресурсе общего доступа NETLOGON (абсолютный путь на сервере %SystemRoot%\sysvol\sysvol\<DNS-имя домена>\scripts). Если файл размещается в другом месте, нежели NETLOGON, то нужно указать и UNC-путь к нему (с "точки зрения" рабочей станции). Отмечу, что атрибут scriptPath объекта пользователя (поле Logon script) в основном используется для пользователей, регистрирующихся на рабочих станциях Win9x, которые не могут обрабатывать групповые политики.

veryom да пасиб........ это все умно и непонятно для меня написано...
тогда так........ я видел что во вкладке Профиле в строку Логон Скрипту было вписано logon.bat у тех юзеров у кого это было вписано подключался при загрузке Сетевой диск.............
дак вот вопрос......
1. где лежит этот файл
2. каков синтаксис написания этого файла

IeugeniyI

Цитата:

где лежит этот файл

Об этом я вам написал выше.


Цитата:

каков синтаксис написания этого файла

Судя по расширению bat - это обыкновенный "батник". Посмотрите эту тему: Автоматизация администрирования

KDSKDS
про это я подумал сразу, но я хотел одну общую учетную запись

Цитата:

str1k3r
про это я подумал сразу, но я хотел одну общую учетную запись

Общую для чего? Для нескольких комьютеров с принтерами? Тогда создай учётку, создай для неё группу, выведи эту учётку из группы доменных пользователей, для этой группы ограничь локальный вход и доступ к компьютеру из сети только компьютерами с принтерами. Да, эти компьютеры придётся вывести в отдельное OU (или править локальные политики ручками)
Или ты что-то другое хотел сделать?

что такое roaming profile ???

Добавлено:
дело в том что я немогу понять. есть АД...... есть юзера........ например я вхожу под польз. ТЕСТ........ вот на диске Д в папке Профил создается мой юзер-папка с именем ТЕСТ..... а там мои документы......... как это так настроенно... ??????

IeugeniyI

Перемещаемые профили.

veryom ммм..... а там их много или один )))))))))
что то не пойму...... туго мне это все дается )))))))))))

Господа! Возник вопрос, может два.
Есть мысль взять один домен и "растянуть" на несколько филиалов в разных городах. В каждом поставить по паре DC. В каждом филиале своя подсеть. Связь по инету или через vpn. На каждый филиал завести свой OU. Админы филиалов будут рулить только пользователями в своём OU.
Вопрос 1. Как это сделать правильно? На каждый филиал заводить свой site и прописывать в нём сеть?
Вопрос 2. Как правильнее ограничить в правах админов филиалов?
Вопрос 3. Какие порты необходимы для репликации между DC?
Вышло три вопроса - извиняйте.

Garreth

Цитата:

Вопрос 1. Как это сделать правильно? На каждый филиал заводить свой site и прописывать в нём сеть?

Да. Еще нужно в эти сайты перенести соответсвующие контроллеры домена

Цитата:

Вопрос 2. Как правильнее ограничить в правах админов филиалов?

Для нужной OU в остнастке "Пользователи и компьютеры" выберите "Делегирование управления".

Цитата:

Вопрос 3. Какие порты необходимы для репликации между DC?

_http://support.microsoft.com/default.aspx?scid=kb;ru-ru;832017

BULLDOG у нас похожая ситуация, только на данный момент есть лес, в нем куча доменов. Хотим из этого всего собрать один большой домен. Тут возник вопрос: если есть куча серверов, ака контроллеров домена, каждый контролер в сайте. Когда клиенты будут авторизоваться, на какой сервер они пойдут? Как будут выбирать ближайший сервер для авторизации? по времени отклика или по каким-то своим неведомым параметрам? И куда пойдут авторизоваться в следующий раз авторизоваться, на сервер где в прошлый раз авторизовывались или будут снова искать сервер для авторизации? как происходит весь это процесс?

VovaMozg
При первой авторизации компьютера какой контроллер домена выбирается точно не могу сказать, по всей видимости любой. У меня несколько сайтов и при первом подключении авторизация проходит по разному, хотя хозяин всех ролей находится в моем сайте. Затем компьютер определяет принадлежность к определенному сайту и при последующих авторизация будет использовать только контроллеры домена внутри сайта (если они работают). При перемещении компьютера в другой сайт, первая авторизация проходит на контроллерах старого сайта, а затем на внутренних.

посмотрел поиском - вроде ннету.ответа на общий вопрос.
как найти всех пользователей, которые имеют емайл и экспортировать данный список в тхт.

1) решается поиском по закладке адвансед по аттрибуту "емайл" - ок.
2) а как это все сохранить из активки в файл?

BULLDOG
где-то на мелкософте читал что сервер выбирается по минимальному времени отклика... Не совсем понятная ситуация на самом деле (а вдруг контролер в родном сайте по каким-то причинам сразу не ответил). Короче реального понимания процесса загрузки и выбора контролера нет

Появилась интересная проблема.
При запуске bat файла под учетной записью пользователя домена, при открытии в батнике doc файта происходит обращение к удаленному рабочему столу. При учетной запись администратора такой проблемы не наблюдается.
Помогите разобраться. Спасибо!

VovaMozg
При последующих подключениях все работает отлично, на себе проверил. Давно уже было. 3 офиса, один центральный, где я работал, и 2 удаленных, там админов нет. Сначала домен, естественно, установил в центральном офисе, через несколько месяцев, установил и в филиалах. Везде по 2 контроллера. После установки в первом филиале пользователи стали жаловаться (в центре и филиале), что загрузка идет долго (применение политик компа) и после ввода пароля долго думает (применение политик пользователя). Почитал книжки, разбил на сайты и все нормализовалось. Так что все будет работать нормально, если правильно настроено.

VovaMozg

Цитата:

Короче реального понимания процесса загрузки и выбора контролера нет

http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/55946.mspx?mfr=true

а как настроить контроллер чтобы клиенты у которых время сбилось по какой либо причине корректировал время клиентов в любом случае
а то тут у одного клиента пишет что часы не синхронизированы с контроллером

ali1977

Вообще-то клиенты в сети с AD должны синхронизировать время с контроллерами домена по-умолчанию (т.е. никаких лишних телодвижений делать для этого не нужно). Скорректируйте время ручками (разница с контроллером домена не должна превышать пяти минут). И нужно выяснить, по какой причине сбилось время. Либо юзер шаловливыми ручками испортил, либо проблема с CMOS.

Можно попробовать поставить на клиента и на сервер стороннее ПО, например Tardis, но это моветон.

veryom


Цитата:

Вообще-то клиенты в сети с AD должны синхронизировать время с контроллерами домена

я тож надеялся на чуство долга у компьютеров и контроллера но видимо не всегда стоит полагаться на них
а где можно проверить на контроллере службу синхронизации времени (может она выключена)))

ali1977

Цитата:

а где можно проверить на контроллере службу синхронизации времени (может она выключена)))

В оснастке Службы. "Служба времени Windows" w32time.

Цитата:

я тож надеялся на чуство долга у компьютеров и контроллера

если разница времени больше 5 минут (по умолчанию) - синхронизации не будет.
можно попробовать в логон-скрипте использовать net time...

Цитата:

можно попробовать в логон-скрипте использовать net time...

Каким образом может выполнится логон скрипт, если авторизации не пройдёт и никакого логона не будет?
Как вариант - зайти локальной учёткой и дать команду net time

Тэк-с... С чего бы начать...
В общем, передо мной, как в больнице, лежит на боку изнасилованный одним оленем DC (WS2003SP1R2/ru), с потрёпанным реестром (к примеру: при установке серверных приложений вываливаются диалоги с текстами типа "приложение не предназначено для установки на данную о/с, серверная о/с не обнаружена", и т.п.), с запартаченным MSI (куча ошибок при установке любого софта, при этом update/re-install службы не помогает, а иногда и вовсе вываливается). Более того, через раз в журнале отмечается ошибка чтения ntfs. Прогон раздела с помощью ADD 10.x помогает, но на час-полтора максимум. По ходу, конец винту, добили его.

Накат SP1-2/R2 поверх существующих ничего не даёт (как, впрочем, и ожидалось). Восстановление DC из образа чревато (хз, что тут намутили ещё, да и образ не первой свежести), system-state отсутствует, точки отката тоже, поэтому хотелось бы уточнить: сейчас подниму резервный DC, перекину все роли (благо dcdiag/netdiag не выдают пока никаких критически тяжёлых ошибок), но перекидывать буду на WS2003SP2R2/en.

Отсюда вопросы: есть ли подводные камни при таком раскладе (сам миграцию проводил лишь с "en" на "en", "ru" по личным причинам и в личных целях не юзаю с прошлого века), и какие именно кусты из реестра и adsi (adsiedit.msc) будут реплицированы? В моей ситуации это важно, т.к. хозяин, т.е. олень, судя по текущим ошибкам и ругачку на отсутствие прав при некоторых операциях, не глядя грохнул несколько значений, которые, конечно же, не забэкапил и не записал. Нигде не могу найти подробную инфу, везде лишь мануал по репликации, и ни слова о том, что именно реплицируется (по шагам и параметрам), так, в общих чертах, а мне бы (чтобы драгоценные часы не тратить на чужую работу) просто хотелось бы удостоверится перед началом действий, что они будут не зря.

Времени не хватает (своей работы достаточно, а тут ещё подкинули проблем), поэтому экспериментами, честное благородное, заниматься самому край. Может, кто такое проходил уже, поделится инфой?

sarti
вроде есть утилита ADMT называется
специально для миграции пользователей и прочей херни с одного контроллера на другой
ставишь прогу на оба контроллера и потом добавляешь учеткиадмина на обоих (чтоб доверие было ) и польется инфа с одного на другой контроллер

sarti
А в чем вопрос то?

Если ты хочешь поднять второй контроллер в уже сужествующем домене, то так и делай.

поднимешь дополнительный контроллер в домене (про DNS тоже незабудь) и захватишь им все роли, сделаешь его глобальным каталогом
потом первый контроллер домена понизишь до обычного сервера и после этого его смело может переинсталить

ali1977
ADMT необходима для миграции пользователей "и прочей херни " между доменами
для операций внутри домена она не нужна

snovitsi

Цитата:

А в чем вопрос то?

Читайте внимательно:
Цитата:

...но перекидывать буду на WS2003SP2R2/en.

Отсюда вопросы: есть ли подводные камни при таком раскладе (сам миграцию проводил лишь с "en" на "en", "ru" по личным причинам и в личных целях не юзаю с прошлого века), и какие именно кусты из реестра и adsi (adsiedit.msc) будут реплицированы? В моей ситуации это важно, т.к. хозяин, т.е. олень, судя по текущим ошибкам и ругачку на отсутствие прав при некоторых операциях, не глядя грохнул несколько значений, которые, конечно же, не забэкапил и не записал.

sarti

Никакой миграции в вашем случае нет. Ставьте второй контроллер домена, ждите завершения репликации (пройдет быстро), переводите роли и можете понижать первый контроллер до рядового сервера. Язык систем не важен (про SID'ы ведь знаете?).


Цитата:

олень, судя по текущим ошибкам и ругачку на отсутствие прав при некоторых операциях, не глядя грохнул несколько значений

О каких значениях идет речь? С этим может быть хуже, т.к. на новом контроллере будет копия старой базы AD.

Я советую вам убить лес и создать все по-новой. Долго. Но не факт, что будет быстрее, если продолжите воевать с глюками старого домена.


ali1977

Цитата:

специально для миграции пользователей и прочей херни с одного контроллера на другой

Нет никакой миграции с одного контроллера на другой в одном домене. На двух контроллерах после репликации будет одна база AD.