» Общие вопросы про AD (Active Directory) - часть II

satysaty
в оснастке Active Directory Users and Computers щелкаешь правой кнопкой по нужному тебе контейнеру. Выбираешь пункт "Делегирование прав", и следуешь инструкции (указываешь пользователя, которому будут делегированы права, далее указываешь нужные права)

имхо лучше группе.
хочу уточнить, давать локального администратора или всеже какие либо привилегированные права на управления компьютерами и пользователями в том или ином сайте?

WisDem
Локального

Добавлено:
VovaMozg
тоесть делегировать права на управление объектом компьютеров, пользователей, подразделения? Я правильно понял?

satysaty
в делегировании права на компьютеры, если я не ошибаюсь, не выставляются.
то можно сделать во вкладке Безопасность. там в Дополнительно. выбирать "Компьютер объектов"

В сети 2 контроллера домена(на w2k3), один по техническим причинам выключен пока.На втором все роли и он работает сейчас. Сейчас на работающем сервере в логах security всегда ошибка из разных машин сети домена Код ошибки 672.В журналах System на сервер пишет, что ldap не доступен и не возможно подключится. В логах юзера пишет,что Security system couldnt connect to ldap server. теперь DC начал зависает, прям ничего не работает. Приходится через кнопку ресет перезагружать. На КД есть общая папка, во время зависания становится не доступным. После перезагрузки становится доступным и все работает нормально где 4-5, потом опять начинается та история.Не знаете где копаться?

Есть два сервера:
1) AD, домен имя.ua (Windows Server 2008)
2) Mail, Web, домен имя.com.ua (FreeBSD)

На данный момент имеется в наличии два маршрутизируемых IP-адреса, через один из которых и смотрит в мир почтовик. Всех пользователей планируется ввести в локальный домен .ua. AD скорее всего будет смотреть в мир через ISA Server. Требуется следующее: нужно зделать так, чтобы все пользователи, работающие в домене .UA могли использовать почту, которая крутится на почтовом сервере в домене .com.ua, который напрямую в мир смотреть не будет, а через AD. Что собственно нужно для этого зделать?
Я чайник в этом всём, хотя AD, DNS сумел установить сам. Что делать дальше ума не приложу. Кто-то подсказал, что в DNS нужно так же, помимо зоны имя.ua так же создать и имя.com.ua, что я и зделал. Автоматически после этого подтянулось несколько MX и других записей. Не знаю правильно ли это и если так, что что делать дальше?
Спасибо.

Проблема возникла после новогодних праздников, на нашем сервере (файловый, DNS, DHCP, контролер домена) неожиданно вылезло окно о том, что ломаном NODе время триального использования истекло пару тысяч дней назад. Одновременно на компьютерах нашего единственного домена с Win 98 NOD перестал работать, хотя были запущены процессы NOD32 и NOD32krn. В случае повторного запуска выводилось сообщение об ошибке kernel32.DLL. Я переустановил NOD на сервере, но после перезагрузки вылетела ошибка Generic host process for win32, а на компьютерах, где стояла XP стали выскакивать сообщения о найденных червях и Троянах (целая куча, штук 20 разных типа http://192.168.100.3pnfdbec, c:\windows\system32\x и т.д.). В скорее сеть совсем встала, на сервере при попытке запустить AD винда говорила, что сервер не работоспособен. После восстановления с последними работоспособными программами и backUpа System state, который был сделан только в начале проблем, сеть начала работать еле-еле непродолжительное время и вновь отказала. Были попытки отключить от сети все компы и очистить от вирусов, но после подключения к сети они со временем появились снова. NOD по прежнему выдает сообщения о пойманных вирусах, сеть работает, но на многих машинах с большими тормозами и периодически зависаниями. На сервере вылазет ошибки svhost.exe, которые я отодвигаю в сторону. Сервер, шлюз(На нём стоит kerio winrout firewall c встроенным McAfee) и компы IT-отдела проверял Cureltом и AVZ, которые нашли еще некоторое количество вирусов.
P.S. Есть новый сервер на замену, пробовал поставить на него backup- не получилось, выдал синий экран и много ругался не по-русски. Теперь буду пробовать сделать его 2м контроллером домена.
Подскажите, как быстрее справиться с этой проблемой, ибо в организации пора отчётов. Заранее благодарен.

dreft
Я уже 10-sq день мучаюсь с этим вирусом, у тебя вскоре Win32/Conficker.AA. Решит можно проблему пока так. А с КД у меня тоже проблема, но другого характера. Читай мой последний пост в этом топике, не знаю что делать.....?

BakLAN
и что не работает? Ставь пользователям почтовые клиенты и прописывай в качестве pop3 smtp серверов нужный тебе сервер

KDSKDS
а как почта в мир будет ходить, если сервак (который юниксовый, он же почтовый) в мир больше напрямую не смотрит? Разве обычного создания зоны достаточно?

Во внешний мир почта должна ходить без проблем, точно так же как все ходят в интернет. Есстественно на почтовом сервере должна быть настроена маршрутизация во внешний мир, т.е. default getaway прописать нужно и разрешить на фаерфоле выход во внешний мир по 25 порту
В обратную сторону чтобы заработало нужно маппировать 25 порт с внешнего интерефейса компьютера который является шлюзом в интерент на почтовый сервер. У тебя почтовые адреса какие? com.ua? МХ запись для этой зоны у хостера (или у кого твоя зона держится) так же должна указывать на адрес внешнего интерфейса шлюза в интеренет. Т.е. все письма приходят на ISA сервер (он же в инет у тебя смотрит?), а он по правилу маппинга портов будет перебрасывать всё на внутренний почтовый сервер.
Или у тебя у почтового сервера тоже белый ип? Тогда почтовый сервер нужно загонять в DMZ и на ISA сервере настраивать правила для DMZ-зоны - открыть из/во вне 25 порт, из внутренней сети 110 и 25

KDSKDS
У почтового сервера на данный момент машрутизируемый IP, но его планируется отключить, чтобы он не смотрел напрямую в Интернет.

В общем, насколько я понял, мои действия следующие.

Для того, чтобы почта ходила во внешний мир:
1) на почтовом сервере настроить маршрутизацию во внешний мир: указать шлюз-компьютер;
2) на шлюзе открыть 25 порт в брандмауэре.

Для того, чтобы почта ходила из мира внутрь:
1) пробросить 25 порт со шлюза на почтовый сервер.
2) в MX-записи провайдера указать адрес внешнего интерфейса компьютера-шлюза;
3) на компьютере-шлюзе (ISA Server) пробросить 25 порт, чтобы он перенаправлял на внутренний почтовик.

Правильно?
Осталось только выучить FreeBSD, на котором крутится почта, чтобы указать шлюз-компьютер.

МХ запись скорее всего не у провайдера, а у хостера. Обычно хостеры держут ДНС-зоны для хостящихся у ни сайтов, а провайдер может вообще не знать какие домены он пускет в инет. Он присвоит твоему ипу имя типа hos16.net32.provider.ua
пункты 1 и 3 - это одно и тоже. В ISA это называется опубликовать сервер. И если мне память не изменяет даже мастер есть для публикации серверов.

KDSKDS
Спасибо. Буду теперь заниматься практической реализацией вышеуказанного.

можно ли в домене на определенном компьютере
не входя через удаленный доступ админу поменять разрешения общего доступа для папки ?если можно подскажите пжалста

А можно как нибудь этот скрипт модефицировать, на то что бы он не только возвращаль Lockout Users, но и разблакировал их с одного раза?
скриптик который возвращает заблокированные учетные записи:

dsquery * -scope subtree -filter "(&(lockOutTime=*)(!lockOutTime=0))"

rkhodjaev
Цитата:

не только возвращал Lockout Users, но и разблокировал

IMHO стоит "копать" в данном направлении:

_http://www.winblog.ru/2007/09/11/11090701.html
Цитата:

точно так же, как в dsquery и dsmod, знак | можно использовать для передачи данных запроса adfind по конвейеру в admod

Подскажите как выкрутится.

Есть сеть с доменом. Пользователи выходят в инет через нат, но не все. Так вот те пользователи которым запрещенно в инет, купили обычные модемы и модемы Билайна. И естественно сидят не работают. Как их ограничить? Стоит запрет на изменение сетевых подключений. Может кто сталкивался с таким?

ali1977
Заходишь в AD USers and Computers, выбираешь нужный комп, правой клавишей мыши, управление

desivers
А фаервол какой стоит?

Цитата:

Как их ограничить?

Если сотрудник ценный, то штрафануть, для начала, если нет, то уволить.

Один пользователь поотключал у себя "ненужные" службы. Теперь не принимает груповые политики. Какую службу ему нужно запустить?

minin
Спасибо, но не получается пока.Я одну прогу нашел Unlock.Вот хочу с ним разобратся.

1.А кто-нит подскажить такое.У меня в ГПО указан Audit Account Logon Events: Success,Failure. + у меня не только параметр Audit Account Logon Events,а все параметры тоже из Audit Policy.
Теперь хотел проверит логон и логофф файлы.Зашел на сервак,посмотрел в логах Security.....там ничего не нашел, есть разные логи об получении билетов и т.д.Но нет, там логов входа и выхода+ там нет логи заблокированных юзеров,из-за неверного пароля.

2.Кто нибудь пользуется шаблонами "Microsoft Windows Sever 2003 Security Guide", насколько они практичны?

Добавлено:
3. Кто-нибудь пробовал, можно ли через ГПО запретит пользование инетом,то есть чтобы страницы не открывались?

Не знаю в том ли разделе постю....
Доменный контроллер 2008 Server Standard. На другой машине ISA Server 2006 Standard (машина в домене). Настроил на ней VPN-сервер по протоколу L2TP. VPN-подключение устанавливается без проблем, правда, проверял только из внутренней сети (ещё не успел извне) и из виртуальной машины. Проблема в том, что не удаётся подключить виртуальную машину к домену через VPN-подключение. Занимаюсь всем этим впервые, т.е. чайник, поэтому и не знаю что нужно делать дальше - какие и где настройки производить. А ошибка при попытке подключиться к домену связана с тем, что невиден DNS-сервер, с которого происходит попытка найти домен.
Спасибо.

ребят, имеется 1 контроллер и компьютеры в сети. планируем купить еще несколько ноутбуков. вопрос заключается в том, смогут ли пользователи ноутбуков входить в домен через беспроводной адаптер? я новичек в этом деле, поэтому простите меня за такой ламерский вопрос.

Цитата:

смогут ли пользователи ноутбуков входить в домен через беспроводной адаптер?

Не пробовал, но не сомневаюсь, что смогут.
Как-то прочел совет и повторяю его - набери в поисковике WiFi crack или WiFi взломать и сделай выводы.

всем привет. пожалуйста, подскажите в чем проблема. есть два домена в одном лесу.
репликация с dc1 (pdc,bdc) на dc2 проходит в обоих направлениях, репликация с dc2 на dc1 не проходит... в логе есть варнинг 13562. при попытке вручную запустить репликацию с dc2 на dc1 выдается сообщение "replication access was denied"

arsenwenger
http://letmegooglethatforyou.com/?q=replication+access+was+denied

Добрый день!
Есть домен на базе Windows 2003 Server R2 SP2.
На контроллере домена поднята служба печати, опубликованы принтера через групповые политики (на компьютер и на пользователя).
При входе пользователя в сеть выполняется команда pushprinterconnections.exe, после чего у пользователя в оснастке панели управления "Принтеры" появляются все принтера опубликованные в домене через групповую политику.

Проблема заключается в том, что после удаления принтера в домене и соответственно снятия его публикации в групповой политике, на пользовательском ПК этот принтер остается (но при этом возможность печати на данный принтер конечно же отсутствует). Таким образом на ПК пользователей в списке принтеров имеется очень много "мертвых/недоступных" принтеров, что не есть хорошо.

Может кто знает как решить данную проблемку, буду очень признателен.

Прислал нам доблесный головной офис требования по отключению всех USB-устройств(кроме принтеров), CD-ROM через групповые политики. Прислали административный шаблон.Применил его, обновил групповые политики, проверил - работает, в диспетчере устройств отображаются


Но вот беда, потом прислали требование отключить этот шаблон, отключил его, обновил груп политики, а ситуация не изменилась, устройства по прежнему недоступны. Методом эксперементов установил, что помогает тока восстановление системы на контрольную точку до применнения шаблона. И все бы вроде ничего, тока восстановления включено не на всех машинах.
Как побороть такую беду ?

vovanj7
сначала этим шаблоном разрешаешь всё ранее запрещённое, а птом уже его отключаешь