» Общие вопросы про AD (Active Directory) - часть II

niichavo
Просто хочеться сделать несколько ПК в свой рабочей группе и не вносить их в домен , у них своя подсеть, своя политика безопасности и конфиденциальные данные, также межсетевые экраны (в основном от вирусов)и твикерами выключено отображение компьютеров в рабочей группе.

OOD

Цитата:

у них своя подсеть, своя политика безопасности и конфиденциальные данные

Если есть возможность, лучше их разнести в разные VLAN...
Из соображений конфиденциальности...
А так, без разницы.

OOD
Ну так можно и в домене компы обезопасить. Настроить свою политику безопасности через GPO. Например, сетевой и локальный вход на них задать/запретить, основываясь на группах безопасности. Тоже относится и к данным, к шарам. Можно даже шифровать данные через EFS, но тут нужно развернуть службы сертификации. Много чего можно сделать. Да и управляемость + удобство управления будет намного лучше чем в группе.

niichavo
PhoenixUA
А данную рабочую группу тяжело будет обнаружить в сети?Или как либо без обрезания VLANами можно её скрыть?

OOD
Без VLAN качественно скрыть не получится. Если только пускать эту группу в сеть через правильный фарволл.

Leninxxx
А какие порты необходимо лочить, если отключить ICMP ,отключить NetBios,что еще необходимо?

OOD

Цитата:

А какие порты необходимо лочить, если отключить ICMP ,отключить NetBios

ICMP отключается не по портам, этот протокол работает ниже в стеке, нежели TCP. ICMP нужно отключать в свойствах соединения.

NetBIOS можно вообще отключить("Отключить NetBIOS поверх TCP/IP"). Либо заблокировать порты 137, 138, 139.

Подскажите, возможно связать принадлежность пользователя к OU с членством в группе безопасности? Суть, если перемещаю пользователя из одного OU в другое, приходится еще менять его членство в группе безопасности.

все привет.
возвращаясь к вопросу переноса Certificate Authority (CA)
3-контролера домена.
на одном CA - его надо вывести из домена - предварительно перенеся CA.
Везде описываеться процедура с переименованием имеён серверов - новый CA должен быть такого же имени как и старый CA - без этого никак ?
как поведёт себя этот контролер домена при переименовании ?


спасибо.

IGOLNI
Можно, но сложно. Без программирования никак, имхо. Можно реализовать через веб: ASP.NET + ajax для drag-n-drop и других удобняшек. Ещё было решение "Синхронизация ACL и структуры организации" в журнале "системный администратор". Там использовались vbs-скрипты и родная оснастка "Active Directory Users and Computers".

отвечая на свой вопрос:

Цитата:

Совет. После установки компонента Sertificate Services (Службы сертификатов) нельзя добавить или удалить сервер из домена или переименовать сервер. Перед началом работы убедитесь в том, что все вопросы, связанные с указанными действиями, решены окончательно.

Создание собственного бюро сертификатов

Помогите понять в чем дело. Клиент win xp успешно подключается к AD win2003, но если некоторое время не пользуется сетевыми ресурсами, то при попытке зайти в сеть просит ввести пароль. Есть какой-то тайм-аут сессий может быть?

slech

Цитата:

нельзя добавить или удалить сервер из домена или переименовать сервер

Два контроллера домена. Потребовалось переименовать один контроллер, на котором был установлен CA (совпадало NetBios-имя с контроллером из трастового домена).
1) Забэкапил-удалил CA (http://support.microsoft.com/kb/298138);
2) Перенёс роли на другой DC;
3) Понизил конроллер до обычного компа, выкусил остатки, переименовал;
4) Повысил, перенёс роли обратно.
5) Восстановил из бэкапа CA (см. п.1)

Полгода - полёт нормальный.

Подскажите, каким образом можно вести/смотреть лог всех изменений на сервере?
Допустим, был изменен юзер или изменена какая-нибудь политика, правило.
С помощью чего все это отслеживать? Audit directory service? А где смотреть лог, в Event viewer?
Windows Server 2008

Ребята, знатоки! Нужен совет. Есть два контроллера домена. Хочу реализовать схему создания их бекапов. Пока ее вижу так. Сначала запускаю ntbackup и делаю копию System State, по завершении работы утилиты ntbackup я запускаю Acronis True Image Echo Enterprise Server и делаю копию системного диска. В случае наступления каких-то проблем (тьфу-тьфу-тьфу!), я отключаю сервер от сети, восстанавливаю его из образа Акрониса, затем восстанавливаю ему System State, включаю в сеть. Второй контроллер домена все это время находится в работе.
Теперь сам вопрос - надо ли мне делать снимки System State одновременно на двух контроллерах домена? И перед включением в сеть восстановленного сервера делать восстановление System State на втором контроллере домена (который продолжал работать) до той же временной точки, что и на восстановленном?

Сегодня заметил такие сообщения в логах:
1.
Description:
NTDS (404) NTDSA: Online defragmentation is beginning a full pass on database 'C:\WINDOWS\NTDS\ntds.dit'.
2.
Description:
NTDS (404) NTDSA: Online defragmentation has completed a full pass on database 'C:\WINDOWS\NTDS\ntds.dit'.
Хотел узнать, зачем нужна дефрагментация? и эти сообщения точно говорят что- есть проблемы или это нормальное явления. Прочитал здесь, но думаю стоит проверит.

http://support.microsoft.com/kb/258062/ru


ruan

Цитата:

Есть два контроллера домена.

Как роли FSMO распределены между ними?

ruan
Если я правильно понял вопрос - то на втором делать не надо

rkhodjaev

Цитата:

Как роли FSMO распределены между ними?  

Носителем всех ролей является один из двух серверов. Глобальный каталог на каждом.

Добавлено:
Booklet

Цитата:

Если я правильно понял вопрос - то на втором делать не надо

То есть восстанавливать в случае чего лишь вышедший из строя контроллер? USN rollback при таком варианте не случится?

ruan

Цитата:

Носителем всех ролей является один из двух серверов. Глобальный каталог на каждом.

Тогда будет достаточно снимать бэкап из первого DC.

Уж не знаю в эту ли тему постить...
Провожу учения. Делаю бекап System State с помощью NtBackup на контроллере домена. Затем снимаю его образ Акронисом. Беру другое железо, восстанавливаю на него снятый образ с помощью Acronis Universal Restore, захожу в систему, доставляю необходимые драйвера, потом перезагружаюсь в режим восстановления службы каталогов, восстанавливаю бекап System State, выполняю неавторизованное восстановление по пунктам:
В раскрывающемся списке Restore files to выбираю установку в Original location
В области How to Restore активирую переключатель Replace existing files, жму Next.
В области Advanced Restore Options помечаю чекбоксы Restore Security Settings, Restore junction points и Preserve existing mount volume points. Далее Next и Finish.
После этого комп просит перезагрузку, и при загрузке операционной системы виснет намертво.
Есть соображения по этому поводу? Что я не так делаю?

ruan
Не знаю, а что если ОСку новую установите? и далее restore сделать? Я свое время ОСку переустановил, хотя если второй будет живым, то выйти из ситуации всегда можно будет.



Цитата:

Уж не знаю в эту ли тему постить..

Думаю лучше здесь.

Цитата:

Не знаю, а что если ОСку новую установите? и далее restore сделать? Я свое время ОСку переустановил, хотя если второй будет живым, то выйти из ситуации всегда можно будет

В таких случаях обычно советуют ОС ставить из того дистрибутива, с которого устанавливался и проблемный сервер. Кроме того,на новый сервер затем необходимо будет полностью установить все обновления и дополнения, которые были на исходном сервере, и лишь после этого делать Restore System State. А для меня сбор такой информации является проблемой на данный момент.

Устанавливал эксченж. Он благополучно загнулся через пару месяцев, решили его снести форматом для переустановки.
теперь пытаемся очистить АД.

зашел в схемы через ADSI и там попытался поудалять строчки, но оно мне не дает. Пишет что Отаказано в доступе или Затребованная операция удаления не может быть выполнена. Хотя я и корпорэйт админ и администратор схемы.
есть другие способы слышал. может подскажите?

где разрешить в политиках пользователям возможность записывать компакт диски встроенными виндовыми средствами?

ali1977

Цитата:

Local Computer Policy\User Configuration\Administrative Templates\
Windows Components\Windows Explorer\
Remove CD Burning features

Windows Explorer allows you to create and modify re-writable CDs if you have
a CD writer connected to your PC.

If you enable this setting, all features in the Windows Explorer that allow
you to use your CD writer are removed.

If you disable or do not configure this setting, users are able to use the
Windows Explorer CD burning features.

+ проверить запущена ли служба IMAPI CD-Burning COM Service (Служба COM записи компакт-дисков IMAPI)

Народ, надо пару отчетов сделать офицеру безопасности, который не работает в ИТ-отделе, не давая ему каких либо прав в домене.
То есть из AD надо выгрузить отчет, где будут такие данные как:
1. Список блокированных юзеров за определенный интервал.
2. Каким пользователям были даны какие-то права (например я себе или Петрову дал права админа и убрал 20.07.2009 и т.д.)
3. Когда был регистрирован какой-то пользователь.

Можно такое реализовать? Если да, то не подскажите в каком направлении копаться ?

Подскажите плиз. Есть домен с 2 ДС w2k и w2k3 r2. Хочу заменить сервак 2000 на 2008.
Домен смешанный ( с поддержкой старой nt). Какие подводные камни могут ожидать? Как схема будет нормально расширена? Вариант перехода - передача всех ролей и GC, понижение до рядового сервера и вывод из домена, ввод в домен 2008 вподнятие ад и передача на него ролей? Кто-то ставил уже 2008 в качестве dc?

slay1212
ну а в чем проблема? вводишь в домен, делаешь контолером, если нужно -навешиваешь на него роли. Если есть необходимость -выносишь старое барахло и повышаешь уровень домена и леса. Работает и переводится нормально

Уважаемые гуру!
Возможно ли в WinServer 2003 прикрутить "управление групповыми политиками" как в WinServer 2008, интересует в частности появившиеся возможность управления "настройка" -> "параметры панели управления" через GPO?

Аудит LDAP доступа.
Есть домен на базе Windows, есть обычная учетка, под которой ходит phpbb в AD за пользователям, есть еще некоторые сторонние не мелкософт программы, использующие LDAP доступ к AD, как отследить последний доступ этих юзеров к AD?
В оснастке AD users and computers для дополнительной закладки зарегана библиотечка Acctinfo.dll из ресурскита Win2k3, на которой видно время последнего входа юзера.
Даже после рестарта сервисов, вроде как должно быть обращение под этими юзерами к АД, но нигде нет упоминания о использовании этих учеток.
Хотелось бы почистить домен от мертвых душ.
Кто что подскажет?