» Общие вопросы про AD (Active Directory) - часть II

Можно ли создать группу (динамическую) в Active Directory по определенным критериям ? Если можно то как ?

Т.е. нужно создать группу "все сотрудники филиала 1".
В которую попадут все пользователи, у которых поле Office содержит ключевое слово "филиала 1" (и т.д. для "филиала 2" и "филиала 3")

Всем доброго дня!
Такая ситуация:
Допустим, есть контроллер домена AD (имя домена например, ххх.kz ), он смотрит в интернет и имеет статический IP
Есть компы в разных частях страны, смотрят в инет через ADSL или GPRS-модемы и имеют динамический IP.

Возможно ли ввести клиентов в домен не создавая VPN подключений?

Заранее извиняюсь, если вопрос нубский.

LKRM
Нет при введении в домен вы указываете просто имя домена, а ПК сам находит КД, в инете такое немного не возможно...
И даже если просто использовать какие-то данные с КД делая ldap запрос напрямую по ip., то вас должно было смутить, что все эти данные пойдут по открытому каналу.

Alukardd
А если, допустим, я зарегистрирую доменное имя johndoe.kz для контроллера домена, сам домен будет называться так же. То есть при введении в домен поиск домена идёт не через DNS?

Здравствуйте Подскажите, пожалуйста, как в АД разрешить пользователям вносить изменения в определенную ветвь реестра? Необходимо при входе и выходе из системы запускать vbs-сценарий, который вносит изменения в реестр, однако под пользователями это сделать не получается, появляется ошибка

тогда как если на клиетском компьютере залогиниться под администратором домена и выполнить скрипт вручную - все работает.

ppsascha
У пользователей нет прав на запись в ветке "HKLM".

ppsascha
назначить этот скрипт на выполнение на logon/logout через групповые политики.
В таком случае скрипт будет выполнятся от имени привилегированного пользователя.

Alukardd

Цитата:

В таком случае скрипт будет выполнятся от имени привилегированного пользователя.

Не верно. logon/logout скрипт будет выполняться с правами пользователя, под которым был загружен профиль.

FL0od13
Цитата:

Не верно. logon/logout скрипт будет выполняться с правами пользователя, под которым был загружен профиль.

извентиляюсь, вы правы. сам же в скриптах использую CPAU для выполнения нужных действий. Вот только не пойму как тогда сетевые диски цепляются? У меня юзерам запрещены такие операции...

Народ, можно ли сделать так что бы компы сами добавлялись в домен при попытке входа с действующими учетками (права на ввод дать всем, например)? Предварительно не идентифицировать комп в домене, а просто прописать ему домен вместо рабочей группы и не создавать доверительных отношений с доменом.

Добрый день, всем!

Никто не знает случайно, почему происходить такое. На некоторые компы не могу подключится с контроллера домена. Administration tools-> Computer Managment-> Connect to another computer. ИП вожу, подключаюсь компьютеру. Вот на некоторых компах не могу зайти в группу - Local Users and Groups, говорит Access Denied. Почему на некоторых компах не имею доступ? Думаю где то на клиентской машине стоит, а вот не знаю что там и как решать проблему.

rkhodjaev
Группа Администраторы домены состоит в локальной группе Администраторы ?

attaattaatta
Компу еще не подошел. Но по умолчанию, когда добавляется комп к домену, в группе Администраторы есть же пользователь domain admins.

Люди добрые, добрый день. Возникла проблема, которая меня поставила в тупик. Создал контейнер, закинул туда пользователей и машины. В контейнере изменил групповую политику по тем требованиям, которые мне надо. Поставил политику паролей, что пароль не более 63 дней, длина не мение 5 символов. но пользователи умудряются из этого контейнера поставить себе пустые пароли. Как избавиться от пустышек? Сервер win2k3 клиенты Win xp sp3.

jorfyre

Вообще-то это не вопрос по AD, а вопрос по GPO.


Цитата:

Сервер win2k3

В Windows 2003 есть ограничение по политике паролей. Политика паролей действует только на домен целиком (т.е. если прилинкована на домен, а не на конкретную OU). В Windows 2008/2008R2 таких ограничений нет.

anton04 , попробую, спасибо за совет и разъяснение.

такой вопрос . имеется сервер и в сети 36 пк. сейчас все очень запущено и мне выпала честь все это дело наладить до нормального уровня.
Короче надо поднять домен. Так вот его можно поднять постепенно то есть сейчас все пк находятся в одной групе и более менее нормально работают. Так вот смогу ли я на сервере поднять домен не затронув работу этих 36 пк в их групе Home ,ну что бы они продолжали свою нормальную повседневную работу,обнем файлами в своей групе и пользовались интернетом.. И потом постепенно водить этих всех пользователей и пк в домен. Или все это дело надо развернуть за один раз.
Просто не охота сидеть на выходных и мучать сервер и себя.

Nerovinger

Цитата:

к вот смогу ли я на сервере поднять домен не затронув работу этих 36 пк в их групе Home...
...И потом постепенно водить этих всех пользователей и пк в домен

Можно

Точно не ляжет вся сеть,ведь сервер перейдет из групы в домен. Не охота что бы потом начальство кричало что уложил сеть.

Nerovinger

Если у Вас на сервере есть расшаренные папки, то придётся дать анонимный доступ к ним и всё...

Все понял.буду приступать к работе. Всем спасибо.

Ребята, подскажите пожалуйста:
Сеть из 2-ух офисв и 2 DC, один офис переезжает и в нём планируются следующие изменения:
1. Офис1 - DC будет выведен из AD.
2. Что будет с компьютерами котрыре в домене были ? По идее они смогут продолжать использовать свои учётные записси и без доступности DC.
3. Смогу ли я потом вывести эти рабочие станции из домена без его существования ?
4. Если вдруг будет поднят новый домен или будет необходимость ввести их в другой домен, смогу ли я это сделать ?

Спасибо.

slech

1. нафига? vpn перекинул и никакого геморра с выведением, ведением.
2. останутся в домене, По идее 30 кэшированных входов по дефолту, если не меняли.
3. кажеться да, хватит и локальной админской учётки.
4. сможешь.

slech

1. нафига? vpn перекинул и никакого геморра с выведением, ведением.
- vpn действительно поможет)
2. останутся в домене, По идее 30 кэшированных входов по дефолту, если не меняли.
- по дефолту количество входов не ограничено, даже если будет проблемы - решаются вытаскиванием соски из сетевой карты (нет сети - ничего не ищет и заходит)))))
3. кажеться да, хватит и локальной админской учётки.
- единственный нюанс: доменные профили юзверей со всеми личными настройками (почта, раб.стол, сертификаты и т.д.) ты потеряешь..... выводить с сохранением всех настроек нужно при активном DC (как вариант moveuser из AdminKit'a)
4. сможешь.
- только если не выведешь из домена, то придется строить доверительные отношения между старым и новым доменом))))))

ЗЫ: Road Runner J, сорь за использование твоего ответа, просто показалось что он недостаточно полный

всем привет.
вот пробую кое что соптимизировать через групповые политики Ad.
и наткнулся на такие грабли

пишу батник

copy \\server\folder\file.msi %SystemRoot%

добавляю в
computer configuration- windows settings-script - startup

и оно нихт арбайтен ((.
при чем если запустить батник уже залогиненным юзером то все ок ((
пробовал и не в %SystemRoot% - те же пироги ((.

либо другой прикол...
я создал *.msi выложил его на сетевую шару...
в
computer configuration- windows settings-script - startup
добавляю батник с строчкой
MSIEXEC.EXE /I \\server\file\*.msi /QB

а в ответ - убедитесь что сетевой ресурс доступен или у вас есть права бла бла бла.

опять таки. если запустить из-под залогиненного юзера - то все летает (((

если кто знает где включить такую возможность или в какую сторону копать \читать - подскажите пжлст

з.ы. исходя из того что я нарыл - все скрипты из
computer configuration- windows settings-script - startup
запускаются от имени system
судя по всему эта учетка не имеет прав копировать файлы ( а так же мапить диски, думал наобмануть систему скопировав файл подмапив сетевой диск... тож не получилось)
как застравить эту учетку копировать? дело в том что *msi нужно ставить именно на конкретные компы а не для конкретных юзверей... потому пихать все то же в
user settings ....... logon - не выход ((

как вариант думал попробовать в батник скомандовать
run as ...
но не могу найти пример с правильным синтаксисом ... (((

sssset
Ждать инициализации сети (в ГП)

Цитата:

computer configuration- windows settings-script - startup

и оно нихт арбайтен ((.

у учетной записи компьютера может не хватать прав для доступа к шаре

Здравствуйте. Хочу получить консультацию по следующей ситуации.
Имеется контроллер домена (вин 2003) с АД и ДНС и внутренним адресом 172.16.хххх
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.16.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 172.16.1.2

Имеется так же другой контролер домена с адресацией 10.10.ххххх (другие параметры мне пока неизветсны). Среди этих двух контроллеров нужно сделать доверительные отношения. Если я на своем контролере (172,16...) добавлю второй ИП адрес 10.10..... и пропишу маршрутизацию (route add -p 10.10.....) возможно ли сделать доверительные отношения ? Замечу, что после прописывания маршрутизации оба контролера друг друга увидят. Т.к. вроде получил ответ, что при двух ИП адресах отношения могут глюкаво работать , либо перестать вообще быть.

Имееться вопрос нужно развернуть домен, сейчась есть Windows2008 std. используеться как КД1+DNS+DHCP+принт сервер+файловый сервер.
1 имеем еще один сервер на нем установлен Windows2003SP2 пока как рядовой сервер роли файловый сервер резервный 2-й DNS.
имеет ли смысл повышать его до КД или лучше взять еще один сервер "можно поднять на вирт. машине и поставить на него Windows2008 std".
интересует корректно ли будет работат AD с разными OC в качестве контролера домена?
з.ы.(установлен режим леса совместимости с 2003).

s800, 2008 и 2003 по моему не совместимы.

S4astliff4ik

Цитата:

2008 и 2003 по моему не совместимы.

а поконкретнее есть ссылка на соответствующий документ?