» Общие вопросы про AD (Active Directory) - часть II

Sauron_zombie


Цитата:

Так я и спрашиваю, могу ли я на контроллере поддомена rec.admlr.loc захватить роли?

Можете. Можете захватить любые роли.


Цитата:

С новым контроллером домена (rec.loc) не удаётся установить доверие со старого (rec.admlr.loc), т.к. он является всего лишь часть большого домена admlr.loc.

После захвата ролей всё сможете сделать.

anton04
Буду тогда пробовать это осуществить.
Спасибо вам!

Доброго времени суток.
Скажите возможно ли сделать так что бы пользователи AD не были привязаны к физической машине а могли получить доступ к своим профилям с любой машины в сети включая почту, хлам на рабочем столе, настройки программ (по сути на всех компах стоит идентичный набор ПО), вплоть до картинки на рабочем столе? Терминальный доступ использовать пока не хочу.

Если есть подобная функция/возможность в AD скажите хотя бы как называется чтоб искать в гугле что-то определённое, или хотя бы подскажите направление раскопок.

Заранее спасибо.

DevNOOL ключевое слово для поиска "перемещаемые профили" (roaming profiles)

Yaromaxx

Спасибо буду копать.

Yaromaxx
Подскажите а что происходит, если хранилище профилей исчезает? К примеру был дисковый массив с сотнями узеров и он исчез,тогда пользователи живут на кеше, а если нужно отключить "перемещаемые профили", достаточно просто убрать путь в учетке пользователя где хранились перемещаемые профили и тогда пользователь продолжит жить на своем локальном хранилище?

Достался в наследство сервер с Active Directory, нужно его вывести в раб. группу. Он в сети один, все компы уже в рабочей группе. Если я удалю на этом контроллере Active Directory, то потом зайти на этот сервер смогу под локальным админом? Как узнать пароль локального админа, до удаления Active Directory?

23q
Загрузиться с alkid live cd и сбросить пароль на локального админ.

Достаточно просто после сноса домена и даунгрейда контроллера зайти в оснастку управление юзерами, и установить пароль и логин (по необходимости) на локального админа.

народ, подскажите кто знает, вот, например, есть домен site.local два контроллера домена cd-1 и cd-2.

если пинговать site.local, то пингуется cd-2, когда выключается сd-2, естественно пинг site.local не работает, по идее при отсутствии одного из контроллеров доменов, другой должен брать на себя функции по авторизации и тд. И я не могу понять, так должно быть, или надо еще , чтото донастроить, чтобы все корректно работало?

Цитата:

чтото донастроить, чтобы все корректно работало?

ДНС

а поконкретнее можно? можно пояснить, в почему так происходит?

Siarogka
Вообще вроде как при регистрации второго DC он должен дополнить DNS зону второй A записью с именем домена и указывающей на свой ip. А как он их отдаёт, по RR или ещё как что-то я не припомню.

Цитата:

а поконкретнее можно? можно пояснить, в почему так происходит?

Можно и поконкретнее

У Вас site.local отдает только одну A запись, а должен отдавать записи всех КД

в site.local

есть две записи A для сответсвующих IP cd-1 и cd-2.

так как сделать, чтобы отдавало запись?

Цитата:

так как сделать, чтобы отдавало запись?

nslookup site.local ваш_днс

Siarogka
А на втором-то DC DNS поднят и он получает копию зону с первого?

на компьютере, с которого пинговал, помогла очистка кэша dns,

спасибо за помощь attaattaatta

Здравствуйте.
Что имел - server.local (хост hyper-v), vdc.local (Единственный DC, виртуальный на server.local), server.local2 - отдельный DC, единственный в своем домене.
Что сделал - свернул local2, и ввел сервер что был server.local2 в домен local, забыв переименовать сам хост. Ввелся корректно, поставил mssql. Увидев, изменил server.local (hyper-v хост) на virt.local, перезагрузил весь с хост (с виртупльным DC )
Сейчас пытаюсь терминально или на хост зайти на server.local (тот что второй теперь второй DC) мне выдает "База данных диспетчера учетных записей на сервере не содержит записи для регистрации", а под локальным админом не зайти - dc ведь.

При попытки зайти на server.local интерактивно аналогично: "База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станции"
Тот что сейчас virt.local (хост hyper-v) не логинеться под доменной учеткой, говорит что нет доверительных отношений с доменом, приходиться заходить под локальным админом. Из под vdc.local посмотрел в AD, в структуре домена virt значится в контроллерах домена (как так - ума не приложу, хотя на днс сервере vdc.local все указывает на server.local) там же и vdc, а server вообще нигде не присутствует - ни computers ни в domain controllers.

Так же вместо server в сайте и структуре AD (в разделе Domain Controllers) храниться информация о virt и о vdc, server нет нигде. Но в ДНС все служебные записи указывают на server (кроме записи А, ее можно создать конечного ручками - но разрешения видимо должны то быть особыми).

Помогите, что делать чтоб расставить все на места свои.

Ну и напереименовал же ты. Для начала есть ли возможность поднять второй гипервизор и перенести vdc.local на него? Временно.

Подскажите как на DC отключить безопасная проверка пароля (SPA)?чтобы на клиентах эту галочку не ставить?

OOD
Често говоря не понятно чего хотите получить, но может это поможет - http://technet.microsoft.com/ru-ru/library/cc780462(v=ws.10).aspx

attaattaatta
Спасибо оно , а нельзя ли на определенного пользователя отключить проверку , на всех остальных оставить?

Если у Вас домен то просто сделайте скрипт для определенного пользователя через групповые политики

Наверное туплю, но всё же - в WinSrv2003 SP2 R2 есть возможность один объект учитывать в нескольких контейнерах (OU)? Т.е. например один компьютер привязать к нескольким подразделениям?

Подскажите, пожалуйста, как очищать корзину AD в Server 2012? Какой бы элемент (или группу элементов) в ней не выделил, пункт "Delete" неактивен.

Добавлено:
Undaster
Нет такой возможности в AD. В нескольких группах - пожалуйста, а в нескольких OU нельзя.

Цитата:

WinSrv2003 SP2 R2 есть возможность один объект учитывать в нескольких контейнерах (OU)?

А зачем тебе это нужно? Если для применения нескольких GPO, то это можно решить группами.

BVV63, BW4ever, спасибо - группы похоже подходящее решение. По задаче - компьютеры организованы по OU согласно организационной иерархии. На некоторые компьютеры в разных отделах потребовалось установить схожий набор ПО через GPO. Упустил, что компы тоже можно в группы объединять.

Подскажите, в чем проблема:
Переезжаю с W2003SP1 на W2003 R2 SP2

При поднятии на R2 AD пишет: Предложение работы мастера установки Active Directory невозможно, поскольку лес не подготовлен для установки Windows Server 2003. Воспользуйтесь командой Adprep для подготовки леса и домена.
Дополнительные сведения о команде Adprep

Результат тестирование dcdiag:
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\A
Starting test: Connectivity
......................... A passed test Connectivity
Doing primary tests
Testing server: Default-First-Site-Name\A
Starting test: Replications
......................... A passed test Replications
Starting test: NCSecDesc
......................... A passed test NCSecDesc
Starting test: NetLogons
......................... A passed test NetLogons
Starting test: Advertising
Warning: A is not advertising as a time server.
......................... A failed test Advertising
Starting test: KnowsOfRoleHolders
......................... A passed test KnowsOfRoleHolders
Starting test: RidManager
......................... A passed test RidManager
Starting test: MachineAccount
......................... A passed test MachineAccount
Starting test: Services
......................... A passed test Services
Starting test: ObjectsReplicated
......................... A passed test ObjectsReplicated
Starting test: frssysvol
......................... A passed test frssysvol
Starting test: frsevent
......................... A passed test frsevent
Starting test: kccevent
......................... A passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x0000165B
Time Generated: 01/14/2013 17:17:40
Event String: The session setup from computer 'MICROSOF-EDA646'
......................... A failed test systemlog
Starting test: VerifyReferences
......................... A passed test VerifyReferences
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : fam
Starting test: CrossRefValidation
......................... fam passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... fam passed test CheckSDRefDom
Running enterprise tests on : fam
Starting test: Intersite
......................... fam passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.

Должна ли информация об AD, получаемая посредством LDAP и GC, полностью совпадать? При условии отсутствия ошибок в AD.
Не вижу в ADSI Editor-е через LDAP ветку "cn=Configuration,dc=...,dc=..." (через GC её видно). Соответственно, не могу и внести туда изменения.
Это нормально либо результат ошибок (кои, согласно DCDIAG, действительно присутствуют - не проходит тест "VerifyEnterpriseReferences")?