» Общие вопросы про AD (Active Directory) - часть II

Вот нашёл неплохой цикл статей - Управление групповыми политиками в организации (на одной странице - тут).

В частности, говорится о приоритетах. Но вот сделал я "Принудительное использование связи объекта групповой политики", а эффекта не вижу.

Сейчас используется способ, который подсказал wwladimir:

Цитата:

А через политики-на вкладке "делегирование" дефолтной политики добавьте подопытную машину и по
кнопочке "дополнительно" настройте ей безопасность, запретив "чтение" или "применить политику".

А этот способ почему-то не срабатывает:

Цитата:

Если машины в разных OU то используйте enforced (правой кнопкой мыши GPO-принудительный).

Что-то не помогает на одном компе даже и этот метод.
Ничего толкового не узнал и из gpresult /r
Как кто ошибки вычленяет?

Наверное, я чего-то недопонимаю, но:

Цитата:

Членство: локальные группы могут включать:
любой объект безопасности (принципал) из домена: пользователи, компьютеры, глобальные группы, локальные доменные группы;

У меня есть группа (Локальная в домене) - "WSUS-test-grp", в которую я включил компьютер из дефолтной Computers. Находится она в OU, созданном для тестов - "WSUS-test".
Я создал политику с особыми настройками для нового тестового WSUS-сервера и привязал к OU "WSUS-test".
Выше я писал, что ничего не помогает перебить корневую политику.
Так вот, стоило мне переместить компьютер из дефолтной Computers в это самое OU "WSUS-test" и сделать gpupdate /force на том компе, так сразу в gpresult /r всё стало нормально, а в реестре всё появилось.

Цитату привёл выше специально. Не могу понять, почему нужно переносить компы в OU, если их можно включать в группы?

Доброе утро.
Создал нового пользователя в AD и хотел добавить его на терминальном сервере в Пользователи удаленного рабочего стола, но по кнопке добавить и дальнейшим поиском никак не могу найти этого пользователя. На других компьютерах новый пользователь появляется.

[more]
Цитата:

Доброе утро.
Создал нового пользователя в AD и хотел добавить его на терминальном сервере в Пользователи удаленного рабочего стола, но по кнопке добавить и дальнейшим поиском никак не могу найти этого пользователя. На других компьютерах новый пользователь появляется.

1. Терминальный сервер - в домене (глупый вопрос, но все же...)?
2. В домене один сайт или несколько? Если несколько - контроллер домена, на котором создан пользователь и терминальный сервер в одном сайте или разных (может, пользователь в другой сайт еще не реплицировался)?
3. Когда добавляешь пользователя - в окне выбора среди типов объекта отмечен "Пользователи"? И в том же окне "Размещение" - выбран твой домен?



Цитата:

У меня есть группа (Локальная в домене) - "WSUS-test-grp", в которую я включил компьютер из дефолтной Computers. Находится она в OU, созданном для тестов - "WSUS-test".
Я создал политику с особыми настройками для нового тестового WSUS-сервера и привязал к OU "WSUS-test".
Выше я писал, что ничего не помогает перебить корневую политику.
Так вот, стоило мне переместить компьютер из дефолтной Computers в это самое OU "WSUS-test" и сделать gpupdate /force на том компе, так сразу в gpresult /r всё стало нормально, а в реестре всё появилось.

Цитату привёл выше специально. Не могу понять, почему нужно переносить компы в OU, если их можно включать в группы?

Если политика привязана к OU "WSUS-test", а не ко всему домену, то она и будет выполняться только к компьютерам, которые лежат в этой OU.
Если в политике дополнительно указать что она распространяется только на группу безопасности "WSUS-test-grp", то политика примениться на компах, которые лежат в OU И входят в группу.
[/more]

терминальный сервер - это отдельный физический сервер, а так он заведен в домен.
несколько сайтов, да в одном сайте.
добавляю так:
встаю на organizational unit - new- user и все.
как обычно. никогда до этого не было проблем.

сегодня пользователи появились

AMudrenko

Цитата:

Если политика привязана к OU "WSUS-test", а не ко всему домену, то она и будет выполняться только к компьютерам, которые лежат в этой OU.
Если в политике дополнительно указать что она распространяется только на группу безопасности "WSUS-test-grp", то политика применится на компах, которые лежат в OU И входят в группу.

Получается, что ключевое здесь "И"?
Если ПК в дефолтной Computers, то хоть включай его в группу, хоть не включай, пока не перенесёшь в OU с нужной политикой, ничего работать не будет?

Сделал следующим образом.
В корне создал политику и привязал её ко всему домену.
В фильтре безопасности убрал "Прошедшие проверку" и добавил свою группу "WSUS-test-grp". Членами этой группы теперь являются ПК, добавляемые из Computers.
На вкладке делегирование добавил группу "WSUS-test-grp" с правами чтения.
На политике щёлкнул правой кнопкой и выбрал "Принудительный".

Вывод для себя сделал такой.
Для дефолтных OU типа "Computers" нужно политику создавать на самом верхнем уровне (т.е. в корне) и привязывать к этому самому корню (домену). Группа безопасности может лежать где угодно - хоть в корне, хоть в каком-то OU. В группу можно включить компы из "Computers". Но политика, привязанная к какому-то дочернему контейнеру-OU, не будет применяться к родительскому элементу, пусть даже в этом дочернем OU и лежит группа безопасности.
Получается, или переносить учётные записи компов в нужные OU с привязанными политиками, или лепить всё в корень (как в моём случае, т.к. нужный мне VBS-скрипт не работает с чем-то иным, кроме "Computers").

Разораться мне помогли: rsop.msc и gpresult /r
Отдельное спасибо: gpupdate /force

Что-то дернуло меня запустить BPA для служб AD. Нашлись ошибки. В частности
Цитата:

Убедитесь в том, что запись DNS-службы(SRV) "_ldap._tcp.MSK._sites.gc._msdcs.domain.local", указывающая на локальный контроллер домена "dc-srv.sub.domain.local", зарегистрирована в DNS

Полез в DNS. В там _msdcs отображается серым значком и вообще, что-то с ней не так



Не пинайте за то, что замазал имена доменов, они соответствуют реальным. В содержимом самой папки только два контроллера домена в качестве NS и никаких поддоменов нет

У кого-нибудь такое было?

Краш тест контроллера домена:

Имеем 2 контроллера домена Win 2003 - основной и резервный, между ними идет нормальная репликация.
Вырубаем основной контроллер домена (типа сгорел напрочь).
У резервного перебросили роли FSMO и поменяли IP, все завелось и работает.
Только контроллер продолжает вести репликацию, как ему сказать что он один остался и отменить репликацию?

Удалить потерянный из Sites and Services

serg53
если второй контроллер больше не нужен, то
например, так

Удаление потерянных доменов/серверов из Active Directory Но вначале удалить из GUI прежде чем из ntdsutil стрелять

Спасибо за наводки, вот еще хорошая статья про удаление контроллера из AD
http://www.exams.com.ua/articles/administration/windows/2983.htm

помогите пжалста разобраться в локальных политиках (или другими штатными средствами виндовс)
есть терминальный сервер 2008 R2 (не в домене)
к нему подключаются клиенты для работы с базой данных через удаленный рабочий стол и по локальной сети через расшаренную папку
на сервере 4 логических диска C.D.F.G
на диске С и F имеются папки с рабочими файлами базы данных которые нужно читать/выполнять, но нельзя удалять/перемещать
необходимо
1. запретить удаленным пользователям создание/удаление папок на любом диске
2. разрешить конкретному пользователю создавать/удалять файлы только в определенной папке на диске D

ali1977


Цитата:

есть терминальный сервер 2008 R2 (не в домене)

А причём здесь тема "Общие вопросы про AD (Active Directory)" !?


Цитата:

1. запретить удаленным пользователям создание/удаление папок на любом диске 2. разрешить конкретному пользователю создавать/удалять файлы только в определенной папке на диске D

Принципиально не разрешимо, невозможно запретить создавать папки в пользовательском профиле и запретить удаление созданной им папки тоже.

P.S. Принципиально не верная постановка задачи + неверно выбранная тема для сообщения.

Всем привет!
Есть сервер win2000 sp4 с Active Directory. Первичная настройка была ещё до меня, из-за ненадобности (AD) особо не вникал.
Но вот в один прекрасный момент система при рестарте выдает ошибку Lsass.exe... невозможно запустить службу каталогов, файл не найден.
В данный момент грузится только в режиме восстановления службы каталогов. Загрузил, методом тыка определил что ntds.dit был на отдельном винте, который как раз накрылся... отсюда и ошибка "файл не найден". Винт восстановлению не подлежит, копий файлов из папки ntds нет...
Внимание ВОПРОС: что сделать, чтобы загрузить сервер. Потеря АД не критична. Главное что-бы сервак работал (на нем почтовый узел и сервер Лиги). Своим неопытным взглядом вижу 2 варианта:
1. каким-то образом удалить АД из режима восстановления (вопрос КАКИМ?);
2. каким-то образом подсунуть АД левый файл ntds.dit (где взять и прокатит ли вообще?)

Очень нужен совет!
Заранее благодарен.

Планирую разделить сеть на VLAN

VLAN1 - 192.168.0.1/24 - сервера (в том числе КД)
VLAN2 - 192.168.1.1/24 - группа пользователей 1
VLAN3 - 192.168.2.1/24 - группа пользователей 2

с маршрутизацией разобрался

Необходимо, что бы КД и DNS обслуживали другие сервера с VLAN1 и пользователей с VLAN2 и VLAN3

Правильно ли я поступлю:

1. AD - сайты и службы добавлю три подсети VLAN1, VLAN2,VLAN3 к сайту Default-First-Site-Name (сейчас там пусто)?

2. DNS - добавлю зоны обратного просмотра 1.168.192.in-addr.arpa и 2.168.192.in-addr.arpa?

Народ, подскажите пожалуйста:
Нужно поднять в домене IIS с сайтом на нём, и нужно чтобы он открывался по адресу этого домена (AD - домен второго уровня, site.com). Поднимать роль на контроллере - не очень хочется, да если и так, то не понятно как - их 4... В общем я в замешательстве, подскажите, как разруливается подобная ситуация?
Доменная система построена на WS2012 R2, варианты без включения машины в домен(или использования существующей) и без IIS - не подходят (а иначе зачем вообще спрашивать?)...

Добавлено:

Цитата:

Полез в DNS. В там _msdcs отображается серым значком и вообще, что-то с ней не так

Так вон же она, выше. Самая первая в дереве зон прямого просмотра.

Qu35tt
Если клиент, который открывает web сайт не умеет считывать ничего, кроме А записи (например SRV), то вам поможет только www.site.com. Чуть посложнее поднятие таки IIS или другого движка на контроллере (без установки web сайта), каковой будет устраивать http редирект на www.site.com.

Здравствуйте. Загнался безопасностью в доменной сети. Хотелось бы разобраться как происходит обмен хэшами паролей при авторизации в контроллере домена. Правильно ли я понимаю, что клиент посылает на DC хэш своего пароля, DC сравнивает его со своей базой и дает ответ - разрешить или запретить? Но ведь можно вытащить хэш пароля у клиента и как то послать на DC, тем самым авторизовавшись? или хэш все время меняется? Просвятите пожалуйста.
PS. Зачем узнавать пароль, если можно отправить сам хэш и не загоняться перебором?

tserg62ru
Не совсем так!
https://m.youtube.com/watch?v=JOvgggsJylg
Тут есть небольшое обьяснение как ведёт себя сервер с рабочей станцией

авторизованные в домене пользователи могут вводить в домен машины (до 10 штук) как увеличить число?

artclub атрибут ms-DS-MachineAccountQuota.
От имени администратора домена запустите оснастку Adsiedit.msc.
Откройте узел Default Naming Context. Он содержит объект с именем, начинающимся символами DC=, которое отображает правильное имя домена. Щелкните объект правой кнопкой мыши и выберите команду Свойства.
В списке Select which properties to view выберите элемент Both.
В списке Select a property to view выберите элемент ms-DS-MachineAccountQuota.
В поле Edit Attribute укажите число рабочих станций, которые пользователь может обслуживать одновременно. Нажмите кнопку Set, а затем — ОК.
0 - неограничено

не могу решить простую задачу.
Есть необходимость на начальном этапе внедрения AD (2008 R2 Rus) делать пользователей домена локальными администраторами. Сделано это пока через GPO - "на заданных рабочих станциях добавлять логинящихся доменных пользователей в группу Администраторы".
Проблема возникает с небольшим количеством рабочих станций на английской винде - там нет группы Администраторы, а на контроллерах домена нет группы Administrators.
Как можно выкрутиться из этой ситуации?

bioroido
http://forum.ru-board.com/topic.cgi?forum=8&topic=25362&start=1160#10

attaattaatta,
я и сделал через "группы с ограниченным доступом" - добавлять в группу BUILTIN/Администраторы - эта группа присутствует на контроллере "из коробки", тогда как группа Administrators - отсутствует. Это приводит к несрабатыванию данной политики на клиентах с английской виндой.

bioroido
Что мешает ввести Administrators ?

attaattaatta
я ввел, но группа не "локальная на компьютере" получается, а "локальная в домене" - и не применяется политика