» Общие вопросы про AD (Active Directory) - часть II

зашел на комп под учеткой админа. подключил принтер. на тот же комп захожу обычным пользователем - принтер не виден
на вкладке безопасности вроде всем пользователям домена разрешено печатать

а пользователю разрешено установка принтера?

ali1977
Подключи тот же принтер под пользователем. Под админом при настройках по-умолчанию нужно только локальные принтеры ставить.

VovaMozg

Цитата:

а пользователю разрешено установка принтера?

была запрещена)))))-как тока разрешил стало видно
хотя хочется чтоб пользователи не могли подключать чужие принтеры-это им что запретить обзор принтеров в AD и сети?

и еще вопрос где в политиках безопасности домена разрешить вход на доменные компьютеры с комповкоторые еще не успели ввести в домен (они пока в рабочей группе)
я так понимаю это
конфигурация компьютера-конфигурациявиндовс-параметры безопасности-локальная политика-назначение прав пользователям-доступ к компьютеру из сети?

ali1977

Цитата:

хотя хочется чтоб пользователи не могли подключать чужие принтеры

Выстави на самих принтерах нужные параметры безопасности.

Цитата:

разрешить вход на доменные компьютеры с комповкоторые еще не успели ввести в домен

Попробуй создать в домене такой же аккаунт, как на компьютере в воркгруппе.

Leo1000


Цитата:

Попробуй создать в домене такой же аккаунт, как на компьютере в воркгруппе.

не работает

ali1977

Цитата:

не работает

И переименовать рабочую группу = имя домена. У меня в свое время пустил.

Какова разница между Политками безопасности домена, Политками безопасности контроллера домена и групповыми политиками? И самое главное каковы приоритеты применения между ними?

4kusnik
Рекомендую к прочтению:
http://ru-board.com/new/article.php?sid=174
http://www.samag.ru/cgi-bin/go.pl?q=articles;n=07.2007;a=01

Цитата:

http://www.samag.ru/cgi-bin/go.pl?q=articles;n=07.2007;a=01

Вот за это спасибо.

З.Ы. где можно скачать файл в котором есть описание всех групповых политик или хотя бы подскажите как он называется.

Господа подскажите как перенести PDC на 2003 сервере, на другой 2003 сервер,со все фйнкциональностью естественно... или где спросить ?

Добавлено:
интересует перенос именно на другой экземпляр 2003 сервера а не винды на новое жеелезо...

Erazer
поднимаешь резервный контроллер, переносишь роли, убиваешь старый

а можно ли пользователям разрешить просмотр календаря - а то некоторые хотят но не могут-прав нет

SHRIKE74
ну по сути то ясно, а где найти инфу поподробнее?

Erazer, куда подробнее-то?
1. Устанавливаешь на машину сервер 2003
2. Поднимаешь на нём ад, говришь что он является вторым в домене
3. поднимаешь на нём днс, берёшь зоны с первого контролера.
4.ждёшь немного чтобы всё что надо реплицировалось, рассосалось.
5.идёшь в оснастку юзеры и компьютеры. правой кнопкой щелкаешь правой кнопкой Все задачи\хозяева операций
6. Меняешь хозяина операций
7. после это меняешь ещё хозяина схемы и хозяина леса
8. если нужно, опускаешь старый контроллер (dcpromo)

Я сам делал такое в ноябре,так что очень хорошая вещь передачи и приема ролей описаны здесь Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена
P.S. Не торопись,перед тем как будещь убивать КД,провер все ли роли ты передал!

Покритикуйте пожалуйста идею создания файлового сервера на нормально работающем КД и подключения второй сетевой карты для распределения нагрузки. Какие могут при этом возникнуть проблемы? Насчитал пока 4.
1. Некорректно начнет работать DNS
2. Новая карта станет primary после перезагрузки, в это время контроллер домена будет недоступным.
3. Даже после того как я настрою все должным образом, могут возникнуть непредвиденные проблемы.
4. Клиентам придется ходит на шары не по имени а по IP адресу чтоб использовать вторую карту, дойдут ли вообще?

Подскажте в чем может быть трабл не удаётся проверить отношения доверия между доменами?
вернее от одного домена все номано проверяется а вот от второго нет((
Есть два леса (московский и питерский филиалы между ними арендуемая оптика)
маска у обоих лесов одинаковая 255.255.255.0
но разные подсети 192.168.0.х -питер 192.168.1.х-москва
между лесами установлены доверительные транзитивные отношения
подскажите как правильно настроить обе Dnsки?

В компании получилась следующая ситуация. Имеется зарегистрированный домен второго уровня mycompany.ru и лес office.mycompany.ru . Также имеется Exchange 2003 с адресами xxx@mycompany.ru. Юзеры в АД живут с UPN-суффиксами @office.mycompany.ru . Это ничем не чревато, нет ли в этом каких-либо неправильностей? Нельзя ли малой кровью изменить уровень леса сократив его до вида mycompany.ru?

хотел узнать какие висты можно вводить в домен-тока бизнес релизы или еще какие нибуть

ali1977
Business, Ultimate, Enterprise.

Подскажите, пожалуйста, как поменять время логона сразу всему org.unit'у?
У всех сейчас с 8 до 20, но без учёта выходных. Теперь перевожу на шестидневку, и нужно изменить логон-часы.

sarti
Ctrl + A - Properties - ...


Добавлено:
какой режим работы домена?

sVx, забавно, что-то я про select all как-то даже и не подумал, сразу в поиск скриптов ударился...



Функциональные уровни домена и леса: 2003.

sarti

Цитата:

sVx, забавно, что-то я про select all как-то даже и не подумал, сразу в поиск скриптов ударился...

Я тоже не догадалься и ждал ответа.Теперь узнал

имеется сервер вин2к3 (PDC,AD,TS) и резевный сервер вин2к3 сп2 (DC,AD,TS).....вопрос следующего плана: как на резервном сервере скрыть определенные диски для определенной группы пользователей так, чтобы диски на основном домене для этих же пользователей остались видны?....думаю вопрос бы решился просто, если бы я перенес резервный сервер в отделый OU (сейчас он вместе с PDC в OU - Domain Controllers), но не знаю стоит ли так делать....

MadLord
Можно использовать разрешения безопасности NTFS. На резервном сервере запретить полный доступ определенной группе пользователей.

это не вариант...как можно запретить полный доступ к диску С:\ ???....надо просто скрыть их...слышал правда, что и с помощью NTFS можно скрыть, но не нашел как....

MadLord
Так, а какая вообще цель скрытия дисков от пользователей? Могу предложить вариант - отнять у пользователей право записи на диск C:, оставить только чтение. Ну или совсем уж жуткий вариант - отнять право просмотра содержимого папки.

цель проста: юзвери запускают из терминала 1С, а сохраяют все свои отчеты только в опред сетевую папку, не видя остальных мест для сохранения...