» Общие вопросы про AD (Active Directory) - часть II

В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.

[more=» Как отличить общий вопрос от частного?]общий вопрос (может быть задан в этой теме)
не связан с неработоспособностью\ошибками Вашей конкретной Active Directory;
связан с желанием понять принцип работы, получить теоретические знания по AD, заняться самообразованием, подготовиться к сертификации.

частный вопрос (желательно обсуждение в отдельной теме)
связан с ошибками\проблемами в работе Вашей Active Directory;
вы готовы предоставить подробные сообщения об ошибках из журналов событий Windows;
может потребоваться листинг результатов работы диагностических утилит (dcdiag, netdiag и т.п.) — для их публикации пользуйтесь новым тегом [no][more][/no]. [/more]

[more=» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory]

Задавая вопрос, предоставьте результаты работы следующих утилит:
ipconfig /all (если проблема не на КД, то и с клиента)
dcdiag
netdiag
Это поможет быстрее оказать вам необходимую помощь, а также может подсказать вам пути решения проблемы. Пожалуйста, заключайте листинги в тэг more

Последние две утилиты можно найти в Support Tools.
Для Windows 2000 Server скачать его можно с сайта Microsoft в зависимости от уставновленного SP:

SP2
SP3
SP4
Для Windows 2003 они находятся в дистрибутиве (Support\Tools\support.cab)

Ссылки на темы по AD на форуме "В помощь системному администратору":
общие темы.

Active Directory на Windows 2003
Настройка Active Directory в Win2000 Server
Active Directory: чем лучше на Win2003 по сравнению с Win2000
Атрибуты объектов в Active directory (AD)

профили:

Как настроить профиль для всех пользователей? Win2000, AD » Win2000, AD Чтобы все пользователи работали с одним профилем
Перемещаемый и обязательный профили пользователей в AD
Win2003, AD, предупреждение о перемещаемом профиле 30 сек
Как в AD создать иконки на рабочем столе?
Переименование учетной записи в WinXP и AD » Как сохранить профайл на WinХР, переименовав в AD ?

безопасность:

Политика безопасности Active Directory (AD) (решение не найдено)
Политика безопасности Active Directory (AD) » Как вернуть политику по умолчанию (решение не найдено)
Active Directory: пропала вкладка Security (решение не найдено)
надо скрыть папку Active Directory в сети
Active Directory и шифрование паролей
разрешения по умолчанию для User Object в AD
Как восстановить разрешения по-умолчанию на объекты AD?

репликация:

Репликация Active Directory
Репликация пользователей в AD » необходимо синхронизировать пользователей двух доменов


миграция:

Миграция пользователей с Novell NetWare на AD Win2000 (решение не найдено)
Как перенести AD с Win2000 на Win2003 (Обновление Active Directory Win2000 до Win2003)
Пофиксить баги с Active Directory после миграции

ограничение прав пользователей:

Запретить некоторым юзерам извлекать email других юзеров из Active Directory
Запрет изменения ключей реестра на локальных машинах, Win AD
Ограничить время работы в AD с последующей блокировкой
Как запретить повторный вход в систему (Win, AD) » Необходимо запретить двойной вход в систему
Как запретить отдельным пользователям (AD) доступ в Интернет
Запретить определеным пользователям из AD (Win2000) входить в домен на определенных компьютерах
Запретить пользователям играть в игры (Win2000 pro, AD)
Запрет удаления OU (User Object) в AD (active Directory)
ограничение доступа пользователей к информации AD
AD на Win2003: настроить запрет входа по времени

AD+*nix :

Linux и Active Directory
ActiveDirectory и BIND » проблема настроить

другие вопросы:

Sysprep и Active Directory
Win98 как полноправный член Active Directory
Oracle на Win2000+Active Directory (решение не найдено)
AD на машине WinXP в домене под WinNT
Копирование Active Directory
Падение Win2000 Active Directory после установки SP4
Как восстановить Active Directory
Бэкап (backup) Active directory
Удалить домен Active Directory
Удаление AD со вторичного сервера
Объединение двух лесов Active Directory в один
Переустановка AD с сохранением пользователей и компьютеров
Восстановление пользователя AD после переустановки AD
Удаление из AD информации об уже несуществующем DC
Как снести все упоминания об Exchange 2000 из AD?
Active Director: оснастка "пользователи и компьютеры"
Получить список объектов Active Directory » на сервере не являющемся DC
После удаления Active directory c Windows 2000 Server SP3 из Панели управления пропала иконка "Пользователи и пароли"
Cоздание дополнительного поля в Active Directory
ActiveDirectory + Интернет
Развалился Active Directory после смены IP сетевых карт
Win2000 Serv, AD смена IP адреса на сервере
удалить из Active Directory старые компьютеры
Клиент WinXP теряет Active Directory
сервер времени на Win2003 DC - как сделать?
Как в AD изменить счетчик добавления станций к домену?
Не могу добавить контроллер в AD
Не могу зайти под учетной записью, созданной в AD
Win2000 srv, AD: организовать админ. доступ к машинам сети
Объединение двух AD сетей - IP адресация и подсети » Две равноправные подсети соединить через VPN туннель
Как удалить принтер из AD ?
Как вырезать exchange 2003 из AD
Как удалить AD с изолированного сервера?
какие стандартные порты использует AD » Переадресация портов AD с шлюза на AD сервер
Опытный пользователь в AD

[/more]

[more=» Полезные ресурсы по Active Directory (AD)]


Форум eBookz: Системное администрирование под Windows (электронные книги)

Microsoft. Выборка по "Active+Directory"
Active Directory Migration Tool v.2.0
Group Policy Management Console (GPMC) with Service Pack 1
инструмент для создания, редактирования, сбора информации и backup групповых политик (требует framework 1.1)

Фильтр по active
Фильтр по AD
Фильтр по DC

Оригинальная документация Microsoft (англ.):
Windows Server 2003 Active Directory Technology Center
Windows Server 2003 Active Directory
Windows 2000 Server Active Directory
Windows Server 2003 Group Policy
windows server 2003 Events and Errors

Русскоязычная документация и статьи:
Библиотека сайта lib.biz.ua
Сборник документов и материалов в помощь системному администратору
Статьи из серии "Основные экзамены по Windows 2000 за 15 минут в неделю"(Dan DiNicolo)
Администрирование Windows 2000 Server
Делегирование полномочий в AD
OSP.RU. Фильтр по "Active Directory". Статьи.

Англоязычные статьи:
Статьи по AD с myITForum.com

Коллекция скриптов для работы с AD из книги Active Directory Cookbook [/more]

Предыдущая часть этой темы здесь.

Всем привет! имеется несколько заблокированных аккаунтов в АД, причем галочки "account is disabled" стоят у всех, но при поиске или фильтрации у некоторых в аттрибутах вместо "account is disabled" стоит "not set", почему это может быть?

Имеется следующая трабла:
при пропадании основного контроллера домена, конкретно тормозит процесс логона пользователей в систему, несмотря на наличие второго DC...
Плюс не отрабатывает скрипт монтирования сетевого диска.
Репликация между DC идет.
В чем прикол?

PhoenixUA
IMHO скорее всего че-то с сетью, а конкретнее с dns. Dns где подняты, на контроллерах или на контроллере?
Я у себя чтобы была отказоустойчивость поднял на обоих контроллерах Dns и Dhcp(в Dhcp предпочитаемый Dns сервер что на главном контроллере, а вторичный соответственно на втором контролере ), а так же Dfs, для шар.



Добавлено:

Цитата:

при пропадании основного контроллера домена, конкретно тормозит процесс логона пользователей в систему, несмотря на наличие второго DC...
Плюс не отрабатывает скрипт монтирования сетевого диска.

Плюс не применяются групповые политики, Imho машины вообще контроллера не видят.

Lykym
DNS в порядке. На втором нет Dhcp (они ж вроде одновременно не живут...).
На втором обнаружил незапущенный "Обозреватель компьютеров". Изменил с "Вручную" на "Авто". Может тоже поможет.
Как у тебя автоматом поднимается второй Dhcp? Или они выдают разные диапазоны?

PhoenixUA

Цитата:

DNS в порядке.

Так на обоих стоит или нет, или вообще отдельно?

Цитата:

Dhcp (они ж вроде одновременно не живут...)

Читал что надо выдовать из разного диапазона(оно и верно иначе конфликты), но у меня выдают из одного, просто статическая адрессация, т.е. все привязано к mac адрессам.



Добавлено:

Цитата:

На втором обнаружил незапущенный "Обозреватель компьютеров". Изменил с "Вручную" на "Авто". Может тоже поможет.

По моему нет, не в нем дело.


Добавлено:
Вообще желательно бы точно убедиться что машины видят резервный контроллер, например: вырубить основной, запретить учетку на резервном и попробывать с рабочей станции под этой учеткой зайти, если пусти то, рабочая берет данные из кэша.
У меня была подобная проблема, т.е. тоже на резервном работать машины не хотели, просто в чем была проблема щас не помню.

DNS на обоих. Интегрированный в AD.
GC тоже на обоих.
Скорее всего прикол в Dhcp. Разные диапазоны у меня не получится - компов много.
Придется привязывать. Вот только геморно это - относительно часто компы меняются.

PhoenixUA
Мне проще компы не меняются, да и не обязательно так делать как у меня.
Если дигамические Ip то на каждом Dhcp задавай разные пулы адрессов.


Цитата:

DNS на обоих. Интегрированный в AD.

И всеравно могут быть с ним проблемы, nslookup domen.ru на рабочей станции.



Добавлено:

Цитата:

Разные диапазоны у меня не получится - компов много.

А если маской сеть увеличить (пример 255.255.0.0), или доммен на подсети разбить, правда тут я не помошник, нет возможности сейчас данное реализовать.

Задача: При входе нового пользователя на машине (т.е. при создании профиля на машине) автоматически ставился межсетевой экран ISA 2006 Microsoft, права у пользоватля Standart User. Т.е. запускалась установка клиента ISA с правами админа.
Как это реализовать через Групповые политики?
Вопрос снимается с обсуждения, разобрался

[Перемещено в отдельную тему]
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=25531#1

Назрел один вопрос религиозного характера. (Никогда я раньше им не задавался, а вот теперь пришлось).
При разворачивании Active Directory, на дисках, на которых расположены база и лог AD, отключается кэширование. Это нужно для обеспечения целостности базы службы каталогов и понятно. Также, Microsoft рекомендует, размещать базу и лог на раздельных дисках, чтобы обеспечить максимальное быстродействие и возможность восстановления при сбое. Это тоже понятно.
Провел эксперимент: согласно рекомендациям разместил базу на одном, лог на другом, отдельном физическом диске. (система была установлена на третьем). Проверяю - работает изумительно, снижения быстродействия сервера практически не наблюдается (потому что база и лог размещены на несистемном диске, ОС не тормозит). Смотрю логи системы и обнаруживаю предупреждение о том, что C:\WINDOWS\ntfrs\jet размещены на диске со включенным кэшем, мол это опасно и чревато потерей данных. (Точный текст не помню). При том, что при разворачивании роли AD, путь для этого каталога не запрашивается.

Так вот, собственно вопрос: "Как оптимально, с точки зрения производительность/отказоустойчивость" поднять AD?

RoDeZiya

Цитата:

обнаруживаю предупреждение о том

здесь и далее - имхо:
ну и пусть пишет.

Цитата:

производительность/отказоустойчивость

определяется исключительно железками. 5 или 10 raid, крайней желательное разбитие на lun, батарейка контроллера для кэша.

RAID - любой, главное не RAID0
Если контроллер позволяет, отрезать под систему отдельный lun с кэшированием.
Батарейка не обязательна, но крайне желательна. На некоторых контроллерах без нее кэш не включится.

А если хочешь, чтобы не писало про кэш - отключи его .

PhoenixUA

Цитата:

А если хочешь, чтобы не писало про кэш - отключи его

Отключить-то можно , только как-то мне не нравятся рекомендации Microsoft, относительно развертывания AD. В идеале (согласно их рекомендациям) получается что нужно разнести лог, базу и каталог C:\WINDOWS\ntfrs\jet по трем разным дискам. (C:\WINDOWS\ntfrs\jet в любом случаем располагается на системном) и на всех трех дисках вырубить кэш. Мда... производительное решение получается, ничего не скажешь Тогда-уж лучше по-старинке оставить всё с путями по-умолчанию на диске C: и забить на этот вопрос.

RoDeZiya

Цитата:

как-то мне не нравятся рекомендации Microsoft

ну они же не предполагали, что "для обеспечения надежности" ты будешь контроллер домена ставить на железо по типу рабочей станции

5555555
Обижаете , не ставлю я AD на рабочую станцию. Просто экспериментировал на свободном сервере, где не был сконфигурирован RAID массив. (Предполагалось создание RAID10, т.е. на борту были 4 винта) ну и появилась возможность поставить все согласно рекомендации. Неожиданные результаты эксперимента и породили обсуждение проблемы.

Сорри за . Вопрос исчерпан.

День добрый

Периодически некоторые пользователи стали самопроизвольно переходить в режим "Disable"
С это может быть связана.. может какая проблема при обмене данными между контроллерами домена? никто не сталкивался?

Доброго времени суток.
Вопрос совершенно смешной, помогите плз, что надо сделать в группойвой политике чтобы значок "Мой компьютер" отображался на рабочем столе пользователя, как я понимаю в политиках это точно должно быть, но где?!!!
Пробовал конфигурация пользователя/административные шаблоны/рабочий стол/Удалить значок "мои компьютер" с рабочего поставить в положение отключен.
Как описано в пояснении:Если эта политика отключена, значок "Мой компьютер" отображается как обычно, появляясь на рабочем столе, в меню "Пуск", в панели дерева папок и веб-видах Проводника, если это не запрещено другими политиками.
Но ничего не происходит.

Цитата:

Вопрос совершенно смешной, помогите плз, что надо сделать в группойвой политике чтобы значок "Мой компьютер" отображался на рабочем столе пользователя, как я понимаю в политиках это точно должно быть, но где?!!!

свойства рабочего стола ->рабочий стол (вторая вкладка)->настройки рабочего стола там ставишь галочку напротив мой компьютер.(у меня английская Xp т.к сорри за перевод)
А с политиками ты все правильно сделал надо просто выйти и заново зайти.
Но если у тебя не классический вид меню, то на рабочем столе он не появится, тогда можно просто создать ярлык на рабочем столе.

Цитата:

Но если у тебя не классический вид меню, то на рабочем столе он не появится, тогда можно просто создать ярлык на рабочем столе.

Спасибо завтра проверю, но я не понимаю как вид меню классический/xp может на это влиять, по крайней мере в книжках ничего не написано(

kURONO
По умолчанию, т.е. не классический, мой компьютер находится в меню старт, а на рабочем столе только одна корзина.
Упс, думал при таких настройках на рабочем столе значка мой компьютер не должно быть, оказывается нет, может быть и в меню пуск, и на рабочем столе.

Товарищи, подскажите пожалуйста в чем может быть дело. Пытаюсь изменить режим контроллера домена из смешанного типа в режим работы Windows Server 2003 в силу того, что Exchnage 2007 требует это, и сервер выдает ошибку о том, что Служба каталогов занята чем-то. Пользовательские машины не залогинены, ничего лишнего вроде как не запущено на сервере...
Вот скриншот:

DeH
Есть подозрения что у тебя не все гладко в Ad, почему собственно и появляется эта ошибка. Кроме того в домене не должно быть серваков ниже Serv 2003, и рабочих станций ниже Xp.

Вопрос отпал после переустановки сервера на х64, видимо действительно не все хорошо было..

Цитата:

изменить режим контроллера домена из смешанного типа в режим работы Windows Server 2003

Цитата:

Кроме того в домене не должно быть серваков ниже Serv 2003, и рабочих станций ниже Xp.

По-моему это не так

kazavo4ka

Цитата:

серваков ниже Serv 2003

Это точно, а вот по части Xp мож переборшил.


Добавлено:
The following table lists the forest functional levels and their corresponding supported domain controllers:

Domain functional level Domain controllers supported

Lykym

Цитата:

не должно быть серваков ниже Serv 2003

тоже переборщил
DC не ниже 2003...

PhoenixUA
Согласен, но имел я ввиду Dc, хоть и написал серваков, поэтому и таблицу привел, просто ассоция Ad-сервак-Dc.

Привет Всем!
Есть доменная структура,которая была создано до меня.Логическая структура была реализовано по структуре организации.То есть есть несколько департаментов и создано OU, куда брошены все сотрудники департамента от начальника до простого специалиста.Теперь возникла задача применения GPO для большинство лиц,но кроме начальников и некоторых сотрудников.Что подскажите мне делать,так как GPO надо к OU применить,а у меня там есть особенные люды,которым не надо данная политика.

rkhodjaev
В свойсвах политики (Group Policy Management - вкладка Advanced) добавить этих пользователей и указать им Deny для Apply Group Policy