» Общие вопросы про AD (Active Directory)

Состав встроенных групп и права (w2k,wXP)

Приветствую уважаемые.

Если ошибся с форумом посоветуйте, где спросить.

Ищу информацию о составе встроенных групп безопастности а также о встроенных пользователях.
Их правах и выдаваемых им по умолчанию разрешениям.

Доступные книжки не содержат нужного ответа.
В лучшем случае есть описания групп Active Directory (Domain Admins, Enterprise Admins, etc).

В осносном интересуют пользователи/группы:

СЛУЖБА(SERVICE)/LOCAL SERVICE;
СЕТЬ(NETWORK)/NETWORK SERVICE;
SYSTEM;
АНОНИМНЫЙ ВХОД(ANONYMOUS LOGON);
ПАКЕТНЫЕ ФАЙЛЫ(BATCH);
ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ(TERMINAL SERVER USER);

Спасибо.

[censored]

Alexey_Gawrilow
How Security Principals Work
+это:
Well-known security identifiers in Windows operating systems

G14

Спасибо.
Будем "посмотреть".

Еще вопрос, наверное к G14, у нас с ним схожие позиции по доставке софта.
Я прописал в политики полный набор софта, который мне надо залить на клиентские станции. Он не такой уж большой:
скриптами
ACDSee 3.1
FAR 1.7
WinRAR 3.41
Lingvo 6.0
RAdmin 2.2
ASAClient 9.0
Lotsia
через msi
Acrobat Reader 6.0.2 CE
Office 2003 c mst
AutoCAD 2005 с mst
Express к AutoCAD 2005
+ спец. софт CompuTrace, TeploMag и т.п.
Соответственно в скриптах проверяется, если софт поставлен, то повторно не ставится. Вообщем-то со скриптами все ставится "на ура". А вот софт с .msi по-моему глючит.

Сегодня на тестовой тачке снес все и установил "с нуля" win xp sp2 rus. Она до этого была включена в домен и имела весь установленный софт. Включил в домен после переустановки. Поменял приоритет у сетевого сервиса, чтоб применялись политики для computer. Перезапустил.
Сразу, бросается в глаза то, что комп с первой перезагрузки не принял политику в которой сказано дождаться запуска всех скриптов и применения всех политик, прежде чем выдать окно Ctrl+Alt+Del. Т.к. я знаю, что у меня должны скрипты запускаться, я не стал ломиться и подождал, пока винт успокоится на машине и зальется софт через скрипты. Все вроде ок. Потом залогинился и перезапустил машину. Увидел, что ставится софт .msi. Но почему-то установившись не заработал ни AutoCAD 2005, ни Office 2003! Ярлыки профиля (он хранится на сервере) на столе есть. Софт стоит (каталоги в Program files лежат), но при запуске пытается установится с правами юзера! Зачем?! Когда он до этого поставился с правми SYSTEM'а!
Пришлось ставить софт вручную с правами админа.
Почему так?! Может домен запоминает на какой тачке какой софт msi залит? Или в профиле храниться такая инфа?! Подскажите!

Alxdhere

Цитата:

Софт стоит (каталоги в Program files лежат), но при запуске пытается установится с правами юзера! Зачем?! Когда он до этого поставился с правми SYSTEM'а!

автокад не ставил, не знаю
не очень понял если честно что именно происходит. ты уверен, что он пытается установиться , а не делает "установка для юзера такого то" ? Офис под каждого нового юзера на компе себя настраивает. пишет свои настройки в "C:\Documents and Settings\user\Application Data\Microsoft\Office\" ....ты не это имеешь в виду ?

Цитата:

автокад не ставил, не знаю

Жаль. Эта сволочь (AutoCAD 2005) с правами юзера не ставится, даже если Published!

Я не смог понять, если честно. Вроде как начинает настраивать, но потом пишет, что нет прав у пользователя или приложение не опубликовано! Маразм какой-то. Получается, что доставленное приложение должно быть опубликованным? Я так и сделал. Пришлось Office вручную заливать.

Но самое противное то, что политики применяются не сразу. Как бы это с него выбить?

Я уже схожусь на мысли, что удобнее сделать что-то типа админско-сетапского логина с перемещаемым профилем, на рабочем столе у которого будут лежать скрипты, которые установять софт в режиме silent. А потом на этом компе под юзером зайти и все. Так что-нибудь делал?

Ладно, если б тачки были разные у клиентов или по мощности разные. А то практически близнецы, а проблем... уже и не знаю. Хочешь чтоб было работы поменьше, а получается наоборот.

Добавлено:

Цитата:

Я не смог понять, если честно

Это я про Офис

Alxdhere
а ты административную инсталяцию делал для офиса(там де ключ на серваке вводишь..)? или на дистриб сразу указал ?

Цитата:

а ты административную инсталяцию делал для офиса(там де ключ на серваке вводишь..)?

Именно так и создал MST.

Добавлено:
Сейчас с приколом встретился Office 2003 не стал открывать файл .doc размером около 10Мб, который по почте прислался. А Office 2002 открыл легко! Снес 2003 и поставил 2002. Теперь эта зараза (2002) при каждом запуске начинает чего-то там настраивать! Не один раз, а при каждом запуске!!! Да и еще на тачке, на которой стоял Office 2003 и поставился 2002 при запуске 2003 тоже 2002 настраивается! Он тут при чем?! У меня сегодня день такой, что ли?!
Вообще, на каком офисе лучше остановиться уже не знаю. У меня 2002 + SP3, 2003 + SP1.
С таким офисом, я скоро всех на Lotus буду переводить

Добавлено:
2 G14. Может по аське пообщаемся?

Alxdhere

Цитата:

Именно так и создал MST.

стоп. ну ка давай пошагово разберемся. пиши по шагам, как развертывал офис для инсталляции. не обязательно сильно подробно. просто я не раз его ставил и проблем не было ваще....не догоняю я что у тебя творится




Цитата:

2 G14. Может по аське пообщаемся?

я б с удовольствием(если хочешь я в ПМ № кину), но:
1. я в ней редко бываю, только из дома по вечерам.
2. то что мы с тобой здесь обсуждаем, увидят много людей и может быть кому то еще это поможет (после этих слов гуру начинают истерично смеяться ). по аське увидим токо мы....

Цитата:

ну ка давай пошагово разберемся

Запустил setup /a и поставил на сервак в \\ss2\sdp\Deploy office 2003. При инсталляции ввел все, что он от меня требовал. Потом скачал ork2003 и настроил MST, выкинул Access, PowerPoint, InfoPath. В основном ставлю много лишнего, но пусть. Места хватает. Потом создал GPO в которой под computer configuration - Software Settings добавил Package. Указал на pro11.msi и в Modifications указал свой mst-файл. В принципе все работает. Просто 2003, гад, глючит. Да, как видно, не все файлы открывает. Вот что меня смутило.
Таким же макаром, точь-в-точь, настроил Office 2002. Он тоже ставится. Только при запуске чего-то там инициализирует постоянно. Все пишет, что информацию собирает. Усобирался просто.

А когда оба офиса встали на тачку (сначала 2003, потом 2002), то начали ругаться оба. То VBA не пашет, то чего-то у них не скомпилилось и пр. Снес оба. Начал ставить снова 2003 под юзеровскими правами. В самом конце установки пишет, что ошибка регистрации компонента какого-то и делает полный откат. Попробовал ставить 2002, опять тот все информацию собирает при каждом старте. Замаял.

Фигня какая-то! Чего с ней делать только? Может права юзеру какие нужны? Может их в Power Users отправить?

Да, еще добавлю. Заметная чехарда началась с xp rus. Может на xp eng порядок будет?

1. с этого дистрибутива офис уже руками ставил ? нормально?
2.
Цитата:

А когда оба офиса встали на тачку (сначала 2003, потом 2002), то начали ругаться оба. То VBA не пашет, то чего-то у них не скомпилилось и пр. Снес оба. Начал ставить снова 2003 под юзеровскими правами. В самом конце установки пишет, что ошибка регистрации компонента какого-то и делает полный откат.

между этими манипуляциями перегружался? у меня было подобное, (2 офиса одновременно на машину я ваще то ставить никада не додумывался ) офис ставится, и в конце : народное индейское жилище "фигвам". компонеты_чего_то_там.... до истерики меня довел (ночь уже, командировка..). перегрузился и он встал с 1го раза....

вообже то непохоже что с политиками проблема... (см. 1 вопрос..)

Да ставил я уже по разному. У меня вообще никогда с ним проблем не было. Похоже тупиковая ситуевина. Надо на 2003 переходить, пусть работают по мелочи на нем. А там где большие документы пишутся (есть у нас такой отдел) или проблемы с документами возникают, иметь под рукой 2002.

Ребята , в двух словах, объясните разницу между Nonauthoritative и Аuthoritative восстановления AD.
Спасибо

Проблема с контроллером домена на windows2000.
Ситуация такая - был установлен дополнительный контроллер в домене (Backup). Раньше он видился как резерный контроллер в сети. Но с недавних пор оснастка AD Users и Computers на вкладке Domains Controllers показывет, что он стал контроллером домена, а первый сервер (Server) стал просто workstation or server. Вопрос такой, как вернуть обратно Server как контроллер домена .

NightRave
При Nonauthoritative Restore все восстановленные объекты на контроллере будут считаться "старыми" и при следующей репликации заменены данными с других контроллеров.
При Authoritative Restore все естественно наоборот. Объекты, восстановленные на этом контроллере при следующей репликации заменят аналогичные на других контроллерах. Применяется при возникновении необратимых изменений в AD, которые уже реплицировались на все контроллеры.

gazza

Цитата:

Но с недавних пор оснастка AD Users и Computers на вкладке Domains Controllers

это ты какую "вкладку" имеешь в виду? OU Domain Controllers ?

G14
Запускаю AD Users and Computers, там есть папка Domain Contollers, где указаны и Server и Backup, а уже если зайти в их свойства то показывается что Backup является Domain Controller, а Server - workstation or server просто. Вот...

Нужно решить такую задачу- доступ к active directory, a именно к папке на сервере из dos, подскадите пожалуйста - возможно ли это ?

georgesitov

Цитата:

ужно решить такую задачу- доступ к active directory, a именно к папке на сервере из dos, подскадите пожалуйста - возможно ли это

AD получается тут не причем, возьми клиента версии не ниже 2.2 чтобы не было траблов и подключайся к шаре.

merlkerry
Вроде клиент только под windows 98 есть, или что-то не понимаю ?

gazza
nltest /dclist: [DomainName]
вывод сюда. при наличии там обоих(server и backup)- dcdiag с обоих в студию(только ошибки).

Добавлено:
georgesitov
ты из чистого dos хочешь ?

G14

nltest - C:\>nltest /dclist:xx.xxx.ru

Get list of DCs in domain 'xx.xxx.ru' from '\\SERVER.xx.xxx.ru'.
backup.xx.xxx.ru [DS] Site: Default-First-Site-Name
The command completed successfully


dcdiag с Server

C:\>dcdiag /q
[Replications Check,SERVER] A recent replication attempt failed:
From backup to SERVER
Naming Context: CN=Schema,CN=Configuration,DC=xx,DC=xxx,DC=ru
The replication generated an error (8453):
Win32 Error 8453
The failure occurred at 2005-02-03 14:52.37.
The last success occurred at 2005-02-01 07:51.54.
64 failures have occurred since the last success.
The machine account for the destination SERVER.
is not configured properly.
Check the userAccountControl field.
Kerberos Error.
The machine account is not present, or does not match on the.
destination, source or KDC servers.
Verify domain partition of KDC is in sync with rest of enterprise.
The tool repadmin/syncall can be used for this purpose.
[Replications Check,SERVER] A recent replication attempt failed:
From backup to SERVER
Naming Context: CN=Configuration,DC=xx,DC=xxx,DC=ru
The replication generated an error (8453):
Win32 Error 8453
The failure occurred at 2005-02-03 15:06.39.
The last success occurred at 2005-02-01 08:29.18.
356 failures have occurred since the last success.
The machine account for the destination SERVER.
is not configured properly.
Check the userAccountControl field.
Kerberos Error.
The machine account is not present, or does not match on the.
destination, source or KDC servers.
Verify domain partition of KDC is in sync with rest of enterprise.
The tool repadmin/syncall can be used for this purpose.
[Replications Check,SERVER] A recent replication attempt failed:
From backup to SERVER
Naming Context: DC=xx,DC=xxx,DC=ru
The replication generated an error (8453):
Win32 Error 8453
The failure occurred at 2005-02-03 14:52.37.
The last success occurred at 2005-02-01 08:00.23.
163 failures have occurred since the last success.
The machine account for the destination SERVER.
is not configured properly.
Check the userAccountControl field.
Kerberos Error.
The machine account is not present, or does not match on the.
destination, source or KDC servers.
Verify domain partition of KDC is in sync with rest of enterprise.
The tool repadmin/syncall can be used for this purpose.
* SERVER is not a server trust account
......................... SERVER failed test MachineAccount
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
An Warning Event occured. EventID: 0x800004F1
Time Generated: 02/03/2005 14:54:51
Event String: The attempt to establish a replication link with
An Warning Event occured. EventID: 0x800004F1
Time Generated: 02/03/2005 14:54:51
Event String: The attempt to establish a replication link with
An Warning Event occured. EventID: 0x800004F1
Time Generated: 02/03/2005 14:54:51
Event String: The attempt to establish a replication link with
......................... SERVER failed test kccevent

dcdiag с Backup

C:\>dcdiag /q
Warning: DsGetDcName returned information for \\SERVER.xx.xxx.ru, when
we were trying to reach BACKUP.
Server is not responding or is not considered suitable.
......................... BACKUP failed test Advertising
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.

на server в журнале NTDS ошибки есть ?

G14
Есть NTDS KCC

Event Type:Warning
Event Source:NTDS KCC
Event Category:Knowledge Consistency Checker
Event ID:1265
Date:03.02.2005
Time:15:24:51
User:N/A
Computer:SERVER
Description:
The attempt to establish a replication link with parameters

Partition: CN=Schema,CN=Configuration,DC=xx,DC=xxx,DC=ru
Source DSA DN: CN=NTDS Settings,CN=BACKUP,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xx,DC=xxx,DC=ru
Source DSA Address: e4737d25-afcc-474b-9a55-3ed3de5d400d._msdcs.xx.xxx.ru
Inter-site Transport (if any):

failed with the following status:

Replication access was denied.

The record data is the status code. This operation will be retried.
Data:
0000: 05 21 00 00 .!..

gazza
на серверах файрволов нет?
записи dns типа _sites.dc._msdcs.DnsDomainName для обоих присутствуют ?

G14
Файрволов нету точно, а вот записи точнее можете написать путь, чтобы их глянуть. Так пока глянул - все есть... а точнее путь укажите плиз...

gazza
Попробуй в "Active Directory Users & Computers" правой кнопкой на SERVER и "Reset account".

Alan Mon
А что это даст? Ничего не потеряю?

netdom resetpwd /server:Repl_Partner_Serv_Name /userd:domainname\admin /passwordd:*
ничего страшного не произойдет.
How To Use Netdom.exe to Reset Machine Account Passwords of a Windows 2000 Domain Controller

G14
Какой сервер ресетнуть - Server, по совету Alan Mon, или Backup?