» Общие вопросы про AD (Active Directory)

G14
Из читосго доса
К сожалению эта машина подключена к аппарату разрезочному а его драйвера и программа только под чистый дос. Из сети он берёт макеты.
Что можно сделать, подскажите пожалуйста.

Цитата:

Server, по совету Alan Mon

Добавлено:
georgesitov
возможно это тебе поможет:
http://support.microsoft.com/default.aspx?scid=kb;en-us;124175
http://support.microsoft.com/default.aspx?scid=kb;en-us;142703

G14
Там везде про NT4 написано - а к домену 2003 он тоже сможет зайти ?

georgesitov
зависит от настроек безопасности. введешь пользователя в группу "пред Windows 2000 доступ" и должно получиться.

G14 - привет!
Есть такой вопрос. У меня нарисовался софт, который не хотит ставиться с правами пользователя и с правами SYSTEM'а. Вот такой он загадочный. Соответственно, я не могу его установить не через assign, не через publish. Могу только запустить локально с правами админа, с чем я уже смирился.
Хочу сделать так, чтобы при вызове окна "Установка и удаление программ" из под пользователя юзер видел опубликованные для него приложения, а если я это же окно запущу через "Запуск от имени..." и зайду с правами админа (локальным или доменным?), то видел другой набор программ. Которые ставятся только с правами админа.

Я попробовал в GPO в published приложениях прописать в Security только группу админа - не помогло. Как достичь такого результата?

Заранее спасибо.

Alxdhere
Создай отдельную политику, опубликуй это приложение там и дай доступ к ней только админам.

2 Alan Mon - так ведь я про это и спрашиваю!
Где именно регулировать доступ? И какую группу? Administrators? Domain Admins?

У GPO есть Security и у приложения есть Security. Куда лезть?

Цитата:

И какую группу? Administrators? Domain Admins?

под кем хочешь ставить тому и давай...

Цитата:

Где именно регулировать доступ?

в GPO. Где чтение и применение политики.

Тэкс...
У меня установлена GPM (Group Policy Management) панель. Нахожу свою GPO и жму правой кнопкой мыши и выбираю Edit... Появляется окно Group Policy Object Editor. Жму правой кнопкой мыши на корне дерева и выбираю Properties. Там закладка Security. В ней:
Auth.. Users - Read/Apply GP
CREATOR
Domain Admins (DOMAIN\Domain Admins) - r/w/ca/da/Apply GP
Enterprise Admins (DOMAIN\Enterprise Admins) - r/w/ca/da
...
Правильно?

Иду на машину клиента. Открываю Панель управления и запускаю "Установка и удаление программ" от имени пользователя - вижу все опубликованные программы, включая ту, которую хочу скрыть. Запускаю под именем DOMAIN\Administrator - не вижу программ вообще! Ничего не понимаю!

У меня в ДНК ошибка что-ли?

Alxdhere
Тэкс... Еще раз

Цитата:

Создай отдельную политику

То бишь новый объект GPO. Прилинкуй его к нужному OU или к домену целиком.
Из старого удали это приложение, опубликуй его в новом. На новый объект GPO дай право Apply GP только тем, кому надо.

Цитата:

На новый объект GPO дай право Apply GP только тем, кому надо.

и Read GP тоже. дабы не тормозить этим GPO тех, кому он не надо.

Цитата:

Domain Admins (DOMAIN\Domain Admins) - r/w/ca/da/Apply GP

Я вроде так и сделал. Сейчас еще поковыряюсь...


Добавлено:
Неа... не получается. Я даже тестовую тачку с нуля переустановил. Фиг. Что-то я не так делаю.
Создал новую политику. В нее поместил package с .zap файлом. У пакета в Security не лазил. Меняю Security у GPO, как описал выше. Точнее, у Auth Users убираю Apply GP, а у Domain Admins добавляю. Перезагржаю тестовую тачкую Под каким бы пользователем не заходил, нету этой проги. Под пользователем, только те, что ему положены, а под локальным или доменным админом вообще пусто!
Блин, выручите пжлст.

Добавлено:

Цитата:

Цитата:На новый объект GPO дай право Apply GP только тем, кому надо.

и Read GP тоже. дабы не тормозить этим GPO тех, кому он не надо.

Может тогда конкретизировать, кому как дать права?

Добавлено:
Я балда! Administrator не входит в ou для которой опубликованы приложения!!! Емое!

Народ!!! Поможите!!!

У меня AD 2003 Сначала стоял один (первый) контроллер домена (главный-он был первым). Потом поставил (второй) и перенес на него все роли и сделал сервером глобального каталога. Есть еще один (третий) сервер (не контоллер AD) он начал ругаться, что не может реплицировать лицензионную инфу со второгоо сервера. Я переностроил AD, так что сервером лицензионной инфы стал второй сервер. Так третий начал ругаться, что не может реплицировать лицении с первого. Подскажите, что делать?

Нужно сделать следующее: когда user подключается к сети от авторизовался в домене, для того чтобы выйти в Инет, то он выходит через FreeBSD(шлюз). Вот теперь вопрос: они друг сдругом не конфликтуют??

sotori

Цитата:

они друг сдругом не конфликтуют??

кто с кем ?

Цитата:

выходит через FreeBSD(шлюз).

там авторизация есть ?

в домене авторизация есть, нашлюзе тоже

Я имел ввиду взаимодействие FreBSD и Windows 2003.

Цитата:

Я имел ввиду взаимодействие FreBSD и Windows 2003.

насколько я знаю, никаких конфликтов.

Вопрос в следующем, есть доменное имя организации в инете - xxx.org.xx, если корневому домену AD присвоить имя - local.xxx.org.xx, это не повлечет за собой трудности о которых пишут в книгах по AD, усложниться администрирование внутрених пользователей, настройки Firewall, почтового сервера???
Так ли это в данном случае?

gorg

Цитата:

корневому домену AD присвоить имя - local.xxx.org.xx

Присвой xxx.org.xx.local. Конфликтов не будеь. Все проблемы из-за совпадения имен.
А с чего вдруг усложниться администрированию - я и не представляю...

Цитата:

А с чего вдруг усложниться администрированию - я и не представляю...

В этих Training Kits пишут что если имена совпадают, то возникают лишние проблемы с ограничением доступа внешних юзеров к внутреним ресурсам, а внутрених нужно конфигурировать что б они различали внутрение от внешних, если не совпадают, то у внутрених юзеров с конфигурированием почты сложности будут.
А если AD присвоить "плоское" имя, то еще какие-то трудности это повлечет.

Вообще интересует меня следующее, есть доменное имя в инете, в внутри компании нужно развернуть AD, Exchenge, ISA, вот я и думаю как же обозвать AD что б наименьшее число трудностей возникло при ее администрировании?

вопрос следующий.
читал Рассела, Кроуфорда, Джеренда, win 2003 server.

там про планирование OU и групп безопасности интересно сказано и я задумал это применить на практике. только вот такой вопрос там не раскрыт:

OU User Accounts, В нем два OU на одном уровне, каждый для отдела. например sales и personnel. в том несколько объектов пользователей + группа безопасности sales, и в другом пользователи + соответствующая группа безопасности personnel. конечно все юзеры из отдела включены в соответствующую группу безопасности.
OU Sales назначена политика на установку определенного ПО и логон скрипт пользователям. аналогично для второго ОУ, отдела и его пользователей.
внимание вопрос: как сделать ползователя, который работает в двух отделах, который пользуется и тем и тем ПО и ему нужны оба логон-скрипта.

Добавлено:
какие вообще есть практики, когда пользователю одного отдела нужен ресурс другого?
в вышеописанном случае я думал завести пользователя из sales в группу безопасности personnel, и надеюсь ему поставяться оба ПО и сработают оба логон-скрипта.

если можете - предложите альтеративные пути.

leputain
Заведи еще одно подразделение, и загони туда своего нерадивого пользователя. И права, какие ему необходимы, там и давай.
А вот кашу в группах безопасности я бы делать не советовал.


Цитата:

какие вообще есть практики, когда пользователю одного отдела нужен ресурс другого?

Тогда это будет являться общим ресурсом для двух отделов. И в безопасности указывай группы этих двух отделов.

Greedy

Цитата:

Заведи еще одно подразделение, и загони туда своего нерадивого пользователя. И права, какие ему необходимы, там и давай.

лично я особого смысла не вижу в этом...плодить лишние OU ?

leputain

Цитата:

как сделать ползователя, который работает в двух отделах, который пользуется и тем и тем ПО и ему нужны оба логон-скрипта.

прилинковать политики к
Цитата:

OU User Accounts

. Создать еще одну группу безопасности для пользователей, пересекающих отделы. После чего раздать права на GPO. Пользователи

Цитата:

группа безопасности sales

и

Цитата:

группа безопасности personnel

получат каждый свою политику. Те, кто входит в группу пересекающихся получат обе политики. Только внимательнее с порядком применения.

Господа, помогите разобраться с хренью, раньше никогда не сталкивался.

Не могу настроить в свойствах пользователя, "входящих звонках", параметр "Статический IP-адрес пользователя".

Оснастка "Active Directory Users And Conputers", Иду в "свойства" пользователя, "Входящие звонки", и что вижу?

Где взмахнуть волшебной палочкой, чтобы этот параметр стал доступным к настройке?




И второе, о чем хотелось бы поинтересоваться, уважаемые...

Вопрос, может быть, не совсем сюда... как для входящих VPN-подключений сервер раздает ip-адреса для клиента и для себя, по какому принципу? Хотя бы поясните, как это выглядит в случае раздачи адресов по DHCP или из статического пула адресов, в RRAS определенном?

Если есь отдельный топик по RRAS, ткните. С удовольствием почитаю

Laurent

Цитата:

Где взмахнуть волшебной палочкой, чтобы этот параметр стал доступным к настройке?

это доступно только на 2000 native mode и выше. У тебя домен в mixed mode.

Цитата:

И второе

Understanding DHCP IP Address Assignment for RAS Clients
HOW TO: Configure IP Reservations for RRAS Clients in Windows 2000
RRAS
Routing and Remote Access
ну и фильтр по RRAS

G14

Напомните о Native Mode - в нем живут домены и рабочие станции Win 2000 и выше, или только контроллеры домена должны быть Win 2000 и выше?

Фильтр по теме RRAS ничего путевого не дал, смотрел я уже... в разных темах все разбросано, и ничего по сути Может закрыть их, и одну общую открыть?

И еще... не судите строго, не сильно от чайника я еще ушел.. )) На сайте мелкомягких информации существенно больше, чем в хелпах Windows 2003. Существует ли чтиво о Windows 2003 и AD, что есть на сайте м$, в оффлайновом варианте, и где задать вопрос с просьбой этими доками поделиться? А самое главное, как это называется, чтобы люди поняли, что я хочу? ))

Laurent
How Active Directory Functional Levels Work
What Are Active Directory Functional Levels?
Functional Levels Background Information



Добавлено:

Цитата:

Существует ли чтиво о Windows 2003 и AD, что есть на сайте м$, в оффлайновом варианте, и где задать вопрос с просьбой этими доками поделиться? А самое главное, как это называется, чтобы люди поняли, что я хочу? ))

книги это называется...
погляди в разделе е-book на форуме, у кого то я там встречал электронные версии хороших книжек....

Цитата:

leputain

Цитата: читал Рассела, Кроуфорда, Джеренда, win 2003 server

только я ошибся.
это я читал про 2000-ый сервер.
а про 2003 я читал Реймера, Малкера и 70-290 Холме, Томаса.
ну и конечно Вильям Р. Штанек (или Станек)?

ещё вопрос
по структуре OU и объектов пользователей.
может нормальным будет сгрести всех пользователей в OU User Accounts, а уже потом рассовать их по разным группам безопасности, а уж эти группы безопасности в другие OU с конкретными GPO? по-моему всеьма практично, но просто хочется услышать?
и это не похоже на то, что я описывал выше, т.к. здесь я предполагаю OU User Accounts на одном уровне с OU Domain Controllers (ну или вообще в users оставить)..

и ещё
как сработают политики, если пользователь занесен в две группы безопасности, а те в разных OU на одном уровне, и у каждого свои политики? они применятся в каком порядке, применятся ли вообще?
у меня лично такое в голове не укладывается..

leputain

Цитата:

только я ошибся.
это я читал про 2000-ый сервер.

у меня точно тех авторов по 2003.

Цитата:

а про 2003 я читал Реймера, Малкера

которая AD для win2003server ? Если она, то мне она тоже понравилась, но в том издании, что у меня - перевод косячный. Встречаются явные ляпы.

Цитата:

а уж эти группы безопасности в другие OU с конкретными GPO?

групповые политики НЕ действуют на группы безопастности. только на объекты компьютеров и пользователей. с пом. групп безопасности можно фильтровать применение GPO.

Цитата:

если пользователь занесен в две группы безопасности, а те в разных OU

абсолютно все равно , где находятся группы безопасности. важно где объект пользователя. (см фразу выше )

все! понял!

ещё вопрос
кто как организует развертывание софта, ктоорый не в msi, а в exe? например winrar.

Добавлено:
zap не прёт. хочется с возможностью assign'ования.
чтобы local system ставила при загрузке компа сама.