» Общие вопросы про AD (Active Directory)

Garreth
В папке C:\WINDOWS\SYSVOL\sysvol\domain\Policies\{GUID твоего Default Domain Policy}\Adm\"
лежит файл system.adm, который должен содержать следующую политику:

Код:
POLICY !!DNS_NameServer
KEYNAME "Software\Policies\Microsoft\Windows NT\DNSClient"

#if version >= 4
SUPPORTED !!SUPPORTED_WindowsXPOnly
#endif

EXPLAIN !!DNS_NameServer_Help

PART !!DNS_NameServerLabel EDITTEXT REQUIRED
VALUENAME "NameServer"
END PART
END POLICY

zvonarev

Цитата:

еще, если я буду добавлять в домен с Win2k, новый контроллер с win2k3 и на него поставлю новый DNS, то реплецируются ли все записи старого DNS, или его надо настраивать вручную.

Тут надо подробней о настройках DNS. Если интегрированная в AD зона, то да. Если обычная, то просто настроишь на втором secondary zone и сделаешь передачу зоны с основного.
А global catalog можно перенести с помощью оснастки "AD sites and services" в свойствах NTDS settings/

zvonarev
обсуждается здесь :
Создание второго "равноправного" контроллера домена
Как перенести AD с Win2000 на Win2003 (Обновление Active Directory Win2000 до Win2003)

G14

Цитата:

пожоже у тебя с репликацией проблемы.....

Ну тогда бы в eventaх точно что-то было бы. А там нет.
Кстати, возник попутный вопрос: как определить GUID своего домена? По этому пути
Цитата:

C:\WINDOWS\SYSVOL\sysvol\domain\Policies\

содержится аж 6 подпапок.

Garreth

Цитата:

содержится аж 6 подпапок.

Значит у тебя 6 GPO. Заходишь в adsiedit.msc там domain\system\policies. Видишь там свои 6 GUID, на каждом правой кнопкой мыши - свойства и там ищешь аттрибут displayName.

G14
Действительно там нет такого параметра. Может это из-за того, что он параметр Not Configured?

Garreth

Цитата:

Может это из-за того, что он параметр Not Configured

неа. .adm это шаблон для политики. Все, что ты наконфигуряешь сохраняется не в шаблоне, а в файле registry.pol в папках user и machine соответственно разделу, в котором конфигурял.
То что его там нет... я уверен, что это сделано руками.

G14

Цитата:

То что его там нет... я уверен, что это сделано руками.

а возможно это из-за того что домен образовался после миграции с NT на W2k3?

Garreth

Цитата:

а возможно это из-за того что домен образовался после миграции с NT на W2k3?

эммм. 100% не скажу, не силен я в NT4, но я что то сомневаюсь в этом. Шаблон попадает туда из папки %systemroot%\inf и во все новые GPO оттуда же. Если новые берут нормальный шаблон, а этот "порезанный".... Я думаю его правили прямо в sysvol'е...

G14

Цитата:

Я думаю его правили прямо в sysvol'е...

О как! Надо же... То есть гад завелся в сети?! Интересно, а можно ли поставить на system.adm права ntfs permissions read-only? Может даже нужно? Кстати, если просто переписать файл system.adm и рестартануть netlogon - поможет?

Garreth

Цитата:

переписать файл system.adm и рестартануть netlogon - поможет?

netlogon не при чем совсем. переписать шаблон можно, но чем это поможет ?
появятся настройки, удаленные из того.... то есть возможность их сделать... В registry.pol ничего все равно не изменится.... Искать надо откуда клиент берет этот параметр реестра.
Посмотри, у тебя там есть нестандартный шаблон, насколько я понял. Зайди в add/remove template (правой кнопкой по Admin Templates в GPO) и посмотри список шаблонов. По умолчанию это : conf, inetres, system,wuau, wmplayer....

Цитата:

То есть гад завелся в сети?!

ну это уж ты сам думай это офтоп.

Цитата:

права ntfs permissions read-only?

я не вижу препятствий.... в него ничего не пишется.

G14

Цитата:

По умолчанию это : conf, inetres, system,wuau, wmplayer....

так и есть - других нет. NTFS permissions выставлены нормально, fадминам полный доступ, authentificated users - read-only. В registry.pol для default domain gp ничего на Nameserver не нашлось.

Подскажите проблема простая но странная создал новый перемещаемый профиль
но не могу в него скопировать старый локальный из под третевого админского профиля

Вопрос назрел.
У меня с помощью GPO для computer устанавливается Office 2003. Я его сконфигурировал с помощью Office Resource Kit. Получил файл MST. Все отлично работает уже несколько месяцев.
Недавно возникла необходимость установить на все машины Access, который у меня был исключен из установки с помощью MST. Я снова воспользовался ORK и указал, что теперь Access должен устанавливаться. Однако должного эффекта не получил. Не происходит доустановка и все тут. gpupdate не помогает.
Почему? Что надо сделать, чтобы объяснить офису, что его переконфигурировали и он должен доставить софт?
Заранее спасибо.

Добавлено:
2 rosalin
По моему надо воспользоваться утилитой moveuser. Просто так копировать некорректно.

Обновляю контроллер домена Windows 2000 до Windows 2003. Пользуюсь одноименной статьей microsoft.
Говорится что надо проверить некоторые объекты типа

Цитата:

Объект CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=доменное_имя_обновляемого_домена существует, и значение атрибута Revision совпадает со значением аналогичного атрибута на компьютере-хозяине инфраструктуры домена.

Где это можно посмотреть и чем? Есть какие-нибудь доступные статьи про это?

Mystical

Цитата:

Где это можно посмотреть и чем? Есть какие-нибудь доступные статьи про это?

adsiedit.msc
Брать в support tools для твоего сервис пака твоей версии винды.

Greedy
Спасибо! Все нашел и посмотрел.

тут возникла така ситуевина
есть домен
есть субдомен.домен
расположены далеко друг от друга
связь была всегда 256к
тут случился обрыв не было связи между офисам пол дня все пользователи дочернего домена остались без работы не могли ни залогиниться ни (те кто успел) получить доступ к ресурсам даже на своем серваке
это нормальная ситуация?
разве не должен конроллер дочернего домена авторизировать своих пользователей в такой ситуации?
кто знает помогите, а то повторения не хочется

Добавлено:
да главный сервак 2000 сп4
дочерний 2003
ДНС настроен и работает нормально (по именам все друг друга видят)

wchik
У тебя домены наверное в native режиме. В таком случае для логона пользователя (особенно в многодоменной структуре) необходим сервер глобального каталога. Сделай свой контроллер дочернего домена GC.

Добавлено:
Пользователи не могут логиниться в домен Win2000 srv

wchik

Цитата:

это нормальная ситуация?

нет не нормальная. Всвязи с тем, что это "Общие вопросы" (см. шапку), а твой вопрос вполне конкретен, предлагаю перейти в новую тему и продолжить разбирательство там.
Сразу же там пости выводы dcdiag и netdiag с обоих DC (домен и субдомен) под тэгом {more} плз....

Добавлено:
Alan Mon
не всегда:
http://forum.ru-board.com/topic.cgi?forum=8&topic=9187#5

G14
Я летом довольно много экспериментировал как раз с такой конфигурацией. Т.е. дочерний домен, DC которого не является GC и нет связи с родительским. Мне так и не удалось тогда заставить его работать. Смотри ссылку в моем посте.

wchik
Предлагаю продолжить там.

Братцы, помогите победить атрибут sidHistory у отдельных юзеров в АД.
Когда мигрировал с НТ4, то этот атрибут был важен, теперь он стал мешаться и хочу от него избавиться ТОЛЬКО ДЛЯ КОНКРЕТНЫХ ПОЛЬЗОВАТЕЛЕЙ. Польностью фильтровать трансляцию sidHistory пока нельзя, т.е. использовать вот это Netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:Yes /usero:domainadministratorAcct /passwordo:domainadminpwd нельзя.
Проблема заключается в том, что используя ADSIedit мне не удалось ни обнулить ни удалить из АД этот атрибут - АД говорит, что прав нет (разумеется я работаю от имени Domain Admin, Enterprise Admin). Хотя если посмотреть разрешения на объект user в АД, то там присутствует Domain admin-FullControl. Есть подозрение, что изменение этого атрибута доступно только SYSTEM.
Посмотрел скриптики vbs, которые устанавливают этот атрибут для пользователей в АД, так вот, там используется класс DSutils и метод ADDsidHistory, посмотрел доступные методы этого класса и не обнаружил методов корректировки и удаления атрибута sidHistory.
Кто-нить может посоветовать каким макаром изничтожить этот атрибут для конкретных пользователей.

rastlin
Вот спасибо, это то что надо.
Ну почему я не нашел эту статью на мелкософте ) Видимо не там искал.

rastlin
Отлично, все работает, то что надо.
Еще раз спасибо!

нужна помощь зала
имеется AD,Tibco EAI midlleware,Unix program
Tibco используется для advanced queening с другими програмами и базами данных
на данном этапе имеется пользовательская база обслуживающая не связаная с AD.

Цель:
Использование AD для аутентикации пользователей и раздачи соответсвующих привилегий для програмы.
Виды привилегий - пользователь в Группе А получает меню=1,в группе Б меню=2 и тд.

1 этап - Получение username
2 этап - передача пароля\хаша в зашифрованом виде на проверку AD
3 этап - получение ответа - да\нет
4 этап - secure LDAP запрос на наличие правильной группы

Проблема:
1.
AD насколько я помню работает синхронно - посылает имя и пароль и ждет ответа да\нет
Tibco как и любая другая queening програма работает асинхроно - принимает имя и пароль, держит в очереди и передает просьбу на AD и ждет ответа. Только после получения ответа возращает да\нет на сервер - может произойти тайм аут
2.
По какому CryptoApI лучше это делать - NTLM легче так как используется challenge-response но менее secure чем Kerberos который не понятно как имплементировать в эту систему изза использования tickets и их постоянной проверки с kerberos server

есть еще варианты или советы использования AD для апликаций на Unix?

Друзья, никак не могу найти подходящий мануал по установке/настройке AD на W2K3. Мне не нужна книга на 500 стр., а "краткое" по основной настройке AD "для тупых". В линках из шапки ничего не нашел Если ослеп, поправьте пож-а.

Цитата:

"краткое" по основной настройке AD "для тупых".

ИМХО это бред. AD это не почтовый клиент и не текстовый редактор.....
Ну вот есть такое, проще и более "для чайников" придумать трудно. Одни названия чего стоят:
Основные экзамены по Windows 2000 за 15 минут в неделю
Новые возможности Active Directory в Windows Server 2003 – Часть 1



Добавлено:
Я видел что тебе надо
Цитата:

AD на W2K3

но если уровень
Цитата:

по основной настройке AD "для тупых".

то вполне сойдет и по 2000.

G14

Цитата:

AD это не почтовый клиент и не текстовый редактор

С этим не спорю.

Цитата:

Я видел что тебе надо

Подскажи где именно, пож-а.

Markes

Цитата:

Подскажи где именно, пож-а.

Я имел в виду, что на уровне "для чайников" сойдут и статьи по 2000, так как все равно ты вряд ли будешь использовать то, что есть только в 2003.... Ссылки на простые статьи в моем посте выше.