» Общие вопросы про AD (Active Directory)

:спс большое
оч помогло
до пенсии изучу все, может разберусь :-\

fsv2k5
пользователь логинится в домен, и получатся так, что если он убирает какие-нить файлы, например с рабочего стола, то при перезагрузке они там снова лежат, т.е. при логофе профилоь на локальной машине не синзронизируется с профилем в АД.

suhoi
Вопрос нужно задать здесь:
» Профили: удаленные файлы появляются после перезагрузки,..

Видел в этой теме такой же вопрос, но ответа так и не нашел.
Значит стоит Win2003 (контроллер), стоит Win2003 (дополнительный контроллер). На последнем установлена служба RRAS (VPN и DialIn) + NAT.
При попытке зайти в свойства пользователя домена - Входящие звонки на контроллере домена - все прекрасно работает и ни каких вопросов не возникает. При попытке зайти в эти же свойства на дополнительном контроллере появляется ошибка:
"Не удалось загрузить профиль набора номера для этого пользователя, по следующей причине: Не найден сетевой путь."

Заморочка появилась после установки на дополнительный контроллер програмулины от Смарт-софт под названием "Трафик Инспектор". Хотелось бы и эту прокси оставить и с ошибкой справиться.

Вообще, задача стоит такая: на дополнительном контроллере домена поднять NAT и прокси сервер для удаленных (в том числе, подключенных по Dial и VPN) клиентов. При этом доступ до Интернета (его получаю от провайдера через радиоканал на один из интерфейсов дополнительного контроллера) должен быть только для удаленных клиентов, а не для клиентов, подключенных через LAN, и соответствующая авторизация на прокси и NAT на основе данных о RAS/VPN подключении.

Вопрос №1
Господа, такая странность:
Пытаюсь сделать WMI фильтр в групповой политике для ограничения действия политики вида "SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE '%Windows XP Professional%'".
С помощью оснастки GPMC делаю GP Modeling на двух тачках из соответствующих OU (Win2k и XP) в обоих случаях фильтр срабатывает - пишет TRUE.
В чем вилы? Варианты:
1. Софтинка неправильно обрабатывает фильтры (но от Мелкософта же!!)
2. Запрос неправильно написан....
3. Руки.сис
4. ???

Вопрос №2 (из области терминов)
Привезли сервак с предустановленной Win2003, все поставленно (AD, DNS и т.п.). Там поднят домен (валить нельзя - надо что бы были в этом домене в конечном итоге, т.к. указание хозяев, и все хочу с чистого листа правильно сделать, а старый контроллер домена - на свалку ). Как временное решение дружу эти 2 домена External two-way трастом. Ну так вот: это 2 дружных леса? или все таки один лес?

А если 2 леса, как сделать их одним, не переустанавливая DC?

SvnFromHell
Указывай так:
Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"

По поводу лесов - миграция, а вообще бред - привезли лес пользуйтесь

SvnFromHell
На Win2k policy применяются независимо от фильтров.

Refugee
Хм... почему то у меня получается фильтровать.

SvnFromHell
Master_Alex
Refugee

WMI фильтры в связке с GPO применяются только к осям от WinXP и выше.

angelweb
твоя правда, посыпаю голову пеплом

Так, всё. Сдаюсь.
Ткните в меня ссылкой на ТЕХНИЧЕСКОЕ описание процессов, происходящих при:
1. поиске ближайшего сайта
2. выборе контроллера домена
в сети с множеством сайтов и один доменом. В сайте один, несколько или ни одного DC. Лес и домен - 2003.

Что нашел я - Naming Resolution in Active Directory, которе описывает фактически работу функции WinAPI GetDcName, при этом говориться "если используется флаг...", а когда какой флаг используется не понятно.

Скажу почему вопрос - у нас DC определяется неверно, выбирается DC не принажлежащий сайту клиента.
Я всегда считал, что если сеть клиента имеется в списке сайтов, то берется DC из этого сайта, а оказалось что нет.

есть одна программа, которую устанавливая из под админа всё-равно при заходе пользователя требует установку.

если возможность её поставить для всех пользователей, если сложно ответить, то какой профиль в домене можно добавить пользователю (группу), чтобы как в локальном он стал Опытным пользователем?

Подскажите, как сделать чтобы определенной группе при входе в домен загружалась картинка рабочего стола и пользователь не мог ее поменять?
Спасибо.

Valik
в групповой политике
конфигурация пользователя - административные шаблоны - рабочий стол - Active decstop

запретить изменения
рисунок рабочего стола AD

подскажите такой изврат

есть win 2003 сервер , на ем поднят AD и exchange 2003
Сервер один , домен поднят с mixed до 2000 уровня
Выглядит домен как network.organisation.ru

заводим пользователя в домене - предлагает user@network.organisation.ru
не круто , хотим user@organisation.ru.

вопрос 1 . где подкрутить чтобы добавился вариант user@organisation.ru ?
вопрос 2 . Где подкрутить чтобы user@organisation.ru предлагался по умолчанию ?
вопрос 3 . какие грабли вылезут и почему не стоит этого делать ?

Zlobny_John
В свойствах AD Domains and Trusts
UPN Suffixes

Ещё одна программа подвернулась, которая поставилась под администратором домена, а вот под пользователем работать корректно не хочет. Как можно сделать группу в домене, которая работала бы как опытный пользователь у локального компьютера? Если ли настраивамая группа?

FreemanRU
2ой вопрос тоже актуален. Вот стоит сейчас стэндэлон и не видит контроллеры домена, при этом когда явно указывваешь всё ок. (невидит конкретно Керио, которые не может через лдап импорнтировать акккаунты). Почему не находит? Как проверить связывается ли он вообще с контроллером, непонятно...
присоеденяюсь к запросу.
С нуля ставить Win2003 чтобы всё гладко изначально было это конечно проблему решит но знания не даст.

этот вопрос наверное здесь уже поднимался но все таки: в каком файле и где находятся GP.
и каким образом лучше сделать их backup.

sysxxx

Цитата:

и каким образом лучше сделать их backup

Через GPMC.http://www.microsoft.com/windowsserver2003/gpmc/gpmcintro.mspx

Цитата:

в каком файле и где находятся GP

\\domain.local\SYSVOL\domain.local\Policies\{GUID}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf
\\domain.local\SYSVOL\domain.local\Policies\{GUID}\User\Microsoft\Windows NT\SecEdit\GptTmpl.inf

GUID - 24 индетификатор политики. Каждая политика имеет свой GUID

Всем привет!

dcdiag выдаёт вот такое:
Domain Controller Diagnosis

Performing initial setup:
[Ixora] Directory Binding Error -2146892976:
Win32 Error -2146892976
This may limit some of the tests that can be performed.
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\IXORA
Starting test: Connectivity
[IXORA] DsBindWithSpnEx() failed with error -2146892976,
Win32 Error -2146892976.
......................... IXORA failed test Connectivity

что делать?

хотя никаких проблем больше ничем не обнаружено, но я хочу поднимать второй сервер с Exchange

FreemanRU

Цитата:

в каком файле и где находятся GP

\\domain.local\SYSVOL\domain.local\Policies\{GUID}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf
\\domain.local\SYSVOL\domain.local\Policies\{GUID}\User\Microsoft\Windows NT\SecEdit\GptTmpl.inf

http://forum.ru-board.com/topic.cgi?forum=8&topic=14298#1

Приветствую, товарищи. Помогите пожалуйста умным советом!

Дано:
Есть офис некоей фирмы. Часть офиса пеерезжает на новое место, другая - остается на старом. На старом месте работает домен на базе Win2003SP1, он остается.

Вопрос:
Что лучше сделать на новом месте:
а. Поднять VPN и настроить дочерний домен?
б. Поднять VPN и настроить дополнительный домен?

Условия:
а. Необходимо чтобы профили пользователей на рабочих станциях не пришлось переносить под новые аккаунты. Т.е. по возможности использовать учетные записи из текущего домена или каким-либо образом перенести их на новый (дочерний или дополнительный).
б. В будущем возможно, что оба офиса снова объединятся и будут работать в одном помещеннии и соотвественно в одном домене.

Буду благодарен за дельные замечания и советы!

qrock
Зачем плодить домены? Для территориально распределённых сетей в Active Directory есть очень удобное решение - сайты (Sites).
Доменных контроллеров, надеюсь, два? Если да, то создать два сайта и настроить репликацию между ними.

В дальнейшем когда офисы сольются - сайты можно будет удалить.

MG34
В данный момент контролер домена один. Получается лучше поднять дополнительный контролер в пределах этого же домена, разнести контролеры по разным сайтам и настроить удобное время для репликации? Соответсвенно у офисов подсети разные будут? Например, 192.168.0.* и 192.168.1.* ?

qrock

Верно. Срочно ставьте второй контроллер. Он ДОЛЖЕН быть в ЛЮБОМ случае!!! Мне например, было бы даже страшно как-то с одним контроллером жить

Даже если бэкапы есть, в случае аппаратной поломки юзеры запросто на 100 маленьких админов порвут

Домен существует ещё со времён НТ
Сейчас даже если при вводе пк в домен писать имя доменна к которому присоеденяешь комп в FQDN (например comp.local) то потом имя домена всё равно везде светится старым NetBIOS-совским именем (аля COPANY) - как то при входе пользователя на комп... Это можно как пофиксить или так и должно быть?
ps в домене все сервера и ворстайшены 2000-2003

Требуется поднять AD в небольшой сети (30 машин). Вопрос в следующем: есть ли безболезненный способ переноса локальных профилей? Я про то, что после добавления машины в AD приходится настраивать профили с нуля.

Подзабыл, если честно AD и под рукой её нет. Может на самом деле всё легко реализуется?

Markes
безболезнено копируем всё из папки локального профиля в папку с доменным либо правим HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\.... ничего не копируя

На Вин2003сервер был включен контроллер доменов.
все вроде работает.

НО

в свойствах пользователей на вкладке "Входящие звонки" пусто. "не удается инициализировать страницу вгодящего звонка"

Подскажите кто знает, а то ВПН не подключается теперь.