» Общие вопросы про AD (Active Directory)

rastlin
Как перенаправить? Прописать для внешнего адаптера IP адрес внутренего ДНС.
Так внутри серые IP 192.168.x.x. А он кинется искать снаружи.
Как настроить форвардинг?

goshavt

Цитата:

1. на внутренем указан адрес контролера домена, где поднята роль сервера ДНС.
на внешнем ДНС сервера провайдера

на внешний нужно тоже указать ДНС на контроллере домена (днс-форвардинг на винроуте отключить). А вот на ДНС сервере контроллера домена в свойствах переадресации указать ДНС провайдерский, и не забыть в винроуте прописать правило разрешающее контроллеру домена доступ по 53 порту на адрес ДНС провайдера без авторизации.

От чего зависит возможность просмотра содержимого (шары) компов по dns имени и ip адресу? Например \\comp1.server.net не открывается, говорит Disallowed, по IP тоже самое... аналогично \\comp1. Доступ есть только если открыть сетевое окружение, домен, и в нем выбрать нужный комп. Притом адрес будет \\comp1... Как разрешить юзерам домена открывать компы по DNS имени\IP адресу? По nslookup имя разрешается в адрес без проблем.

(клиенты ХР, сервер 2003 R2)

gap5
Я б сначала на клиенте посмотрел службы Computer Browser (Обзор сети) ,Server,DNS CLient.
должны работать. Либо если сеть простая то на PDC сервис Computer Browser.

Все запущено, все работает. Сервер с Active Directory. На сервере под администратором дает без проблем заходить на компы хоть по ip, хоть по netbt имени, хоть по dns имени. На компах же, даже если залогиниться под админом, пишет:

Address Bar
Access to the resource '\192.168.1.1' has been disallowed.

Причем отвечает сразу. Если указать несуществующий адрес, то задумывается на некоторое время и потом такой же мессаг. Что бы это могло быть?

Притом через net use можно спокойно заходить как по IP так и по DNS имени на любые компы... а через Address Bar explorer'a болт! :-\

Объясните Plz

1. Правильно ли я понимаю, что Organization Unit можно использовать чисто как контейнер для группировки компов, юзеров? А возможно сделать так, чтобы компы из AD в DNS имели имена вида: computer1.organization-unit1.domain-name.net? Или для этого надо ставить точку в названии компа? И возможна ли группировка компов в сетевом окружении исходя из принадлежности к organization unit?

2. В случае, если профиль пользователя хранится удаленно на сервере AD, означает ли это, что и все учетные записи, и temporary internet files тоже будут сливаться на сервер?

gap5
1. на все вопросы этого пункта ответ - нет. Для этого служат отдельные домены.
2. Нет, есть папки которые никогда не попадают на сервер, н-р это как раз Local Settings

FreemanRU
Т.е. можно создавать домены domain1.domain.net, domainA.domain1.domain.net и т.д.?

А могут быть у компов из разных доменов одинаковые имена? Например:
1.domain1.domain.net и 1.domain2.domain.net?

Кстати, насколько критично (по нагрузке на сервак) количество доменов? Если их будет, скажем, 15-20? Возможны еще какие ни будь подводные грабли?

gap5

Цитата:

Если их будет, скажем, 15-20?

Если у тебя будет 15 доменов, то и серверов будет 15 (минимум), если не использовать виртуализацию серверов (типа VMWare ESX). Нагрузка на каждый контроллер будет зависеть от количества клиентов в домене (пользователей, компьютеров) и от количества OU в домене.

Цитата:

А могут быть у компов из разных доменов одинаковые имена?

Теоретически - могут, без проблем. На практике, поскольку NetBIOS все еще живее всех живых, это вызовет кучу гемора. Не рекомендую.

G14
Т.е. на одном AD сервере нельзя создать несколько доменов??? :-Е
Каким тогда образом разделять компы в сетевом окружении?
Или там всегда все будет в кучу? От жеж каменный век...

gap5

Цитата:

Или там всегда все будет в кучу?

А зачем тебе сетевое окружение? НЕ уж-то у тебя пользователи могут шары создавать?

доброго времени суток
столкнулся с проблемой, на форуме она подымалась но решена на мой взгляд небыло!!!
на пользовательских машинах пропала языковая панель, если включить дополнительные текстовые службы то панель появляется, но настройки несохраняются и приходится каждый рас повторять одно и тоже, под админом всё ок.


Подскажите как с помощю AD настроить ету панель


заранее благодарен

FreemanRU
Создавать - нет, но некоторым надо пользоваться существующими и кроме того для подключения сетевых принтеров... да и не особо приятно когда 50 компов в одной куче.

Кстати, не подскажешь, почему может не пускать на шару по адресу введенному в Address bar, а по net view\use без проблем?

P.S. Глупый вопрос - пермишены UserGroup или конкретного пользователя приоритетнее пермишенов для Everyone?

gap5

Цитата:

кроме того для подключения сетевых принтеров

"Посик в AD"

Цитата:

надо пользоваться существующими

Ну это вообще не допустимо - сервер должен быть. На крайний случай DFS.

Цитата:

да и не особо приятно когда 50 компов в одной куче

А и нечего там делать в общем-то.


Цитата:

пермишены UserGroup или конкретного пользователя приоритетнее пермишенов для Everyone?

Запрет или разрешение? Запрет всегда приоритетнее, а равнозначные доступы суммируются. Н-р User1 находится в группе Group1. На папку даны разрешения Everyone Read - пользователь получит право на чтение, если нет других разрешений. Если же кроме Everyone указана группа Group1 на Write, то пользователь получит и запись тоже.

Люди подскажите пожалуйста (я уже замучился читать и не находить ответа) в чем могут быть реальные грабли? Ситуация следующая:
1. Была рабочая сетка с компами в одной рабочей группе (около 40 компов) почти все w2000
2. Было решено перевести всех в домен.
3. Подняли сервак на 2003 винде. Установили домен, все как положено.
4. Итак пришло время всех перетаскивать в домен(и тут началось!!!)
-Изначально была группа "Пользователи домена" она входила в группу "Администраторы домена" (подключение проводилось в авральной ситуации и был косяк с правами, такчто пришлось)
-Потом косяк этот с правами я вылечил, и решил попросту исключить группу "ПД" из "АД".
-Многие восстанавливали свои настройки из старых профилей, просто копируя ntuser.dat и все остальное.
-Проблема в том, что после этого у всех слетели настройки на рабочих машинах(ярлычки и тд).

Так вот! Вопрос в следующем: каким образом можно настроить теперь домен, так чтобы узеры ничего не заметили, и не были при этом "АД"? Ведь если я снова включаю им права "АД", то все встает на свои места.
Пробовал уже много чего. Пытался на тестовом пользователе поменять чтонибудь, все нормально. Однако понять почему слетели настройки у остальных не понимаю!!!

admilo
Потму что скопировав
Цитата:

Многие восстанавливали свои настройки из старых профилей, просто копируя ntuser.dat и все остальное.

ты заставил юзера обращаться к старому профайлу, а доступ к профайлу имеют только Локальные администраторы и администраторы домена, решение проблемы дай юзерам права локального админа права администратора домена это большой урон безопасности домена

Пробовал. Не помогло! И пробовал я группы "ПД" втаскивать локльно в "Администратор" и через домен. НЕ помогает. Просто реальные грабли.

Кстати, раз уж зашла речь о переносе юзеров.
Как грамотнее всего перенести локальных юзеров, или точнее сказать их профиль, в домен (дабы сохранились документы и установленный софт)? Вручную копировать содержимое Documents & Settings, или есть какой-то более красивый способ?

Цитата:

или есть какой-то более красивый способ?

Вот и я об этом. Если не подскажут тут, скорее всего буду переставлять домен, и всех заново подключать. Как бы это сделать покрасивее и побыстрее?

gap5

Цитата:

Как грамотнее всего перенести локальных юзеров, или точнее сказать их профиль, в домен (дабы сохранились документы и установленный софт)? Вручную к

Ищем ветку в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Там видим кучу записей типа
S-1-5-???????????????????

Одна из них запись о нужном пользователе
Далее из ресурс кита берем утилиты
getsid и reg.exe и с помщью них копируем то что в нужном S-1-5-???????????(под которым пользователь работает) в новую ветку с названием SID'a пользователя в новом домене ,все что ниже берем из старой ветки и вуаля все работает. При логине в новый домен у вас старый профиль,прокатывает даже с отдельно стоящими машинами.


_http://support.microsoft.com/kb/214470/ru

Спасибо конечно, но всеже может есть решение моей проблемы? Я уже сутки бьюсь. Помогите пжалста! Голова уже реально квадратная...

admilo
Суть в следующем
На профиль даются всегда права локальному админу и пользователю чей это профиль
Посмотреть это можно через regedt32. Права на ветку HKEY_Current_User

Чтобы перенести профиль пользователей я делаю так.(Приходилось менять домен и переносить профили)
1. Захожу под пользователем в новый домен. В этот момент создается для него НОВЫЙ профиль. Оставляем пока все как есть и выходим.
2. Захожу под админом на эту машину
3. Включаю данного пользователя в группу локальных админов
4. Запускаю regedit и ищу ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Там находятся SIDы пользователей и пути к их профилям. Нахожу путь вновь созданного профиля и меняю его на путь к старому профилю пользователя. Выхожу из под админа
5. Захожу под пользователем. Так как он администратор уже профиль старый должен подхватиться в этот момент.
6. Запускаю regedt32 и на ветке HKEY_Current_User устанавливаю права ИМЕННО ЭТОМУ пользвателю
7. Удаляю этого пользователя из группы локальных админов
8. Выхожу и снова вхожу под этим пользователем

Вот вам мои поделки


Код:
for /F "skip=1 delims=; tokens=1,2 " %%a in ('getsid \\IP DC ДОМЕН 1 %username% \\IP DC ДОМЕН 2 %username%') do (
@echo %%a %%b | find /I "ДОМЕН 1" && set sidOLD=%%b
@echo %%a %%b | find /I "ДОМЕН 2" && set sidNEW=%%b)
::echo %sidOLD% , %sidNEW% >>new.txt

Set OLDREG=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\%sidOLD%
SET NEWREG="HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\%sidNEW%"

::echo %NEWREG%
::echo %OLDREG%

::***************реестр***************
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\%sidNEW%" /f
REG COPY "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\%sidOLD%" "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\%sidNEW%" /s /f
::***************реестр***************

::***************Ставим новый домен первым в списке*****************
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultDomainName /t REG_SZ /d ДОМЕН 2 /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AltDefaultDomainName /t REG_SZ /d ДОМЕН 2 /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v CachePrimaryDomain /t REG_SZ /d ДОМЕН 2 /f

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DomainCache" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DomainCache" /v ДОМЕН 2 /t REG_SZ /d ДОМЕН 2 /f


::***************Втягиваем машину в новый домен*****************

%windir%\system32\netdom move %COMPUTERNAME% /domain:ДОМЕН2 /UserD:LOGIN /PASSWORDD:ПАРОЛЬ
:: /REBoot:5

%windir%\system32\blat.exe %windir%\system32\mail.txt -s "User %username% has been migrated" -to admin@admin -f %username%@admin -server "IP"

%windir%\system32\shutdown.exe -r -f /t 5 /c "Система будет перезагружена"

netman

Цитата:

%windir%\system32\blat.exe %windir%\system32\mail.txt -s "User %username% has been migrated" -to admin@admin -f %username%@admin -server "IP"

Эту строчку лучше убрать не всякий blat использует

Valery12

Ну тут много менять надо,я просто способ подсказал. Да и getsid из ресурс кита я патчил,чтобы он мне выдавал сиды в том виде в каком мне более удобно.

MCSASE
Благодарю.
netman

Цитата:

Вот вам мои поделки

Проблема в том что у меня w2000 на РМ а там REG не пашет. Можно ли чем-то заменить?

admilo

Цитата:

Проблема в том что у меня w2000 на РМ а там REG не пашет. Можно ли чем-то заменить?

Reg.exe и getsid это утиль от MS пашет везде.Клади в system32 или пропиши в PATH.
НЕ понял насчет w2000 на РМ????

Разобрался с проблемой входа на сетевые шары через указание адреса в address bar. Проблема была вызвана отсутствием Run в меню Start. Но вот, что странно - ни в одной политике (как дефалтовой, так и созданной) Remove Run menu from Start Menu Group Policy в UserConfiguration\AdministrativeTemplates\Start Menu & Taskbar не стояло enabled... И запрет действовал на комп целиком, независимо от залогиненного юзера.
Какие настройки в computer configuration могут косвенно влиять на отсутствие меню Run?

P.S. В целом затея с запретом меню Run была бы стоящей, если бы не возможность создания\редактирования\запуска ярлыков. Везде есть лазейки

gap5
appwiz.cpl - запрети доступ и создавать ярлыки нельзя.
Есть ещё такая штука как RestrictRun