» Общие вопросы про AD (Active Directory)

slech
Кстати, а если я не ошибаюсь, то все равно остается возможность добраться до нужных файлов - Открываем блокнот > Сохранить как > В имени файла вводим С:...

Кстати, такой вопрос - у кого ни будь в сети ноутбуки (xp sp2) есть? Как настроены пермишены для них? Теоретически они иногда работают без подключения к сети, таким образом, если вводить их в домен, то логон в систему (без сети) под реквизитами домена будет затруднен?

gap5

Цитата:

то логон в систему (без сети) под реквизитами домена будет затруднен?

если для них хранить профиль локально, то подключение к доменной сети не обязательно для входа в профиль.

народ help
короче есть два домена north.spb (win2003) и south.spb(win2003) раньше они стояли отдельно и создавались как отдельные домены ... теперь между ними есть локалка и я хочу объединть их в одно дерево или лес ... как сделать

tsvlsr

Цитата:

их в одно дерево или лес ... как сделать

Без полного удаления одного из доменов - никак.

ОК .. тогда фиг с ним с объединением (потому как ни один домен снести нельзя) ...
настроил доверительные отношения ...
тогда такой вопрос
есть общие папки например только для юзеров из группы бух. одного домена и папки только для юзеров бух. в другом домене ... как на эти папки поставить разрешения для юзеров бух. из других доменов.

когда в свойствах папки в секурити - эд - выбираю фром вис локейшен ставлю другой домен ... а потом через эдвенсед делаю поиск ... он кричит что сервер из нот оперейшинал ....

как мне добавить юзера из трастет домена в список разрешений
например папка физически находиться на компутере в домене south.spb a я хочу поставить разрешение на испольование этой папки юзеров из north.spb

Ребят, после переустановки винды на PDC, поменял имя сервера с oji на prog001...

netdiag /fix выдает следующее:

[more]
DNS test . . . . . . . . . . . . . : Failed
[WARNING] Cannot find a primary authoritative DNS server for the name
'prog001.vk.vl..'. [ERROR_TIMEOUT]
The name 'prog001.vk.vl.local.' may not be registered in DNS.
[FATAL] Failed to fix: DC DNS entry 55df2f23-5c02-45bb-b60c-336b90f8a524._ms
dcs.vk.vl.local. re-registeration on DNS server '192.168.4.144' failed.
DNS Error code: DNS_ERROR_RCODE_NOT_IMPLEMENTED
[FATAL] Failed to fix: DC DNS entry _kerberos._tcp.dc._msdcs.vk.vl.local
. re-registeration on DNS server '192.168.4.144' failed.
DNS Error code: DNS_ERROR_RCODE_NOT_IMPLEMENTED
[FATAL] Failed to fix: DC DNS entry _ldap._tcp.dc._msdcs.vk.vl.local. re
-registeration on DNS server '192.168.4.144' failed.
DNS Error code: DNS_ERROR_RCODE_NOT_IMPLEMENTED
[FATAL] Failed to fix: DC DNS entry vk.vl.local. re-registeration on DNS
server '192.168.4.144' failed.
DNS Error code: DNS_ERROR_RCODE_NOT_IMPLEMENTED
[FATAL] Failed to fix: DC DNS entry _ldap._tcp.gc._msdcs.vk.vl.local. re
-registeration on DNS server '192.168.4.144' failed.
DNS Error code: DNS_ERROR_RCODE_NOT_IMPLEMENTED
[FATAL] Failed to fix: DC DNS entry gc._msdcs.vk.vl.local. re-registerat
ion on DNS server '192.168.4.144' failed.
DNS Error code: DNS_ERROR_RCODE_NOT_IMPLEMENTED
[FATAL] Fix Failed: netdiag failed to re-register missing DNS entries for th
is DC on DNS server '192.168.4.144'.
[FATAL] No DNS servers have the DNS records for this DC registered.
[/more]

Подскажите, где фиксить? В оснастке DNS уже поменял вручную все oji на prog001...

Подскажите плиз по вопросу об Active Directory.

Есть два домена, один под Win2000, другой под Win2003, оба на уровне Win2000 native. Созданы независимо, т.е. в разных лесах. Между доменами настроено доверие. Задача - сделать админов одного админами другого.

Пока что удалось создать Domain local группу и включить туда пользователей/группы из второго домена. Но вот как сделать эту новую группу администраторами? Включить эту группу или учетки из второго домена в группы Администраторы домена (Global) или Администраторы предприятия (Universal) не получается. Назначить права на каждый отдельный ресурс можно, но это не подходит.

В принципе, все это описано в хелпе, так что вряд ли дело в какой-то ошибке - так и задумано. Непонятно лишь, как действовать в этой ситуации. Перемещать второй домен в лес первого, чтобы воспользоваться членством в группе Администраторы предприятия, совсем не хочется.

Ткните носом плиз как ускорить вход юзеров в АД

Цитата:

Ткните носом плиз как ускорить вход юзеров в АД

прописать всем правильный локальный днс

Привет всем !
Глобальненько.
Вопрос такого плана: есть база данных студентов в MS Access. В этой базе номер зачётки, ФИО студентуса, и прочая инфа. Как мона импорировать это дело в схему AD в определённое подразделение, и причём надо логином сделать номер зачётки и чтобы пароль генерился сам и записывал эт всё в текстовый файлик.
Либо как вариант, не знаю правда как реализовать (на VBS) скрипт в котором надо было бы заполнить 2 поля (номер зачётки и ФИО), а остальное он делал сам.
Подскажите плиз

firn
а на пальцах обьяснить можно - а то последние 3 года
я тока ремонтом ноутов занимался - а тут резко пришлось сменить профиль

Meydzin
Свойства сетевого подключения - Свойства протокола TCP/IP

подписался

Доброго времени суток,
Есть свежеустановленный Вин2003 сервер с АД
клиенты ВинХР
Созданы пользователи и компьютеры
По умолчанию кода компьютеры внесены в домен и подключаются как пользователи они не могут устанавливать в Виндовс программы(на сколько я понял). Как сделать что бы они были локальными админами на компьютерах и могли устанавливать любые программы ?
Пока что, я их внес пользователей всех в группу домен админов и теперь они могут устанавливать.
Подскажите что делать ?

Правой кнопкой по компьютеру в оснастке AD компьютеры и пользователи -> управление.
там ищи в группах группу администраторов и добавь в нее доменного пользователя.

Цитата:

Правой кнопкой по компьютеру в оснастке AD компьютеры и пользователи -> управление.
там ищи в группах группу администраторов и добавь в нее доменного пользователя.

2. Комп юзера - Панель управления - Пользователи - Добавить пользователя - Добавляешь доменного юзера и говоришь какие у него права на этой машине!
3. Через групповую политику - там можно сказать, какие юзеры. группы являются членами какой локальной группы.
ИМХО, тебе лучше первый вариант.

Приветсвую господа...

Помогите в разрешении проблеммы...

Как запретить возможность входа нескольких пользователей одновременно по одной учетной записи

Заренее всем благодарен...
Если это где-то уже обсуждалось просьба сильно не ругать, не нашел...

Chupin, посмотри на программку UserLock. Думаю, в варезнике есть...
А мне никто так и не подскажет? :(

oji а в настройка GPO как это сделать?

Chupin, насколько я знаю, никак. Именно поэтому и есть программа UserLock. Если бы можно было, тогда и смысла в ней не было бы. Работа с ней проста донельзя. Ставишь сервак, с него устанавливаешь на все компы клиента (не забудь зарегистрировать, иначе пользователи получат при каждой загрузке сообщение от проги) и настраиваешь в пару кликов.

Сама программа

Не... такой вариент не подходит... в парке более 300 машин...
если только ПО установить на все машины через GPO, но опять же понятия не имею как это делается...

Chupin, так они же в домене. Или я не прав?
Если прав, у тебя абсолютные права на все эти компы. И установка клиента идет с сервака. Просто выделяешь нужные компы и жмешь "Инсталл". Ты просто попробовал бы, а потом отнекивался...

Meydzin
в чем проблема? пишет, что прав для установки устройства нет?
для установки нового устроства на компьютер нужны права администратора. Для его использования - хватит пользователя.
Достаточно залогиниться на нужный компьютер админом и подключить флешку. Винда спокойно установит драйверы, после чего все пользователи на этой машине смогут работать с флешками когда угодно и как угодно... АФАИК.

Доброго всем дня!
помогите разобраться в следующей проблеме:
есть сервер 1 (serv1) на котором стоял DC и есть сервер2 (serv2) на котором стоял дополнительный DC. Так же на serv1 работал DHCP. Мне нужно было всё с serv2 перенести на serv1.
Было сделано так:
1) Перенёс все роли с serv1-->serv2
2) выполнил DCPROMO на serv1
3) Далее serv2 уже выполнял роль PDC, но был ряд ошибок в Событиях.
4) Далее со всеми ошибками разобрался. На данный момент нет ни одной ошибки в событиях.
5) Далее отключаю DHCP на serv1
6) Подымаю DHCP на serv2. DHCP спокойно аторизуется и вроде как висит в состояние "активен". Нет ни одной ошибки. Но клиенты в сети по DHCP АДРЕС ПОЛУЧИТЬ НЕ МОГУТ((.

Поначалу правда сервер выдавал ошибку что "Служба DHCP не смогла обнаружить папку для авторизации сервера. " Но с этим я быстро разобрался. Сейчас совершенно нет никаких ошибок, но DHCP не работает(((

Всем привет.
Есть проблема.
Подскажите пожалуйста как разрешить пользователю записывать CD.
Но прав ему как можно меньше.
Был он в групе PowerUser - пришлось в админы компьютера(клиент в AD) поставить.
Можно ли безопаснее, но без спецсофта ?

Заранее спасибо.

slech, установи Nero и посмотри на утилитку BurnRights. В 7-ке она в комплекте. В 5-ке качалась отдельно. Про шестую не помню...

Ситуация: в домене 2 контроллера W2k3sp1 - PDC и BDC. DNS встроенная в AD на обоих. На PDC начались прблемы с RAID, он был остановлен, снят образ с RAID, после ремонта RAID образ был раскатан на диски обратно - после нескольких неудачных попыток старта. Всё заработало, роли на месте, однако PDC сообщает, что был использован неподдерживаемый способ восстановления, и отказывается синхронизировать АД - в т.ч. принудительно.
Вопрос: я планирую понизить роль BDC, а затем её снова повысить и выполнить начальную синхронизацию. Однако поскольку синхронизация не идет, по-моему есть риск что и понижение роли не пройдёт, или пройдет, но после рестарта PDC он не поймет, что остался один? Или можно какой-нибудь не такой хирургический способ попробовать?

CuS
не знаю где вы накосячили с АД при рековери, но в домене w2k3 (2000 найтив и выше) нету уже PDC и BDC. Осталась только роль - эмулятор PDC. Соотв-но контроллер можно понизить только до рядового сервера, и поле если его снова поднять до контроллера на нём (по идее) будет новый вариант АД-реплики, взятый с твоего первого DC.

А вообще конечно надо смотреть по коду ошибки на m$.com и прогонять тестовые утилиты. Наверняка есть способ завести старый DC...

greenfox
Ну PDC и ВВС - просто писал для простоты, имелось ввиду роль. Именно и хочу понизить второй (где нет ролей PDC, RID, GC) до рядового, а потом снова промоутить. Боюсь только - подводных камней.

И, конечно, завести старый - было б лучше всего...

DCDIAG сообщает: Starting test: Replications
[Replications Check,HOST1] Inbound replication is disabled.
To correct, run "repadmin /options HOST1 -DISABLE_INBOUND_REPL"
[Replications Check,HOST1] Outbound replication is disabled.
To correct, run "repadmin /options HOST1 -DISABLE_OUTBOUND_REPL"
......................... HOST1 failed test Replications

Идею понимаю, а вот с repadmin недопонял - какие опции надо ввести? Подскажите!

Хотел через политику разрулить всем радмин - с одинаковым паролем -
net use z: \\server\d
copy "z:\install\radmin\r_server.exe" "%windir%\system32\r_server.exe"
copy "z:\install\radmin\raddrv.dll" "%windir%\system32\raddrv.dll"
%windir%\system32\r_server.exe /install /silence
regedit.exe /s z:\install\settings.reg
net use z: /delete
Но - приходится при этом импортить в реестр настройки: regedit.exe /s z:\install\settings.reg
Нехочет - нет разрешений для изменения реестра - залезаю в политику - Default Domain policy - изменяю разрешения на ветку реестра
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]
Фигушки - у клиентских рабочих станций - это не отрабатывает - Сервер где AD - W2k
Может политика заблокированна? - как узнать?
Параллельно пробую в своей VMware - где у меня поднят виртуальный домен - на W2k3 - и клиентский комп W2k - всё чётко работает - единственное непонятно насчёт разрешений - изменения происходят но принцип не совсем понятен - и потом разрешения надо менять на каждый раздел или для установки достаточно на один какой то??
HKEY_LOCAL_MACHINE
HKEY_LOCAL_MACHINE\SYSTEM
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin

По радмину - фишка известная
http://www.radmin.ru/support/forum/read.php?FID=13&TID=10051&MID=22231&phrase_id=3053641#message22231
Надеюсь!
Изначально сделал топик
http://forum.ru-board.com/topic.cgi?forum=8&topic=19118#1
можете и там ответить - если есть хоть какой то ответ!