» Общие вопросы про AD (Active Directory)

Yourbill
Дело не в этом. Хотелось бы знать, по какому критерию она подключается к какому то из контроллеров. Зачем спрашиваю. Некоторое время назад у пользователей начались проблемы со входом в домен. У некоторых и иногда. Серезных проблем не создает, но приятно. Примерно в то же самое время сей инструмент начал по дефолту подключать на другой сервер. Вопрос - что бы это значило?

Вопрос, скорее всего глупый, но все же...
Как разрешить пользователям самим расшаривать папки? Инфы на эту тему нигде не нашел, полиси подобных тоже...

Товарищи есть принтеры в домене которые занесены в AD, WindowsVista их находит, но при попытке установить говорит что невозможно подключиться к принтеру.

arraen
Поиск, мил чек... На борде это есть. Качаешь с майкрософта твикуи. Ставишь. В настройках access control в пунктах manage file and pring sharing, manage file shares, manage printer shares ставишь для нужной группы/пользователя разрешения как у пауэр юзер. Зецол.

mkolesov

Цитата:

Дело не в этом. Хотелось бы знать, по какому критерию она подключается к какому то из контроллеров. Зачем спрашиваю. Некоторое время назад у пользователей начались проблемы со входом в домен. У некоторых и иногда. Серезных проблем не создает, но приятно. Примерно в то же самое время сей инструмент начал по дефолту подключать на другой сервер. ?

ну клиент AFAIK запрашивает список DC в сайте своём, потом подключается к тому кто первый из DC ответил на запрос. На мс написана вроде боле детально процедура. Наск я понимаю по дефолту остнастка подк. именно к тому DC на котором авторизовался клиент (хоят точно не помню).
Цитата:

Вопрос - что бы это значило

dcdiag, netdiag, etc

greenfox

Цитата:

На мс написана вроде боле детально процедура.

Куда ходить?


Цитата:

dcdiag, netdiag, etc

Диси и нетдиаг - давно сделано. Все чисто.

mkolesov
а поискать?
например 5 сек по гуглю - http://support.microsoft.com/kb/314861/ru

greenfox
Был я сегодня на этой страничке. Там про оснастки не слова. Но в общем и целом, как это работает, я уже понял.

В сети два КД, две подсети, два сайта.
репликация работает
в журнале Службы каталога Event 1801 NTDS KCC
в тесте dcdiag kccevent test failed на обоих КД
подскажите, плиз, как побороть.

Люди, здравствуйте...

Ситуация следующая: есть домен, с двумя контроллерами, основным и дополнительным, DNS и т.д.

Проблема в том, что когда клиентские winXP добавляешь в домен, вылетает сообщение о том, что СЛУЖБА КАТАЛОГОВ ЗАНЯТА, КОМПЬЮТЕР БЫЛ ДОБАВЛЕН В ДОМЕН ПОД СТАРЫМ ИМЕНЕМ.

После перезагрузки клиента имя меняется без проблем... В чём может быть дело...
Ошибок на сервере нет, на клиенте тоже.

Спасибо.

mkolesov

Цитата:

An object encoded in G3 fax as explained in recommendation T.4 - и все сразу стало понятно. А если серьезно - есть юзер. У юзера есть атрибут - фото. Демоварь умеет присобачивать к юзеру фото. Но вок как и где оно после этого хранится - не понятно. Тебе понятно?

Upd: вопрос снят.

Можно подробнее? как добавить атрибут "фото" пользователю в АД?
Существует ли способ отображения фотографий в стандартном окне свойства юзера в АД?

Как расширить схему я нашел
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/9c108e83-d5ed-4088-9837-766e4b300c79.mspx?mfr=true
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/8c76ff67-9e9d-4fc7-bfac-ffedee8a04d4.mspx?mfr=true
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/a_thumbnailphoto.asp

В окне свойств юзера в АД ничего не изменилось.
Непонятно, каким образом юзеру добавить фото?

Да, есть платные Exclaimer и Hyena, фото можно добавить юзеру с их помощью, но это фото посмотреть можно также только с их помощью.

Sinclair

Цитата:

как добавить атрибут "фото" пользователю в АД?

Любым способом. Хоть руками, через то же адсайедит, хоть при помощи любой софтины, которая умеет это делать. Деймварь, напримерь.


Цитата:

Существует ли способ отображения фотографий в стандартном окне свойства юзера в АД?

Я не нашел.


Цитата:

Как расширить схему я нашел

А нафига расширять?! Если он там встроеный есть.


Цитата:

В окне свойств юзера в АД ничего не изменилось.

Ээээ... и не должно было. Он выводит только то, что умеет выводить.

Мне для сайти надо было.

всем привет, а как зделать так что бы пользователю было запрещено создавать файлы на рабочем компе, а разрешено только на сетевом диске?

Создаю две группы в AD (Global - Security) - Group1 и Group2.

В итоге сделать членами этих групп конкретных пользователей я могу, а сделать группу "Group1" членом группы "Group2" - немогу. При поиске групп для добавления винда ее просто не находит.

Почему?

gap5
Во первых какой у тебя режим работы домена и леса - если смешанный то не сможешь, если основной 2000 или 2003 то это делать можно и единственная причина которая приходит на ум это при выборе типов объектов для поиска отключен поиск в группах

ALL
Проблема с переносом ролей после падения DC:
Домен два контроллера
после восстановления ntds.dit базы на 1 дс стал переносить все роли на другой сервак
через оснастку.
Все роли перенеслись, кроме эмулятора PDC - для него я поставил перенести принудительно. Сказал ОК. Роли перенеслись. Потом бывший PDC перегрузился
Теперь такая картина - на старом серваке показывает - все роли на новом.
А на новом PDC - пишет на роле RID - хозяин -старый сервак и он в оффлайне.
Хотя можно подключиться к старому ДС.
Какое время необходимо для переноса ролей? Что надо сделать?
Вопрос снят сделал принудительно через ntdsutil

Valery12
Действительно, проблема была из-за mixed type.

Подскажите, а как часто обновляется членство доменных групп?
Например создал доменную группу, включил туда группу юзеров - через какое время юзеры будут в курсе того, что они являются членами этой группы?

Цитата:

В сети два КД, две подсети, два сайта.
репликация работает
в журнале Службы каталога Event 1801 NTDS KCC
в тесте dcdiag kccevent test failed на обоих КД
подскажите, плиз, как побороть.

Поборол удалив с помощью ntdsutil как написано на EventId
Снёс ForestDNSZones и DomainDNSZones на КД1
в оснастке DNS создал каталоги приложений по умолчанию
Далее хочу заменить КД1 на новый сервер:
включил новый сервак в домен, начинаю поднимать на нём АД, доходит до момента репликации схемы и выдаёт ошибку: не могу реплицировать схему службы каталога DC=Scema,DC=Configuration,DC=my,DC=domain,DC=ru удалённый вызов процедур RPC завершил работу(что-то типа этого)
Куда копать?

Mike Di

Цитата:

включил новый сервак в домен, начинаю поднимать на нём АД, доходит до момента репликации схемы и выдаёт ошибку: не могу реплицировать схему службы каталога DC=Scema,DC=Configuration,DC=my,DC=domain,DC=ru удалённый вызов процедур RPC завершил работу(что-то типа этого)
Куда копать?

netdiag /fix

Граждани. Нарисовалась проблема такого плана на контроллере:
Код: Event Type: Error
Event Source: Userenv
Event ID: 1030
User: NT AUTHORITY\SYSTEM
Description:
Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this..

greenfox

Цитата:

сделали мультихомед

охохо. вот же неймется себе наживать проблем то. Проверь, чтобы интерфейс, смотряший "внутрь" был первым в списке в network connections\advanced\advanced settings

G14

Цитата:

охохо. вот же неймется себе наживать проблем то.

я знаю что это плохо для кармы. Но увы, железок других нет, как и начальства
Цитата:

смотряший "внутрь" был первым в списке в network connections\advanced\advanced settings

да всё так и сделано, как по марксу: внутренняя первая стоит, на ней прописаны днс сервера (1-й сам же этот Dc второй - dc в рут-домене), на втором интерфейсе (ext) прописан только ip и гейт (в днс данный интерф не регесрируется). Netdiag и dcdiag всё пучком (ну за искл ругани на эвент где ошибки есть)

А чем можно проверить какая схема в организации? (ну т.е. 2000 или расширеная до 2003)

greenfox

Цитата:

А чем можно проверить какая схема в организации?

ПОИСКОМ, блин.

greenfox

Цитата:

да всё так и сделано, как по марксу: внутренняя первая стоит, на ней прописаны днс сервера (1-й сам же этот Dc второй - dc в рут-домене)

Удали адреса DNS из свойств интерфейса, согласись с предложением использовать этот сервер для разрешения имён, остальное спихни в forwarders.

Цитата:

А чем можно проверить какая схема в организации? (ну т.е. 2000 или расширеная до 2003)

Из любой оснастки вызвать свойства домена.

G14
сенькую

Duke Shadow

Цитата:

Удали адреса DNS из свойств интерфейса, согласись с предложением использовать этот сервер для разрешения имён, остальное спихни в forwarders.

ммм... а что это даст? Т.е какая разница что там прописано на внутреннем интерфейсе - 127.0.0.1 или его внутрениий ip (на внеш инт. всё пусто и так) - он по любому сам на себя указывает
Цитата:

Из любой оснастки вызвать свойства домен

там показывается fanctional level - это немного другое...

greenfox

Цитата:

А чем можно проверить какая схема в организации? (ну т.е. 2000 или расширеная до 2003)

Видимо имеется ввиду режим работы леса: в оснастке домены и доверие правой кнопкой мышки на корневом элементе "Active Directory-домены и доверие" там команда изменение режима работы леса где увидишь в каком режиме он работает

Valery12
я написал выше что имелось ввиду несколько иное...
но за проявленую активность всё равно спасибо

есть: домен вин2к3 сп2, клиенты винХР и вин2к
как сделать так что бы клиенты не синхронизировали время с доменом ? через доменные политики, или может как то службы отключить у клиентов синхронизацию
спасибо

greenfox
Тогда я действительно что то не понял ведь именно режимы работы домена и леса говорят о том какая схема Active Directory и что можно а что нельзя делать с ее классами и атрибутами

poi9m
если это сделать клиенты не смогут работать в домене потому что протокол керберос проверяет время жизни выданных билетов и считает их недействительными если разница во времени превышает допустимую