» Общие вопросы про AD (Active Directory)

greenfox

Цитата:

ммм... а что это даст?

Если честно - не знаю, но бывает помогает

poi9m

Цитата:

как сделать так что бы клиенты не синхронизировали время с доменом ?

Делать этого НЕ нужно. Время рассинхронизируется и Kerberos пошлёт клиентов тёмным лесом.
Но если есть необъяснимое и горячее желание иметь проблемы - в GPO есть раздел System services - определи политику для Windows Time.

Valery12

Цитата:

именно режимы работы домена и леса говорят о том какая схема Active Directory

блин, и как при одной и той же версии схемы (30) у меня все поработало в разных режимах (interim и windows 2003) ?

Никто не в курсе, чем руководствовался мелкософт отключая возможность Fast User Switching в случае членства компа в домене?

Хотел все сделать по уму - выдать каждому юзеру работающему за компом свой пароль, но в итоге все привязывается к залогиненому в конкретный момент времени юзеру - если юзер отошел от компа, комп залочился по простою и все, разлочить может либо админ, либо залогиненный юзер... И после этого можно как-то требовать от юзеров, чтобы они не раздавали свой пароль другим?

Цитата:

Никто не в курсе, чем руководствовался мелкософт отключая возможность Fast User Switching

Думаю причина была в том,что бы ограничить возможность использования XP Pro в роли терминальных станций.
Ради этого в лиц.соглашении на XP SP2 по сравнению с XP SP1 были добавлены пункты о невозможности легального использования многопользовательского подключения к рабочему столу XP, кроме как после оплаты в виде еще одной лицензии.На этом погорели несколько успевших выйти решений ,которые расширяли возможности XP без установки сервера терминалов.Пример тому ncomputing. А идея была хороша.
Вот обход:
http://magn.ru/~tennov/other/RemoteDesktop.manual.html
1. download termsrv.zip
2. unpack it somewhere
3. reboot in safe mode (to disable windows file protection)
4. copy&replace termsrv.dll form archive to:
* c:\windows\ServicePackFiles\i386
* c:\windows\system32
* c:\windows\system32\dllcash
5. merge termsrv.reg
6. reboot normally
7. make sure the startup type of service "Terminal Services" is set to Manual (My computer->right click->Manage->Services and Applications->Services)
8. open (My computer->right click->Properties->Remote) & enable "Allow users to connect remotly to this computer"
9. open "Select Remote Users" and select remote users
10. open "Group Policy" (Start->Run...->gpedit.msc or "WINDOWS+R"->gpedit.msc)
11. go to (Computer Configuration->Administrative Templates->Windows Components->Terminal Services), open "Limit number of connections", enable it and set the number of allowed connections
12. if your computer is in a domain
* you can use Direct User Switching Task for Windows XP (also get it here) in order to enable FUS (fast user switching)
* after installation open (Control Panel->Direct User Switching) and check "Enforce Fast User Switching"
13. if your computer is not in a domain
open (Control Panel->User Accounts->Change the way users log on or off) and check both "Use the Welcome screen" & "Use Fast User Switching"
14. that's all
для переключения http://www.frontmotion.com/FMLogin/index.htm

netman
Так это вроде поможет в случае с Remote Desktop (т.е. по сути терминальной сессии). Разве нет? А мне надо включить интерактивный логон нескольких юзеров...

gap5
if your computer is in a domain
* you can use Direct User Switching Task for Windows XP (also get it here) in order to enable FUS (fast user switching)
* after installation open (Control Panel->Direct User Switching) and check "Enforce Fast User Switching"
Технология то одна,а когда в домене фишка задисейблина.

netman
Поюзал FMLogin - рульная вещь, действительно работает
Предварительно поменял dll'ку. А надо ли было? На сайте этой софтины ничего об этом нет.

Кстати, ты ее юзаешь в сети или только на своем компе? Хотелось бы получить отзывы, насколько стабильная софтина... И есть где ни будь русские темы для нее? Идеальным было бы встроить функцию отображения текущей раскладки или просто при запуске логона автоматическое переключение на английскую раскладку...

gap5
Юзать не юзаю,т.к. нет надобности.dll юзаю,дабы увеличить количество подключений к рабочему столу.Менять ее надо,т.к. когда в домене больше 1 подключения выкидывает.Насчет тем,надо искать или уметь работать со флешом макромедийным.
Про логин с английской раскладкой:
" Идём по адресу [HKEY_USERS\.DEFAULT\Keyboard Layout\Preload], и видим там в каком порядке переключается раскладка в окне логона, и меняем на то что нам надо. В случае с двумя установленными языками, русским и английским, всё должно выглядеть так:
"1"="00000409" - Английская (США), основная
"2"="00000419" - Русская, дополнительная "

Подскажите как можно скрыть в окне входа в систему домены AD в которые пользователь входить не должен. (В идеале нужно чтобы все выглядело так: в окне входа в систему отображается только тот домен в который включена машина и локальный вход).

Подскажите,пожалуйста.Есть два домена,пытаюсь настроить доверительные отношения между ними,выскакивает ошибка что невозможно найти домен.Как я понимаю необходимо создать дополнительную зону в ДНС,как это сделать и чем это черевато?

veniaminich

Цитата:

ДНС,как это сделать и чем это черевато?

надо втянуть в каждый DNS каждого домена зону другого домена,что бы те днс с которыми работает каждый из доменов знал о другом.Ну можно руками,можно вобоще черезм lmhosts прописать.
Черевато? Наверно нет,т.к.днсы отдают полные имена если суфиксы не прописаны на клиентах. И если есть сервер server.domain1.com server1.domain2.com то это будут разные сервера (IP)

Добавлено:
RoDeZiya

Цитата:

в окне входа в систему отображается только тот домен в который включена машина и локальный вход).

Скрыть не знаю,но по умолчанию домен можно выставить через реестр. Посмотри в GPO ,там скорее можно выставить домен.

Добавлено:
Гуру кто работает с босс-кадровиком.Поделитесь как втягиваете персонал в AD из БОССА?? Скриптик хотя бы экспорта из БОСС.Плиз.

Всем добрый вечер.
У меня есть следующая проблема: У нас есть сервер Win 2000 Server Sp4, на нем AD+DNS+WINS. Теперь нам привезли новый сервер и нужно всё перенести на него, но уже под Win2003.
И вот значит на 2000м я сделал:
adprep /forestprep: проводит обновление леса;
adprep /domainprep: проводит обновление домена.
всё прошло успешно.
Но попытка dcpromo на 2003м приводит к ошибке:
"Операция не выполнена по следующей причине:

Продолжение работы мастера установки Active Directory невозможно, поскольку лес не подготовлен для установки Windows Server 2003. Воспользуйтесь командой Adprep для подготовки леса и домена. Дополнительные сведения о команде Adprep см. в справке Active Directory.

"Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере."
"

А я на единственном контроллере AD под 200м уже всё сделал.

Вопрос у меня: что же ему 2003му не нравится в нашем AD на 2000?

С 2000го сервера:
ftp://ftp.sprut.ru/public/AD2000to2003/2000/dcdiag.log
ftp://ftp.sprut.ru/public/AD2000to2003/2000/NetDiag.log

C 2003го:
ftp://ftp.sprut.ru/public/AD2000to2003/DCPROMO.LOG
ftp://ftp.sprut.ru/public/AD2000to2003/dcpromoui.log
ftp://ftp.sprut.ru/public/AD2000to2003/cysui.log
ftp://ftp.sprut.ru/public/AD2000to2003/NtFrsApi.log
"ftp://ftp.sprut.ru/public/AD2000to2003/Configure Your Server.log"

Mielofon

Цитата:

Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере

Win2003 случаем не R2?
У Server 2003 и Server 2003 R2 разные версии леса (вроде 30 и 31).

Цитата:

adprep /forestprep
adprep /domainprep

эти команды необходимо выполнять со второго диска Windows Server 2003 R2

fedmun
Былин.. Ну надо же.
Завтра попробую.
Спасибо.

Mielofon
Обратите внимание на этот документ по подготовке к обновлению схемы на GC.
Дополнительно, имейте в виду вот это и вот это.

Кстати, вот еще неплохой блогкаст на эту тему.

RoDeZiya

Цитата:

Подскажите как можно скрыть в окне входа в систему домены AD в которые пользователь входить не должен. (В идеале нужно чтобы все выглядело так: в окне входа в систему отображается только тот домен в который включена машина и локальный вход).

Попробуйте выставить домен по умолчанию с помомщью параметра в реестре. О том как это сделать можно прочесть здесь.

Тут про версию схемы был разговор. Если я правильно понимаю, ее можно получив, запросив свойство objectVersion с помощью ADSIEDIT.msc или, например, вот так:

Цитата:

adfind -schema -s base objectVersion

А есть какой ни будь способ уменьшить таймаут подвисания виндов при попытке доступа к выключенному компу?

Например в AD Users & computers выбираю комп и жму Manage - если комп выключен, у винды повисон на полминуты... ну собственно так везде, когда пытаешься виндовыми сервисами достучаться до выключенного компа...

TCPIP
Спасибо, но уже помог совет fedmun именно R2 и именно со второго диска и надо было делать AddProp.

Не могу чего понять. Есть 2 компьютера, оба с win2003EE sp1. На одном был АД, но было решено переставить систему на нём. На втором добавили роль АД и выбрали, что он будт ет дополнительным. АД скопировалась на второй.
На первом удаляем роль АД и не ставим галочку, что он последний с АД в сети. Вроде всё прошло гладко. И на первом форматируем диск и переставляем систему.
Всё вроде нормально, хотим домбавить АД на 1 как дополнительный, говорит, что не настроен ДНС, поднимаем его на 1, заодно DHCP и удалённый доступ(маршрутизатор). Снова пытаемся добавить АД, говорит, что ошибка при соединении. Пробуем просто добаить компьютер к домену, со второй попытке добовляется. Перегружаемся и войти в домен не можем (не найден). Проверяем сама сеть работает нормально.

Что я позабыл сделать? Как вернуть обратно весь домен на 1 компьютер, а со второго всё удалить?

У меня такой вопрос:в AD есть стандартные группы в которые включаются пользователи.Можно создать свою группу пользователей,но как выдать ей права,с помощью какой оснастки это делается?

Цитата:

Перегружаемся и войти в домен не можем (не найден).

св-ва ситивухи правильные?
Цитата:

Проверяем сама сеть работает нормально.

как проверяли?
в каталоге запись 1го есть?

а что свойства, я просто выставил 192.168.0.1 с маской 255.255.255.0
когда поднял ДНС прописал и его 192.168.0.1

а сеть проверял через "всю сеть" - и там видно группу а в ней и компьютер.

Может в ДНС надо что-то прописать?

Доброго времени суток!

Имеется проблема с предоставлением общего доступа к папкам на компьютере под управлением Windows Server 2003 (AD поднят).

При выдаче разрешений на доступ (Доступ/Безопастность) по именам пользователей - пользователя пускает по сети без проблем.

Но, если давать права только на группу (в которую входят выушеупомянутые пользователи) - "Отказано в доступе".

Политики не трогал. Всё по умолчанию с момента установки.

Цитата:

Может в ДНС надо что-то прописать

zone
varjo
нет разницы, если конечно другие запреты не перекрывают, надо назначать на вложенные+смотреть политику запрета, т.к. она выше

Gabzya
а по подробнее можно? А то я уже тут вроде всё перебрал


всё, сам разобрался, всем спасибо


А можно как-то сохранить только самих пользователей, возможно компьютеры, безовсяких политик безопасности и т.п.

Мужики. Информация к размышлению.
Задача - сделать домен и поднять полноценный AD на 1,5-тысячный зоопарк из машин, раскиданных по большой территории примерно 2,5*4 Км и соединенный локалкой 100Мбит с дубовейшей топологией. От сетевиков надежды на изменение и оптимизацию ждать не приходится - в этих джунглях не то что сертифицированный спец по цискам, так сами они разбираться не захочут. И сливки ко всему этому - Novell Netware с джунглями в NDS не лучше(ZEN отметается - за свою зарплату я с ним тр...ся не собираюсь). Нужна для начала нормальная работа самописной АСУ(для чего новелл соотвессна и нужен).
Вопрос для начала. Предположительные технические средства для организации нормальной бесперебойной работы? У кого какие предложения?

а можно ли настроить AD так чтобы любой документ который создает или исправляет клиент, обязательно копия отправлялась на сервак в папку- а то я нашел как делать синхронизацию "мои документы" но если например клиент создает документ в другом месте то он есссесно на сервак не попадает

beladmin
всё начинается с топологии сети как это не парадоксально

ali1977
сетевые диски, запрет на запись в соот-е папки и т.д.

beladmin
если топология дебильная тогда надо как-то выбирать куски сети и в каждом куске стаить по контроллеру, это для начала

greenfox

Цитата:

сетевые диски, запрет на запись в соот-е папки и т.д.

а как запретить создавать документы например на диске С или Д - если поставить запрет на изменение диска С то винда ведь работать не будет

Duke Shadow
16:10 25-02-2004
Цитата:

Полный путь не подскажешь? А то не могу дойти где это

Цитата:

Computer Configuration\Windows Settings\Security Settings\Restricted Groups

Подробности здесь.
ali1977
21:28 28-04-2007
Цитата:

а как запретить создавать документы например на диске С или Д - если поставить запрет на изменение диска С то винда ведь работать не будет

Можно скрыть диск.
Насчет прав доступа: почему не будет? Вы же не учетной записи SYSTEM доступ запретите, а какому-то пользователю, у которого свой SID.

Кстати, а для чего вам folder redirection?