» Общие вопросы про AD (Active Directory)

Цитата:

При создании первого контроллера домена в организации, создаются также первый домен, первый лес, первый сайт и устанавливается Active Directory.

А AD - вроде состоит из:
- лес,дерево,домен и ОП (логические элементы);
- контроллер домена и сайти (физические элементы);
Поэтому я иногда запутаюсь, AD раньше создается или же контроллер домена?

Извините может быть это глупый вопрос,но ...

...
контроллер домена-это машинка, на которой стот АД.
чтобы ты не путался, АД - это всего лишь програмка для управления сетью и ресурсам (если уж совсем утрировать). И ставится она на машинку которая называется сервер, он же контроллер домена. Контролер домена это всего лишь навание сервера на котором работают службы АД.

Ed_73

Цитата:

Контролер домена это всего лишь навание сервера на котором работают службы АД.

Скорее не название, а состояние.

Цитата:

Извините может быть это глупый вопрос,но ...

де нет, не глупый - странный и только. Вы же книги прочитали? А теперь сделайте лабораторную работу - поставтье на свой комп виртуалку и разверните там домен.

rkhodjaev

Цитата:

Идея хорошая, вот когда я книжки читаю об AD сразу в голову бьется кто-нибудь использует ли многодоменную структуру

Вроде бы Микрософт не рекомендует этого делать. Косвенные доказательства этого найти можно, а прямой фразы я что-то не встречал, но поверье такое есть (если кто найдет цитату вроде "it is not recommended using multidomain Active Directory structure" буду благодарен. Мне известно лишь это "Because the organizational domain forest model is not recommended, additional design information is not provided.")
Тем не менее, при слиянии компаний 2 леса, вполне нормальная, вроде бы, практика. А несколько домена были у Siemens, HP, ASUS, etc. (если я не вру конечно, что вполне может быть).

to ALL

Машина не может войти в домен пишет при входе: см тут

Народ срочно пожалуйста. С основного контроллера домена передал инфу и роли на резервный (оказывается вроде я всего лишь 4 роли передал, мастер схемы вроде забил). Потом хотел обратно передать роли, но на последнем «schema master» выдал ошибку и вообще теперь все роли пропали не знаете как восстановить все роли. Везде пишет error подскажите что нибудь а то завтра рабочий день, и если домен не будет работать, то крышка ….

rkhodjaev
либо восстановление из бекапа либо юзай команду sieze и читай тут http://support.microsoft.com/kb/223787/ru

После создания нового пользователя в АД им нельзя залогонится на контролер домена.
Ситуация выглядит так, что неправильно введено имя пользователя или пароль.
Добавил в группу администраторы.
Те же грабли.
Когда смотришь состав группы Администраторы, этот аккаунт показывает сереньким, как будто он неактивен.
При этом этим аккаунтом можно залогонится на другие сервера в домене всё нормально, пускает., кроме резервного контроллера домена.
На Резервном логон проходит, но дальше никуда не идёт висит окошко Personilized seting, т.е. создаётся и настраивается профайл и всё.
В сети 2 домена с доверительными отношениями.
М.Б. у кого есть мысли в этом пплане, буду благодарен.

Подскажите чем можно сделать бэкап всех пользователей домена в DC

rosalin
ntbackup - systemstate

Добавлено:
а также с помощью утилит CSVDE и LDIFDE можно зделать импорт\экспорт пользователей

Есть такая проблемка, на предприятии поднята АД и обновременно с этим остались рабочии группы, так вот пользователи АД не могут зайти на компьютеры раб групп, запрашивается имя пользователя и пароль... подскажите как это убрать...

кто подскажет как разрешить обчному доменному пользователю подключаться по WMI и собирать значения счётчиков для сбора статистики.
WMI - Security уже настроил.
DCOM - поразрешал всё.
WMI службу перегружал.

Результата нету.

slech
http://redmondmag.com/columns/article.asp?EditorialsID=381

скажите плз:
где недонастроил:
поставил server2003 поднял AD, DNS, DHCP
DHCP не раздает (активирован, параметры области не трогал)
3 компа вручную настроил, а в статистике DHCP показывает что все 100% адресов свободны. хм..

G14
непомогло - Acess Denied
из под админа домена всё ок, другому пользователю не зайти.

slech
Расскажи пошагово как делал, я попробую смоделировать у себя в тестовой сети...

G14 - спасибо за отклик.
Домен - domain.com
пользователь user@domain.com
машина test

Попытка настроить разрешения:
1. dcomcnfg --> Component sevice --> Computers --> My Computers - Properties --> Com Security -->
Acess Permissions - add user@domain.com(allow all)
Launch and Activation Permissions - add user@domain.com(allow all)

2. wmimgmt.msc --> WMI COntrol (local) --> Properties --> Security - Root -->
Add user@domain.com - advanced - This namespace and subnamespace.(allow all)

3. WMI Service - reload

4. PC - reload

Результата достичь неудалось

Из под админа домена удаётся подключиться при помощи compmgmt.msc и там просмотреть WMI Control
админ - всё ок, user - не ок

slech
Завести пользователя в локальную группу Distributed COM Users(чтобы не лазать отдельно по DCOM разрешениям, хотя если нужно более тонко назначить права - придется руками лазать по DCOMcnfg). Открыть на нужном сервере wmimgmt.msc с правами админа , закладка Security - добавить его, нажать кнопку Advanced, отметить пользователя, нажать Edit, выбрать из списка не тольно "это пространство", а "это пространство и его подпространства", поставить галку Remote Enabled.
Проверить так как ты проверяешь (цепляясь wmimgmt удаленно).
Вроде все...

Добавлено:
Переписал пост уже, пока я отходил

Добавлено:
Если ты хочешь делать без DCOM Users (все руками делать), то добавь еще в политиках компьютера в Security Settings\Local Policies\Security Options пользователя (или группу) в параметры, начинающиеся с DCOM:...

Привет all
У нас был один DC, потом передали роли на новую тачку и на старом переустановили ОС Вин 2003.После чего роли обратно передали, а эту машину сделали как дополнительный (резервный). При помощи ntdsutil проверил обладателей ролей, и вот обладателем ролей является test1, а резервным test2.С эотого можно делать вывод то что test1 является главным(основным) DC.B и для эксперимента я из своей машины запустил команду “gpresult” он мне выдал:
.
.
.
Потом
конфигурации компьютера
CN=PCNAME,CN=Computers,DC=domainname,DC=test2 и т.д.
Последнее применение групповой политики: 28.11.2007at 14:35:29
Групповая политика применена с : test2.domainname
.
.

и т.д.

Что это означает, кто нибудь подскажет. То есть почему здесь пишется имя резервного DC.

rkhodjaev
Потому что политики применились с него. Распределение ролей не влияет на то, на каком DC авторизуются (а значит и берут с него политики) пользователи.

G14
спасибо большое - от части помогло.
Группу Distributed COM Users - найти не удалось, решил проблему вторым способом.
Но - остался вопрос нерешенным со второй частью сбором значений счётчиков.

admin:

perl w32_dns_query_stats.pl pc-name
Total:647851 Notify:2 Update:1991 TKeyNego:68 Standard:645790 A:353714 NS:51 SOA:2026 MX:57222 PTR:215118 SRV:17097 ALL:0 IXFR:0 AXFR:0 Other:562


user:

perl w32_sql_query_bufferpages.pl pc-name
Check the computer and class name. No information was found on the specified class!


раньше писало
Unable to talk to WMI for pc-name.


т.е. щас уже подключается - но почемуто не снимает значения.
разрешения раздал на это пространство и его подпространства

slech
Покажи скрипт (только вот очень жаль, что он на perl, коего я вообще не знаю). Навскидку я могу сказать, что у тебя уровень безопасности соединения может быть недостаточным. Для работы с Win2003SP1, например требуется принудительно указывать уровень безопасности. Примерно вот так:

Код: Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate," _
& "authenticationLevel=pktPrivacy}!" _
& "\\" & strComputer & wmiNS)

G14
а как делать чтобы политику с главного взял? То есть можно этот параметр поменять?

rkhodjaev
А зачем? Политики на DC абсолютно одинаковые. Можно, конечно, поиграть весом SRV записей в DNS, только вот при небольшом домене с двумя DC какой в этом смысл?

G14
А если вдруг умрет (резервный DC, так как резервный стоит не на мощном тачке), потом у пользователей проблемы не будут, они потом будут обращаться к основному ?

Добавлено:
Просто я хочу быть уверен то что у нас test1 является основным, не хочу проблем когда резервный станет и пользователи не смогли бы выполнять задачи.

rkhodjaev

Цитата:

А если вдруг умрет (резервный DC, так как резервный стоит не на мощном тачке), потом у пользователей проблемы не будут, они потом будут обращаться к основному ?

Именно. Будут обращаться к основному (если, конечно в сети останется хоть один рабочий DNS). Они собсно и сейчас должны обращаться к основному тоже. Но не все, а часть. Часть к одному DC, часть - к другому. Чтобы совсем минимизировать возможные проблемы - сделай оба DC серверами GC.

G14

Цитата:

Чтобы совсем минимизировать возможные проблемы - сделай оба DC серверами GC.

У меня пользователей около 150 + 2 Global Catalog’a если будет проблемы не возникнут?

Цитата:

2 Global Catalog’a если будет проблемы не возникнут?

Нет, а с чего бы им возникнуть? У нас пользователей несколько тысяч, а GC несколько сотен, и проблемы от этого не возникли....

G14
Окей теперь понятно с глобальным каталогом, то есть можно сколько можно.А вот когда я обновляля вин с 2000 на 2003 и теперь когда сделал "gpresult" там в начале я прочитал что Тип домена : windows 2000 как это можно понять, так как сейчас оба контроллеры на 2003 а пишет такую вещь, что это означает?