» Общие вопросы про AD (Active Directory)

riwen

Цитата:

Возможно ли это, смогут ли одновременно находиться на сервере рабочая группа и AD?

нет

Цитата:

Смогут ли нормально продолжать работать люди в 1С, обращаться на сервер (файловое хранилище) и т.д. , в то время как я буду разбираться (настраивать) AD на сервере и на свем компьютере?

нет.

Gvozdjra
По умолчанию в W2k3 установлена надстройка "Повышенная безопасность IE". Удали её (компоненты Windows) - сможешь настраивать как хочешь. (Хотя идея в общем-то плохая...)

спасибо!

G14
riwen

А в чем проблема, они же и раньше шары подключали, а после установки AD в чем с этим проблема будет. Юзеров заново завести и все.
Я конечно мож че не понял, но я с дома чрез модем подключаю шару, которая находится на контроллере. Дома комп не в какой домен не входит, у него кроме модема нет ни какой сети.

скажите:
можно ли увидеть является лок.админом учетка из АД или нет?
если да, то где? (ни где не вижу)

snayper7
Можно: на локальной машине, управление - служебные - локальные пользователи и группы.
А вот на контроллере такого нет впринципе.

Infected Switch

Цитата:

А вот на контроллере такого нет впринципе.

А если посмотреть кто входит в группу администраторы, оснастка пользователи и компьютеры?

RoDeZiya

Цитата:

1) Это даст возможность отвязать пользователя от конкретной рабочей станции.
2) Даст возможность малыми телодвижениями проводить архивацию документов.
3) Возможность совместной работы нескольких пользователей с одним набором документов (при необходимости).

Это то же что и "roaming profile" ? или что то другое? Кстати для roaming'a просто надо папку шарит и потом в профиле юзера указать путь,так?

ребята, не могу с локальной машины из перемещаемого профиля отправлять сообщения с офиса аутлука 2003. принимает, но не отрпавляет... smtp хоста правильно поставил, пишет что типо ошибка в портах SSL. может винда блокирует? (вин серв 2003 р2)

Gvozdjra
отправка через ssl идет? порты какие указаны?

ITeXPert



нет, как раз нет отправки. письма приходят, а отправлять не хочет....

порты pop3 110
smtp 25

пишет - задайте правильно порты или смотрите сведения о протоколе SSL....

на рутере вроде все тоже включено... не пойму..

Цитата:

snayper7
скажите:
можно ли увидеть является лок.админом учетка из АД или нет?
если да, то где? (ни где не вижу)

snayper7
Увидеть нельзя, но можно прописать группу, которая будет входить в локальных администраторов в GPO - Restricted Groups, так же там можно запретить входить в локальную группу другим учетным записям

Ребят, нет ни у кого идей по поводу моего головняка?


Цитата:

ребята, не могу с локальной машины из перемещаемого профиля отправлять сообщения с офиса аутлука 2003. принимает, но не отрпавляет... smtp хоста правильно поставил, пишет что типо ошибка в портах SSL. может винда блокирует? (вин серв 2003 р2)

Цитата:

отправка через ssl идет? порты какие указаны?

Цитата:

ITeXPert



нет, как раз нет отправки. письма приходят, а отправлять не хочет....

порты pop3 110
smtp 25

пишет - задайте правильно порты или смотрите сведения о протоколе SSL....

на рутере вроде все тоже включено... не пойму..

ALL
В сети 100Мбит 20 компов с WinXPSP2. Пингуются по имени нормально. В сетевом окружении видны и шары открываются без проблем.
ActiveDirectory на сервере Win2003.
Если на любом из компов ввести имя пользователя, пароль и имя домена то юсер попадает в свою привычную среду.
Все бы хорошо, но это происходит при отсутствии подключения к сети (банально отсутствует сетевой шнур).
Я - в шоке... Рушатся представления об окружающем мире...
Вся разница в том, что сетевые ресурсы, само собой, недоступны.
Вопрос: Это - НОРМАЛЬНО ???
То, что групповая политика на любой из этих компов, не действует, возможно, следствие этой хрени???

P.S. Если я ошибся темой (или форумом) - прошу меня поправить.
Убедительно прошу не посылать в поиск (был и безуспешно
Если я кому то из вас помог, то прошу помочь и мне - ася 256106175.

mozers
В смысле если на неподключенном компьютере ввести имя\пароль\домен то загружается профиль пользователя и можно нормально работать?
если так, то это нормально.. у меня аналогично. Как я понимаю, пароль в этом случае сверяется с хэшем на локальном компьютере(который будет обновлен при следующем подключении к сети)

gbcfkf
Да. Именно так и происходит.
Я полагал что при отсуствии доступа к контроллеру домена при попытке входа в систему будет выдаваться соответствующее сообщение и пользователь на комп зайти совсем не сможет.
Так, имхо, было бы - правильней.
Ну если я не прав... Крушение идеалов...
Т.е. искать причины неработоспособности групповой политики надо искать не здесь?

mozers
я тоже удивился, когда это обнаружил..

Цитата:

Т.е. искать причины неработоспособности групповой политики надо искать не здесь?

не знаю.. я пока плохо разбираюсь в этой области

mozers,gbcfkf

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/35958fa8-2e47-4cf9-9f11-5095e5b5525e.mspx

mozers

Цитата:

Если на любом из компов ввести имя пользователя, пароль и имя домена то юсер попадает в свою привычную среду.
Все бы хорошо, но это происходит при отсутствии подключения к сети (банально отсутствует сетевой шнур).

Цитата:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/35958fa8-2e47-4cf9-9f11-5095e5b5525e.mspx

я прочитал статью в майкрасофте,значит если настроит данный параметр то при не доступном контроллере домена пользователь все равно может загрузится и работать?

Да будет работать, но особой дыры тут нет, поскольку нового билета kerberos он не получит то и доступа к другим серверам то-же.

Есть домен на Windows 2003. Необходимо ввести в этот домен Linux машину.
Все попытки неувенчались успехом. Опытным путем было выяснено, что проблема в виндовом домене.

Решил снести домен и поднять заново. Сервер один. Он является контроллером домена, а так же терминальным сервером. Есть идея поднять на другом компьютере контроллер домена в этом же домене, и после полной репликации удалить роль контроллера домена с основного. Затем поднять на этом сервере новый домен и с помощью утилиты Active Directory Migration Tool v3.0 перенести все объекты из старого домена в новый.

Вопрос: как это сделать, чтобы сохранились все профили пользователей для терминального пользователя, все расставленные права на папки и файлы на этом сервере?

SelfCoder

Цитата:

как это сделать, чтобы сохранились все профили пользователей для терминального пользователя, все расставленные права на папки и файлы на этом сервере

ТОлько не убивать домен.
А может проще вылечить "проблему в виндовом домене" ?

rkhodjaev
У меня юзеры без контроллера войти не могут. Я щас точно не помню этот или не этот параметр политики я настроил, но я точно знаю если на рабочей станции выдернуть сетевой шнур то простой юзер не зайдет, я где то читал что могут заходить админы, правда я не помню сколько раз, но под админом действительно пускает.

rkhodjaev
Цитата:

Это то же что и "roaming profile" ? или что то другое?

Не совсем. При использовании перенаправления папок можно указать расположение отдельно каждого из каталогов: "Мои Документы", "Рабчий стол" и еще каких-то...
Цитата:

Кстати для roaming'a просто надо папку шарит и потом в профиле юзера указать путь,так?

Да.

SelfCoder

Цитата:

Все попытки неувенчались успехом. Опытным путем было выяснено, что проблема в виндовом домене.

Скажу точно - проблема в виндовом домене только одна - его существование. Всё остальное - проблема самбы на линуксовой машине. Ковыряй линух и не трожь домен.

Цитата:

Доброго времени суток.
Есть желание установить Active Directory в небольшую локальную сеть (около 40 машин 2000 и XP + один сервер 2003, DHCP).Сейчас все работают в сети через рабочую группу. Но так как я буду делать это в первый раз, то хотелось-бы сначала установить AD на сервер, потом настроить но одной-двух машинах, разобраться и только после этого постепенно подключать к AD остальных. Возможно ли это, смогут ли одновременно находиться на сервере рабочая группа и AD? Смогут ли нормально продолжать работать люди в 1С, обращаться на сервер (файловое хранилище) и т.д. , в то время как я буду разбираться (настраивать) AD на сервере и на свем компьютере?

Цитата:

riwen

Цитата:Возможно ли это, смогут ли одновременно находиться на сервере рабочая группа и AD?

нет

Цитата:Смогут ли нормально продолжать работать люди в 1С, обращаться на сервер (файловое хранилище) и т.д. , в то время как я буду разбираться (настраивать) AD на сервере и на свем компьютере?

нет.

Цитата:

G14
riwen

А в чем проблема, они же и раньше шары подключали, а после установки AD в чем с этим проблема будет. Юзеров заново завести и все.
Я конечно мож че не понял, но я с дома чрез модем подключаю шару, которая находится на контроллере. Дома комп не в какой домен не входит, у него кроме модема нет ни какой сети.

Так все-таки возможно ли временное сосуществование рабочей группы и AD? На другом ресурсе говорят что это возможно ("если не вводить пользователя в домен то он по прежнему будет работать в рабочей группе и для него ничего не измениться" - RUS-FAQ). Направьте на путь истинный. Заранее благодарен за ответы.

riwen

Цитата:

Так все-таки возможно ли временное сосуществование рабочей группы и AD? На другом ресурсе говорят что это возможно ("если не вводить пользователя в домен то он по прежнему будет работать в рабочей группе и для него ничего не измениться" - RUS-FAQ). Направьте на путь истинный. Заранее благодарен за ответы.

По-моему вы неверно представляете себе сети с AD.
1) Компьютер находится одновременно в рабочей группе и в домене не может.
2) Если смотреть со стороны конечного пользователя, то внешне работа в домене ничем не отличается от работы в рабочей группе - те-же компьютеры в сетевом окружении, те-же шары на серверах. Внешне "Сетевое окружение" выглядит одинаково, что в домене, что в рабочей группе.
3) Компьютеры не введенные в домен (работающие в рабочей группе) могут обращаться к шарам доменых серверов/компьютеров. Единственная заметная на глаз разница - что пользователь AD один раз ввел пароль для входа в систему и все. И под этим аккаунтом его будет пускать ко всем дозволенным ресурсам всего домена. Пользователю рабочей группы при обращении к доменным шарам прийдется вводить пароль при подключении к каждому компьютеру.

riwen
Смотря что понимать под одновременной работой, конечно в одной локальной сети могут находится и доменные компы и рабочая группа, причем если имя группы будет совпадать с нетбиос именем домена в сетевом окружении они будут видны вместе, если в сети стоит файловый сервер, входящий в домен но на нем есть локальные пользователи с таким же именем и паролем как и на компах рабочей группы можно будет раздавать шары, если есть терминальный сервер входящий в домен - тоже к нему можно будет подключаться (естественно используя доменные учетные записи)
Но вот если общие папки на контроллере домена то доступа к ним рабочая группа не получит, потому что на КД локальных учетный записей нет, естественно варианты когда на КД снижают уровень безопасности и разрешают к шарам анонимный доступ я не учитываю как извратный.

Цитата:

Скажу точно - проблема в виндовом домене только одна - его существование. Всё остальное - проблема самбы на линуксовой машине. Ковыряй линух и не трожь домен.

На отдельной чистой машине был установлен Windows 2003, поднят домен, и в нём не меняя настроек самбы всё проходило на ура.

riwen

Цитата:

Направьте на путь истинный. Заранее благодарен за ответы.

Посмотрите в сторону vmware, кажется это как раз ваш случай

Цитата:

Доброго времени суток.
Есть желание установить Active Directory в небольшую локальную сеть (около 40 машин 2000 и XP + один сервер 2003, DHCP).Сейчас все работают в сети через рабочую группу. Но так как я буду делать это в первый раз, то хотелось-бы сначала установить AD на сервер, потом настроить но одной-двух машинах, разобраться и только после этого постепенно подключать к AD остальных.