» Общие вопросы про AD (Active Directory)

AlexSSS
Нет, ещё одна группа в локальных админах не нужна... Нужно именно так. Только что читал, что это такая примочка 2к3 (забыл сказать, у меня 2k3 native домен). Система считает это все как protected object.
http://www.experts-exchange.com/Security/Win_Security/Q_20856626.html

Кароче, решения пока так и нет..

Добавлено

Цитата:

684 Set the security descriptor of members of administrative groups.

Parameters: Domain of target user account, SID string of target user account, user name of subject changing the user account, domain name of subject changing the user account, logon ID string of subject changing the user account.

Configurable Information: Success

Formal name: SE_AUDITID_SECURE_ADMIN_GROUP

Every 60 minutes on a domain controller a background thread searches all members of administrative groups (such as domain, enterprise, and schema administrators) and applies a fixed security descriptor on them. This event is logged.

inQuiпопробуй почитать здесь http://www.osp.ru/win2000/2002/06/008_print.htm
помоему это то, что тебе нужно

Слетела политика контролеров домена (насмерть) пока не могу понять от чего
говорит что нет доступа или не существует
убил ее создал новую политику - теперь проблемма как востановить значения по умолчанию (создаласьобсолютно чистая политика)
кто может помочь ? нужен или бекап (есть утилита gpmc) или скриншот с экрана для Политика безопасности контроллера домена, назначения прав пользователей и параметры безопастности
БУДУ ОЧЕНЬ признателен

AlexSSS

Цитата:

не трожь святое, домен админов!!!! ;o)
тем людям достаточно было дать право просто быть локальными админами на клиентских машинах. А для домена они остануться обычными пользователями. Чтобы не бегать по всем машинам, можно прописать это через политику.

подскажи как? как в политике написать "добавить пользователя в локальных админов"?
если делать logon script в котором
net localgroup "Administrators" username /add
то он совершенно справедливо, что нет прав на добавление (при логине юзена на клиента)? куда прописать то?

>как в политике написать "добавить пользователя в локальных админов"?

цитата с
http://www.osp.ru/win2000/2003/03/056.htm

"Следующим шагом является ограничение членства в группе локальных администраторов. Данный параметр тоже удобно конфигурировать через групповые политики. Свойство GPO Restricted Groups позволяет указывать, какие учетные записи должны быть членами той или иной группы. В группу локальных администраторов необходимо включить администраторов домена, а также группу, в которую входят учетные записи персонала, осуществляющего техническую поддержку компьютеров подразделения. Поскольку последний параметр может быть в каждом подразделении свой, целесообразно применять подобные политики на уровне организационного подразделения."

2BigBear & All

У меня обратная проблема: поднял контролер, еще ничего не менял как можно сбэкапить политики безопасности?

BigBear
Попробуй выполнить на контроллере
secedit /configure /DB %TEMP%\sec.dat /CFG %SYSTEMROOT%\Inf\DefltDC.inf /AREAS SECURITYPOLICY GROUP_MGMT USER_RIGHTS

И еще для информации посмотри secedit /? и содержимое файлов %SYSTEMROOT%\Inf\DefltDC.inf, Defltsrv.inf, Defltwk.inf
SergeyDoronin
Ничего бакапить ненадо. Все уже сбакаплено в этих inf-файлах. Собственно оттуда дефолтные настройки безопасности и берутся при установке.

Задача:Win2k ADS Как все знают после регистрации компьютера XYZ в домене запись объекта компьютер появляется в контейнере (Computers ), задумка разделить компьютеры на подразделения для применения к ним политики безопасности подразделения OU.

Делаю следующие действия:
1.Запускаю Active Directory - пользователи и компьютеры
2. Захожу в контейнер Computers и от туда делаю перемещение компьютера c именем XYZ в подразделение OU worsk.
3. Теперь пробую зайти на машину XYZ пользователем домена для проверки и что мы видим соообщение об ошибки:
"Интерактивный доступ запрещен локальной политикой"
4.Пробую зайти Администратором локальным и Доменным все замечательно.
Возвращаем машину XYZ обратно из OU works в контейнер Computers, пробуем зайти на машину XYZ пользователем домена все замечательно входит.
Вопрос: Возможно ли решить данную проблему ?

Разреши в политике этого OU вход в систему обычным пользователям и все будет!

SergeyDoronin
есть утилита gpmc у мелкософта

Alan Mon
спасибо попробую
сообщу результат

2BigBear
Она заменяет стандартные средства управления политиками и по отзывам не удобна в управлении, а хороша для моделирования полиик. Есть ли другой вариант сбэкапить плитики?

SergeyDoronin
не знаю по поводу неудобства - мне понравилась, но я только поставил ее так что может еще и снесу, но политики она бекапит это я уже проверил

люди. такой вопрос по AD.
dc - 2003. ws - 2000.
завел машины в домен, рассовал их по ОУ. а юзеров, т.е. их аккаунты в соответствующие ОУ надо или в users так и оставить?

leputain
если надо, чтобы на них действовали политики определнных ОУ, то надо. Если нет - то нет Default Domain Policy на них все равно действовать будет.
но ИМХО удобнее разнести, т.к. повышается удобство работы к каталогом.

ясно. спасибо.
идём дальше - к примеру - на ОУ domain controllers собираюсь менять групповую политику, что делать с default domain policy? т.е. создать ли ещё один слой м в него занести свои изменения или как? в каком вобще случае прибегают к нескольким GP на одном ОУ?

leputain
Default Domain Policy трогать не надо. Лучше создать еще одну плитику и применить её на нужном ОУ, ну или на весь домен, тока надо 2 раза подумать, прежде чем на весь домен применять. Редактирование Def Dom применяется в случае, когда необходимо изменить параметры "Политик учетных записей" и "Локальные политики", т.к. по разумению Microsoft они должны быть одинаковы во всем домене

Цитата:

в каком вобще случае прибегают к нескольким GP на одном ОУ?

Да это как душе угодно. Главное не запутаться что где применяется.
ИМХО удобнеее создавать небольшие политики, и называть их соотвесвенно (н-р "Prog Whitelist", "IE settings" и т.п.). Потом эти политики можно прилинковать к другим ОУ.

Добавлено
PS Почитал внимательнее - все таки ты имел ввиду Default Domain Policy или Default Domain Controller Policy? В любом случае дефолтные лучше не трогать, а создать парралель. Это обслегчает откат в случае чего (опть же, есть исключение - "Политики учетных записей" и "Локальные политики").

ок. про откат - это идея.
спасибо за ответ.
а если уже похерена def dom и def dc policy, как восстаногвить?
+ если на ОУ повешены два "слоя" и оба с no override, то они применятся по-очереди самыми последними (т.е. фактически "выживут" параметры из второй)?

как бы так легко сравнить два шаблона (в .inf)?
раньше я делал так - сравнивал их через totalcmd построчно - помогало. а теперь такая ситуация - один в unicod'е, а другой - нет. их уже totalcmd построчно не сравнишь.
а мне бы увидеть какие параметры одинаковые в двух шаблонах, какие задаются в обоих но в разное значение, а какие - только в одном из двух. RSoP пробовал - всёравно приходится ручками сравнивать..

Интересняя ситуация возникла, может кто сталкивался.
В сети 2 контроллера домена (ALFA, BETA)под Windows 2003 и 1(Server) под NT4 (пережитки недавней миграции). На одном 5 ролей,Global Catalog, DNS. После того как у него упало питание (бывает и такое, к сожалению), пользователи долго не могли зайти в домен. Более того, на сервер Beta стоит сервер MS SQL 2000 и некоторые jobы, которые были сделаны под доменным пользователем, ночью не прошли. Вопрос: а на кой тогда дополнительный контроллер домена?! Неужели нужно руками ему отдавать роли (я подозреваю, что народ не логинился, потому что не было PDC Emulator), чтобы все работало?

Garreth
Я бы посоветовал во-первых, поднять DNS на втором контроллере и настроить на обоих форварды друг на друга. И во-вторых, сделать второй контроллер Global Catalog Server.
Не знаю как в 2003, но в 2000 если домен работает в native mode, пользователи не могут логиниться, если недоступен GC.

Alan Mon

Цитата:

Я бы посоветовал во-первых, поднять DNS на втором контроллере и настроить на обоих форварды друг на друга.

А если на втором поставить secondary - не покатит? А то как-то странно процесс разрешения имени будет проходить.


Цитата:

сделать второй контроллер Global Catalog Server

сделал


Цитата:

Не знаю как в 2003, но в 2000 если домен работает в native mode, пользователи не могут логиниться, если недоступен GC.

У меня как раз 2к-клиентам все пофиг было. А выступать начали 98-клиенты.

leputain

Цитата:

как бы так легко сравнить два шаблона (в .inf)?

Посмотри GPMC. Точно не помню, есть ли там такое.....
http://go.microsoft.com/fwlink/?linkid=21813

Цитата:

а если уже похерена def dom и def dc policy, как восстаногвить?

Из шаблонов (похоже сам понял )

Цитата:

если на ОУ повешены два "слоя" и оба с no override, то они применятся по-очереди самыми последними (т.е. фактически "выживут" параметры из второй)?

Никогда не задавался таким вопросом. По идеи будут действовать та политика, что
создана позже. RSOP что говорит по этому поводу?

Garreth

Цитата:

. На одном 5 ролей,Global Catalog, DNS

Интересно, как вообще все работало. Скорее всего TTL записей DNS большой был... Как по твоему клиенты буду находить твой второй КД, если ДНС не доступен? Присоединяюсь к мнению Alan Mon. Но достаточно создать вторичную зону, а то действительно как-то страшно получиться....

в принципе вопрос по AD:
юзер с роуминговым профилем заходит на станцию, уходит покурить, скринсейвер лочит станцию. после входа и до перекура юзер что-то "поменял" в профиле (новый документик, или настроечки какие..). там на перекуре на него упал кирпич. вопрос: как разлочить станцию без админа? т.е. сохранятся ли изменения в профиле, чтобы обрадовать ударенного кирпичом, если вырубить комп пувером? при условии что в энергопитании (в панели управления) на кнопку пувер повесил "выключать комп"..

leputain

Цитата:

как разлочить станцию без админа?

Никак.. болжен быть другой юзер с правами админа на этом комп....

Цитата:

при условии что в энергопитании (в панели управления) на кнопку пувер повесил "выключать комп"..

Сохранение профиля происхождит в момент logoff... если этот процесс проходит - профиль сохранен.. если нет, то нет... при нормальном выключении логофф происходит...

тогда наверно лучше использовать что-то типа winexit.scr или logoff.exe в качестве скринсейвера? компы почти публичные.. админа давать низзя.

по-пути: попробовал для своих задач GPMC:
я в восторге!!
совсем не "громоздко"..

leputain

Цитата:

тогда наверно лучше использовать что-то типа winexit.scr или logoff.exe в качестве скринсейвера?

т.е. ты хочешь при старте скринсейвера делался логофф? а разумно ли? лучше уж сказать юзерам, "чтоб сами логоф делали, иначе хана их документам....."
С документами проще - их можно сразу хранить на сервере... а вот с настройками действитлеьно проблема...

не делают сами логофф, забывают.. вот и подтирай за ними..
а следующий приходит - комп открыт, что ему заморачиваться он и работает под другим, предыдущим..

Доброе время суток!!!
Проблема в следующем : Добавил машину на ХР в домен, добавил юзера, при первом его входе в систему все хорошо, на клиентской машине под ее учетной записью все работает, все настраиваеться, но второй раз юзер зайти не смог так как забыл пароль!!! Я на контролере удалил его учетную запись, создал ее заново, юзер сменил пороль при первом входе в системуи на этот раз его запомнил, но теперь под его учетной записью на клиентской машине даже рабочий стол настроить нельзя!!! Файл NTUSER.Dat я не трогал!!! Переустановил с нуля винду, тоже самое, удалил папку с его профилем, создал новую, тоже самое. Что делать?

gorg

Цитата:

но второй раз юзер зайти не смог так как забыл пароль!!! Я на контролере удалил его учетную запись, создал ее заново

Ух ты.... А так не пробовал: Active Directory User and Computer->_User_->Правой кнопкой мыши->Change Password ? И еще - ты удалил пользователя и создал его заново с тем же именем - НО ЭТО УЖЕ ДРУГОЙ ПОЛЬЗОВАТЕЛЬ. Все разрешения на папки, NTFS и пр. и др. надо настраивать заново.


Цитата:

создал новую

??? Что значит создал новую???? Папка профиля создается при первом входе пользователя на комп. Снеси все профили, какие есть, и пусть он заходит нормально...