Насильно наложи права на службу.
» Обсуждение статьи "Групповые политики Active Directory"
доброе время суток.
может вопрос и не в тему, но всеж спрошу.
дано домен, назовем его xx, win 2003 eng три домен контролера, около 1000 юзеров.
вопрос
как узнать сколько юзеров админы на своих компах? может существует какая нить маленькая утилита?
может вопрос и не в тему, но всеж спрошу.
дано домен, назовем его xx, win 2003 eng три домен контролера, около 1000 юзеров.
вопрос
как узнать сколько юзеров админы на своих компах? может существует какая нить маленькая утилита?
Утилита Active Network Monitor ...фишка local group
есть такая 
тока не зарегиная
мож кто поделится зарегиной
тока не зарегиная мож кто поделится зарегиной
Цитата:
Active Network Monitor
Посмотри здесь.
http://forum.ru-board.com/topic.cgi?forum=35&topic=11348#1
Спасиб большое
Народ, а дайте ссылку на ПОДРОБНОЕ описание таких компонентов как СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, NETWORK SERVICE, ГРАППА-СОЗДАТЕЛЬ, ДРУГАЯ ОРГАНИЗАЦИЯ, ИНТЕРАКТИВНЫЕ и т.д., там их великое множество существующих изначально при установке. Желательно бы поподробнее почитать и понять где и как можно то или иное применять.
А по русски нет нигде и с примерами?
Есть домен на базе Windows Server 2008.
Как в домене разрешить обычным пользователям форматировать съемные носители на локальных рабочих станциях?
Как в домене разрешить обычным пользователям форматировать съемные носители на локальных рабочих станциях?
а подскажите люди добрые как правильно поднять второй сервер dns? есть два домен контролера на одном из них подняты dns, dhcp, wins, на втором только AD, вопрос как правильно настроить dns, dhcp, wins на втором, чтоб не возникло проблем и desastrov.
люди, вопрос?
Исходники: сервак-AD, DNS, ISA, EXCHANGE, TERM.
Что произошло: один великикй Админчег решил удалить юзера "Администратор". но так как учетка эта встроенная, он был послан далеко и надолго. после чего он не успакоился и попытался вывести эту учётку из групп администраторы и создатели групповой политики(в общем из тех групп, которые прописываеются изначально). вот тут и произошло интересное: все группы пропали, кроме группы "администраторы", т.к. она так же встроенна и неразлучна с учёткой "Администратор". но после перезагруза сервака учетка "Администратор" перестала пользоваться правом устанавливать программы(у вас нет прав на ...). Я перекопал все AD, просмотрел все права администратора- все нормально, я заглянул в gpedit, secpol- тоже самое. в свойствах непосредственно exe файлов(инсталов прог) администратор так же имеет все права. дефултовские политики gpo на контроллере в AD так же не изменены. на всякий случай я админа снова ввел во все управленческие группы(домена, предприятия, управления груп пол), но результата это не принесло. sysstate делался последний раз 3 месяца назад, а за это время много, что изменилось, так что воспользоваться этим не могу. а еженедельный бэкап диска С ни к чему не привел, как было, так и осталось.
Что делать: подскажите, что нужно сделать:
-может кто знает, как откатить дефуотовские права пользователей или снести политики?
-может где в реестре есть парам, который нужно исправить?
-может прога кака есть, что сама правит это дело?
-может что сами предложите?
Исходники: сервак-AD, DNS, ISA, EXCHANGE, TERM.
Что произошло: один великикй Админчег решил удалить юзера "Администратор". но так как учетка эта встроенная, он был послан далеко и надолго. после чего он не успакоился и попытался вывести эту учётку из групп администраторы и создатели групповой политики(в общем из тех групп, которые прописываеются изначально). вот тут и произошло интересное: все группы пропали, кроме группы "администраторы", т.к. она так же встроенна и неразлучна с учёткой "Администратор". но после перезагруза сервака учетка "Администратор" перестала пользоваться правом устанавливать программы(у вас нет прав на ...). Я перекопал все AD, просмотрел все права администратора- все нормально, я заглянул в gpedit, secpol- тоже самое. в свойствах непосредственно exe файлов(инсталов прог) администратор так же имеет все права. дефултовские политики gpo на контроллере в AD так же не изменены. на всякий случай я админа снова ввел во все управленческие группы(домена, предприятия, управления груп пол), но результата это не принесло. sysstate делался последний раз 3 месяца назад, а за это время много, что изменилось, так что воспользоваться этим не могу. а еженедельный бэкап диска С ни к чему не привел, как было, так и осталось.
Что делать: подскажите, что нужно сделать:
-может кто знает, как откатить дефуотовские права пользователей или снести политики?
-может где в реестре есть парам, который нужно исправить?
-может прога кака есть, что сама правит это дело?
-может что сами предложите?
Планирую на некоторое время вывезти часть компов (членов домена) за пределы локальной сети, собрал роутер, который по VPN будет цепляться к локалке, но появилось ряд нюансов:
1) DHCP и DNS там будут свои, изменятся так же IP адреса клиентов. На внешнем DNS сделал реплику зон с внутреннего DNS (соотв. вся мутотень типа _kerberos, _ldap и т.п. резолвиться будет). Но вопрос - как отреагирует контроллер домена на изменения IP адресов его членов-пипенов?
2) Т.к. канал в том месте, где будет находиться эта банда узковат (1,5мбита) - то неплохо было бы умерить аппетиты всяких апдейтов-рефрешей групповых политик, т.е. выставить все по минимуму - помнится в GPO были какие-то настройки, отвечающие за работу клиентов через dial-up?
1) DHCP и DNS там будут свои, изменятся так же IP адреса клиентов. На внешнем DNS сделал реплику зон с внутреннего DNS (соотв. вся мутотень типа _kerberos, _ldap и т.п. резолвиться будет). Но вопрос - как отреагирует контроллер домена на изменения IP адресов его членов-пипенов?
2) Т.к. канал в том месте, где будет находиться эта банда узковат (1,5мбита) - то неплохо было бы умерить аппетиты всяких апдейтов-рефрешей групповых политик, т.е. выставить все по минимуму - помнится в GPO были какие-то настройки, отвечающие за работу клиентов через dial-up?
Полезная статья для начинающего админа
gap5
Почему бы не разрулить всё с помощью сайтов и подсетей?
Один сайт с контроллером может свободно обслуживать несколько подсетей, если это указать в нужной оснастке. Ну и вообще вся топология репликации именно там и настраивается. Вот.
Насчёт узкого канала могу сказать только, что он ШИРОКИЙ) У меня контроллеры реплицируются в некоторых местах и по 256К каналам 8)
Да, ну и ессно, чтобы клиенты из другой подсети, то в любом случае эту подсеть надо указать в сайте, где работает контроллер, тогда он будет клиентов принимать за "своих". Если конечно сеть не планируется соединять бриджем.
Почему бы не разрулить всё с помощью сайтов и подсетей?
Один сайт с контроллером может свободно обслуживать несколько подсетей, если это указать в нужной оснастке. Ну и вообще вся топология репликации именно там и настраивается. Вот.
Насчёт узкого канала могу сказать только, что он ШИРОКИЙ
) У меня контроллеры реплицируются в некоторых местах и по 256К каналам 8) Да, ну и ессно, чтобы клиенты из другой подсети, то в любом случае эту подсеть надо указать в сайте, где работает контроллер, тогда он будет клиентов принимать за "своих". Если конечно сеть не планируется соединять бриджем.
ZonkeR, у тебя небось кэширование универсальных групп включено?
Недавно нашел в нете довольно полезную книгу "Железо ПК". Советую скачать пригодиться для повседневной работы.http://depositfiles.com/files/8357233
Товарищи, помогите решить проблемку одну.
Есть сервер, на нем два физических сетевых интерфейса: один торчит в LAN, второй - в WAN.
LAN:
прописан статический ip адрес, DNS, DHCP, AD
WAN:
по dhcp прова получаем ip адрес с шлюзом и днс сервером, ip реальный, маршрутизация прозрачная (без проксей или ВПНов)
Проблемы не было до подключения этого самого WAN'а, точнее насколько я понял до появления именно DNS сервера провайдера. Провайдерский DNS стал default dns server, что видно из "nslookup", и это отразилось на работе AD. Сначало завалился DHCP с непонятными ризонами, обращения по доменному имени уходили безвозвратно на DNS сервер прова и DHCP лег. Далее при работе в mmc с оснастками AD перестали открываться групповые политики с ризоном на неправильное доменное имя. Попробовал вбить на WAN интерфейсе ручками DNS сервера по приоритету: первый - 127.0.0.1, второй - провайдерский. После чего nslookup признал локалхостовский DNS дефолтным, но на открытие ГП это никак не отразилось.
Подскажите, как разрулить эту ситуацию? Заранее спасибо.
Добавлено:
Всем спасибо, нагуглил солюшн.
http://forum.oszone.net/thread-104098.html
Есть сервер, на нем два физических сетевых интерфейса: один торчит в LAN, второй - в WAN.
LAN:
прописан статический ip адрес, DNS, DHCP, AD
WAN:
по dhcp прова получаем ip адрес с шлюзом и днс сервером, ip реальный, маршрутизация прозрачная (без проксей или ВПНов)
Проблемы не было до подключения этого самого WAN'а, точнее насколько я понял до появления именно DNS сервера провайдера. Провайдерский DNS стал default dns server, что видно из "nslookup", и это отразилось на работе AD. Сначало завалился DHCP с непонятными ризонами, обращения по доменному имени уходили безвозвратно на DNS сервер прова и DHCP лег. Далее при работе в mmc с оснастками AD перестали открываться групповые политики с ризоном на неправильное доменное имя. Попробовал вбить на WAN интерфейсе ручками DNS сервера по приоритету: первый - 127.0.0.1, второй - провайдерский. После чего nslookup признал локалхостовский DNS дефолтным, но на открытие ГП это никак не отразилось.
Подскажите, как разрулить эту ситуацию? Заранее спасибо.
Добавлено:
Всем спасибо, нагуглил солюшн.
http://forum.oszone.net/thread-104098.html
Подскажите, как настроить нормальное обновление политик в случае, если клиент подключается по wi-fi? Проблема в том, что wi-fi соединение поднимается где-то через 1-1,5 минуты после загрузки компа, соответственно в этот промежуток времени винда безуспешно пытается связаться с контроллером домена, получает отлуп и ничего не работает....
Доброго настроения всем.
вопрос думаю заезженный...
подскажите, возможно ли через групповые политики запретить на рабочий стол копировать фильмы музыку и т.д.... ну и не только на рабочий стол... например в мои документы... т.е. указывать на папку..
вопрос думаю заезженный...
подскажите, возможно ли через групповые политики запретить на рабочий стол копировать фильмы музыку и т.д.... ну и не только на рабочий стол... например в мои документы... т.е. указывать на папку..
Добрй день всем. У меня возник такой вопрос. Можно ли с помощью групповых политик ограничить доступ пользователей домена к локальным ресурсам.
Допустим чтоб пользователь на своей машине мог сохранять документы только в папку
D:\Docs\%USER_NAME%
Допустим чтоб пользователь на своей машине мог сохранять документы только в папку
D:\Docs\%USER_NAME%
Вопрос по GPO, в частности про приоритетность родительской и дочерней политики.
Насколько я понял, созданная мной политика на контейнере более приоритетна для пользователей, находящихся в этом контейнере, чем Default domain policy. Но возникла следующая проблема: В дефолтной политике паролей отключено требование сложности и стоит длина пароля не менее 8 символов, в политике моего контейнера сложность отключена и длина стоит не менее 5 символов. Но поменять пароль юзера из моего контейнера я могу только на сложный и длинный, при попытке поставить простой и короткий, ругается, что не отвечает требованиям политики.
Спасибо заранее.
Насколько я понял, созданная мной политика на контейнере более приоритетна для пользователей, находящихся в этом контейнере, чем Default domain policy. Но возникла следующая проблема: В дефолтной политике паролей отключено требование сложности и стоит длина пароля не менее 8 символов, в политике моего контейнера сложность отключена и длина стоит не менее 5 символов. Но поменять пароль юзера из моего контейнера я могу только на сложный и длинный, при попытке поставить простой и короткий, ругается, что не отвечает требованиям политики.
Спасибо заранее.
Rasteg
Цитата:
Потому что Default Domain Policy имеет больший приоритет, чем твоя собственная политика, т.к. она является политикой всего домена.
Цитата:
ругается, что не отвечает требованиям политики.
Потому что Default Domain Policy имеет больший приоритет, чем твоя собственная политика, т.к. она является политикой всего домена.
Народ как с помошью GP перенаправить папку "мои документы" на сетевой диск "U"
в установках перенаправления если я путь прописываю к u:\ пишит неверный формат UNC
как это провернуть?
в установках перенаправления если я путь прописываю к u:\ пишит неверный формат UNC
как это провернуть?
docfbi, предположим, под сетвым диском "U", настоящий путь: \\server\users
так вот тебе именно такой путь надо указывать - \\server\users
сетевые диски могут быть настроены не у всех пользователей, к которым применена политика перенаправления папки "мои документы"
так вот тебе именно такой путь надо указывать - \\server\users
сетевые диски могут быть настроены не у всех пользователей, к которым применена политика перенаправления папки "мои документы"
втомто все и дело что в профиле пользователя каждому юзеру прописываеться
\\server\users\username\
тоесть в качестве диск U: подключаеться каждому своя папка из шаринга users
такм етсь вы бор типа папка шаринга \username\мои доекменты
но тоже не катит так как получаеться на папку ниже чем сечас храниться у пользователя
\\server\users\username\
тоесть в качестве диск U: подключаеться каждому своя папка из шаринга users
такм етсь вы бор типа папка шаринга \username\мои доекменты
но тоже не катит так как получаеться на папку ниже чем сечас храниться у пользователя
Сломал уже голову в поисках решения.
Есть домен на базе Win 2k3 SP2 Ent Rus.
Есть пользователи Win XP SP3 Rus.
Есть принтер HP LJ 1020.
Принтер подключен к пользователю через USB, расшарен и внесен в AD.
Этот принтер еще как сетевой на другом пользователе. Когда сам пользователь, что локально подключен к принтеру посылает документ на печать - то все прекрасно печатается.
Когда другой пользователь по сети посылает документ на печать то документ со статусом "Идет печать" зависает в принтере. Любые другие документы тоже получается больше не печатают. Необходимо либо из под админа рестартовать сервис Printer spooler, либо перезагружать машину с принтером. Тогда он все документы напечатает.
При это если Документ по сети посылать на печать от имени администратора домена, то документ сразу же прекрасно печатается.
Политики вообще очень простые на пользователях, все пересмотрел через Group Policy Management Console.
Вряд ли это с политиками накосячил.
В логах самой винды и клиента и сервера пусто. Ваще нет никаких упоминаний что мол принтер спулер подвис или чтото в этом роде, разрешения безопасности на принтерах тоже стоят по умолчанию. Как установил их от админа домена, такие и остались... Ну куда еще копать?? Дрова вроде бы тоже нормальный с сайта HP.
Есть домен на базе Win 2k3 SP2 Ent Rus.
Есть пользователи Win XP SP3 Rus.
Есть принтер HP LJ 1020.
Принтер подключен к пользователю через USB, расшарен и внесен в AD.
Этот принтер еще как сетевой на другом пользователе. Когда сам пользователь, что локально подключен к принтеру посылает документ на печать - то все прекрасно печатается.
Когда другой пользователь по сети посылает документ на печать то документ со статусом "Идет печать" зависает в принтере. Любые другие документы тоже получается больше не печатают. Необходимо либо из под админа рестартовать сервис Printer spooler, либо перезагружать машину с принтером. Тогда он все документы напечатает.
При это если Документ по сети посылать на печать от имени администратора домена, то документ сразу же прекрасно печатается.
Политики вообще очень простые на пользователях, все пересмотрел через Group Policy Management Console.
Вряд ли это с политиками накосячил.
В логах самой винды и клиента и сервера пусто. Ваще нет никаких упоминаний что мол принтер спулер подвис или чтото в этом роде, разрешения безопасности на принтерах тоже стоят по умолчанию. Как установил их от админа домена, такие и остались... Ну куда еще копать?? Дрова вроде бы тоже нормальный с сайта HP.
Подскажите, что надо установить, для того, чтобы добавить оснастку AD users & computers на моей рабочей станции, чтобы не заходить терминально на контроллеры домена. или такое невозможно?
Добавлено:
ну еще если можно DNS и DHCP оснастки....
Добавлено:
ну еще если можно DNS и DHCP оснастки....
drdll, вот это надо: http://www.microsoft.com/downloads/details.aspx?FamilyID=86b71a4f-4122-44af-be79-3f101e533d95&DisplayLang=ru
Добавлено:
lypky, принтер подключается не к пользователю, а к компьютеру. USB или LPT - не имеет значение.
Очевидно, для обычного пользователя не хватает прав.
Попробуйте вот выдать всем пользователям возможность печатать.
свойства принтера -> вкладка "безопасность"
добавьте туда пользователя "все" (Everyone) и постаьте права доступа:
- "печать"
- "управление принтерами"
- "управление документами"
должно работать.
А вообще удобнее создать группу в которую внести тех пользователей, которые имеют право (могут) печатать на принтер. Далее даете соответствующие права для этой группы.
Добавлено:
lypky, принтер подключается не к пользователю, а к компьютеру. USB или LPT - не имеет значение.
Очевидно, для обычного пользователя не хватает прав.
Попробуйте вот выдать всем пользователям возможность печатать.
свойства принтера -> вкладка "безопасность"
добавьте туда пользователя "все" (Everyone) и постаьте права доступа:
- "печать"
- "управление принтерами"
- "управление документами"
должно работать.
А вообще удобнее создать группу в которую внести тех пользователей, которые имеют право (могут) печатать на принтер. Далее даете соответствующие права для этой группы.
AgelNick
вот спасибо.
именно это и имел ввиду.
вот спасибо.
именно это и имел ввиду.
Страницы: 1234567891011121314151617181920
Предыдущая тема: "Документирование сети"
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.