» Общие вопросы про AD (Active Directory) - часть II

Desempare
Всё очень просто.
Создаёте в оснастке ADUC запрос, а в Query string пишете:
Код: (objectCategory=person)(objectClass=user)(lastLogonTimestamp<=X)

Приветствую

Такая вот проблема, не могу ввести пользователя в домен. Делаю все по процедуре

Имя компьютера
Имя домена
Логин и пароль

После чего идет отклик от сервера, что: Добро пожаловать в домен и т.д. нажимаю на ОК - после чего компьютер чуть подвисает, и вылезает ошибка о том, что не возможно было изменить имя компьютера и имя компьютера останется прежним. Пример, имя компьютера было PC1 завожу в домен под именем PC3 пишет все ОК и все удачно, после нажатия кнопки «ОК» пишет не возможно было поменять имя компьютера на имя PC3, компьютер будет зарегистрирован под именем PC1 и главное в AD регистрация идет под именем PC3 и ни слова о PC1. Перегружаю компьютер, пытаюсь зайти в учетную запись администратора, пишет, что домен не найден, и пользователя такого вообще нет, бред просто, в пользовательских компьютерах 2 ошибки это 1054 (Userenv) и 15 (AutoEnrollment), на сервере 5722 (Netlogon) (5723 (Netlogon) и 5805 (Netlogon) - искал ничего толкового не нашел, видел только решение под Windows 2000 а под 2003 ничего нет, и майкрософт пишут, что под 2003 эта проблема была решена?!

Пример ошибки:

Event Type: Error
Event Source: NETLOGON
Event Category: None
Event ID: 5722
Date: Date
Time: Time
User: N/A
Computer: ComputerName
Description: The session setup from the computer ComputerName failed to authenticate. The name of the account referenced in the security database is AccountName$.
The following error occurred:
Access is denied.


Вот что пишет при добавлении компьютера в домен если не изменять имя компьютера;

Computer Name Changes

The Following error accounted attempting to join the domain "DomainName";
The specified server cannot perform the requested operation.

и кнопка ОК все.

Пробывал под разными пользователями заводить компьютер в домен, тож самое, главное в АД появляется имя компьютера но почемуто учетная запись компьютера выключена в АД, да и после включения учетной записи в АД ничего не происходит.


Не знаю, что делать, ищу решение.



Заранее спасибо

Доброго времени суток!
Люди, подскажите как правильно натроить ДНС на PDC и BDC:
1) на PDC примари днс указвается на себя или на дополнительный контроллер домена?
на BDC аналогично?
2) что делать со списком серверов на вкладке "Корневые ссылки" в свойствах сервера DNS? удалять или оставлять?
3) есть ошибка в DNS с кодом 4515:
The zone <domain.com> was previously loaded from the directory partition DomainDnsZones.<domain.com> but another copy of the zone has been found in directory partition ForestDnsZones.<domain.com>. The DNS Server will ignore this new copy of the zone. Please resolve this conflict as soon as possible.

If an administrator has moved this zone from one directory partition to another this may be a harmless transient condition. In this case, no action is necessary. The deletion of the original copy of the zone should soon replicate to this server.

Где копать?

Подскажите - Домен с контроллером Windows 2008 - есть перенаправленные папки (в частности Документы), ввожу в домен другой сервер под базу данных - тоже 2008 ... вхожу под доменным админом и в эвентах получаю странные ошибки 502 о том


Код: Сбой при применении политики и перенаправлении папки "Documents" в "\\server1\redirected$\dadmin\Documents".
Параметры перенаправления = 9009.
Произошла ошибка: "Не удалось построить список обычных вложенных папок для "\\server2\Redirected$\dadmin\Documents"".
Сведения об ошибке: "Не найдено сетевое имя.

Посмотрите результирующую политику в домене для server2

attaattaatta

там даёт одно предупреждение... мне оно вообще не помогло понять где лечить ...


Код: Folder Redirection не завершил обработку политики, потому что пользователь должен повторно войти в систему для признания параметров. Групповая политика применит параметры во время следующего входа.

Возможно, в журнал были записаны дополнительные сведения. Откройте в журнале событий консоли или приложений вкладку событий политики и просмотрите события, записанные с 17.09.2009 6:54:36 по 17.09.2009 6:54:36.

Я администратор AD, под управлением Win2003
Каким образом мне получить список текущих паролей всех пользователей?

использовать ПО для аудита паролей, типа SamInside.

S1NT3Z
Подбором. l0phtCrack и иже с ними в помощь.

SamInside, не влезет в AD и не вынет оттуда всех пользователей.

Ну да....
Просто пример bruteforcera

S1NT3Z
http://forum.ru-board.com/topic.cgi?forum=8&topic=34214#1

Люди подскажите есть сеть в ней 4 сервера выполняют роль контроллера домена (вин 2003-2008 домен до уровня 2008 не поднимался) хочу отслеживать кто когда заводил или удалял пользователей в домене, а также смену паролей, смену группы пользователя и так далее вообщем все что делали с учеткой пользователя.

Я понимаю что все это пишется в лог безопастности но вот вопрос контроллеров домена как уже говорил 4-ре если я пишу скрипт которы парсит лог безопастности в текстовый файл по коду события его нужно запускать на каждом сервере отдельно или при репликации AD у всех серверов появятся записи о том что произошло с учеткой.
Другими словами если создал или изменил учетку пользователя это поподает только в логи сервера на котором это делалось или в логи всех контроллеров домена.
И еще если сам пользователь скажем сменил себе пароль пишется ли эта инфа в лог и опять же на всех серверах?

p/s/ если вопрос ламерский не ругайте, а пните в конкретные доки или просо ответте плиз.

yakostik

Уже год пользуюсь на 5 доменах

Netwrix Active Directory Change Reporter

http://forum.ru-board.com/topic.cgi?forum=35&topic=45348

Народ, почему-то такая ошибка выходить. Сделал ограничение на то, чтобы пользователи могли всего лишь один сеанс сдеалт, т.е. если работает на одном компе, то не смогли бы выполнить вход с другого компа, т.к. значение равно 1е. Все работает нормально.
Теперь, после переустановки ОС у пользователей хочу коннектится с их ними логинами в домен, но выдает ошибку: типа привешен число одновременных входов. Только под мои логином заходить (у меня не стоит ограничение). Интересно, почему так? Юзер 100% не работает на другом компе, может где-то в базе АД весит сеанс? Как выйти из ситуации?

Ребят добрый день. Вопрос срочный возник.

Есть AD на базе 2003 srv.

Есть рабочая станция Win XP SP3 Pro. Давный давно около года назад. На нее была установлена ОС. Комп был введен в домен. И после этого с диска Ц был снят образ программой акронис.

Теперь образ восстановили. Но по всей видимости компьютер так и не увидел домен. Пароли никакие не подходят. Пароль локального администратора на компьютер никто не знает. Сбросить тоже никто не может так чтобы быстро. У меня есть удаленный доступ только с контроллеру домена. Что можно сделать?

Заранее спасибо.

lypky
Загрузитесь через Hiren's Boot и удалите пароль для локального админа, далее пробуйте ввести в домен.


Цитата:

Но по всей видимости компьютер так и не увидел домен.

можно подробнее?

rkhodjaev
Хайрен бутсд и все подобное это понятно. Но если на том конце сидят очень некомпетентные люди которые при этом отчаянно не хотят ничего делать? =)))

Ладно, суть не в этом. Мне просто на будущее интересно почему так получается.

Уже не первый раз следующая ситуация:

При восстановлении клиентской ОС из образа Acronis TIH. Который пролежал долгое время не получается залогиниться под доменной учеткой. Т.е. вводишь пароль что доменного пользователя, что администратора домена - он пишет что неправильный логин/пароль либо не могу найти КД.

А так вообще все нормально у всех работает. Такое впечатление что просто sid компьютера иногда меняется со временем. А когда ты восстанавливаешь образ - то КД знает новый sid компа или может какой другой идентификатор. А старая ОС пытается "войти" под старым sid. Но сервер его уже не помнит. Или как то так. Не селен в терминологии.

UPD: сорри за бестолковый пост. Я в нем много ошибок допустил.

Возникла огромная проблема. Есть 2 сервера, один основной, второй дополнительный. Временно решил дополнительный вывести из контроллеров и был просто в домене. Сегодня что-то случилось с первым, он вдруг не смог загрузиться и выдал, что не может найти файл в system32/config.
Загрузился с диска, вошёл в режим восстановления, произвёл chkdsk и вроде всё хорошо, но как появляется картинка, типа windows 2003 server, сразу уходит на перезагрузку. Удалось выяснить что выпадает ошибка 0x00000074. Труба полная, т.к. бэкапов прямо на сейчас не оказалось, ибо только планировалось. Надо вернуть хотя бы всех пользователей и компьютеры в AD. Шансы есть?

Vsevolod
Попробуйте переименовать файл c:\windows\system32\config\default (без расширения) загрузившись загрузочного диска и через консоль восстановления

Если это не поможет, попробуйте установить windows поверх выбрав режим восстановления

сделал всё, что нашёл в интернете и из папки repair брал и ставил поверх. Короче ключи реестра слетели, настройки было не вернуть да ещё и dit файл от AD показал, что проблемы с чек суммами. Короче всё с нуля поставил, оббежал уже чать компьютеров, чтобы перезавести в домен и снова вбиваю пользователей.

Здравствуйте.
Достался домен по наследству на Win2003server.
Сейчас нужно подкорректировать одну политику.

Я её вижу в Group Policy Management
вижу её расположение computer configuration\administrative templates\Extra registry settings

Но когда нажимаю edit в Group Policy Object Editor
я не нахожу Extra registry settings

эта политика работает данные в реестр у добавляются.

LYNX
Возможно, она видна в родительской политике. Очень похоже, что используется административный шаблон. Кликни правой кн. мыши на "administrative templates" и жмакни на "добавление и удаление шаблонов". Далее выбери нужный "скрытый" шаблон

Добавлено:
ещё можешь "поиграться" с "вид" -> "фильтрация" - "показывать только управляемые..."

niichavo
"фильтрация" не помогает, уже проверял.

"добавление и удаление шаблонов" стандартные шаблоны

LYNX
забудь про шаблоны
Extra registry settings - это "сборная солянка для реестра" с разных разделов в GPO (IE, брандмауэр...). Например, если ты в GPO задашь исключения для брандмауэра, то получишь Extra registry settings в Group Policy Management - Settings

Добавлено:
Пример для порта радмина:

Код: SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts\List\4899:TCP:*:enabled:Radmin 4899 TCP

niichavo
ты прав ветки Extra registry settings не существует
я нашёл свои установки в
computer configuration\administrative templates\windows components\security page
спасибо

установил в группов политиках в разделе-конфиг компьютера-установки программа- инсталяционный пакет *MSI
как положено разместил пакет в расшаренной папке но прога на компы не устанавливается
подскажите что проверить и где копать?

ali1977

Цитата:

подскажите что проверить и где копать?

В первую очередь журналы событий на клиентах, там будет информация по установке.

ali1977
Если групповые политики применяются асинхронно (по-умолчанию в XP), то потребуется ещё одна перезагрузка компа для установки ПО. Включить синхронное применение политик можно в Computer Configuration\Administrative Templates\System\Logon\Always wait for the network at computer startup and logon

столкнулся с ошибками связанных с пропажей файлов GP (ошибки 1058 1030) (замучался исправлять - толку мало) почитав на форумах - некоторые советуют создать новый домен и перенести всех пользователей и компьютеры туда
кто нить так делал и как посоветуете поступить при переносе объектов?