» Общие вопросы про AD (Active Directory) - часть II

В общем, мучал пол-дня Restricted Groups.
Добавил туда группы Администраторы домена, Администраторы предприятия и пользоваетя AAdmin, который должен был стать тем самым единым локальным админом. Только ничего не вышло. Политика применяется (смотрю через gpresult), все скрипты вроде net logon отрабатывают, а вот Restricted Groups нет. AAdmin не появился в Локальные пользователи и группы на клентском ПК, соответственно ни о каких правах говорить не приходится. Я в замешательстве

Добавлено:

Цитата:

Тебе нужно использовать Restricted Groups в групповых политиках, добавляешь туда пользователя домена и указываешь что на машинах он будет в группе администраторы.

Цитата:

aMD_MicROBB

а как указать машины, где он будет в группе администраторы кстати?

Эта политика будет применина на все машины, или только на тех где будет применина политика, создай отдельный OU и закинь туда те машины на которых он должен быть. Там имеет значение какая винда, т.е. если русская, то нужно писать группу 'Администраторы', если английская, тогда 'Administrators'! Я тоже долго игрался, но в итоге у меня все заработало и когда пользователи на локальных машинах уберали с локальных админов пользователя домена, он автоматом туда добавлялся после рестарта

aMD_MicROBB

спасибо )
буду пробовать в понедельник

Подскажите пожалуйста как добавить контакты в AD в нужный OU.
Мне нужно добавить следующие значения -
Имя сотрудника, место работы, служебный телефон, e-mail.

Короче пошырстил AD, выяснил что за это отвечают следующие поля:
cn,sn,title,description,physicalDeliveryOfficeName,telephoneNumber,
facsimileTelephoneNumber,givenName,displayName,department,company,mail,mobile

Теперь создаю файл CSV в Excel'e с нужными полями:
CN|SN|TITLE|DESCRIPTION|PHYSICALDELIVERYOFFICENAME|TELEPHONENUMBER|И ТАК ДАЛЕЕ

Далее запускаю утилиту CSVDE c параметрами:
csvde -f contacts.csv -d OU=ADDRESSBOOK,DC=COMPANY,DC=LOCAL

Вопрос: Я все правильно делаю или нужно что то еще?

Присоединяюсь к AkeHayc, та же проблема...пробовал через командную строку dsadd contact, никак не могу понять как добавить именно туда куда хочу...т.е. есть @domen в ней папка mail
как прописать команду чтобы именно в этот mail все контакты упали?

dsadd contact -fn имя -mi отчество -ln фамилия -display "отображаемое имя" -desc описание -email user@domen.ru -company "название организации" -d @domen

При выполнении выдает dsadd - ошибка:`Target object for this command' отсутствует.

Или посоветуйте иной приемлимый способ затарабанить в АД 615 записей с имейлами
Прошу помощи

Lokryst
советую указывать различающееся_имя_контакта в формате "CN=имя_контакта,CN=Users,DC=Contoso,DC=Com"

твой пример может выглядить как:

dsadd contact "CN=отображаемое имя,CN=contacts,DC=domen,DC=ru" -fn имя -mi отчество -ln фамилия -display "отображаемое имя" -desc описание -email user@domen.ru -company "название организации" -d @domen

raizo благодарю, разобрался...

Всем привет!
Такой трабл:
на windows 7, который был членом домена, и коннектился к сети через VPN, в ходе неудачных манипуляций членство в домене было изменено на рабочую группу (оффлайн), но при этом на контроллере данная рабочая станция по-прежнему числится в АД. Есть ли возможность данную станцию "вернуть в семью". Полномочия локального админа есть, доменного нет.

имя компьютера и доменное имя одинаковые должны быть? чет озадачился

counter
Зависит от политик домена, если ввод в домен не ограничен определенными пользователями, тогда любым доменным пользователем можете ввести станцию назад в домен, а если ограничен только доменным админом, тогда без него ничего не сделаете!

doc58_81oB0t
computername.domainname

я скорей о непосредственно процессе ввода пользователя в домен. то есть надо ли присваивать имя компьютеру тоже самое что и рабочая учетка

doc58_81oB0t

Рабочая учётка пользователя или компьютера? если компьютера, то необязательно, потому что тогда создастся запись, соответствующая нынешнему имени компьютера... если имелась ввиду учётка пользователя, тогда не понятно при чём здесь это

doc58_81oB0t
Если ты имел ввиду надо ли присваивать компьютеру (за которым работает человек с учеткой Ivanov.Ivan) имя Ivanov.Ivan, тогда это только на твое усмотрение. Имя компьютера вполне может отличаться от имени учетной записи с которой за ним работают. Представь ситуацию какое имя нужно ставить компу если за ним работает 5 пользователей .

Доброго всем дня
Есть вопрос по настройке отношений между дочерним и родительским доменами.
Нужно сделать так чтобы пользователи дочернего домена при назначении каких либо прав видели только универсальные группы, чтобы они не видили никаких объектов родительского домена.
Родительский домен должен видеть все объекты. И еще. как запретить пользователям дочернего домена логинится на компьютера зарегистрированных в родительском?

aMD_MicROBB

В домене все ОК, комп там числится, но локально этот комп считает себя членом раб. группы. Может есть возможность в реестре что-то подправить, чтобы он по-прежнему считал себя доменным?

counter
В домене он останется пока ты его не удалишь, поэтому он там и числится, на сколько я знаю, без того чтобы ввести комп еще раз в домен ты ничего сделать не сможешь!

Здравствуйте, есть два dc в разных зданиях, домен один.
В первом здании все хорошо, во втором тормоза при работе по сети. Я правильно понимаю, эти тормоза потому что компьютеры из 2го здания обращаются к дальнему dc1, игнорируя ближний dc2? Читал про "Сайты и службы" - это единственное решение моей проблемы? Организация подсетей в конторе будет связана с очень большим геморроем.
Возможно ли сделать так, чтобы компьютеры из 1го здания обращались к dc1, а из 2го к dc2
без деления на подсети?

2 леса, 2 КД:
1 лес - 2000 Server
2 лес - 2008 R2 Server

У 1 леса ФУ = 2000 основной
У 2 леса ФУ = 2003

Как создать транзитивную связь между лесами?

Пытаюсь сделать, но говорит, что невозможно, так как уровень леса надо поднять.
Но дальше продолжаю, но не даёт установить между ними шифрованное соединение (SC) - говорит, что метод "не поддерживается".

Возникла проблема.. думаю как решить.
Может кто-нибудь сталкивался и решил данную проблему.
Недавно офицер ИБ проверил AD и выявил пару фактов:
1) Группа Enterprise Admins(EA) и Domain Admins(DA) содержат пользователя Administrator. То есть говорит, что я не должен иметь права на уровне Enterprise. Вдруг я все сломаю и уйду, то есть грохну домен.
2) Для ежедневных задач я использую дефолтную уч.запись - Administrator. Он предлагает разделить пароль Administrator'a на 2-е части, 1-ю часть я буду знать, а вторую офицер ИБ. Опять же, что бы я не сделал самостоятельно что то + как говорит он, Administrator и admin являются встроенными учетными записи и при это не безопасно. Злоумышленник\софт сразу будут на них пароли подбирать.

Думаю как решить. Если я уберу Administrator'a из групп EA и DA, то потом он ничего не сможет же сделать(то есть какие то глобальные изменения)? А для себя создать новую запись для ежедневных задач(можно ли как нибудь как в БД create user as user_name использовать?) .
У кого нибудь есть нормативные документы по безопасности домена? или как же эти и другие вопросы безопасности домена решать?

Спасибо


P.S.
RemComm
Microsoft Domain Security Guide - есть на русском?

Alukardd

Цитата:

2-я учётка для таких целей у меня создана путем ф-и Copy с учётки Administrator...

Можно подробнее, просто копии?

rkhodjaev


Цитата:

P.S.
RemComm
Microsoft Domain Security Guide - есть на русском?

Это была такая шутка юмора - такой документации в природе не существует.

Потом - задача по прежнему не сформулирована. Чтоб давать ответ на вопрос, надо знать вопрос. Чтоб решить задачу - ее надо сформулировать/определить.

Что хотите делать и какая цель поставлена?

Нормативные документы по безопасности домена формируются и составляются непосредственно вами и представителями безопасности. Например есть такие документы у меня но Вам они никак не подойдут. Вы сами должны определить стандарты безопасности для энтерпрайза, которым управляете.

Офицер безопасности предлагает вообще отобрать у вас привилегии администратора. Т.е. любое движение, требующее административных привилегий, будет возможно только с его согласия.

Ну вобщем - нет корпоративных стандартов, определяющих уровни обеспечения безопасности и, как следствие, нет целей и, соответственно, задач.

rkhodjaev
Цитата:

Можно подробнее, просто копии?

объяняю что сделал я у себя - у меня вся организация помещена в OU и там куча вложений по должностям и прочему... так что все GP и прочее применяются для этих OU. Поэтому я выделил в AD в стандартной структуре Users учётку Administrator и на панели нажал кнопку Copy account ( точное название не помню ) и таким макаром получилась учётка - точная копия аккаунта Administrator и на которую не давят ни какие политики домена кроме Default*. За неё я и выполняю основные операции, однако для RDP управления всё равно использую Administrator ( но только из лени копирнуть его рабочий стол на свой а не потому, что в этом какой-то бонус...)...

rkhodjaev

Цитата:

Можно подробнее, просто копии?

В оснастке "Пользователи и компьютеры" правый клик по учетной записи -> Копировать.

RemComm
Цитата:

"Пользователи и компьютеры"

какие пользователи, какие компьютеры??? у вас AD поднята!!! разве что вы имели ввиду "AD Users and Computers"...

Alukardd

Цитата:

какие пользователи, какие компьютеры???

Ну, как же...

Цитата:

"AD Users and Computers"

перевод этого наименования на рассово русский язык как бы говорит нам, что
Цитата:

"Пользователи и компьютеры"

И ему как бы веришь. В частности, в русской локализации оснастка так и называется - "Active Directory - Пользователи и компьютеры".

RemComm
так в этих 2х буковках весь смысл! а оснастка без "AD" при наличии AD блокируется!

Alukardd

Цитата:

а оснастка без "AD" при наличии AD блокируется!

Для начала - оснастки "без AD" не существует. Есть элемент дерева "Локальные пользователи и группы", который входит в состав оснастки "Управление компьютером" и эта ветка становится недоступой на контроллере домена. Потом - есть только одна оснастка, имеющая в названии "Пользователи и Компьютеры" ("User and Computers" - в англицкой версии). В третьих - администратору ос MS Windows вполне очевидно, в какой оснастке надо выполнять те или иные действия. Ну и учитывая перечисленные выше аргументы, "ЭТО" не является предметом для спора.

Задача была переформулирована следующим образом.
1.Необходимо пересмотреть состав групп Enter.Admins и Domain Admins.
2.Встроенную учет.запись переименовать, а пароль разделить на 2-е части.
3.Необходимо создать новую уч.запись с правами администратора домена для СА(для проведения ежедневных работ по поддержке домена)


1.Думаю – в обоих должно быть только переименованная уч.запись Administrator или даже в EA никого не оставить?
2.После того как я сделаю rename – ни на что не повлияет это? Нигде под Administrator’ом ничего не творится?
3.
Цитата:

В оснастке "Пользователи и компьютеры" правый клик по учетной записи -> Копировать.

Таким образом, все роли и привилегии передадутся?

rkhodjaev

Цитата:

1.Необходимо пересмотреть состав групп Enter.Admins и Domain Admins.

Ну эта задача никаких комментариев не требует.

Цитата:

2.Встроенную учет.запись переименовать

Изменяется в групповой политике для контроллеров домена.

Цитата:

а пароль разделить на 2-е части.

Шоб шо?

Цитата:

3.Необходимо создать новую уч.запись с правами администратора домена для СА

Вместе с предыдущей отквоченной частью как-то по прежнему не понятен смысл - зачем это делать? Впрочем, это штатная процедура создания пользователя и комментариев тут тоже не требуется.

Цитата:

2.После того как я сделаю rename

не сделаете. Используйте соответствующий объект групповой политики для переименования встроенных учетных записей.

Цитата:

Таким образом, все роли и привилегии передадутся?

Да.

Цитата:

или даже в EA никого не оставить?

Разницу в привилегиях администраторов домена и администраторов предприятия знаете, так ведь? Вот и думайте, надо вам управление лесом или не надо. Опять же непонятные танцы с паролем (читай с доступом к учетной записи)


Цитата:

в обоих должно быть только переименованная уч.запись Administrator

Если вы хотите использовать другую _АДМИНИСТРАТИВНУЮ_ учетную запись для выполнения "ежедневных задач по обслуживанию домена" до вам тогда для еще большей простоты таки надо будет добавить эту новую учетку в группу доменных администраторов. Если же вы намеренны использовать делегирование, то вполне хватить набора привилегий "Пользователь"

Есть домен: мой.local
В домене есть два контролера домена
1. PDC
2. SDC
В связи с сложившейся обстановкой необходимо переинсталить систему на PDC, для этого все 6 ролей FSMO были передана с PDC на SDC.

После этого запускаю netdiag на PDC (который как бы уже им не является т.к. в последствии должен будет понижен и выведен из домена для перестановки системы)
Trust relationship test. . . . . . : Passed
Secure channel for domain 'PENZMASH' is to '\\SDC.мой.local'.

При запуске netdiag на SDC
Trust relationship test. . . . . . : Skipped


Так и должно быть????????????


ОС: W2K3 SP2
DC1-PDC; DC2-SDC


[code]netdiag c DC1-PDC

Computer Name: DC1
DNS Host Name: dc1.Penzmash.local
System info : Microsoft Windows Server 2003 (Build 3790)
Processor : x86 Family 6 Model 15 Stepping 2, GenuineIntel
List of installed hotfixes :
KB948496
KB958644
Q147222

Netcard queries test . . . . . . . : Passed
GetStats failed for '╧Ё ьющ ярЁрыыхы№э√щ яюЁЄ'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card '╠шэшяюЁЄ WAN (PPTP)' may not be working because it h
as not received any packets.
[WARNING] The net card '╠шэшяюЁЄ WAN (PPPoE)' may not be working because it
has not received any packets.
[WARNING] The net card '╠шэшяюЁЄ WAN (IP)' may not be working because it has
not received any packets.
GetStats failed for '╠шэшяюЁЄ WAN (L2TP)'. [ERROR_NOT_SUPPORTED]


Per interface results:

Adapter : ╧юфъы■ўхэшх яю ыюъры№эющ ёхЄш
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : dc1
IP Address . . . . . . . . : 192.168.4.2
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.4.5
Dns Servers. . . . . . . . : 192.168.4.4
192.168.4.2

AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Passed
NetBT name test. . . . . . : Passed
WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{E08FDD95-6C2F-4FA7-A09C-ED9EBACB9629}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Passed
NetBT name test. . . . . . . . . . : Passed
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.4.4'
and other DCs also have some of the names registered.
PASS - All the DNS entries for DC are registered on DNS server '192.168.4.2'
and other DCs also have some of the names registered.

Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{E08FDD95-6C2F-4FA7-A09C-ED9EBACB9629}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{E08FDD95-6C2F-4FA7-A09C-ED9EBACB9629}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Passed
Trust relationship test. . . . . . : Passed
Secure channel for domain 'PENZMASH' is to '\\dc2.Penzmash.local'.
Kerberos test. . . . . . . . . . . : Passed
LDAP test. . . . . . . . . . . . . : Passed
Bindings test. . . . . . . . . . . : Passed
WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Skipped
Note: run "netsh ipsec dynamic show /?" for more detailed information


netdiag c DC2-SDC


Computer Name: DC2
DNS Host Name: dc2.Penzmash.local
System info : Microsoft Windows Server 2003 (Build 3790)
Processor : x86 Family 15 Model 4 Stepping 1, GenuineIntel
List of installed hotfixes :
KB948496
KB958644
Q147222


Netcard queries test . . . . . . . : Passed
GetStats failed for '╧Ё ьющ ярЁрыыхы№э√щ яюЁЄ'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card '╠шэшяюЁЄ WAN (PPTP)' may not be working because it h
as not received any packets.
[WARNING] The net card '╠шэшяюЁЄ WAN (PPPoE)' may not be working because it
has not received any packets.
[WARNING] The net card '╠шэшяюЁЄ WAN (IP)' may not be working because it has
not received any packets.
GetStats failed for '╠шэшяюЁЄ WAN (L2TP)'. [ERROR_NOT_SUPPORTED]



Per interface results:

Adapter : ╧юфъы■ўхэшх яю ыюъры№эющ ёхЄш

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : dc2
IP Address . . . . . . . . : 192.168.4.4
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.4.5
Dns Servers. . . . . . . . : 192.168.4.4
192.168.4.2


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{50717D58-1426-4B78-A241-842154843EE6}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Passed
NetBT name test. . . . . . . . . . : Passed
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.4.4'
and other DCs also have some of the names registered.
PASS - All the DNS entries for DC are registered on DNS server '192.168.4.2'
and other DCs also have some of the names registered.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{50717D58-1426-4B78-A241-842154843EE6}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{50717D58-1426-4B78-A241-842154843EE6}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Passed
Trust relationship test. . . . . . : Skipped
Kerberos test. . . . . . . . . . . : Passed
LDAP test. . . . . . . . . . . . . : Passed
Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully/code]

Цитата:

все 6 ролей

что за 6 роль?