» Общие вопросы про AD (Active Directory) - часть II

FL0od13
Цитата:

Я бы рекомендовал никогда не давать пользователям права администратора, даже локального

Тогда придется очень тщательно править надфилем системные политики, дабы разрешить обычным пользователям кучу нужных вещей, которые почему-то запрещены по дефолту.

Каждый из вас прав.

Если пользователь создается заново то все настройки сохраняются и проблем не возникает, т.е. в этом случае можно не добавлять пользователя на локальный компьютер в группу "Администраторы", достаточно обойтись группами "Пользователи" или "Опытные пользователи".

В моем случае есть бухгалтерские машины которые переподключаются к домену. Соответственно от сюда и вытекают проблемы (Старый сервер-контроллер домена утерян, так что о переносе настроек речи быть не может).

Так что в этом случае помог совет vlary, оказался более быстрым в моем случае.

Еще хотелось бы задать следующий вопрос:
На файл сервере расшарена папка в ней содержатся папки сотрудников. Которые подключаются как Домашние папки для каждого.
Как сделать что бы сотрудник имел доступ только к своей "Домашней папке", а при попытке зайти в папку другого сотрудника выдавался запрос на ввод имени и пароля для доступа к папке?..

Вообще возможно решение данной проблемы?..

OKTANred

Цитата:

Как сделать что бы сотрудник имел доступ только к своей "Домашней папке", а при попытке зайти в папку другого сотрудника выдавался запрос на ввод имени и пароля для доступа к папке?..

Дай права на эту папку только владельцу этой папки

Leo1000

Цитата:

Дай права на эту папку только владельцу этой папки

Запроса на ввод имени и пароля не будет. Просто запрещено и всё.

В том и проблема, надо что бы был запрос...

OKTANred
Цитата:

В том и проблема, надо что бы был запрос...

А что, разве фишка "подключение под другим именем" в данном случае не работает?

В чем может быть проблема?
Создал для группы пользователей перемещаемы профиля. Включил их в группу пользователей домена.
При выходе пользователя из системы выдает следующую ошибку:
Не удалось скопировать файл "локальный путь" на "путь к папке пользователя на сервере"

Подробно: Невозможно создать файл, так как он уже существует.

В каких случаях может возникать данная проблема и существуют ли пути её исправления?

Уже сутки бьюсь над задачей, и судя по всему не судьба ее решить. Задача такова: нужно сделать нормальную адресную книгу для The Bat! в AD. Bat забирает по LDAP Отчество пользователя = initials в AD, проблема в том, что туда максимум вмещается 6 символов. Вроде как редактирование схемы должно было помочь, но воз и ныне там. Вот отсюда и вопрос, что делать и как быть. В домнен нет ни единой ошибки dcdiag,netdiag,replmon. На скринах увеличенное знаение rangeUpper с 6 до 128 символов.

OKTANred
файл - пользовательский документ или какой-то виндово-профильный?
В любом случае, если в данный момент на локальной машине имеется свежая копия перемещаемого профиля в актуальном состоянии, то тупо удалите профиль юзера с сервака и при первом же выходе он заново туды скопируется с локальной машины и будет вам счастье.
Если же хотите разобраться в чем затыка надо смотреть сначала на права на данный файл.

Alukardd
Как вы выразились проблема похоже в виндово-профильных файлах, но каждый раз ссылается на разные папки профиля, например "моя музыка" "автозагрузка"

Думал проблема с синхронизацией времени, но похоже этот вариант тоже отпадает делал синхронизацию на машинах с помощью команды NET TIME

здравствуйте,
пытался разобраться со службой сертификатов, игрался игрался, теперь надо удалить все записи из AD воспользовался http://support.microsoft.com/kb/889250 но возникла проблема


Цитата:

ldifde -r "cn=CA1 Contoso" -d "cn=public key services,cn=services,cn=configuration,dc=contoso,dc=com” -f remainingCAobjects.ldf
Open the remainingCAobjects.ldf file in Notepad. Replace the term "changetype: add" with "changetype: delete." Then, verify whether the Active Directory objects that you will delete are legitimate.
At a command prompt, type the following command, and then press ENTER to delete the remaining CA objects from Active Directory:
ldifde -i -f remainingCAobjects.ldf

меняю add на delete,
сохраняю, выполняю ldifde -i -f remainingCAobjects.ldf
получаю следующее

Цитата:

Importing directory from file "remainingCAobjects.ldf"
Loading entries
There is a syntax error in the input file
Failed on line 3. The last token starts with 'd'.
0 entries modified successfully.
An error has occurred in the program

вот 3 строчки моего файла

dn: CN=имя,CN=Certefication Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=LOCAL
changetype: delete
objectClass: top

уровень домена 2008, КД 2008r2 core mode.
помогите разобраться что не так

появилась проблема, типа "Ошибка при динамической регистрации или удалении одной или нескольких записей DNS, связанных с доменом DNS "(мой домен).local.". Эти записи используются другими компьютерами для поиска данного сервера как контроллера домена (если указан домен Active Directory) или как сервера LDAP (если указанный домен является разделом приложения). "

и там же рекомендуют
Исправьте ошибки настройки и инициируйте регистрацию или удаление записей DNS, запустив программу "nltest.exe /dsregdns" в командной строке или перезапустив службу входа в систему.

но странный ответ
flags: 0
Connection Status =0 0x0 NERR_Success

это хорошо или плохо?

Добрый день!
подскажите пожалуйста, товарищ устроился на новую работу в небольшою фирму и столкнулся с очень не приятной проблемой.
предидущий админ "забыл" отдать ему пароль доменного админа, других админских учеток нет.
вопрос - можно ли как-то сбросить пароль доменного админа, пароль от ресторе моде есть.
PS
про официальную позицию МС знаю, они рекомендуют создавать новую АД

resetsa
посмотри имя учетки админа и в рестор мод добавь в планировщик задание с командой net user Администратор новый-пароль с запуском при старте системы, запускать от SYSTEM (с пустым паролем), перезагрузись в обычный режим.

Всем привет. Следующий вопрос. Поднят AD, настроено DFS. Как скрыть сервер из стандартного сетевого окружения. Причем не просто скрыть, а чтобы к нему не было доступа ни по прямому ip ни по имени компа. Вобщем нужно лишь чтобы пользователи видели то что я указал им в dfs.

Scaramanga

Еще раз всем привет. Вобщем первый мой "блин" с построением домена как полагается комом. Щас уже обученный на собственных ошибках хочу все сделать как надо. Установить Ос и настроить АД с нуля. Одна проблема. Вбиты уже все 2 сотни пользователей с правами и нормально построенно DFS. Вопрос следующего характера. как сохранить только то что "хорошо" настроено. Т.е.
1.Сохранить всех вбитых пользователей. В управлении пользователями вижу функцию экспортировать список, но как их потом вернуть обратно уже на чистом серваке?
2. Сохранить все папки на которые идут ссылки в DFS с правами на эти папки.(права назначал на NTFS, а не в консоли DFS)
3. Сохранить структуру DFS, желательно без сохранения прав(вдруг там тоже чего намудрил?))

Заранее спасибо

Необходимо сделать так, чтобы простой пользователь AD не мог получать список всех ее объектов (в частности список пользователей AD). Надо чтобы это мог получить только администратор домена. Это реально?

Scaramanga
По учёткам, насколько я знаю, есть сторонние утилиты для импорта/экспорта.

Добрый день!
Уважаемые знатоки подскажите, есть задумка сделать бэкап АД через отдельный сайт,на который будет ходить реплика раз в день например.Такое в принципе возможно,вроде.
ТОлько вот возник вопрос,как при восстановлении реплицировать с него изменения на другие сайты и DC.
Я так понимаю,чисто теоритически такое возможно сделать изменив соответсвующим образом аттрибут uSNChanged на более высокий.
Вопросы
1) такая схема вообще возможна или нет?
2) как изменить uSNChanged, через ADSIedit сделать не дает, говорит - обьектом владеет система

прошу прощения - разобрался.
это делает ntdsutil auth restore

всем доброго вечера.
подскажите можно ли сделать так что бы при входе в домен пользователь не вводил постоянно пароль, сразу входил?

IqOOpI
не уверен но вроде как обычный автовход прекрасно работает и с доменными пользователями...

всм control userpasswords2???

IqOOpI
ну да... через пару часов смогу проверить, если хотите...

Такой вопрос

Мигрирую с 2003 r2 на 2008 r2
В сети есть PDC и BDC на двух разных серверах. Я вывожу старое постепенно из оборота.
ВВел новый сервер на 2008 в домен а теперь перетаскиваю ресурсы постепенно.
Сейчас хочу убрать из сети BDC. На нем крутится вспомогательный DNS c DHCP и PRintServer

Возможны ли в сети 3 DC пока все ресурсы буду перераспределять?
Как еще на 2003 в AD каждому пользователю проосациировать список принтеров? Я их каждому локально через шару добавлял. А сейчас printserver будет на новом сервере.

Что лучше XPS или PCL дрова?

На клиентах XPSP3

Всем привет. Такой вопрос. На некоторых компах не расшарены стандартные админ ресурсы (c$ admin$ и.т.п.) В GPO прописал добавление следующих параметров реестра SYSTEM\CurrentControlSet\services\LanmanServer\Parameters AutoShareServer=1 и AutoShareWks=1, параметры обработанны но папок так и не появилось. Другие шары работают. Что еще нужно включить чтобы были админ ресурсы?

Доброго времени суток всем
Создали новую сеть, через VPN имеет доступ к DNS и домену, в этой новой сети пробую ввести компьютер в домен, пишет ошибку и "Сервер RPC не доступен" при добавлении в домен, смотрю netsetup.log:

16/12 13:02:33 NetpValidateName: checking to see if 'DOMAIN' is valid as type 3 name
16/12 13:02:36 NetpCheckDomainNameIsValid for DOMAIN returned 0x54b
16/12 13:02:36 NetpCheckDomainNameIsValid [ Exists ] for 'DOMAIN' returned 0x54b

Ставлю этот же компьютер в этой старой сети (в которой стоит и DNS и домен), ставлю соответственно ip для этой старой сети - компьютер без проблем добавляется в домен.
В чем может быть проблема? Заранее благодарю.

SERGeblr
а в новой сети DNS, который с записями о домене, используется или просто доступен?) возможно стоит делегировать доменную зону на DNS сервер удаленной сети(та что через VPN подключена)???

В домене на 2003-х серверах было решено поставить эксчендж 2010.
В связи с этим, взял машину, поставил 2008 и стал ставить 2010 эксчендж.
В процессе установки выяснилось, что схема не готова.
Погуглил, изменил режим работы леса - поднял его с 2000го до 2003.
И истерично поменял режим работы домена - там был 2000, 2003, 2008.
я так понял, я его опустил до 2003 го.
щас на сервере 2008 с эксченджем, кот не видит Глобальный каталог,
но работает с АД пользователи и компы, сайты тоже видит, и галку ГК где надо, нет тока остнастки Домены и доверие...
кажется, еще вчера она была...
и выдает такую штуку-

что делать-то ?
поднять быстренько контроллер еще один, передать ему все роли с главного установить нужный режим работы домена, потом обратно все старому отдать?
Поможет?
Добавлено:
тогда новый 2008 будет работать, и эксчендж встанет?