» Общие вопросы про AD (Active Directory) - часть II

Чтобы
Igorr

Цитата:

W7 находили бы контроллер автоматически правильно

нужно чтобы W7 получали правильный DNS, если статика не устраивает - настраивайте DHCP на роутере таким образом чтобы DNS IP на W7 равнялся IP WS2008R2.

Road Runner J
Спасибо за участие:
Цитата:

настраивайте DHCP на роутере таким образом

но мой вопрос
Igorr
Цитата:

Как сделать так, чтобы

Цитата:

Однако когда роутер по своей прихоти меняет адрес контроллера

это как это, одно сетевое устройство меняет по своей прихоти адрес другого сетевого устройства?

Valery12

Цитата:

одно сетевое устройство меняет по своей прихоти адрес другого сетевого устройства

Именно так - адрес компа устанавливается то 192.168.0.103 то 192.168.0.101. Дело в том, что у меня на компе две системы (на двух разных HDD). Я запускаю то одну, то другую. Имена коппьютеров разные - роутер видимо не успевает среагировать на такую смену операционных систем, или что-то еще возможно с этим связанное.

Резервация по MAC на DHCP, на обоих компах заранее на софтовом уровне сделать одинаковые MAC адреса.

Извините как в Виндовом домене зделать
чтобы пользователь мог захадить только на 1 компьютер (т.е.) каждый на свой.
А на соседний заходить не мог

svanyashev
В свойствах учетной записи в остнастке "Active Directory Пользователи и компьютеры", кнопка "вход на" (могут появиться проблемы с шарами и прочим)

Добавлено:
Ну и есть еще в групповых политиках (Computer Configuration | Windows Settings | Security Settings | Local Policies | User Rights Assignment | Allow logon locally/Deny log on locally), можно замутить с фильтрацией по компу, но тогда групповых политик будет уева туча.

Имеется организация c выходом в инет на 2 провайдера через железные роутеры. Подняты только DHCP и WINS. Теперь настало время поднять AD. В процессе планирования возникло несколько вопросов:

1. Выбор суффикса DNS. Дело в том что домен с именем организация.ru уже есть в инете. Можно ли по совету MS использовать доменное имя организация.local для внутреннего использования (дабы не было конфликтов)?

2. Чтобы не было конфликтов с DNS рекомендуют у пользователей AD прописать адрес только одного DNS (нашего локального) сервера (будущего DC) , а уж на нем сделать перенаправление запросов на DNS сервер провайдера (наверно лучше будет дать адреса известных DNS серверов 8.8.8.8 или 208.67.222.222). Потом на нашем сервере прописать основной шлюз для выхода в инет. На железяке блокирнуть выход в инет с нашего сервера по всем портам, кроме 53. Примерно так?

serg53

1. Можно, но по опыту лучше сокращать до loc


Цитата:

2. Чтобы не было конфликтов с DNS рекомендуют у пользователей AD прописать адрес только одного DNS (нашего локального) сервера (будущего DC) , а уж на нем сделать перенаправление запросов на DNS сервер провайдера

Да все верно, но не из-за мнимых конфликтов, а только для увеличения быстродействия и исключения отправки внутренних DNS запросов во внешний DNS сервер.


Цитата:

(наверно лучше будет дать адреса известных DNS серверов 8.8.8.8 или 208.67.222.222)

Утверждение не верно, прописывается DNS`ы Вашего продайдера.


Цитата:

Потом на нашем сервере прописать основной шлюз для выхода в инет.

А он что не прописан!? Тогда да.


Цитата:

На железяке блокирнуть выход в инет с нашего сервера по всем портам, кроме 53. Примерно так?

Не с, а от Вашего сервера. Но учитывайте, что наличие и установка обновлений на Windows ещё никто не отменял.

anton04
Cпасибо за быстрый ответ. Радует, что в верном направлении орудую экскаватором...

Цитата:

1. Можно, но по опыту лучше сокращать до loc

Наверное лучше, уже начитался... Так и поступлю.

Цитата:

Утверждение не верно, прописывается DNS`ы Вашего продайдера

Провайдера 2. Поэтому, в случае падения одного из них, чтобы не переделывать форвардинг используем общеизвестные серваки, хотя шлюз идет все таки на одного прова. (После установки AD планирую воткнуть нормальный инет шлюз с мультиваном )

Цитата:

Не с, а от Вашего сервера.

Угу, я это и имел ввиду...

Отстаем от жизни...
За последнее время рекомендации Microsoft в отношении доменных имен
несколько изменились.
Ознакомиться можно здесь
http://www.microsoft.com/rus/windowsserver2008/docs/DNS_in_Small_Networks_WS08_Step-by-Step_Guide_ru/DSN_in_WS08_Step-By-Step_Guide_ru_page1.aspx

цитирую-

Для внутренних доменов рекомендуется создавать имена, связанные с зарегистрированным доменным именем DNS в интернете. Например, если для организации зарегистрировано DNS-имя домена в интернете «contoso.com», то следует использовать доменное имя типа «corp.contoso.com» в качестве внутреннего полного доменного DNS-имени и «CORP» в качестве имени NetBIOS.

И добавочная цитата-

Избегайте нестандартных имен доменов верхнего уровня, например «.local». Использование нестандартных имен TLD приведет к тому, что вы не сможете зарегистрировать доменное имя в интернете.

Продолжаю изучение AD
Дошел до OU. Решил сделать по фактическим подразделениям в конторе. Например, OU "Сбыт" содержит OU "Компьютеры", OU "Пользователи", OU "Принтеры". К данному OU уже можно применить GPO. Теперь создаю группу безопасности "ГБ_Сбыт". Куда ее лучше поместить, в OU "Сбыт" или создать в домене OU "Группы безопасности" и все группы помещать туда?

Подскажите пожалуйста AD на базе win 2008R2 , установил принтер на ПК в домене , расшарил его, а как теперь глобально подключить к нему группу пользователей чтобы не сидеть на каждом ПК(не зная пароля пользователя , не добавляя под локальной учеткой принтер) добавить этот принтер на всех пользователей?

Цитата:

добавить этот принтер на всех пользователей?

групповые политик - предпочтения - панель управления

Цитата:

Куда ее лучше поместить, в OU "Сбыт" или создать в домене OU "Группы безопасности" и все группы помещать туда?

я бы поместил в верхнюю ОЮ - Сбыт. Если политика применится к ОЮ ГБ_Сбыт - то она не применится ни на кого, т.к. в этой ОЮ (и ниже) нет пользователей.

Проблема при миграции с 2008 на 2008R2 роли AD DS
По ходу есть ошибки в схеме, хотя проверку и лечение NTDS делал...
Репликация идет, dcdiag говорит что ошибок нет!

если выполнить nltest /sc_query:mydomain.tld на хозяене роли PDC, то вылазит ошибка
I_NetLogonControl failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

Если выполнить на том сервере куда перезжает домен то все ок, а если ему передать роль PDC - ошибка таже...

При этом никаких ошибок по логам нет, все реплицируется...
Что делать? Может кто сталкивался с проблемой?

Перегуглил, немерянно! Мучаюсь уже неделю.... блин!

Добавлено:
Попоробовал, в другом домене.....
Ошибка: I_NetLogonControl failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Всегда будет на PDC...

Если забыть про старый центр сертификации, и поднять новый на новом контроллере домена с новым именем, и выдать сертификаты уже с нового ЦС, такой вообще реален сценарий?

Потому как не могу мигрировать имя старого контроллера домена на новый, че уже токо не делал, и разными способами, и нифига... новый сервер говорит что такое имя уже есть, если переименовывать через консоль, а через ГУИ - Invalid parametr...

Мигрировал на новый сервер, и на нем поднял новый СЦ
теперь нужно заново везде выдавать сертификаты, было ожидаемо...
Как выход из ситуации в полне устраивает!

Подскажите как быть, поставил radmin под локальным админом, пользователь в AD с урезанными правами на многое....

нужно написать скрипт который даст на папку C:\Windows\System32\rserver30\ во кладке безопасность для всех пользователей полный доступ.

Подскажите куда копать ?
Хотелось бы этот скрипт на логон поставить , чтобы не идти логиниться локально и перенастраивать права безопасности на папке....

OOD
icacls /?, а потом

Цитата:

скрипт на логон

Leo1000
Ух какая замечательная утилита, спасибо.вот только проблема спрашивает y/n
после выполнения
echo y|cacls.exe C:/Windows/System32/rserver30* /g все:r

Всем добрый день!

подскажите как создать пользователя с правами только на установки и удалении программного обеспечения, но не администратор домена, система win 2008 r2, AD развернуто,
либо где можно почитать поделитесь ссылками,

заранее благодарен!!!

Прошу помощи. В связи с продажей нашего предприятия нашу подсеть выводят из леса, у админов есть только domain admin, в корневом домене создали enterprise admin для нас, но толку-то, как только отключат, долго учетка не проживет, свои-же учетки из дочернего домена ввести в группу EA не могу, с КД моего домена не видно корень. Так вот собственно вопрос, что я теряю не имея прав ЕА? Вернее даже не так, что не смогу сделать не имея прав админа предприятия?

Цитата:

В связи с продажей нашего предприятия нашу подсеть выводят из леса

Цитата:

свои-же учетки из дочернего домена ввести в группу EA не могу, с КД моего домена не видно корень.

если вас выведут из леса, то вы сами для себя рутом и будете -> сможете кого угодно добавлять в enterprise administrators


Цитата:

Вернее даже не так, что не смогу сделать не имея прав админа предприятия?

выполнять операции на уровне леса, т.е. по большому счету не сможете изменять значения некоторых свойств/атрибутов объектов, на которые есть права у ea. Например forestprep для каких-либо целей (тот же exchange), публикация серверов лицензирования remote desktop services на уровне леса и т.д.. Ну и , само собой, создание доверительных отношений между лесами и другие подобные операции


Цитата:

подскажите как создать пользователя с правами только на установки и удалении программного обеспечения, но не администратор домена, система win 2008 r2, AD развернуто,
либо где можно почитать поделитесь ссылками,

если для установки, то пользователь должен обладать админскими правами на целевых компьютерах, ибо софта разного столько, что отслеживать что и куда ставится практически нереально, т.е. гранулированно раздать права ТОЛЬКО для установки различного софта не получится.

про ссылки - group policy, restricted groups и гугль

Хм... Ну, мой вопрос, вероятно, также подпадает под общие и может быть здесь задан.
Хранятся ли в АД сведения, когда последний раз логинились под такой-то доменной учёткой? Если да - как их просмотреть?
В домене половина, наверное, уже "мёртвых" учёток (заявки на новых пользователей поступают постоянно, а об увольнении нас не информируют), вот и решил от них избавиться.

BVV63

Цитата:

dsquery user -inactive 8 (недели) -limit 0

attaattaatta
Спасибо, подходит.

BVV63
Скачать это http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18465
Выполнить regsvr32 C:\Windows\System32\acctinfo.dll
И в оснастке ADUC появятся нужные Вам вкладки.
Или пользуйте dsa.msc (WINDOWS-7/2008r2), там встроен редактор атрибутов и можно посмотреть поле "lastLogon".

wwladimir
Системные требования не подходят:

Цитата:

Supported Operating Systems: Windows 2000, Windows NT, Windows Server 2003

У меня Семёрка, а домен на 2K8 R2.

BVV63
И еще вариант- в консоли DSA -сохраненные запросы-новый запрос-в условиях поиска указать нужное количество дней.

Раз у вас семерка, то все уже в консоли есть и так.

wwladimir

Цитата:

сохраненные запросы-новый запрос-в условиях поиска указать нужное количество дней

Ага, нашёл такое. Благодарствую.

Доброго всем времени суток. Возникла неожиданная ситуация с контроллером домена. При попытке настроить тестовый сервер на Linux при настройке Samba я явно что-то напортачил и не смог с контроллера домена получить доступ к Active Directory - Users and Computers. Сервер с Linux выключен, в конечном итоге восстановлено состояние системы 4-х дневной давности с сервера резервного копирования (он не в домене, просто отдельный сервер). Вроде все работает, но теперь на сервере резервного копирования я не могу получить доступ к доменным ресурсам - ругается на неверные данные для входа. Остальное вроде как работает, что где можно поправить для восстановления авторизации?