anton04
а можно ли её как то изменить?через гпо?
а можно ли её как то изменить?через гпо?
» Общие вопросы про AD (Active Directory) - часть II
OOD
Цитата:
Что именно в хотите изменить!? Если что-то в ветке реестра (HKCU ) каждого пользователя, то нужно сделать скрипт и поместить его в автозагрузку (через GPO) именно пользователя, а не компьютера.
P.S. И вообще, насколько мне помнится, рулить proxy можно и в стандартных настройках GPO и не изобретать велосипед.
Цитата:
а можно ли её как то изменить?через гпо?
Что именно в хотите изменить!? Если что-то в ветке реестра (HKCU ) каждого пользователя, то нужно сделать скрипт и поместить его в автозагрузку (через GPO) именно пользователя, а не компьютера.
P.S. И вообще, насколько мне помнится, рулить proxy можно и в стандартных настройках GPO и не изобретать велосипед.
anton04
Цитата:
Кстати ветка политик "Пользователь" как раз и занимается тем что меняет значения в ветке реестра HKCU.
Цитата:
рулить proxy можно и в стандартных настройках GPOможно.
Кстати ветка политик "Пользователь" как раз и занимается тем что меняет значения в ветке реестра HKCU.
anton04
Цитата:
помещаю пользователю reg файл в автозагрузку , но пользователю не хватает прав чтобы этот файл сработал
городить огород с запуском от имени локального админа не охота...
Цитата:
поместить его в автозагрузку (через GPO)
помещаю пользователю reg файл в автозагрузку , но пользователю не хватает прав чтобы этот файл сработал
городить огород с запуском от имени локального админа не охота... OOD
ммм... а ежели GPO->User Configuration->Preferences->Windows Settings->Registry ?
или же GPO->User Configuration->Policies->Administrative Templates->Windows Components->Internet Explorer->Internet Control Panel-> Disable the Connections page ?
ммм... а ежели GPO->User Configuration->Preferences->Windows Settings->Registry ?
или же GPO->User Configuration->Policies->Administrative Templates->Windows Components->Internet Explorer->Internet Control Panel-> Disable the Connections page ?
1)Загрузился в режим восстановления службы каталога. Восстановил ntbackup'ом system state и диск С по мануалу.
2)пинги проходять на него, а по имени в сетевом окружении не заходит:
\\server is not accessible. You might not have permission to use this network resource. Logon failure: the target account name is incorrect - такая ошибка вылетает.
Sysvol и netlogon перестали быть расшарены после раскатывания архива.
Этот сервер являлся глобальным каталогом. После данных манипуляций репликация не проходит как я понимаю потому, что нет доступу к этому серверу.
GPO не смог отредактировать с резервного: нет доступа ...
Это нормально что после восстановления с ntbackup такие проблемы?
3) Решил поднять роль глобального каталога на резервном с помощью захвата так как передача не проходила.
GPO так и не могу отредактировать уже с так называемого глобального: нет доступа ...
Развернутые тесты завтра dcdiag netdiag.
Помогите плз.
2)пинги проходять на него, а по имени в сетевом окружении не заходит:
\\server is not accessible. You might not have permission to use this network resource. Logon failure: the target account name is incorrect - такая ошибка вылетает.
Sysvol и netlogon перестали быть расшарены после раскатывания архива.
Этот сервер являлся глобальным каталогом. После данных манипуляций репликация не проходит как я понимаю потому, что нет доступу к этому серверу.
GPO не смог отредактировать с резервного: нет доступа ...
Это нормально что после восстановления с ntbackup такие проблемы?
3) Решил поднять роль глобального каталога на резервном с помощью захвата так как передача не проходила.
GPO так и не могу отредактировать уже с так называемого глобального: нет доступа ...
Развернутые тесты завтра dcdiag netdiag.
Помогите плз.
Здравствуйте.
Интересует такой вопрос, имеет ли смысл создавать домен на предприятии, если 2 офиса удаленных через vpn, но имеется только один физ сервер, который сейчас используется для общих ресурсов и прочего, но может выстапать в качестве DC. Насколько будет ненадежна схема с одним DC? По всем требованиями рекомендуется хотя бы 1 резервный, вот и вопрос понимать ли домен на 1 контроллере или нет?
Интересует такой вопрос, имеет ли смысл создавать домен на предприятии, если 2 офиса удаленных через vpn, но имеется только один физ сервер, который сейчас используется для общих ресурсов и прочего, но может выстапать в качестве DC. Насколько будет ненадежна схема с одним DC? По всем требованиями рекомендуется хотя бы 1 резервный, вот и вопрос понимать ли домен на 1 контроллере или нет?
Raz0rnsk
Цитата:
настолько насколько ненадежно у вас будет работать железка и ось на данной железке
Цитата:
Насколько будет ненадежна схема с одним DC
настолько насколько ненадежно у вас будет работать железка и ось на данной железке
Вопрос:
Есть два домена в разных лесах с множеством контроллеров доменов у каждого.
Между двумя выбранными из доменов DC настроено внешнее доверие.
Есть некоторое количество PC которые должны работать в двух доменах.
Есть проблема, когда PC использует DC на котором настроено доверие то он работает нормально в двух доменах. Но стоит нужный DC перегрузить и PC уже обращается к другому DC и соответсвенно уже не может работать с двумя доменами.
Есть ли вариант как заставить PC обращаться только к нужному DC а не к произвольно выбранному?
Т.к. настраивать видимость между всеми DC обоих доменов нельзя.
Есть два домена в разных лесах с множеством контроллеров доменов у каждого.
Между двумя выбранными из доменов DC настроено внешнее доверие.
Есть некоторое количество PC которые должны работать в двух доменах.
Есть проблема, когда PC использует DC на котором настроено доверие то он работает нормально в двух доменах. Но стоит нужный DC перегрузить и PC уже обращается к другому DC и соответсвенно уже не может работать с двумя доменами.
Есть ли вариант как заставить PC обращаться только к нужному DC а не к произвольно выбранному?
Т.к. настраивать видимость между всеми DC обоих доменов нельзя.
Цитата:
настолько насколько ненадежно у вас будет работать железка и ось на данной железке
т.е. вывод, что ненадежно заводить системну с одним DC?
ибо, если он упадет, никто залогиниться не сможет...
Raz0rnsk
Цитата:
Вот как будет сотня юзеров, пяток серверов, тогда можно будет и насчет Active Directory подумать.
Цитата:
вот и вопрос понимать ли домен на 1 контроллере или нет?Если у вас в сети конторы всего один сервер, то на кой ляд вам вообще Active Directory?
Вот как будет сотня юзеров, пяток серверов, тогда можно будет и насчет Active Directory подумать.
vlary
Цитата:
Тогда уже будет поздно думать...
Цитата:
Вот как будет сотня юзеров, пяток серверов, тогда можно будет и насчет Active Directory подумать.
Тогда уже будет поздно думать...
Raz0rnsk
Цитата:
истинно так, и интернет перестанет работать (ибо ДНС скорее всего будет тоже один на том де ДК) и все прочие сервисы завязаные на АД, как-то например Exchange.
хотя у нас в конторе 1 КД... живем почти год уже... зато два ТМГ... нафига спрашивается...
Цитата:
т.е. вывод, что ненадежно заводить системну с одним DC?
ибо, если он упадет, никто залогиниться не сможет...
истинно так, и интернет перестанет работать (ибо ДНС скорее всего будет тоже один на том де ДК) и все прочие сервисы завязаные на АД, как-то например Exchange.
хотя у нас в конторе 1 КД... живем почти год уже... зато два ТМГ... нафига спрашивается...
Подскажите почему на некоторых ПК отображаются пользователи , который последний раз работали на ПК в Description , а некоторые нет, или вообще что отображается в Description ?
windows 2008 server
windows 2008 serverOOD
Цитата:
Потому как у некоторых есть права, а у некоторых нет...
Цитата:
Всё что Вам угодно, например так: Скрипт – Залогиненные пользователи на компьютерах в консоли Active Directory.
Цитата:
Подскажите почему на некоторых ПК отображаются пользователи
Потому как у некоторых есть права, а у некоторых нет...
Цитата:
вообще что отображается в Description ?
Всё что Вам угодно, например так: Скрипт – Залогиненные пользователи на компьютерах в консоли Active Directory.
Можно ли каким то образом сделать так, чтобы при создании пользователя, ему автоматически прописывались определнные группы? То есть он становился членом этих групп 
BJ78
Цитата:
Только теоретически, помоему вы пытаетесь изобрести велосипед, т.к. фактически просто копируется пользователь со всеми принадлежностями к группам, там даже специальный пункт в меню есть под названием "Копировать..."
Цитата:
Можно ли каким то образом сделать так, чтобы при создании пользователя, ему автоматически прописывались определнные группы?
Только теоретически, помоему вы пытаетесь изобрести велосипед, т.к. фактически просто копируется пользователь со всеми принадлежностями к группам, там даже специальный пункт в меню есть под названием "Копировать..."
anton04
К сожалению в моей организации этот метод не подойдет в связи с тем, что соседние пользователи могу состоять в совершенно разных группах, и конфигураций множество А вот какие то основные есть у всех, при чем в зависимости от OU основные будут разными.
К сожалению в моей организации этот метод не подойдет в связи с тем, что соседние пользователи могу состоять в совершенно разных группах, и конфигураций множество
А вот какие то основные есть у всех, при чем в зависимости от OU основные будут разными. BJ78
И в этом случае не вижу проблем. Как пишут во всех учебниках по AD создайте любого пользователя, отключите его учётную запись назначьте нужные группы доступа и используйте его как шаблон.
И в этом случае не вижу проблем. Как пишут во всех учебниках по AD создайте любого пользователя, отключите его учётную запись назначьте нужные группы доступа и используйте его как шаблон.
Всем доброе время суток! Прошу тапками не кидать за глупый вопрос, но разобраться с ним не получается =( Ситуация такая был сервер Win 2r3 с настроенным AD+DNS, решили перенести его на 2008. Вроде все перенеслось (учетки, глобальный каталог и DNS), но по факту получилось, что походу ДНС не перенесся. Удалил ДНС с 2008, и установил его опять, но при попытке добавления прямой и обратной зон, выдает ошибку "мастер настройки dns-сервера не может выполнить настройку корневых ссылок". Короче сейчас компьютера не видят друг друга и не могу нормально ввести новые ПК в домен, так же через оснастку Active Directory - "пользователи и компьютеры", нет возможности удаленно управлять компьютерами((((( очень надеюсь на советы и помощь...
Тема, гляжу, не особо активная, но надеюсь, что кто-то ответит...
Есть домен (пока ещё есть) - rec.admlr.loc. Он является дочерним по отношению к домену admlr.loc.
В силу обстоятельств произошло то, что время tombstone превышено и он (rec) считается для родительского (admlr.loc) мертвецом, т.к. нет репликаций. Контроллер дочернего домена rec.admlr.loc является хозяином только RID, PDC, Инфраструктуры. Остальными ролями FSMO является контроллер родительского домена.
Возможно ли захватить роли для своего куска домена (rec.admlr.loc) и жить без основного?
Добавлено:
Второй вопрос.
Создал свой домен rec.loc
Контроллер старого домена rec.admlr.loc является и файловым сервером.
Пока существуют два этих домена. Пользователи продублированы на новом (rec.loc). Благодаря этому они заходят на старый контроллер и могут пользоваться файлами (все разрешения на папки действуют).
Что будет, если старый контроллер сделать рядовым сервером (удалить роль контроллера домена rec.admlr.loc)? Все разрешения исчезнут и доступ пропадёт? Придётся заново прописывать всё (папок много)?
Подскажите, как правильно поступить? Что сделать, чтобы было возможно не потерять права на каталоги?
Есть домен (пока ещё есть) - rec.admlr.loc. Он является дочерним по отношению к домену admlr.loc.
В силу обстоятельств произошло то, что время tombstone превышено и он (rec) считается для родительского (admlr.loc) мертвецом, т.к. нет репликаций. Контроллер дочернего домена rec.admlr.loc является хозяином только RID, PDC, Инфраструктуры. Остальными ролями FSMO является контроллер родительского домена.
Возможно ли захватить роли для своего куска домена (rec.admlr.loc) и жить без основного?
Добавлено:
Второй вопрос.
Создал свой домен rec.loc
Контроллер старого домена rec.admlr.loc является и файловым сервером.
Пока существуют два этих домена. Пользователи продублированы на новом (rec.loc). Благодаря этому они заходят на старый контроллер и могут пользоваться файлами (все разрешения на папки действуют).
Что будет, если старый контроллер сделать рядовым сервером (удалить роль контроллера домена rec.admlr.loc)? Все разрешения исчезнут и доступ пропадёт? Придётся заново прописывать всё (папок много)?
Подскажите, как правильно поступить? Что сделать, чтобы было возможно не потерять права на каталоги?
Я так и думал...
Вопрос хочу задать по реорганизации домена, если честно с этой точки зрения не сталкивался, поэтому посоветуйте, куда смотреть и с чего начать.
Есть старый домен "ааа" на вин2003. Хочу полностью перенести его на 2008Р2, но есть загвоздка, компов порядочно (около 200), работу нарушать низя вообще, работают практически круглосуточно
Возможно ли следующее развитие событий: на новом серваке создаем домен "а", в него полностью перекидываем старый "ааа" в качестве поддомена (сохраняя текущие права доступа и ограничения), и постепенно из него создаем другие поддомены "аа", "аб", "ас", перемещая (одновременно переименовывая старые компы и пользователей) из "ааа".
Как плавно перебросить управление со старого на новый или нужно это делать сразу? С какими проблемами столкнусь на пользовательских компах? Насколько будет трудоемким процесс переноса данных пользователей? Возможна ли автоматизация?
Есть старый домен "ааа" на вин2003. Хочу полностью перенести его на 2008Р2, но есть загвоздка, компов порядочно (около 200), работу нарушать низя вообще, работают практически круглосуточно
Возможно ли следующее развитие событий: на новом серваке создаем домен "а", в него полностью перекидываем старый "ааа" в качестве поддомена (сохраняя текущие права доступа и ограничения), и постепенно из него создаем другие поддомены "аа", "аб", "ас", перемещая (одновременно переименовывая старые компы и пользователей) из "ааа".
Как плавно перебросить управление со старого на новый или нужно это делать сразу? С какими проблемами столкнусь на пользовательских компах? Насколько будет трудоемким процесс переноса данных пользователей? Возможна ли автоматизация?
Zzhjckfd
Вы хотите как посложнее и что бы работы побольше было ?
Или легко и правильно, тогда ставьте доп. контролер домена, передавайте ему роли, обновляйте схему и т.д.- http://technet.microsoft.com/ru-ru/library/cc733027(v=ws.10).aspx
DcPromo вам в помощь...
Вы хотите как посложнее и что бы работы побольше было ?
Или легко и правильно, тогда ставьте доп. контролер домена, передавайте ему роли, обновляйте схему и т.д.- http://technet.microsoft.com/ru-ru/library/cc733027(v=ws.10).aspx
DcPromo вам в помощь...
Zzhjckfd
Цитата:
Да можно, но непонятно зачем это делать!? Непонятно зачем заморачиваться с поддоменами...
Цитата:
как угодно, создаётся ещё один контроллер домена и всё.
Цитата:
ни с какими... если вы пропишите им ещё и адрес нового DNS...
Цитата:
Настолько насколько для Вас труден процесс установки второго контроллера домена.
Цитата:
Автоматизация чего? Создания второго контроллера домена? Синхронизация AD происходит автоматически и вмешательство не требует... Перенос ролей? Ну так это разовая работа, несколько команд да тыканья мышкой... проверка на ошибки AD и их исправление!? ну так это вообще индивидуальная работа и автоматизации не поддаётся...
Цитата:
Возможно ли следующее развитие событий: на новом серваке создаем домен "а", в него полностью перекидываем старый "ааа" в качестве поддомена (сохраняя текущие права доступа и ограничения), и постепенно из него создаем другие поддомены "аа", "аб", "ас", перемещая (одновременно переименовывая старые компы и пользователей) из "ааа".
Да можно, но непонятно зачем это делать!? Непонятно зачем заморачиваться с поддоменами...
Цитата:
Как плавно перебросить управление со старого на новый или нужно это делать сразу?
как угодно, создаётся ещё один контроллер домена и всё.
Цитата:
С какими проблемами столкнусь на пользовательских компах?
ни с какими... если вы пропишите им ещё и адрес нового DNS...
Цитата:
Насколько будет трудоемким процесс переноса данных пользователей?
Настолько насколько для Вас труден процесс установки второго контроллера домена.
Цитата:
Возможна ли автоматизация?
Автоматизация чего? Создания второго контроллера домена? Синхронизация AD происходит автоматически и вмешательство не требует... Перенос ролей? Ну так это разовая работа, несколько команд да тыканья мышкой... проверка на ошибки AD и их исправление!? ну так это вообще индивидуальная работа и автоматизации не поддаётся...
А мой вопрос, значит, игнорируем?..
Sauron_zombie
п. 2.8.3. главы VIII Соглашения по использованию
Если не ответили на Ваш вопрос значит или некому или Ваш вопрос никому не интересен.
Цитата:
Нет, только для всего домена. Захват ролей описан в сотнях статьях и учебниках, расписывать тут не имеет смысла.
Цитата:
Не понятно взаимоотношение двух доменов rec.loc и admlr.loc. Учитывая что это разные домены, похоже вы настроили доверие, а следовательно если погасите admlr.loc NTSF разрешения не будет отрабатываться в домене rec.loc, куда ж ему обращаться за проверкой логина и пароля то!?
Цитата:
Поднимаем второй контроллер домена в лесу admlr.loc и передаём ему все права и DNS в том числе. Далее понижается основной контроллер домена до рядового. Проверяется на корректность передачи ролей и т.п.
п. 2.8.3. главы VIII Соглашения по использованию
Если не ответили на Ваш вопрос значит или некому или Ваш вопрос никому не интересен.
Цитата:
Возможно ли захватить роли для своего куска домена (rec.admlr.loc) и жить без основного?
Нет, только для всего домена. Захват ролей описан в сотнях статьях и учебниках, расписывать тут не имеет смысла.
Цитата:
Что будет, если старый контроллер сделать рядовым сервером (удалить роль контроллера домена rec.admlr.loc)? Все разрешения исчезнут и доступ пропадёт?
Не понятно взаимоотношение двух доменов rec.loc и admlr.loc. Учитывая что это разные домены, похоже вы настроили доверие, а следовательно если погасите admlr.loc NTSF разрешения не будет отрабатываться в домене rec.loc, куда ж ему обращаться за проверкой логина и пароля то!?
Цитата:
Подскажите, как правильно поступить? Что сделать, чтобы было возможно не потерять права на каталоги?
Поднимаем второй контроллер домена в лесу admlr.loc и передаём ему все права и DNS в том числе. Далее понижается основной контроллер домена до рядового. Проверяется на корректность передачи ролей и т.п.
anton04
Спасибо добрый человек!
Про правила знаю (первый раз меня тыкнули носом), но тут человеку помогли, а я решил ещё разок напомнить о проблеме.
Извиняйте, если что не так!
Цитата:
Никакого взаимоотношения нет. Доверия нет.
Для админов admlr.loc мы были пятым колесом (т.е. наш поддомен rec.admlr.loc, когда-то давно созданный). Они покоцали все поддомены, чтобы переложить нагрузку на подразделения (у кого стали свои домены, а кто перешёл в рабочие группы), а мы были последним бастионом. Но вот и он рухнул.
Цитата:
Так вот если с admlr.loc не возможно ничего делать (не дадут, пошлют просто, т.к. это головное подразделение и отношения у нас натянутые), то без установки доверительных отношений нельзя никак права к папкам на нашем контроллере (он же и файл-сервер) сохранить?
Ведь в настройках безопасности каталогов идут такие строки - REC\user.
Домен rec.loc создавали с надеждой, что будет совпадать доменная часть REC.
Сейчас пользователи, созданные "с нуля" (со всеми настройками и паролями) на новом контроллере (rec.loc) могут работать с теми же каталогами, что и существующие учётки старого контроллера (rec.admlr.loc). Но вот если не будет старого контроллера, то в параметрах безопасности каталогов останутся только длинные номера SID.
Думал уже и о копировании всех каталогов через TotalCommander с галкой "Скопировать права доступа NTFS" для создания такой же структуры на другом сервере, но не знаю, поможет ли это...
И ещё раз спасибо!
Спасибо добрый человек!
Про правила знаю (первый раз меня тыкнули носом
), но тут человеку помогли, а я решил ещё разок напомнить о проблеме. Извиняйте, если что не так!
Цитата:
Не понятно взаимоотношение двух доменов rec.loc и admlr.loc. Учитывая что это разные домены, похоже вы настроили доверие
Никакого взаимоотношения нет. Доверия нет.
Для админов admlr.loc мы были пятым колесом (т.е. наш поддомен rec.admlr.loc, когда-то давно созданный). Они покоцали все поддомены, чтобы переложить нагрузку на подразделения (у кого стали свои домены, а кто перешёл в рабочие группы), а мы были последним бастионом. Но вот и он рухнул.
Цитата:
Поднимаем второй контроллер домена в лесу admlr.loc и передаём ему все права и DNS в том числе. Далее понижается основной контроллер домена до рядового. Проверяется на корректность передачи ролей и т.п.
Так вот если с admlr.loc не возможно ничего делать (не дадут, пошлют просто, т.к. это головное подразделение и отношения у нас натянутые), то без установки доверительных отношений нельзя никак права к папкам на нашем контроллере (он же и файл-сервер) сохранить?
Ведь в настройках безопасности каталогов идут такие строки - REC\user.
Домен rec.loc создавали с надеждой, что будет совпадать доменная часть REC.
Сейчас пользователи, созданные "с нуля" (со всеми настройками и паролями) на новом контроллере (rec.loc) могут работать с теми же каталогами, что и существующие учётки старого контроллера (rec.admlr.loc). Но вот если не будет старого контроллера, то в параметрах безопасности каталогов останутся только длинные номера SID.
Думал уже и о копировании всех каталогов через TotalCommander с галкой "Скопировать права доступа NTFS" для создания такой же структуры на другом сервере, но не знаю, поможет ли это...
И ещё раз спасибо!
Sauron_zombie
Цитата:
Если вы хотите обратится к кому то лично, то пишите в ПМ, т.к. правила общие для всех и то что Вам очень надо не повод их нарушать, а по получается как наглые водилы в России "ну коли мне очень надо то можно". Просто срабатывает негатив и отвечать на таким людям ну просто не тянет.
А теперь по делу:
Цитата:
Ну тогда делайте захват всех ролей и всё.
Цитата:
бред... т.к. предыдущий домен admlr и причём здесь поддомен rec непонятно, ведать мало почитали теории по названию доменов, обратитесь повторно к соответствующей литературе...
Цитата:
Это всё потому что в этом случае у Вас логин и пароль ходит в открытом виде. Такое делается, но далеко как не приветствуется.
Цитата:
Да всё верно.
Цитата:
Поможет от чего? Ну скопирует он права NTFS, а имена пользователей система видит как SID, а SID привязан к домену, не будет домена ник-то ничего не увидит.
Ещё раз рекомендую сделать захват ролей и не городить огород. Если хотите новый (независимый) admlr домен, то делаете новой и туда передаёте все роли, а старый КД понижаете до рядового.
Если хотите совсем новое название домена то, опять же, поднимается второй КД в admlr перебрасываете ему роли и всё такое, гасите старый и потом переименовываете текущий и то что хотите (где у MS была соответствующая утилита для переименования домена, думаю найдёте).
Цитата:
Про правила знаю (первый раз меня тыкнули носом ), но тут человеку помогли, а я решил ещё разок напомнить о проблеме.
Если вы хотите обратится к кому то лично, то пишите в ПМ, т.к. правила общие для всех и то что Вам очень надо не повод их нарушать, а по получается как наглые водилы в России "ну коли мне очень надо то можно". Просто срабатывает негатив и отвечать на таким людям ну просто не тянет.
А теперь по делу:
Цитата:
Никакого взаимоотношения нет. Доверия нет.
Ну тогда делайте захват всех ролей и всё.
Цитата:
Домен rec.loc создавали с надеждой, что будет совпадать доменная часть REC.
бред... т.к. предыдущий домен admlr и причём здесь поддомен rec непонятно, ведать мало почитали теории по названию доменов, обратитесь повторно к соответствующей литературе...
Цитата:
на новом контроллере (rec.loc) могут работать с теми же каталогами, что и существующие учётки старого контроллера (rec.admlr.loc).
Это всё потому что в этом случае у Вас логин и пароль ходит в открытом виде. Такое делается, но далеко как не приветствуется.
Цитата:
Но вот если не будет старого контроллера, то в параметрах безопасности каталогов останутся только длинные номера SID.
Да всё верно.
Цитата:
Думал уже и о копировании всех каталогов через TotalCommander с галкой "Скопировать права доступа NTFS" для создания такой же структуры на другом сервере, но не знаю, поможет ли это...
Поможет от чего? Ну скопирует он права NTFS, а имена пользователей система видит как SID, а SID привязан к домену, не будет домена ник-то ничего не увидит.
Ещё раз рекомендую сделать захват ролей и не городить огород. Если хотите новый (независимый) admlr домен, то делаете новой и туда передаёте все роли, а старый КД понижаете до рядового.
Если хотите совсем новое название домена то, опять же, поднимается второй КД в admlr перебрасываете ему роли и всё такое, гасите старый и потом переименовываете текущий и то что хотите (где у MS была соответствующая утилита для переименования домена, думаю найдёте).
anton04
Цитата:
Всё так.
Цитата:
Так я и спрашиваю, могу ли я на контроллере поддомена rec.admlr.loc захватить роли? Ведь он является хозяином только RID, PDC, Инфраструктуры. Остальными ролями FSMO является контроллер родительского домена.
К основному домену admlr.loc у меня нет и не будет никакой возможности подключиться, чтобы что-то там сделать. Да и связи теперь между ними нет (физически). А пользователи есть и права на каталоги для групп (OU) есть.
С новым контроллером домена (rec.loc) не удаётся установить доверие со старого (rec.admlr.loc), т.к. он является всего лишь часть большого домена admlr.loc.
Цитата:
мало почитали теории по названию доменов
Всё так.
Цитата:
Ещё раз рекомендую сделать захват ролей и не городить огород. Если хотите новый (независимый) admlr домен, то делаете новой и туда передаёте все роли, а старый КД понижаете до рядового.
Так я и спрашиваю, могу ли я на контроллере поддомена rec.admlr.loc захватить роли? Ведь он является хозяином только RID, PDC, Инфраструктуры. Остальными ролями FSMO является контроллер родительского домена.
К основному домену admlr.loc у меня нет и не будет никакой возможности подключиться, чтобы что-то там сделать. Да и связи теперь между ними нет (физически). А пользователи есть и права на каталоги для групп (OU) есть.
С новым контроллером домена (rec.loc) не удаётся установить доверие со старого (rec.admlr.loc), т.к. он является всего лишь часть большого домена admlr.loc.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546
Предыдущая тема: Как отключить удаление профиля при выходе
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.