» Общие вопросы про AD (Active Directory) - часть II

attaattaatta

Цитата:

Если все сделаете правильно то никаких

Как понимаю, прямо вот брать, руками и править? Т.е. заменить везде на нужное, а ненужную зону прямого просмотра от старого домена -> просто удалить?

Подскажите, пожалуйста, все верно?

anton04

Цитата:

И вообще юзеры локальные администраторы в домене это полный бред...

Это будет не юзерская учетка, а для тех поддержки, для установки СПО.


Цитата:

Вопрос из изряда как ограничить администратора если он администратор!? Ответ: никак.
Для этого он и администратор!

По поводу этого думал так:
1) Есть доменная группа, которая ГП-й добавляется в локальных админов на все машины
2) Дальше другой ГП у этой группы режутся права на изменение локальных гупп. (вот это и не знаю есть ли где-нибудь)

PS: Если так не получится, то подскажите пожалуйста кто нибудь, как сделать так чтоб эта группа имела все админские права кроме редактирования локальных групп.

Elektron4ek

Цитата:

PS: Если так не получится, то подскажите пожалуйста кто нибудь, как сделать так чтоб эта группа имела все админские права кроме редактирования локальных групп.

Я же уже ответил,
Цитата:

В групповых политиках есть "группы с ограниченным доступом", читайте, ничего сложного в них нету.

attaattaatta


Цитата:

"группы с ограниченным доступом"

Несмотря на свое название, эта политика не ограничивает доступ, а позволяет добавить доменных пользователей в локальные группы безопасности.

Группа уже добавлена в ЛокАдм. Как чуть чуть обрезать ей права???

Elektron4ek
Вы на контроллере домена задаете членство в этих группах. Соответственно вы сами контроллируете членство в них.

attaattaatta

Цитата:

Вы на контроллере домена задаете членство в этих группах. Соответственно вы сами контроллируете членство в них.

Это понятно, что я контролирую членство в группах. С этим нет проблем. Вопрос вот в чем: можно ли ограничить права на редактирование группы "Администраторы" группе (доменной), которая сама входит в "Администраторы".

attaattaatta


Цитата:

Ну тут вы явно поторопились с выводами

Это не вывод это априори, админ должен отвечать за тачки и установленный на них софт и точка.


Цитата:

я разрабам и тестерам, да и много кому даю локального админа без всяких проблем.

У Вас проблем может и нет, но это не значит что у других их не будет.


Цитата:

Они сами могут присмотреть за своими машинами и головной боли не доставляют.

Концепция в корне не верна, спорить не буду, т.к. бесполезно, время всех рассудит.

debugru


Цитата:

Как понимаю, прямо вот брать, руками и править? Т.е. заменить везде на нужное, а ненужную зону прямого просмотра от старого домена -> просто удалить?

Подскажите, пожалуйста, все верно?

Да.

Elektron4ek


Цитата:

Вопрос вот в чем: можно ли ограничить права на редактирование группы "Администраторы" группе (доменной), которая сама входит в "Администраторы".

Вам уже сказали, что нет, ограничить администратора нельзя, т.е. конечно можно, но это уже будет не администратор тогда он уже ничем не будет отличатся от других пользовательских групп windows.

Есть сеть с контролером домена на Windows Server 2008. И ряд локальных машин на XP и Windows 7.

И есть нужда зайти на локальные машины через RDP локальным администратором. На ХР это без проблем. На Win 7, пока комп в домене, это не получается. Сообщается, что не хватает прав (это администратору!!!)

Беда в том, что зайти в комп. можно только удаленно (он в другом городе)

Задача --вывести комп. из домена. Пробовал netdom, сообщает, что не удалось восстановить доверительные отношения

Господа, помогите, пожалуйста, разобраться с DNS..
Домен был переименован, остались записи DNS как для старого домена, так и для нового (корректные ли, вот в чем вопрос?). При команде nslookup с рабочей станции, получаем, что рабочая станция "видит" старый домен..

C:\Users\qwerty>nslookup
╤хЁтхЁ яю єьюыўрэш■: lenin.dc1.ru
Address: 192.168.20.2

имя же нового домена: lenin.dc2.ru


Что имеем, зайдя в оснастку DNS на контроллере домена:



А так же, постоянные ошибки в логах:

DNS-сервер обнаружил пакет, адресованный самому себе - IP-адрес 192.168.20.2. Этот пакет предназначен для DNS-имени "_ldap._tcp.pdc._msdcs.dc2.ru.".Пакет будет удален. Это говорит об ошибках настройки DNS-cервера.

Какой информации/логов не хватает, говорите, оперативно предоставлю..

Кто разбирается и кому не лень, подскажите чайнику, что и как (огромная просьба, подробно) править.. погибаю..

Заранее всем огромное человеческое спасибо.

Доброго дня!
W3K - сервер
Проблема в том что при открытии списка пользователей в AD Users and Computers появляется ошибка:

data from Musers is not available from domain имя_домена controller


Подскажите, какие файлы относятся к AD?
И можно ли их простым копированием из backup-а системного диска вернуть на прежнее место?

highlander9

Используйте - http://support.microsoft.com/kb/258062

Здравствуйте,
Есть AD на W2008
Имеем пользователя "User"
Имеем админа AD

Вопрос, есть ли возможность открыть сессию как пользователь "User" если я не знаю его пасс? Или есть ли возможность поменять временно пасс пользователя и потом его востановить?

Спасибо

Если сессия пользователя активна то можно воспользоваться командой shadow <номер сеанса>. Но этой команды уже нету в 2012 ((

attaattaatta
Сессия не активна, открыть сессию нужно на локальном компе

Спасибо за ответ

cabron666

В таком случае только смена пароля или брут хэша

cabron666
attaattaatta
Если очень надо, то есть такая штука, как Store passwords using reversible encryption и тулза для восстановления паролей RevDump.
Сам никогда не юзал. Рекомендую все манипуляции проводить на склонированном КД.

Привет.
В компании где я работаю имеется мультидоменная AD, в доменах по несколько сайтов. В одном из сайтов я админом . В моем сайте есть только один домен контроллер с Global Catalog. Поднял для апликейшина сервак на Windows Server 2012 Std. Этот сервак должны юзать пользователи из всех доменов. С юзерами моего домена все ок. Но вот с юзерами из других доменов - беда. Они не авторизуются в апликейшине, на фаерволе я вижу что апликейшин сервак ломится по LDAP-порту на DC того домена из которого юзер. И похоже фаервол с той стороны этот запрос дропает. Дальше,- пытаюсь расшарить папочку для юзера из другого домена - выбираю удаленный домен ищу в нем юзеров - не вижу юзеров. Вижу на фаерволле LDAP запросы на DC другого домена. По поводу репликаций - старший сисадмин (он в другом сайте в другой стране) сказал все ок. Вопрос - почему апликейшин сервак ломится на чужой DC? У нас же есть свой с Global Catalog или я чего-то не понимаю или в Global Catalog хранится информация только о моем домене?

[more] Доброго времени суток.
Ребят такая проблема возникла. Прихожу сегодня на работу, а лог мне выдает.

Система:
[more]
"Ошибка при обработке групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временным явлением. Будет создано сообщение об успехе после того, как компьютер удастся подключить к контроллеру домена и групповая политика будет обработана успешно."
[/more]

ДНС:

[more]
DNS-серверу не удалось открыть зону 101.1ХХ.192.in-addr.arpa в Active Directory. Этот DNS-сервер настроен для получения и использования данных из каталога для указанной зоны и без них не может загрузить зону. Проверьте, нормально ли работает Active Directory, и перезагрузите зону. Данными о событии является код ошибки.
101.1ХХ.192.in-addr.arpa (Зона обратного просмотра в ДНСе).
[/more]

АД:

[more]
Доменным службам Active Directory не удается подключиться к глобальному каталогу.

Дополнительные данные
Значение ошибки:
1355 Указанный домен не существует или к нему невозможно подключиться.
Внутренний идентификатор:
3200e25

Действие пользователя:
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.
[/more]

И ппц короч. по сетке ниче не пашет, работа встала.
При запуске службы АД пишет:
Указанный домен не существует или к нему невозможно подключиться.

ДНС работает, плюсом перезапускал в ручную.

ipconfig all на серве

[more]
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : srv-subd
Основной DNS-суффикс . . . . . . : uххs.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : uххs.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Гигабитное сетевое подключение Intel(R) 8
2566DC-2
Физический адрес. . . . . . . . . : 00-1C-C0-0D-AC-E5
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.ххх.ххх.10(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.ххх.ххх.9
DNS-серверы. . . . . . . . . . . : 192.ххх.ххх.10
NetBios через TCP/IP. . . . . . . . : Включен

[/more]

ipconfig all на клиенте

[more]

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : kontur
Основной DNS-суффикс . . . . . . : uххs.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : uххs.local

Ethernet adapter uххs:

DNS-суффикс подключения . . . . . : uххs.local
Описание. . . . . . . . . . . . . : Контроллер Atheros AR8121/AR8113/AR8114 P
CI-E Ethernet (NDIS6.20)
Физический адрес. . . . . . . . . : 00-26-00-00-CE-AB
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.ххх.ххх.33(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 13 июня 2013 г. 7:43:05
Срок аренды истекает. . . . . . . . . . : 7 июля 2013 г. 7:42:50
Основной шлюз. . . . . . . . . : 192.ххх.ххх.9
DHCP-сервер. . . . . . . . . . . : 192.ххх.ххх.10
DNS-серверы. . . . . . . . . . . : 192.ххх.ххх.10
192.ххх.ххх.9
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.uххs.local:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : uххs.local
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-00
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер 6TO4 Adapter:

DNS-суффикс подключения . . . . . : uххs.local
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-00
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:c064:6ХХ1::cХХ4:6421(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6ХХ1::cХХ8:6301
DNS-серверы. . . . . . . . . . . : 192.ххх.ххх.10
192.ххх.ххх.9
NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

[/more]

"КСТАТИИИИИИИИИИИИИИ"
Teredo Tunneling Pseudo-Interface - в диспечере грит что Невозможно запустить устройство. Было так или же как раз сегодня стало - хз

nslookup с клиента
&#9572;хЁтхЁ: srv-subd.uххs.local
Address: 192.ххх.ххх.10

&#9562;ь : srv-subd.uххs.local
Address: 192.ххх.ххх.10

nslookup с серва

&#9572;хЁтхЁ: srv-subd.uххs.local
Address: 192.ххх.ххх.10

&#9562;ь : srv-subd.uххs.local
Address: 192.ххх.ххх.10


dcdiag /fix

[more]

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = srv-subd
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site\SRV-SUBD
Запуск проверки: Connectivity
......................... SRV-SUBD - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site\SRV-SUBD
Запуск проверки: Advertising
Неустранимая ошибка: сбой при вызове DsGetDcName (SRV-SUBD), ошибка
1355
Локатору не удается найти сервер.
......................... SRV-SUBD - не пройдена проверка Advertising
Запуск проверки: FrsEvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... SRV-SUBD - не пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... SRV-SUBD - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... SRV-SUBD - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... SRV-SUBD - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... SRV-SUBD - пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... SRV-SUBD - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... SRV-SUBD - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
Не удается подключиться к общему ресурсу NETLOGON.
(\\SRV-SUBD\netlogon)
[SRV-SUBD] Сбой операции net use или LsaPolicy с ошибкой 67,
Не найдено сетевое имя..
......................... SRV-SUBD - не пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... SRV-SUBD - пройдена проверка
ObjectsReplicated
Запуск проверки: Replications
......................... SRV-SUBD - пройдена проверка Replications
Запуск проверки: RidManager
......................... SRV-SUBD - пройдена проверка RidManager
Запуск проверки: Services
......................... SRV-SUBD - пройдена проверка Services
Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0xC00038D6
Время создания: 06/13/2013 17:47:05
Строка события:
Службе пространства имен не удалось инициализировать сведения о дове
рительных отношениях между лесами на этом контроллере домена; она будет периодич
ески повторять выполнение операции. Код возврата находится в данных.
......................... SRV-SUBD - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... SRV-SUBD - пройдена проверка
VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: untecoms
Запуск проверки: CheckSDRefDom
......................... untecoms - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... uххs - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: uххs.local
Запуск проверки: LocatorCheck
Внимание! Сбой при вызове функции DcGetDcName(GC_SERVER_REQUIRED),
ошибка 1355
Не удается найти сервер глобального каталога - все глобальные каталоги
отключены.
Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка
1355
Не удается найти сервер времени.
Сервер, которому принадлежит роль PDC, отключен.

[/more]

Воооообщем, даже не знаю с чего начать)))
Нет знаю. Начну с того что мне 20 лет и эт моя первый такой вот безумнейший трабл(на мой взгляд, на ваш может и анекдот).
Юзанье всех ошибок по тырнету ниче не дало, то реестр почистить от того, чего в нем не существует, то АД пересобрать - а вот тут я уже начиная сомневаться в прямоте своих рук и лишних движений в сторону пересборки не делаю.
Серв W2k8r2
Молю милейших папанек руборда потыкать пальчиком в сторону моего @$%&@!тва))))
Заранее благодарю.

dnscmd /enumezones

Список перечисленных зон:
Счетчик зоны = 4

Имя зоны Тип Хранилище Свойства

. Cache AD-Domain
100.1хх.192.in-addr.arpa Primary AD-Forest Update Rev
TrustAnchors Primary AD-Forest
uххs.local Primary AD-Domain Secure


Команда успешно завершена. [/more]

Himchik

Что бросается сразу в глаза это отличие DNS и ipconfig all

Смотрим почему у нас разные IP

Himchik
Намучились наверное крестики в частной подсети проставлять =) Читать логи с этими крестиками никому не нужными крайне неудобно. Никого не волнует ваша частная внутренняя сеть, поверьте. Как anton04 что-то смог разглядеть, поражаюсь. Уберите эту ахинею и выложите нормальные логи. nslookup <имя_домена> c клиента. tracert -d <контроллер_домена>. route print c сервера и клиента.

Добавлено:
alexsht

А логи хотя бы попыток авторизации есть ? Админ фаера/оф м/у доменами вы ?

FL0od13

Спасибо. Не допер сразу =)

Вопрос такой.
Я переношу старое хозяйство на AD win 2012. Есть Novell.
Как временное решение я поставил на server 2012 Novell клиент.
Сервер видит диски Novell.
Как "раздать" теперь доступ к определенным папкам Novell на клиентские станции, не используя там Novell client?
То есть надо чтобы шаринг исходил от AD и GPO.
Как лучше это сделать?

Здравствуйте.
Подскажите как посмотреть время последнего входа для конкретной учетной записи в ad?

Windows 2008 r2

Raz0rnsk
net user "username"

Есть поддомен rec.admlr.loc
Связь с корневыми контроллерами безнадёжно потеряна. Tombstone lifetime давным-давно превышен. Всё померло. Репликаций нет и не будет.
Из ролей FSMO есть только: Infrastructure master, PDC emulator, RID master.
Роли Domain naming master и Schema master на недоступных теперь серверах.
Прав Enterprise Admins нет, только Domain Admins.
Через ntdsutil не даёт и не даст захватить роль.

Что-то можно сделать в этой ситуации? Или для дочерних доменов это безоговорочный капут?

Добрый день.

Есть Win2003 SBS sp1 являющийся контроллером домена.
Добавляю в сеть второй контроллер домена на win2008 r2 sp1 st

Делаю как расказанно здесь http://technet.microsoft.com/en-us/library/cc708131(v=ws.10).aspx

Обкатал на виртуалках, все ок.
На физической машине с Win2003 SBS sp1 пытаюсь сделать e:\sources\adprep\adprep32.exe /forestprep - отказанно в доступе.

Что то меня заклинило, в журналах ничего.
Права у пользователя - доменный админ, энтерпрайз админ, shema админ, (делал тем же пользователем что и на виртуалке)

Куда можно посмотреть?

zubastiy 1 - версии винды обе английские или обе русские (MUI не считается, что русская винда)?
2 - возможно нужно добавить учетке админа еще и права делегирования
http://support.microsoft.com/kb/232070/en-us
текст ошибки желательно приводить полностью с кодом ошибки из event лога

AD Windows 2012, клик правой кнопкой по учетной записи и выбираем Смена пароля. Вопрос: можно как-то сделать, чтобы в этом окне смены пароля по дефолту была снята галочка напротив Требовать смены пароля при следующем входе в систему? Не путать с аналогичной галочкой в профиле юзера, она там не стоит, но если менять пароль через АД, то в окне смена пароля эта галочка включена по дефолту и надоело ее вручную каждый раз снимать.

Поскажите, возможно ли одноразово применить скрипт к куче компов в домене без создания подразделения в AD и запихивания скрипта в gpo? То есть я включу компы, выберу нужные и скрипт тут же выполнится на них. Некоторые утилиты, например shutdown.exe позволяют указать удалённый комп, но может есть какое-то универсальное средство для отсылания и выпонения различных скриптов?

Sphinx114
для этого есть утилита RemoteExec ... погугли ее.

Sphinx114 или в скрипте прописать if /i %computername%==computer001 и т.д., или пользоваться ps tools - они умеют читать список компов из файла.