» Общие вопросы про AD (Active Directory) - часть II

Прошу помощи в одном вопросе. Разворачиваю в конторе домен АД. Доменный сервак с Win Server 2012. Столкнулся с такой ситуацией, что на некоторых компьютерах стоит дата на сутки вперед от текущей. Менять дату на компах ни в коем случае нельзя, т.к. это нужно для специфичных самопальных программ, заточенных для работы офиса. Когда пытаюсь вводить такие компы в домен, на стадии логина вываливается ошибка: "Текущее время на этом компьютере и текущее время в сети отличаются друг от друга...". Выяснил, что деело в Kerberos. На домене залез в Групповые политики и поставил в настройках Kerberos "максимальная погрешность синхронизации часов компьютера" значение 3000 минут. Залогиниться под доменный юзером получилось, но оказалось, что сервак просто поправил на компе дату под свою. Тогда на юзерской тачке я отключил службу времени, чтобы её никто не шатал... И снова оказался у разбитого корыта. При попытке залогиниться пишет: Текущее время на этом компьютере и текущее время в сети отличаются".

Как мне отучить доменный сервак ругаться на время и пропускать машины с произвольной датой? На угрозу безопасности пофиг, а вот тачки в домен ввести начальство требует хоть тресни.

Ребята, выручайте! Начальство только что отымело без вазелина за то, что в домен людей еще не ввел.

zulubaba
если время сдвинуто, в домен не ввдешь, если настроишь время и введешь, все равно станции будут синхонизировать время с контроллером.


Цитата:

Как мне отучить доменный сервак ругаться на время и пропускать машины с произвольной датой?

никак.

Добавлено:
выход есть только не вводить машины с кривым временем в домен.

golychev, Yaromaxx
Спасибо, кажется PsExec из пакета PSTools то что надо, к тому же бесплатна.

Уважаемые! Какой политикой можно разрешить пользователю с обычными правами изменять свой IP-адрес?

65536
Добавить в группу "Операторы сети" с пом. "Групп ограниченного доступа" через GPO

Есть два офиса офис01(192.168.0.0/24) DC1(главный) все роли у него и офис02(192.168.5.0/24) DC2 второй в лесу. Сети друг-друга видят и DC1 восстановили из бекапа после чего репликация прекратилась и после попытки вернуть его в строй он окончательно отказался работать не открывает ни DNS ни AD вообщем полная ж...
Вопрос: Могу ли я переустановить с нуля DC1 и ввести его в состав домена когда все данные остались на второстепенном DC2?

to DJs3000
принудительный захват фсмо ролей на дс2, очистка ад от всех записей касаемо дс1, подъем с нуля дс1, вводего в домен, подем на нем необходимых ролей, по необходимости передача фсмо ролей с дс2 на дс1... насчет последовательности первых двух пунктов неуверен, нужно уточнить.

Цитата:

DC1 восстановили из бекапа

Вообще, если заниматься подобными извращениями, то нужно было подумать заранее и запретить dc менять свои пароли в ad. Тогда он просто поднялся бы, реплицировал свежие изменения, и продолжил работать.
По процедуре ввода в домен Alex MANIAC все верно написал.

уважаемые коллеги, проконсультируйте по одному вопросу:
поставил дополнительный (3-й) контроллер домена (один потом уберу)
роль включил, настроил дополнительным (все машины 2003)
мастер мне НЕ предложил поднять роль DNS на этой машине, теперь, когда начал ставить роль DNS он мне задает кучу вопросов, как при установке с нуля DNS сервера, вроде всегда после установки AD DNS настраивалась логическим путем, все вопросы были очевидны, а тут я запутался, вроде для дополнительного не должна быть конфигурация с нуля?
При наличии AD DNS должен быть соответствующим образом и он критически важен для работы AD. Подскажите, как сейчас поднять роль DNS и правильно ее настроить, с учетом того, что это не новый сервер а дополнительный

сам и отвечу
нашел проблему с репликацией доменов, причем это логи на другой машине, а не новой, после решения проблемы с репликацией все настройки DNS подтянулись сами

удачи

Появилась задачка слить один из доменов.
В офисе имеется SOME-DOMAIN, в филиале - ANOTHER-DOMAIN.
Между собой домены никак не связаны, но локалки друг друга знают через туннели.
В филиал поставил север, ввел его в офисный SOME-DOMAIN,
продвинул до контроллера домена.
Как теперь с наименьшим геморроем, но с сохранением имеющихся профилей,
вывести все компы и всех юзверей из ANOTHER-DOMAIN и влить в SOME-DOMAIN?

Думаю такое возможно, имеется домен, на этом же компе расшарены папки, как сделать так что б пользователи домена не могли видеть папку в общем доступе , но она была б расшарена. Просто сделать её невидимой, не меняя имени папки, просто скрыть от пользователей её.

vlary Такая же задача предстоит, переселить тачки в другой домен. есть спец утилиты scanstate и loadstate в составе USMT ( User State Migration Tool - Средство миграции пользовательской среды ), ими все делается.
Почитать что переносит можно здесь
http://technet.microsoft.com/ru-ru/magazine/jj127984.aspx
http://technet.microsoft.com/ru-ru/library/dd560801%28v=ws.10%29.aspx
Могу дать параметры строк запуска, но завтра. Хотя в доках они есть.
Но слабой тачке и пустой тачке с WIN XP процесс создания состояния занимал часа полтора. На моей реальной win7 64 бит - полчаса ( гигов 7 насобирал), зависит от количества данных.
Отдельно USMT 4.0 не нашли, пришлось качнуть Windows AIK для Windows 7, на 1.2 гига. Оно входит в его состав.
Оригинальный USMT 4.0 не переносит офис 2010, нужен патч апдэйт
в статье http://technet.microsoft.com/ru-ru/magazine/jj127984.aspx
про это написано и ссылка есть на апдэйт
Сам AIK :
http://download.microsoft.com/download/9/1/5/9153E40C-13C0-4A12-AB5A-7EB950ED9D6A/KB3AIK_RU.iso
Может уже свежее есть, сразу с этим патчем, сам пошукай.
Для WIN XP на полигоне вроде парни гоняли USMT 3.01
На XP всё прошло гладко, вроде даже аутлук экспресс мигрировал нормально.
На WIN 7 до конца еще не проверили, виртуалок нет и подходящей машины с процом 64 бит нету. А на своей не хочется экспериментировать да и времени нету.
P.S.
Этот AIK не нужно ставить на каждую машину, достаточно поставить на одной и взять оттуда каталог USMT, с подкаталогами amd64 и x86 и перегнать на другие тачки. Делали под локальным админом.



Добавлено:
77599073587 Это возможно. Курить маны на тему Access-Based Enumeration.
http://www.netdocs.ru/articles/Implementing-Access-Based-Enumeration-Windows-Server-2003.html
Нужен W2K3 R2 или W2K3 без R2 с SP1.
В W2K8 уже встроен в Share and Storage Management
http://technet.microsoft.com/ru-ru/library/dd772681%28v=ws.10%29.aspx

vlary
1. Заходим локальным админом
2. Запускаем утилиту scanstate, выбираем утиль по разрядности системы)
scanstate C:\Migration\имя_юзера /i:miguser.xml /i:migapp.xml /v:13 /targetxp /ue:*\* /ui:старыйдомен\имя_юзера /l:C:\Migration\scan.log /c - Windows XP

scanstate C:\Migration\имя_юзера /i:miguser.xml /i:migapp.xml /v:13 /ue:*\* /ui:старыйдомен\имя_юзера /l:C:\Migration\scan.log /c - Windows 7

3. Ждем завершения, проверяем путь, куда профиль должен упасть. Смотрим размер профиля и наличие места на HDD.

4. Селим тачку в новый домен. Логинимся в новый домен юзером. Выходим, логинимся локальным админом.

5. Запускаем утилиту loadstate

loadstate C:\Migration\имя_юзера /i:miguser.xml /i:migapp.xml /v:13 /mu:старыйдомен\имя_юзера:новыйдоменr\имя_юзера /l:C:\Storeload.log /c

6. После завершения, логинимся в домен, проверяем все настройки.

Windows server 2008 r2, пытаюсь установить в групповых политиках настройку автоматического обновления поьзователям домена, при установке какого то значения например выбрал 3)авт. загрузка и уведомление об установке , и задал время, при нажатии применить вылазит такое сообщение

Необрабатываемое исключение в компоненте приложения.При нажатии Продолжить приложение проигнорирует ошибку и попытается продолжить работу.


Отказано в доступе. (Исключение из HRESULT 0x80070005(E_ACCESSDENIED))

Подробная информация об использовании оперативной
(JIT) отладки вместо данного диалогового
окна содержится в конце этого сообщения.

************** Текст исключения **************
System.UnauthorizedAccessException: Отказано в доступе. (Исключение из HRESULT: 0x80070005 (E_ACCESSDENIED))
в Microsoft.GroupPolicy.AdmTmplEditor.IGPMAdmTmplEditorCallback.ApplyChanges()
в Microsoft.GroupPolicy.AdmTmplEditor.Editor.SaveChanges()
в Microsoft.GroupPolicy.AdmTmplEditor.Editor.buttonApply_Click(Object sender, EventArgs e)
в System.Windows.Forms.Control.OnClick(EventArgs e)
в System.Windows.Forms.Button.OnMouseUp(MouseEventArgs mevent)
в System.Windows.Forms.Control.WmMouseUp(Message& m, MouseButtons button, Int32 clicks)
в System.Windows.Forms.Control.WndProc(Message& m)
в System.Windows.Forms.ButtonBase.WndProc(Message& m)
в System.Windows.Forms.Button.WndProc(Message& m)
в System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
в System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)



Не подскажите что это такое, политика создана новая и закинул её в одно из подразделений.

Друзья подскажите:
Есть домен с тремя DC разнесёнными в разных сетях по сайтам. Один 2008r2 и два 2003r2.
В 2008ом в политиках домена включаю настройки обновления на WSUS стоящий на 2008ом сервере. В итоге эти политики приминяются только в той сети где стоит 2008r2, в две другие сети с 2003ими серверами у клиентов настройки не приходят. Куда копать?

ipmanyak
Цитата:

Отдельно USMT 4.0 не нашли, пришлось качнуть Windows AIK  для Windows 7, на 1.2 гига. Оно входит в его состав.

Это точно. 3.0.1 есть, а 4.0 - нету.
Нашел на просторах интернета, возможно, кому пригодится:
http://www.wintools.com.au/download_usmt4.php

Рано обрадовался, там пакеты для AMD и x86, а для x64 что-то не видно...
Есть ли в AIK USMT для 64 битных систем? И если есть, не мог ли кто-нибудь поделиться?

хм вообщем пробую все службы на серваке DNS,NAT,TELNET,DHCP повключал посмотрел как работет , про Нат попспрашивал разобрался

теперь ад
AD поставил ,создал 2 учётки на серваке ,2 компа ввёл их домен , зашёл на удалённый комп под логином и паролем который создал на серваке , тут всё понятно,

ээм
непонятно как привязаться ,чтобы определённой учётке соответствовал определённый комп, сейчас на 2 компа можно под любой учёткой зайти или первой или по второй , чую там что-то с вкладкой "Члены групп " нада крутить ....

и последний как я понимаю учётки скорее из себя представляют вход в домен с удалённых компьютеров,
перезагрузил комп к примеру там выскочит сообщение ctrl+alt+delete ,
логин ,пароль , и "вход в:" если в домен то учётками , а если нет то можно просто зайти ничего не вводя . меня интересует в реальностe без доменная тоже блокируетса паролем или это ненужно , для безопасности достаточно доменных учёток?

alaskaman
На вкладке польльзователя ACCOUNT есть кнопка Log on to нажав ее можно задать список компьютеров на которые пользователь может логиниться

Прошу совета, где копать:
Ситуация - сеть 14 ПК, из которых 1 AD server - WS2008 R2 ENT, 1 сревер терминалов на WS2003 R2 ENT (под 1С), остальные WinXP sp3 PRO.
Пользователи входят в сеть под учетками, заведенными в AD.
На "терминальном" сервере есть шары, открытые для группы "Пользователи домена".
Появилась необходимость добавить разрешения на этих шарах для пользователей, не входящих в группу "пользователи домена".
При вызове настроек общего доступа, нажимаем "разрешения" - "добавить" - "размещение" и видим только локальный компьютер.
Т.е. проблема в том, что не видит структуру групп/пользователей AD. Ранее забитые разрешения на сетевые "пользователи домена" успешно функционируют. Вручную забить новых пользователей AD не получается (не прописываются пользователи типа asm\user123, user123@asm, user123@asm.local и т.д.)
При этом вполне нормально логинится под сетевой учеткой, ходит по шарам на других ПК по учетке AD.

Какие нужны логи, отчеты? Может в отдельную тему?

Задался вопросом о возможности поднять контроллер AD на рабочей станции.
Виртуалка - не годится, ввиду очевидных неудобств. Точнее - первичный контроллер - вполне можно посадить на виртуалку и периодически его поднимать. Но "постоянно действующий" контроллер - очень хочется запустить на одной из рабочих станций.
Варианты с поднятим реального сервера, я не рассматриваю по нескольким причинам:
1. Ситуация не позволяет поднять сервер, так как это принесёт больше проблем, чем решит (описывать проблемы не буду - это личное).
2. Если возникнет вопрос о поднятии контроллера на серверной ОС (не суть - виртуальной или реальной), то тут вопросы и заканчиваются - всё и так понятно и многократно пройдено

Абсолютно уверен, что тем поднималась неоднократно, но навскидку - не нашёл решений.

Такой вопрос.
Есть политика, которая действует только для раздела "Конфигурация компьютера".
Она применяется ко всем компам, подключенным к домену.
Среди многих параметров - адрес WSUS.

Как сделать, чтобы для одного ПК можно было применить другой адрес (другой WSUS-сервер потестить)?
Создал OU, группу безопасности, включил в неё этот комп.
Но, походу, корневая политика все настройки перебивает.
Подскажите, чёкак.

Sauron_zombie
Чёкак система-то? 2003, али старше чего?

urodliv

Блин, сорри. Хотел же написать про это, да забыл.

2008 R2 у меня.
Компьютер в default папке Computers.

Sauron_zombie
Для одной машины можно и без политики.
Ключики реестра-
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://ваш_WSUS"
"WUStatusServer"="http://ваш_WSUS"

А через политики-на вкладке "делегирование" дефолтной политики добавьте подопытную машину и по
кнопочке "дополнительно" настройте ей безопасность, запретив "чтение" или "применить политику".

Если машины в разных OU то используйте enforced (правой кнопкой мыши GPO-принудительный).

wwladimir
Про ключи знаю, но они сбрасываются через некоторое короткое время на значения из политики.
Enforced попробую.
Спасибо!

Доброго времени суток друзья.

Есть сервак, на нем подняты роли:
1) Служба удаленных раб.столов
2) Файловое хранилище

Естественно пачка локальных юзеров на сервере, юзеры по РДП конектятся на сервер под этими учетками. На сервере есть такая прога "СБис++ Налоговая отчетность" с полным набором сертификатов и т.д, настроена на конкретного пользователя "БУХА".
Мне надо поднять на этом серваке Domain Controller (AD, DNS,DHCP)

Так вот вопрос:
При поднятии роли AD, у меня все пользовательские учет.записи переедут в AD, я так понимаю. Сохранятся ли при этом у них настройки, (чтоб проги работали "СБис++, 1С и ...") или нет, и надо будет ручками все заново прописывать. А также смогут ли эти юзеры также по РДП конектится к серверу после поднятия АД.

izot0p

Локальные учетки это локальные, а АД учетки это АД учетки, т.е. придется все перенастраивать (ну или если не очень хочется все в ручами делать то GPO в помощь)


Цитата:

А также смогут ли эти юзеры также по РДП конектится к серверу после поднятия АД.

если добавишь новые учетки в группу пользователей удаленного рабочего стола


Добавлено:
И вообще я как понял используется один сервер и на нем будет развернута роль AD? если да то так не рекомендуется делать по соображениям безопасности.

yrkrus


Цитата:

Локальные учетки это локальные, а АД учетки это АД учетки, т.е. придется все перенастраивать (ну или если не очень хочется все в ручами делать то GPO в помощь)

Спасибо что разъяснили)
Просто я тестил на виртуалке, все те пользователи (локальные на сервере) при добавлении роли АД, перемещались в AD Users and Comp->domain.local->Users. Думал может настройки сохранятся)