» Общие вопросы про AD (Active Directory) - часть II

Ребят такой вопрос, возможно немого не в тему.
Имеется маршрутизатор D-Link DFL-1660 и Active Directory (Windows Server 2008 R2). На маршрутизаторе есть возможность авторизовать пользователей через LDAP, т.е. грубо говоря открывая браузер пользователь для того чтобы попасть в интернет должен ввести свои доменные логин/пароль. Всё замечательно работает, но есть пара неудобных моментов:
1) После прохождения авторизации в браузере пользователь полазив по страничкам не закрывая браузера переключается на другую задачу на довольно длительное время, например на час.. И потом разворачивая браузер необходимо опять проходить авторизацию. Такое поведение не удобно когда доступ к ПК имеет только один человек, например сотрудник организации.
2) После прохождения авторизации в браузере пользователь полазив по страничкам закрывает браузер, но при этом сессия остаётся как бы открытой. Т.е. другой пользователь открыв браузер на этом же ПК выходит в интернет под учётными данными предыдущего пользователя. Такое поведение не удобно когда ПК публичный (в частности библиотечный ПК).
Собственно вопрос:
В Active Directory есть ли какой либо таймаут сессии при такой авторизации?

PS. На форуме Dlink ответов нет.
PPS. Ради эксперимента авторизовался в браузере, вышел в интернет. Закрыл браузер, перезагрузил ПК, открываю браузер и открываю странички без какой либо авторизации, т.е. сессия активна.
Подскажите пожалуйста в какую сторону копать.

attaattaatta Спасибо за предыдущий ответ и ссылки, этот этап уже пройден.

DieMaN
Скорее всего по кукизам отслеживается. AD здесь ни при чем.
Цитата:

В Active Directory есть ли какой либо таймаут сессии при такой авторизации

Не разруливает AD никакие сессии. Наиболее близко стоит параметр "время жизни билета" в Kerberos, но это не то.
Там нет случаем авторизации не LDAP, а Windows?

DieMaN
Dlink уже и до AD добрались, быть беде =)
http://www.dlink.com/-/media/Business_Products/DFL/DFL%20860E/Manual/DFL%20860E_User%20Manual_EN_US.pdf

Цитата:

Connection Timeouts

An Authentication Rule can specify the following timeouts related to a user session:
• Idle Timeout
How long a connection is idle before being automatically terminated (1800 seconds by default).
• Session Timeout

The maximum time that a connection can exist (no value is specified by default).
If an authentication server is being used then the option to Use timeouts received from the
authentication server can be enabled to have these values set from the server.
Multiple Logins

An Authentication Rule can specify how multiple logins are handled where more than one user from
different source IP addresses try to login with the same username. The possible options are:

• Allow multiple logins so that more than one client can use the same username/password
combination.
• Allow only one login per username.
• Allow one login per username and logout an existing user with the same name if they have been
idle for a specific length of time when the new login occurs.

UPD Понятно что мануал по другому девайсу, но ОС у них одна. И да, разруливать надо на аппарате.

Paromshick Нет, есть только LDAP, Radius и Local, но attaattaatta кажется нашёл, что я так искал
attaattaatta Большущее спасибо, завтра попробую, хитрозапрятанные опции находятся на вкладке Restrictions куда я не заглядывал.

комрады, нужна помощь. АД досталась в наследство. Админ, настраивавший её, давно уволился, ещё задолго до меня. Проблема возникла при попытке назначить групповую политику для всех пользователей : в оснастке "Active Directory - пользователи и компьютеры" группа Users с всеми пользователями домена есть, а в оснастке "Управление групповой политикой" -- её нету, соответственно - не могу к ней применить политику. При попытке создать такую же группу выдаётся сообщение, что такая группа уже существует, хотя я её в упор не вижу.
http://i60.fastpic.ru/big/2015/1021/c7/a3a311fcb80c29b119bfe846cf89f4c7.png
http://i60.fastpic.ru/big/2015/1021/dd/7e4f1653b30219a6bfec215b129e3bdd.png

inomaratadeath
http://technet.microsoft.com/en-us/library/cc978249.aspx

"It is not possible to link a Group Policy object to a generic Active Directory container. (A generic Active Directory container is identifiable by its plain folder icon in the Active Directory Users and Computers console. The icon for an organizational unit is similar, except that a small book is superimposed on the folder.) However, users and computers in generic Active Directory containers do receive policy by inheritance from Group Policy objects linked at a higher level of Active Directory. For example, the Users and Computers containers you see in Active Directory Users and Computers cannot have Group Policy objects linked directly to them, but they do receive domain-linked Group Policy objects by means of inheritance."

Redirecting the users and computers containers in Active Directory domains
https://support.microsoft.com/en-us/kb/324949

гугловский переводчик вкратце мне пояснил, что там майкрософт накуховарили. В результате пришлось нужных юзверей засовывать в группу и уже к группе применять политику.

inomaratadeath
Вообще-то там всё написано. Есть специфические группы, создаваемые во время развертывания домена AD. Наследование и пр. Что прилинковано сверху, то и распространяется. Обычно там юзеров не держат, а создают OU, а туда уж линкуют что хотят. Таков дизайн.
Не хотите иметь дело с доменом AD? Ваше право. Есть еще домены: интернета, SMTP домены. Да и помимо виндовс есть еще оси )

народ, я в политиках групп AD пока плох, помогите плиз,
нужно сделать - заблокировать доступ для всех на определенный интернет ресурс (например www.google.ru), и сделать\оставить доступным его для пользователей входящих в группу

можно ли такое провернуть? и какие подпрыжки совершить?

Я бы сказал, что совсем плох. Вы сможете сделать у себя на компьютере то, что озвучили выше? Только настройкой реестра. Вряд ли.
Так вот. Политики - это просто массовое применение этих самых настроек, не более того.

В сторону сети смотрите и GW, дружащих с AD. Но, судя по тому куда задан вопрос, от этого вам еще хуже чем плохо станет :шютка:

спасибо за разъяснения,
был неправ ...
буду копать в другом направлении,
мне казалось в IE был список сайтов для блока, либо это было очень давно, либо спутал,
посмотрел в 8,9, 11 - не нашел такого

floatlife

Ну и толку то с того что ты заблокируешь просмотр через IE какой-то сайт, а что мешает его же открыть в другом браузере!? Правильно НИЧЕГО не мешает.

Всё вопросы такого рода всегда решались на прокси сервере.

anton04
Ну как минимум политика запуска приложений помешает и AppLocker, правильно настроенные конечно =) Но конечно это не кошерно.

Ну, предположим политика запрещает запустить программу iexplorer.exe а что мне запретить переименовать его в iiexplorer.exe и работать дальше? Нет, такие запреты можно вводить только на уровне firewall в сети. А там уже давать разрешения для групп или отдельных пользователей.

marlin24
Можно использовать хеширование или цифровую подпись. Фаер обойти можно любым туннелем например. Нет отдельных мер противодействия, есть только комплекс мер.

Странная ситуация с файловым сервером на Win 2003 после добавления в домен (не DC)
Нет доступа по адресу \\SRV. А если так \\SRV.MYDOMEN.LOC, то всё нормально.

Телепаю. С недоменной тачки?

Цитата:

Телепаю. С недоменной тачки?

Не угадал - все тачки в домене

serg53
Надо суффиксы подключения раздать либо через политики, либо ручками. В настройка сетевого адаптера.

Цитата:

Надо суффиксы подключения раздать либо через политики, либо ручками. В настройка сетевого адаптера.

DHCP работает нормально

Вопрос решился перезагрузкой и сервера и рабочек

Всем доброго времени. У меня такая ситуация - есть офис и удаленные филиалы в пределах города. В офисе поднят AD и в него введены пользователи, тут все вроде хорошо, теперь стоит задача ввести все филиалы в AD, но предпочтительно без дополнительного железа. Можно ли обойтись в филиалах без контроллеров в режиме чтения, использовав только основной контроллер? Какие проблемы могут в будущем появиться? AD планируется использовать для авторизации в системе и в почте, с другими системами пока интеграции не предвидится.

dragovich01
Организуйте надежные впн каналы до филиалов. Будет достаточно.

Цитата:

Организуйте надежные впн каналы до филиалов. Будет достаточно.

кхм..

Цитата:

ввести все филиалы в AD, но предпочтительно без дополнительного железа

самый простой вариант, но с дополнительными условиями - перевести все филиалы на одного ISP и вместо интернет-каналов филиалы подключить к головному офису по средством VLAN. большинство провайдеров предоставляют сейчас эту услугу, если вы, конечно же, подключены как юридическое лицо.
тогда все удаленные филиалы будут находиться с вами в одной локальной сети.
если же какое-то из условий не сходится - тогда только VPN. рекомендую смотреть в сторону Mikrotik.
вот тут популярно про разные VPN'ы и про VLAN

dragovich01

Цитата:

Можно ли обойтись в филиалах без контроллеров в режиме чтения, использовав только основной контроллер?

Можно, но в случае пропадания связи будут проблемы со входом в компы. Решение, отключать/выдергивать кабель у сетевых карт на момент включения компа, пароль возьмет из кэша.
Почти все крупные провайдеры сейчас предоставляют такую услугу как - Виртуальные частные сети. Ростелеком и Билайн такую услугу точно дают. Зайдите на сайт вашего прова и ознакомьтесь. После чего узнайте о возможности подключения к этой услуге всех ваших филиалов. Подключить можно филиал даже в другом городе.
Вот тут можете просто почитать о возможностях и преимуществах - http://moscow.rt.ru/b2bcorp/internet/vpn
Поскольку точек у вас будет несколько можете поторговаться насчет тарифов, с Билайн это точно срабатывает, а то мол уйдем к другому прову. За клиента сейчас все борются и могут снизить тарифы за абонплату, но не за подключение.
P.S.
Можно Инет брать у одного прова, а VPN у другого, и резервировать каналы.

Цитата:

Можно Инет брать у одного прова, а VPN у другого, и резервировать каналы

можно нужно брать у обоих провов и то и другое.

MAGNet Если нужен резерв, то у разных.

ipmanyak, так я об этом и написал, но всё-таки рекомендую вилан. у меня именно так реализовано. интернет через двух провов с резервированием, удаленные офисы подключены через через виланы так же с резервированием. интернет только в головном офисе, филиалы ходят через центральный шлюз, который физически в центральном офисе. в филиалах интернета прямого нет.

MAGNet
ipmanyak
Ну я надеюсь вы в курсе =), что данные действительно значимые для вашего руководства, лучше не гонять без шифрования через прова.

attaattaatta
я вас умоляю )) кому нужен мой тегированный трафик у моего провайдера? скоро мы придем к шифрованию локального трафика. если данные действительно значимы, то об интернетах речи вообще быть не может. а вообще-то это оффтоп

коллеги, где-то была правильная статья про захват роли контроллера домена при наличии exchange сервера, ткните носом