» Общие вопросы про AD (Active Directory) - часть II

life_so_good
В гугль носом тыкать наверное незачем, да? По запросу "захват ролей FSMO" там вагон и маленькая тележка.
Exchange чувствителен к Global Catalog, но это не роль. Нельзя ли поподробнее?

Paromshick
нужно захватить хозяина операций, судя по всему рухнул

Это понятно, но при чем здесь Exchange... Хотя, кто его знает
Принудительный захват ролей умершего мастера операций и вообще Передача и захват ролей FSMO
Но это всё тупо гугль Главное, чтобы после захвата роли старый хозяин внезапно не ожил.
Если всё удачно, то надо будет его вычистить из AD Удаление потерянного контроллера домена

Цитата:

но при чем здесь Exchange..

да вроде были нюансы

Доброе время суток.

Вникаю по немногу в AD, тк возникла потребность в компании - цель чтобы пользователи работали с данными только на сетевом хранилище и не сохраняли ничего на компьютере.

Возможно ли такое реализовать через GP в AD?

Спасибо.

Всем привет, подскажите вот какую вещь - настраиваю Контроль учетных записей и все вроде бы работает ок, везде где требуются повышение прав вылезает окошко с просьбой ввести логин и пароль админа. Но вот есть одна рабочая программа у всех пользователей, которая при запуске начинает говорить мол это приложение неизвестного автора, введите пароль админа.
как мне от этого избавиться? может какой сертификат куда подкинуть надо?

еще один момент - можно ли заблокировать локальные учетные записи User разом на всех компах?

dragovich01     Засовываем батник в групповую политику на выполнение при старте системы, в батнике:
net user User /active:no
будет работать для WIN7 и выше. Проверь на тестовой машине

ipmanyak спасибо.
а по поводу контроля учетных записей, есть смысл их настраивать? или можно просто заблокировать запуск правой кнопкой от Администратора?

я вот как настроил


настроил для того чтобы пользователи нажав правой кнопкой не могли выполнять запуск от имени Администратора. И для того чтобы для некоторых операций таких как смена IP, удаление программ появлялся запрос на ввод админских данных.

dragovich01 Если юзер простой юзер в домене, то запуск от админа и без ухищрений не будет работать, если конечно они у тебя не сидят в локальных админах, чего быть не должно изначально.

ipmanyak
понял, то есть не советуете контроль учетных записей настраивать?

подскажите, какими средствами или утилитами сделать перенос пользователей, кроме User Profile Wizard ? Заранее спасибо.

Всех с прошедшими и наступающими)
Подскажите на контроллере домена раз в сутки возникает ошибка 1864

Ниже отображено состояние репликации в следующем разделе каталога на сервере каталогов.
Раздел каталога:
CN=Configuration,DC="мойдомен",DC=local
Этот сервер каталога давно не получал информацию о репликации от нескольких серверов каталогов. Здесь отображен счетчик серверов каталогов, разделенных следующими интервалами.

При выполнении
repadmin /showvector /latency CN=Configuration,DC="мойдомен",DC=local
много записей вида

d73faebc-dac8-48de-a484-0ea5e6e3da35 @ USN 24602 @ Время 2006-01-24 15:52:48

912c69cd-4ee2-4773-a372-793b5007527e @ USN 33112 @ Время 2006-01-26 10:52:48

c8bfef0f-33d2-471b-85e6-e5ecf00f4e07 @ USN 40982 @ Время 2006-01-27 17:26:04

5f5fd54c-bc03-4927-8068-d044f3fefa61 @ USN 20504 @ Время 2006-01-31 19:58:08

ca3042f0-91b4-4600-9f1e-81d522672354 @ USN 17236 @ Время 2006-04-10 11:45:38

5a34c9c4-633a-43f1-8624-0fd734680c0d @ USN 38164 @ Время 2006-05-30 17:57:32

ce8d15e9-7855-4852-95a6-aa3eea5be435 @ USN 40989 @ Время 2006-05-31 12:03:27

и еще штук так 30 записей.

Так понимаю результат не совсем корректного удаления дочерних доменов, подскажите как корректно почистить?

SONNI
попробуйте следовать рекомендациям из статьи "Удаление данных из Active Directory после неудачного понижения роли контроллера домена "

Статью видел но там уже на моменте "8 Введите команду list domains и нажмите клавишу ВВОД."Появится список доменов леса с номерами."
Выдается список из 20-и живых актуальных коревого + дочерние доменов, а мне надо почистить данные экспериментов еще 2006-ого года.

SONNI
Вас в гугле забаниои? удалить несуществующий домен AD ntdsutil

Добавлено:
Допёр. Вы хотите, чтобы вам здесь сказали, какие домены у вас существуют, а какие суть экскрименты?
Барин, телепаты в отпуске, да и они послали бы вас на Гималаи

ребята вопрос. куда делась ADUC (Active Directory Users and Computers)?

не знаю почему не знаю с какого момента на операционке windows server 2012 r2 с ролью primary domain controller куда то исчез пункт меню Active Directory Users and Computers. Есть Active Directory Administrative Center но там все по новому и не привычно, удобнее была прошлая оснастка. Но я точно помню что она была на этом сервере, и куда то пропала.
В добавок есть еще вторичный домен контроллер с server 2012 r2 и там этот пункт меню есть.

столкнулся вот с такой странностью и не могу понять что делать и куда копать.
пока воспользовался mmc консолью, но все таки хочется знать как вернуть обратно.

Добавлено:
пока добавил ярлык DSU из system32 в Control Panel в меню Administrative Tools и назвал его Active Directory Users and Computers, пункт меню само собой появился. но вопрос остался, как он оттуда исчез то сам собой?
может это опять политика мелкомягких навязывать то что они расхваливают взамен того что работает много лет успешно.
не знаю не хочется верить в глобальные заговоры)

serik1986
Панель управления\Система и безопасность\Администрирование\ Не?

uncleShi_v2
в том то и дело, что там ее и не было, добавил вручную. но хочется разобраться почему исчезла...

serik1986«дребезг рук»? )))

всем привет.

совсем замаялся с настройкой политик для сертификатов.

на бухгалтерские PC нужно устанавливать ПО налоговой и фсзн, которое идет с ключами для криптопровайдера avest и сертификатами

никак не могу импортировать сертификаты в личное хранилище, только при входе под админом - все импортируется и работает, под любым другим пользователем - нивкакую
пользователям домена на локальном PC установил права администратора, назначив им группу - администраторы, но все равно сертификаты не устанавливаются

пока что решал только способом установки сертификата админу и перемещения в хранилище пользователя, но это не вариант т.к. я прихожу редко и бухгалтеру нужно самому, периодически получая новый сертификат, устанавливать

rewuxiin, Авест и его ключи - это отдельная ПЕСНЯ... У себя это только руками ставлю, благо надо только на двух компьютерах - проще руками поставить чем автоматизировать, и обновляются не так часто.

всем привет, подскажите, плиз. После повышения уровня домена до винсервер 2008 у клиентских машин на вин ХР стало недостаточно прав для создания папки перемещаемого профиля в папке докс анд сеттингс.(на семерках все в норме.) куда копать?