sibovets
А не проще перенести уже созданные в другой OU?
А не проще перенести уже созданные в другой OU?
» Общие вопросы про AD (Active Directory) - часть II
VadimOmsk
Очень смущает
Цитата:
У тебя динамический адрес на DC?
Поставь статику и попробуй netdiag /fix
После этого еще можно сделать ipconfig /registerdns и рестартануть службу NETLOGON (Сетевой вход в систему).
Очень смущает
Цитата:
Autonet address test . . . . . . . : Failed
[FATAL] All adapters are autoconfigured.
The DHCP servers are unreachable. Please check cables, hubs, and taps.
У тебя динамический адрес на DC?
Поставь статику и попробуй netdiag /fix
После этого еще можно сделать ipconfig /registerdns и рестартануть службу NETLOGON (Сетевой вход в систему).
DeH
Цитата:
)))
Может и проще, но хотелось бы, чтобы именно новые (введенные в домен недавно) компы создавались (ну или перемещались автоматически) в другом OU, нежели OU Computers.
Да дело всё в том, что AD админится мной, а компы в домен вводят другие бойцы.
Цитата:
sibovets
А не проще перенести уже созданные в другой OU?
)))
Может и проще, но хотелось бы, чтобы именно новые (введенные в домен недавно) компы создавались (ну или перемещались автоматически) в другом OU, нежели OU Computers.
Да дело всё в том, что AD админится мной, а компы в домен вводят другие бойцы.
sibovets
Цитата:
Мне тоже очень интересно,было бы здорово услышать какой-нибудь ответ!
Народ мне хотелось бы найти вот эти параметры в ГПО в w2k3.Искал долго но не смог найти,буду очень благодарен за ответы:
•Lockout duration
•Reset account lockout counter after
•Additional restrictions for anonymous connections
•Allow server operators to schedule tasks
•Allow system to be shut down without having to log on
•Digitally sign client communication (when possible)
•Digitally sign server communication (when possible)
•Disable CTRL+ALT+DEL requirement for logon
•Do not display last user name is logon screen
•Prevent system maintenance of computer account password
•Recovery Console:Allow automatic administrative logon
•Recovery Console:Allow floppy copy and access to all drives and all folders
•Send unencrypted password to connect to third-party SMB servers
•Strengthen default permissions of global system objects
Цитата:
компы создавались в другом OU, нежели OU Computers.
Мне тоже очень интересно,было бы здорово услышать какой-нибудь ответ!
Народ мне хотелось бы найти вот эти параметры в ГПО в w2k3.Искал долго но не смог найти,буду очень благодарен за ответы:
•Lockout duration
•Reset account lockout counter after
•Additional restrictions for anonymous connections
•Allow server operators to schedule tasks
•Allow system to be shut down without having to log on
•Digitally sign client communication (when possible)
•Digitally sign server communication (when possible)
•Disable CTRL+ALT+DEL requirement for logon
•Do not display last user name is logon screen
•Prevent system maintenance of computer account password
•Recovery Console:Allow automatic administrative logon
•Recovery Console:Allow floppy copy and access to all drives and all folders
•Send unencrypted password to connect to third-party SMB servers
•Strengthen default permissions of global system objects
rkhodjaev
Навернои тут ты тоже смотрел, для
Цитата:
GPO->Computer Configuration->Windows Settings->Security Settings->Account Policies->Account Lockout Policy
для
Цитата:
GPO->Computer Configuration->Windows Settings->Security Settings->Local Policies->User
Rights Assignment
Навернои тут ты тоже смотрел, для
Цитата:
Lockout duration
Reset account lockout counter after
GPO->Computer Configuration->Windows Settings->Security Settings->Account Policies->Account Lockout Policy
для
Цитата:
•Additional restrictions for anonymous connections
•Allow server operators to schedule tasks
•Allow system to be shut down without having to log on
•Digitally sign client communication (when possible)
•Digitally sign server communication (when possible)
•Disable CTRL+ALT+DEL requirement for logon
•Do not display last user name is logon screen
•Prevent system maintenance of computer account password
•Recovery Console:Allow automatic administrative logon
•Recovery Console:Allow floppy copy and access to all drives and all folders
•Send unencrypted password to connect to third-party SMB servers
•Strengthen default permissions of global system objects
GPO->Computer Configuration->Windows Settings->Security Settings->Local Policies->User
Rights Assignment
Lykym
Цитата:
это ок спасибо!
Цитата:
а здесь не нашел их
?
Цитата:
GPO->Computer Configuration->Windows Settings->Security Settings->Account Policies->Account Lockout Policy
это ок спасибо!
Цитата:
GPO->Computer Configuration->Windows Settings->Security Settings->Local Policies->User
Rights Assignment
а здесь не нашел их
? ALL
Домен на Windows Server 2003, клиентские компьютеры на Windows XP и Windows 2000. Недавно обнаружил что на клиентах, на которых установлена Windows XP, наблюдаются проблемы с синхронизацией времени. Разница с временем на контроллере домена составляет в среднем 2-3 минуты (где как). При этом время на клиентах, гду установлена Windows 2000 и рядовых серверах (Windows Server 2003) нормально синхронизируется.
При попытке выполнения w32tm /resync на клиентах под XP пишет что не удалось синхронизировать время, потому что нет доступных данных о времени.
Все компьютеры входят в одну подсеть, ко всем применяются одни и те-же групповые политики.
Я в шоке. Если кто сталкивался - прошу подсказать решение.
Домен на Windows Server 2003, клиентские компьютеры на Windows XP и Windows 2000. Недавно обнаружил что на клиентах, на которых установлена Windows XP, наблюдаются проблемы с синхронизацией времени. Разница с временем на контроллере домена составляет в среднем 2-3 минуты (где как). При этом время на клиентах, гду установлена Windows 2000 и рядовых серверах (Windows Server 2003) нормально синхронизируется.
При попытке выполнения w32tm /resync на клиентах под XP пишет что не удалось синхронизировать время, потому что нет доступных данных о времени.
Все компьютеры входят в одну подсеть, ко всем применяются одни и те-же групповые политики.
Я в шоке. Если кто сталкивался - прошу подсказать решение.
RoDeZiya
w32tm /monitor что показывает?
гпо - конфигурация компьютера - административные шаблоны - system - windows time service - time providers и здесь настроить клиентов на синхронизацию с сервером, а сервер настроить на синхронизацию с инетом
Организовать синхронизацию времени контроллеров домена с внешними источниками
Using Windows Server 2003 in a Managed Environment. Windows Time Service
w32tm /monitor что показывает?
гпо - конфигурация компьютера - административные шаблоны - system - windows time service - time providers и здесь настроить клиентов на синхронизацию с сервером, а сервер настроить на синхронизацию с инетом
Организовать синхронизацию времени контроллеров домена с внешними источниками
Using Windows Server 2003 in a Managed Environment. Windows Time Service
sVx
Цитата:
dcname.domain.local *** PDC *** [192.168.0.1]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from dcname.domain.local
RefID: (unknown) [207.46.197.32]
net time
имя контроллера домена и время отображает правильно.
Синхронизация времени контроллера домена выполняется по NTP с time.windows.com
net time /querysntp
дает Текущее значение SNTP: time.windows.com,0x1
Цитата:
w32tm /monitor что показывает?
dcname.domain.local *** PDC *** [192.168.0.1]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from dcname.domain.local
RefID: (unknown) [207.46.197.32]
net time
имя контроллера домена и время отображает правильно.
Синхронизация времени контроллера домена выполняется по NTP с time.windows.com
net time /querysntp
дает Текущее значение SNTP: time.windows.com,0x1
RoDeZiya, здесь ещё есть немного инфы по теме.
Товарищи, можно ли поменять настройки требований к паролям на самом контроллере домена? Не хочу заморачиваться со сложными паролями, треба отключить эту обязаловку. В локальных политиках эти настройки почему-то залочены. В политиках любых OU можно менять эти настройки.
DeH
В политиках безопасности контроллера домена.
Цитата:
Так ведь и "Domain Controllers" - это ou...
В политиках безопасности контроллера домена.
Цитата:
В политиках любых OU можно менять эти настройки.
Так ведь и "Domain Controllers" - это ou...
Leo1000
Хм.. бываит Чтойта не сообразил. Спасибо.
Хм.. бываит
Чтойта не сообразил. Спасибо.привет всем.
может кто нить составлял документацию по архитектуре своего АД? мне поставили задачу, описать свой АД, сделать документацию, топологию... кароч книжечку на весь домен походу. Может кто видел примеры такого?
может кто нить составлял документацию по архитектуре своего АД? мне поставили задачу, описать свой АД, сделать документацию, топологию... кароч книжечку на весь домен походу. Может кто видел примеры такого?
А у меня проблема своеобразная, но может кто уже сталкивался?
В АД все группы - глобальные, безопасности. Для принтеров сделаны группы доступа, по имени которой через логон-скрипт (прописан у каждого ползователя в профиле) подключается нужный принтер.
В последнее время стала часто проявляться следующая беда. Вечером добавляю юзера в группу, а утром при загрузке компа принтер ему не подключается. Перезагрузка не помогает, помогает лишь перелогинивание или ручной запуск логон-скрипта. В чем беда и где копать? Групповых политик мало и с этим точно не связаны.
Просто, когда добавляю юзера в группу, назначенную на сетевую папку, доступ появляется почти сразу, ну либо после перезагрузки компа - точно!
Уже скурил не один толмут по Сервер 2003, но нигде ничего нет
В АД все группы - глобальные, безопасности. Для принтеров сделаны группы доступа, по имени которой через логон-скрипт (прописан у каждого ползователя в профиле) подключается нужный принтер.
В последнее время стала часто проявляться следующая беда. Вечером добавляю юзера в группу, а утром при загрузке компа принтер ему не подключается. Перезагрузка не помогает, помогает лишь перелогинивание или ручной запуск логон-скрипта. В чем беда и где копать? Групповых политик мало и с этим точно не связаны.
Просто, когда добавляю юзера в группу, назначенную на сетевую папку, доступ появляется почти сразу, ну либо после перезагрузки компа - точно!
Уже скурил не один толмут по Сервер 2003, но нигде ничего нет
RockRaider
клиенты Windows XP?
это может быть из-за Асинхронно применения политики при загрузке/входе в систему.
Код: Конфигурация компьютера\Административные шаблоны\Система\Вход в систему\Всегда ожидать инициализации сети при загрузке и входе в систему
клиенты Windows XP?
это может быть из-за Асинхронно применения политики при загрузке/входе в систему.
Код: Конфигурация компьютера\Административные шаблоны\Система\Вход в систему\Всегда ожидать инициализации сети при загрузке и входе в систему
Спасибо, попробую!
Однако, на тестовой машине все проходит без проблем.
А вот реально в боевых условиях - у кого проходит, а кому-то приходится перелогиниваться.
Вот только не пойму, причем тут оптимизация и кэеширование, когда я меняю членство в группе? ведь для файлового доступа применяется почти мгновенно!
Есть еще какие мысли на эту тему?
З.Ы. Все машины с ХР.
Однако, на тестовой машине все проходит без проблем.
А вот реально в боевых условиях - у кого проходит, а кому-то приходится перелогиниваться.
Вот только не пойму, причем тут оптимизация и кэеширование, когда я меняю членство в группе? ведь для файлового доступа применяется почти мгновенно!
Есть еще какие мысли на эту тему?
З.Ы. Все машины с ХР.
И еще, как отключить батником все сетевые принтеры без указания имени принтера и принт-сервера?
И будут ли при этом отрубаться локальные принтеры? (как сделать, чтобы они оставались?)
Хочу поставить в скрипт на логоф
И будут ли при этом отрубаться локальные принтеры? (как сделать, чтобы они оставались?)
Хочу поставить в скрипт на логоф
Подключаю сетевые принтеры на цитрикс-сервере, расшариваю, ставлю галочку "Публиковать". Но вот публикуются не все принтеры. В чем различие между опубликовавшимися и нет не могу найти. Есть у кого идеи?
Здравствуйте товарищи, вот хотел поинтересоваться, можно ли сделать так чтоб пользователь мог использовать свою учотную запись только со своего компьютера и не мог войти в систему под своим именем и паролем с соседнего ?
Стоит сервер 2003sp2 на ней контроллер AD, станции под управлением XP SP2.
буду оч признателен за помощь.
Стоит сервер 2003sp2 на ней контроллер AD, станции под управлением XP SP2.
буду оч признателен за помощь.
id83
В свойствах учётной записи в AD поставь ограничение на логон только с одной рабочей станции
В свойствах учётной записи в AD поставь ограничение на логон только с одной рабочей станции
Ага, закладка Account кнопка Logon To - пиши имя нужного компа и он только на нем будет иметь право логона, на других компах будет посылать.. к тебе
Комрады, не набрал я ещё сил в AD, могли бы помочь советом...
Стоит новый контроллер домена zuza(win2003) с ip 192.168.0.1
Делаю для пользователя папку, оставляю ему там права доступа
Завожу пользователя в домен zuza, завожу ему учётную запись, стоящую в группе пользователей домена. Перезагружаю, и вхожу в домен.
Далее коллизия
1. Пользователь заходит по ip 192.168.0.1 и нормально попадает в папку (во все)
2. Пользователь заходит по имени zuza.local и его в папку уже не пускает! Но он может заходить в папки NetLogon, SySVol
Ошибка
Нет доступа к zuza.localzuza. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.
Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа.
з.ю. так-же и с моей учётной записью админа.
Стоит новый контроллер домена zuza(win2003) с ip 192.168.0.1
Делаю для пользователя папку, оставляю ему там права доступа
Завожу пользователя в домен zuza, завожу ему учётную запись, стоящую в группе пользователей домена. Перезагружаю, и вхожу в домен.
Далее коллизия
1. Пользователь заходит по ip 192.168.0.1 и нормально попадает в папку (во все)
2. Пользователь заходит по имени zuza.local и его в папку уже не пускает! Но он может заходить в папки NetLogon, SySVol
Ошибка
Нет доступа к zuza.localzuza. Возможно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.
Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа.
з.ю. так-же и с моей учётной записью админа.
кстати, вот еще вопрос... не знаю, в тему или нет? но... проблема такова:
есть файловый сервер, есть группы через которые разданы права доступа на папки, но есть и много ресурсов с персональным доступом.
так вот, щелкнув в свойствах папки в безопасности-дополнительно на закладке действующие разрешения можно ввести имя юзера и узнать имеет ли он туда доступ и какой...
а вот есть ли такие утилиты, чтобы ввести имя юзера и высветился список всех ресурсов, куда он имеет доступ и какой? имеется в виду по всем серверам и по всем шарам? а то часто спрашивают, куда юзер имеет доступ? приходится смотреть все группы, членом которых он имеет... но в связи с увеличением раздачи персонального доступа появляется необходимость оперативного аудита такого доступа, а стандартными средствами это невозможно...
помогите, если кто знает? премия горит((
есть файловый сервер, есть группы через которые разданы права доступа на папки, но есть и много ресурсов с персональным доступом.
так вот, щелкнув в свойствах папки в безопасности-дополнительно на закладке действующие разрешения можно ввести имя юзера и узнать имеет ли он туда доступ и какой...
а вот есть ли такие утилиты, чтобы ввести имя юзера и высветился список всех ресурсов, куда он имеет доступ и какой? имеется в виду по всем серверам и по всем шарам? а то часто спрашивают, куда юзер имеет доступ? приходится смотреть все группы, членом которых он имеет... но в связи с увеличением раздачи персонального доступа появляется необходимость оперативного аудита такого доступа, а стандартными средствами это невозможно...
помогите, если кто знает? премия горит
((а кто посоветует как лучше сдеалть
1. создать политику перенаправления папок рабочего стола и мои документы
или
2. подключить сетевые диски в свойсивах пользователя
1. создать политику перенаправления папок рабочего стола и мои документы
или
2. подключить сетевые диски в свойсивах пользователя
ali1977
я бы посоветовал 1 вариант (через политику)
я бы посоветовал 1 вариант (через политику)
У меня два домена с полным доверием. Нужно перенести учетки из Домена А(исходный) в Домен Б(целевой), с паролями...
1. Устанавливаю ADMT на Домен Б(целевой).
2. Запскаю на домене Б
admt key /option:create /sourcedomain:SourceDomain/keyfile:KeyFilePath/keypassword:{password|*}
3. Шарю ключик.
4. В Исходном домене А заускаю PES подставляю туда зашаренный ключик.
5. Во время установки PES пробовал выбирать и Local System account и учетку из целевого Домена Б...
6. Делаю рестарт сервера и запускаю службу PES
7. На Целевом домене Б запускаю ADMT... Когда дохожу до миграции паролей - получаю надпись:
Unable to establish a session with the password export server. Access denied
Помогите пожалуйста...
1. Устанавливаю ADMT на Домен Б(целевой).
2. Запскаю на домене Б
admt key /option:create /sourcedomain:SourceDomain/keyfile:KeyFilePath/keypassword:{password|*}
3. Шарю ключик.
4. В Исходном домене А заускаю PES подставляю туда зашаренный ключик.
5. Во время установки PES пробовал выбирать и Local System account и учетку из целевого Домена Б...
6. Делаю рестарт сервера и запускаю службу PES
7. На Целевом домене Б запускаю ADMT... Когда дохожу до миграции паролей - получаю надпись:
Unable to establish a session with the password export server. Access denied
Помогите пожалуйста...
подскажите как в ГП запретить любые ДОС приложения
(а то эти шарики задолбали)))))
(а то эти шарики задолбали)))))
ali1977
Все DOS приложения или же конкретные?
*Если конкретные, то я сделал через параметр: User Config>Admin Templates>System>Don't run specified Windows Application(Здесь вводищь те программы,которые не должны запускать твои пользователи)
* более надежный вариант через HASH запретить
Все DOS приложения или же конкретные?
*Если конкретные, то я сделал через параметр: User Config>Admin Templates>System>Don't run specified Windows Application(Здесь вводищь те программы,которые не должны запускать твои пользователи)
* более надежный вариант через HASH запретить
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546
Предыдущая тема: Как отключить удаление профиля при выходе
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.