Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » Общие вопросы про AD (Active Directory) - часть II

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
 
Предыдущая часть этой темы здесь.

Всего записей: 11820 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008
inomaratadeath

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
attaattaatta, была эта роль, в том-то и дело. Но доменные пользователи непременно хотели авторизоваться только на PDC, в упор не видя SDC.  
netdom query dc   утверждала,  что SDC видится нормально, а на деле - нет. Или я что-то путаю.

Всего записей: 48 | Зарегистр. 12-04-2009 | Отправлено: 19:34 16-11-2016
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
inomaratadeath
dcdiag скажет вам в том числе о проблемах и с dns

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 19:41 16-11-2016
beladmin



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Превед кагдила.
Кто работал с RODC? Есть несколько вопросов.
Имеется локальная сеть с нормальными контроллерами. Имеется клауд-сервис с несколькими разными серверами(linux, win) и приложениями на них - kerio connect, jira, самописные аппликухи. Встала необходимость авторизации пользователей приложений на этих серверах доменными учетками. Вроде всё понятно - ставим вин-сервер, организуем в клауде свою локалку для всех серверов, делаем до всего этого зоопарка впн-туннель, ставим контроллер домена. Но так как он будет нужен ТОЛЬКО для авторизации пользователей - смысла ставить полноценный не вижу вобще. Плюс безопасность - сервер висит одним интерфейсом напрямую в инет(клауд-провайдер дибильноватый, подругому никак но выбор клауд-провайдера не от меня зависел). Учетки синхронизироваться будут только юзерские само собой (учетки админов домена нет). И вот вопросы
1) Кто будет проводить авторизацию пользователей? RODC или через туннель стучаться на полноценные контроллеры в локалке? Читал что у некоторых возникает с этим проблема - туннель в дауне - авторизации нету. Если я правильно понимаю - первая авторизация проходит на КД в локалке и пароль кэшируется на RODC. Если не прав - то как?
2) Будут ли работать политики паролей? В частности блокировка по лимиту неудачных попыток, запрос на смену пароля по истечении и т.д. Где блокируется вход(если блокируется)? Только на RODC или на основном тоже?
3) Нигде не нашел инфы как работает актуализация кэша паролей. Если пользователь сменил свой - каким образом новый пароль попадает в кэш? Основной КД говорит RODC что мол этого из кэша выкинуть и запросить при первом входе новый через у меня?
4) Если к домену вдруг нужно будет добавить клауд-сервер из этой клауд-сети, то каким образом?
5) Какие еще могут всплыть ньюансы?

Всего записей: 150 | Зарегистр. 02-10-2006 | Отправлено: 10:33 23-12-2016 | Исправлено: beladmin, 12:24 23-12-2016
Metall Doktor



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем здрасти.  
есть оснастка "active directory пользователи и компьютеры" где можно настроитьк акие вкладки я вижу в свойствах объекта? Я точно помню что где-то такие настройки есть , но найти не могу.

Всего записей: 323 | Зарегистр. 22-09-2016 | Отправлено: 11:15 28-12-2016
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 где можно настроитьк акие вкладки я вижу в свойствах объекта?

вот это расшифруй

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 13:17 28-12-2016
Secore

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ИМХО, настроить нельзя (может ошибаюсь?). Можно включить/выключить отображение дополнительных вкладок.
Вид - Дополнительные компоненты

Всего записей: 2 | Зарегистр. 16-10-2006 | Отправлено: 13:19 28-12-2016
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я не томоз, я медленный газ
Мало кто знает, что вкладка Dial-in, влияющая на возможность доступа через VPN, видна в оснастке AD U&C, запущенной непосредственно на контроллере домена. Тоесть только на DC можно её увидеть. ЕМНИП, начиная с 2008.
Ничего страшного, если оставлен параметр по умолчанию. Но можно же преревести в allow access, и вы никогда не узнаете, что доступ извне открыт для "группы товарищей".
Соответственно, периодически юзаем тулзы, умеющие читать значения аттрибута непосредственно из каталога и проверяем, нет ли сюрпризов.
Специалистам по ИБ на заметку.
По памяти не скажу ни имя атрибута, ни названия тулзы. Гугл рулит

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 22:18 05-01-2017
beladmin



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто подскажет, как заставить Windows Server 2012 r2 не делать все сетевые интерфейсы категории DomainAuthenticated? Их там три (дикость, но что имеем то имеем). 1 - наружу, 2 - в локалку, 3 - для впн-туннеля. Добавляю роль, делаю из него RODC - они все становятся DomainAuthenticated, что нифига само собой несекурно - наружу торчит всё то-же самое, что и в локалку. А фаерволом не закрыть - они все тип - доменный. Правила применяются для всех интерфейсов в этой группе. До установки роли их еще можно разделить на public и domain. А потом все - DomainAuthenticated, при попытке сменить категорию -  "the NetworkCategory cannot be changed from 'DomainAuthenticated' " Подозреваю что надо что-то сделать до повышения сервера до контроллера домена, но что - вообще не нахожу инфы.

Всего записей: 150 | Зарегистр. 02-10-2006 | Отправлено: 18:22 09-01-2017 | Исправлено: beladmin, 18:25 09-01-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
beladmin
Вы про какие интерфейсы пишете? Железных бывает три, бывает два, а бывает и больше. Можно их развести по разным виланам, можно объединить в тим, а можно ничего не втыкать. Ведь можно же.
С виртуалками вообще полнейшая гибкость. Делаем пять и заводим на разные свичи. А чё?
Напишите завтра, мой вам совет. И больше не добавляйте, очень вас прошу.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:31 09-01-2017
beladmin



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1 - с внешним статическим ip. Через него ходит в тырнет.
2 - часть внутренней сети для остальных машин рядом. У остальных машин их тоже 2. Один внешний, второй внутренний.
3 - интерфейс vpn-туннеля openvpn.
 
Отдельного роутера нету. Я ж говорю - клауд-провайдер дибильноватый. И не я акком рулю. Дальше настроек сервера доступа нет и не будет.
Так вот и надо что бы номер 1 оставался с категорией public.

Всего записей: 150 | Зарегистр. 02-10-2006 | Отправлено: 18:43 09-01-2017 | Исправлено: beladmin, 18:51 09-01-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну и, собственно, главное.
При чем здесь AD? Обратите ваше внимание на название темы, и, вообще, на общее их количество.
 
AD, скорее всего глючит, не сомневаюсь. Не может служба не глючить, когда не лады то ли с ОСью, то ли с сетью.
Имеет смысл разобраться вначале с этим, затем со службой каталогов. Ибо, при построении AD DS, оба вышеперечисленных компонента вы must have работающими, как швейцарские часы. You must have, ага?
 
Почему я таой вредный? Всё очень просто: как-то само собой получится, что налаживая ОСь вы её наладите. Ровно то же и с сетью. А затем и каталоги "сами заработают". Налаживать же с обратной стороны, сеть через AD - ничего не получится. Только нервы попортите.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:10 09-01-2017 | Исправлено: Paromshick, 20:12 09-01-2017
beladmin



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ну и, собственно, главное.  
При чем здесь AD?

 
Чукча не читатель? Чукча писатель?
 

Цитата:
Почему я таой вредный?

 
Не вредный, а странный. Написано много, а сути - 0. Поговорить не с кем?
 
 
 
ЗЫЖ Похоже нашел то, что забыл сделать до повышения уровня сервера. Завтра проверю.

Всего записей: 150 | Зарегистр. 02-10-2006 | Отправлено: 20:44 09-01-2017 | Исправлено: beladmin, 20:52 09-01-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Похоже нашел то, что забыл сделать до повышения уровня сервера

Так вот в том-то и дело, что проблема в ОС (сервер ещё называют, да), а не в AD. На что вам весьма мягко, но прозрачно намекалось.
Если открытым текстом: вы пИшете не по адресу. Не в ту тему. Или вообще не в тот раздел, т.к. скорее всего проблема не в серверном компоненте ни разу
И ничего странного.. Удачи!

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 10:15 10-01-2017
CHATskiy23

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Комрады, нужна помощь!
Имеем 4 независимые организации, каждая со своим контролером домена. Централизуем службу ИТ. Имеем 2 варианта построения AD:  
1) Один лес. Одно дерево. Множество веток.
2) Один лес. 4 дерева под каждую организацию.  
 
Хотелось бы услышать мнение за и против каждого варианта и другие ваши мысли. Спасибо за помощь.

Всего записей: 57 | Зарегистр. 23-04-2009 | Отправлено: 15:48 17-01-2017
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
CHATskiy23
Отличные вводные. Давайте уже подробнее. Слияние это в группу компаний или нет, один учредитель/директор у всех контор или нет и т.д. От этого и плясать наверное следует.

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 17:07 17-01-2017
igor me v2

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На правах оффтопа:
Забыли 3-й вариант: убить нахрен все домены Нафик они нужны.
А вообще - с кол-ва компов надо начинать в каждой фирме...

Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 00:49 18-01-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CHATskiy23 Лично я пока не вижу связи между службой ИТ и какой-либо AD, для чего это? У вас Helpdesk завязан на домен? Если  речь о доменах пошла, то есть еще вариант - доверительные отношения между доменами (трасты), в этом случае ничего переделывать не придется, работы мизер. Завтра конторы захотели снова разбежаться - убрали трасты и все дела.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 07:02 19-01-2017 | Исправлено: ipmanyak, 07:05 19-01-2017
CHATskiy23

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 У вас Helpdesk завязан на домен?

много сервисов хотим завязать на AD (или уже завязано).
Отдел сопровождения и развития AD будет один.  
ПК много.
Трасты между доменами (читаем разные леса) - требует наличия администраторов AD для каждой организации.

Всего записей: 57 | Зарегистр. 23-04-2009 | Отправлено: 08:29 19-01-2017
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Трасты между доменами (читаем разные леса)

Неправда ваша, разве что конкретно вы так уже для себя определили. И мне кажется, раз уж вы не спешите отвечать на мой вопрос, вам лучше почитать если не официальный msdn, то хотя бы http://www.oszone.net/13327/planningforest

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 20:22 19-01-2017
timsson



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет.
Может кто сталкивался как и где логировать\смотреть "Защитить объект от случайного удаления" чтобы в нужное время можно было точно узнать кто и когда снял\поставил галку ?

Всего записей: 365 | Зарегистр. 19-07-2006 | Отправлено: 14:23 02-02-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru