emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Active Directory (AD) смотрите также: Групповые политики (Group Policy) [?] Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы   В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума [?], Инструкцией по решению проблем [?] или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки [?].   » Как отличить общий вопрос от частного? [?]   » Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory [?]   » Полезные ресурсы по Active Directory (AD) [?]   Предыдущая часть этой темы здесь [?]. Всего записей: 11867 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008

Zloy_TapakaH Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Прошу совета, где копать: Ситуация - сеть 14 ПК, из которых 1 AD server - WS2008 R2 ENT, 1 сревер терминалов на WS2003 R2 ENT (под 1С), остальные WinXP sp3 PRO. Пользователи входят в сеть под учетками, заведенными в AD. На "терминальном" сервере есть шары, открытые для группы "Пользователи домена". Появилась необходимость добавить разрешения на этих шарах для пользователей, не входящих в группу "пользователи домена". При вызове настроек общего доступа, нажимаем "разрешения" - "добавить" - "размещение" и видим только локальный компьютер. Т.е. проблема в том, что не видит структуру групп/пользователей AD. Ранее забитые разрешения на сетевые "пользователи домена" успешно функционируют. Вручную забить новых пользователей AD не получается (не прописываются пользователи типа asm\user123, user123@asm, user123@asm.local и т.д.) При этом вполне нормально логинится под сетевой учеткой, ходит по шарам на других ПК по учетке AD.   Какие нужны логи, отчеты? Может в отдельную тему? Всего записей: 14 | Зарегистр. 02-07-2005 | Отправлено: 05:55 28-02-2014

say24 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Задался вопросом о возможности поднять контроллер AD на рабочей станции. Виртуалка - не годится, ввиду очевидных неудобств. Точнее - первичный контроллер - вполне можно посадить на виртуалку и периодически его поднимать. Но "постоянно действующий" контроллер - очень хочется запустить на одной из рабочих станций. Варианты с поднятим реального сервера, я не рассматриваю по нескольким причинам: 1. Ситуация не позволяет поднять сервер, так как это принесёт больше проблем, чем решит (описывать проблемы не буду - это личное). 2. Если возникнет вопрос о поднятии контроллера на серверной ОС (не суть - виртуальной или реальной), то тут вопросы и заканчиваются - всё и так понятно и многократно пройдено   Абсолютно уверен, что тем поднималась неоднократно, но навскидку - не нашёл решений. Всего записей: 266 | Зарегистр. 18-02-2003 | Отправлено: 20:52 18-03-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Такой вопрос. Есть политика, которая действует только для раздела "Конфигурация компьютера". Она применяется ко всем компам, подключенным к домену. Среди многих параметров - адрес WSUS.   Как сделать, чтобы для одного ПК можно было применить другой адрес (другой WSUS-сервер потестить)? Создал OU, группу безопасности, включил в неё этот комп.   Но, походу, корневая политика все настройки перебивает. Подскажите, чёкак. Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 20:23 25-05-2014

urodliv Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sauron_zombie Чёкак система-то? 2003, али старше чего? ---------- Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением. Всего записей: 6741 | Зарегистр. 29-04-2009 | Отправлено: 20:55 25-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору urodliv   Блин, сорри. Хотел же написать про это, да забыл.   2008 R2 у меня.   Компьютер в default папке Computers. Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 21:00 25-05-2014 | Исправлено: Sauron_zombie, 22:38 25-05-2014

wwladimir Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sauron_zombie Для одной машины можно и без политики. Ключики реестра- [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"="http://ваш_WSUS" "WUStatusServer"="http://ваш_WSUS"   А через политики-на вкладке "делегирование" дефолтной политики добавьте подопытную машину и по кнопочке "дополнительно" настройте ей безопасность, запретив "чтение" или "применить политику".   Если машины в разных OU то используйте enforced (правой кнопкой мыши  GPO-принудительный). Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 08:34 26-05-2014 | Исправлено: wwladimir, 08:40 26-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору wwladimir Про ключи знаю, но они сбрасываются через некоторое короткое время на значения из политики. Enforced попробую.   Спасибо! Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 11:38 26-05-2014

yrkrus Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору izot0p   Локальные учетки это локальные, а АД учетки это АД учетки, т.е. придется все перенастраивать (ну или если не очень хочется все в ручами делать то GPO в помощь)   Цитата: А также смогут ли эти юзеры также по РДП конектится к серверу после поднятия АД. если добавишь новые учетки в группу пользователей удаленного рабочего стола       Добавлено: И вообще я как понял используется один сервер и на нем будет развернута роль AD? если да то так не рекомендуется делать по соображениям  безопасности. Всего записей: 379 | Зарегистр. 30-11-2010 | Отправлено: 15:56 26-05-2014 | Исправлено: yrkrus, 15:59 26-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вот нашёл неплохой цикл статей - Управление групповыми политиками в организации (на одной странице - тут).   В частности, говорится о приоритетах. Но вот сделал я "Принудительное использование связи объекта групповой политики", а эффекта не вижу.   Сейчас используется способ, который подсказал wwladimir: Цитата: А через политики-на вкладке "делегирование" дефолтной политики добавьте подопытную машину и по кнопочке "дополнительно" настройте ей безопасность, запретив "чтение" или "применить политику".   А этот способ почему-то не срабатывает: Цитата: Если машины в разных OU то используйте enforced (правой кнопкой мыши  GPO-принудительный). Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 11:43 27-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Что-то не помогает на одном компе даже и этот метод. Ничего толкового не узнал и из gpresult /r Как кто ошибки вычленяет? Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 00:02 28-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Наверное, я чего-то недопонимаю, но: Цитата: Членство: локальные группы могут включать:     любой объект безопасности (принципал) из домена: пользователи, компьютеры, глобальные группы, локальные доменные группы; У меня есть группа (Локальная в домене) - "WSUS-test-grp", в которую я включил компьютер из дефолтной Computers. Находится она в OU, созданном для тестов - "WSUS-test".   Я создал политику с особыми настройками для нового тестового WSUS-сервера и привязал к OU "WSUS-test". Выше я писал, что ничего не помогает перебить корневую политику. Так вот, стоило мне переместить компьютер из дефолтной Computers в это самое OU "WSUS-test" и сделать gpupdate /force на том компе, так сразу в gpresult /r всё стало нормально, а в реестре всё появилось.   Цитату привёл выше специально. Не могу понять, почему нужно переносить компы в OU, если их можно включать в группы? Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 12:39 28-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AMudrenko Цитата: Если политика привязана к OU "WSUS-test", а не ко всему домену, то она и будет выполняться только к компьютерам, которые лежат в этой OU. Если в политике дополнительно указать что она распространяется только на группу безопасности "WSUS-test-grp", то политика применится на компах, которые лежат в OU И входят в группу.   Получается, что ключевое здесь "И"? Если ПК в дефолтной Computers, то хоть включай его в группу, хоть не включай, пока не перенесёшь в OU с нужной политикой, ничего работать не будет? Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 13:40 20-06-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сделал следующим образом. В корне создал политику и привязал её ко всему домену.   В фильтре безопасности убрал "Прошедшие проверку" и добавил свою группу "WSUS-test-grp". Членами этой группы теперь являются ПК, добавляемые из Computers.   На вкладке делегирование добавил группу "WSUS-test-grp" с правами чтения. На политике щёлкнул правой кнопкой и выбрал "Принудительный".   Вывод для себя сделал такой.   Для дефолтных OU типа "Computers" нужно политику создавать на самом верхнем уровне (т.е. в корне) и привязывать к этому самому корню (домену). Группа безопасности может лежать где угодно - хоть в корне, хоть в каком-то OU. В группу можно включить компы из "Computers". Но политика, привязанная к какому-то дочернему контейнеру-OU, не будет применяться к родительскому элементу, пусть даже в этом дочернем OU и лежит группа безопасности.   Получается, или переносить учётные записи компов в нужные OU с привязанными политиками, или лепить всё в корень (как в моём случае, т.к. нужный мне VBS-скрипт не работает с чем-то иным, кроме "Computers").     Разораться мне помогли: rsop.msc и gpresult /r Отдельное спасибо: gpupdate /force Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 14:06 25-06-2014

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование