Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
 
Предыдущая часть этой темы здесь.

Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008
vai

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alaskaman
На вкладке польльзователя ACCOUNT есть кнопка Log on to нажав ее можно задать список компьютеров на которые пользователь может логиниться

Всего записей: 190 | Зарегистр. 07-09-2004 | Отправлено: 00:00 17-02-2014
Zloy_TapakaH



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Прошу совета, где копать:
Ситуация - сеть 14 ПК, из которых 1 AD server - WS2008 R2 ENT, 1 сревер терминалов на WS2003 R2 ENT (под 1С), остальные WinXP sp3 PRO.
Пользователи входят в сеть под учетками, заведенными в AD.
На "терминальном" сервере есть шары, открытые для группы "Пользователи домена".
Появилась необходимость добавить разрешения на этих шарах для пользователей, не входящих в группу "пользователи домена".
При вызове настроек общего доступа, нажимаем "разрешения" - "добавить" - "размещение" и видим только локальный компьютер.
Т.е. проблема в том, что не видит структуру групп/пользователей AD. Ранее забитые разрешения на сетевые "пользователи домена" успешно функционируют. Вручную забить новых пользователей AD не получается (не прописываются пользователи типа asm\user123, user123@asm, user123@asm.local и т.д.)
При этом вполне нормально логинится под сетевой учеткой, ходит по шарам на других ПК по учетке AD.
 
Какие нужны логи, отчеты? Может в отдельную тему?

Всего записей: 14 | Зарегистр. 02-07-2005 | Отправлено: 05:55 28-02-2014
say24



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Задался вопросом о возможности поднять контроллер AD на рабочей станции.
Виртуалка - не годится, ввиду очевидных неудобств. Точнее - первичный контроллер - вполне можно посадить на виртуалку и периодически его поднимать. Но "постоянно действующий" контроллер - очень хочется запустить на одной из рабочих станций.
Варианты с поднятим реального сервера, я не рассматриваю по нескольким причинам:
1. Ситуация не позволяет поднять сервер, так как это принесёт больше проблем, чем решит (описывать проблемы не буду - это личное).
2. Если возникнет вопрос о поднятии контроллера на серверной ОС (не суть - виртуальной или реальной), то тут вопросы и заканчиваются - всё и так понятно и многократно пройдено
 
Абсолютно уверен, что тем поднималась неоднократно, но навскидку - не нашёл решений.

Всего записей: 263 | Зарегистр. 18-02-2003 | Отправлено: 20:52 18-03-2014
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Такой вопрос.
Есть политика, которая действует только для раздела "Конфигурация компьютера".
Она применяется ко всем компам, подключенным к домену.
Среди многих параметров - адрес WSUS.
 
Как сделать, чтобы для одного ПК можно было применить другой адрес (другой WSUS-сервер потестить)?
Создал OU, группу безопасности, включил в неё этот комп.  
Но, походу, корневая политика все настройки перебивает.
Подскажите, чёкак.

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 20:23 25-05-2014
urodliv



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sauron_zombie
Чёкак система-то? 2003, али старше чего?

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

Всего записей: 6714 | Зарегистр. 29-04-2009 | Отправлено: 20:55 25-05-2014
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
urodliv
 
Блин, сорри. Хотел же написать про это, да забыл.
 
2008 R2 у меня.  
Компьютер в default папке Computers.

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 21:00 25-05-2014 | Исправлено: Sauron_zombie, 22:38 25-05-2014
wwladimir



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sauron_zombie
Для одной машины можно и без политики.
Ключики реестра-
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://ваш_WSUS"
"WUStatusServer"="http://ваш_WSUS"
 
А через политики-на вкладке "делегирование" дефолтной политики добавьте подопытную машину и по
кнопочке "дополнительно" настройте ей безопасность, запретив "чтение" или "применить политику".
 
Если машины в разных OU то используйте enforced (правой кнопкой мыши  GPO-принудительный).

Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 08:34 26-05-2014 | Исправлено: wwladimir, 08:40 26-05-2014
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wwladimir
Про ключи знаю, но они сбрасываются через некоторое короткое время на значения из политики.
Enforced попробую.  
Спасибо!

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 11:38 26-05-2014
izot0p

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток друзья.  
 
Есть сервак, на нем подняты роли:
1) Служба удаленных раб.столов
2) Файловое хранилище
 
Естественно пачка локальных юзеров на сервере, юзеры по РДП конектятся на сервер под этими учетками. На сервере есть такая прога "СБис++ Налоговая отчетность" с полным набором сертификатов и т.д, настроена на конкретного пользователя "БУХА".
Мне надо поднять на этом серваке Domain Controller (AD, DNS,DHCP)
 
Так вот вопрос:
При поднятии роли AD, у меня все пользовательские учет.записи переедут в AD, я так понимаю. Сохранятся ли при этом у них настройки, (чтоб проги работали "СБис++, 1С и ...") или нет, и надо будет ручками все заново прописывать. А также смогут ли эти юзеры также по РДП конектится к серверу после поднятия АД.

Всего записей: 5 | Зарегистр. 24-04-2012 | Отправлено: 15:20 26-05-2014
yrkrus



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
izot0p
 
Локальные учетки это локальные, а АД учетки это АД учетки, т.е. придется все перенастраивать (ну или если не очень хочется все в ручами делать то GPO в помощь)
 

Цитата:
А также смогут ли эти юзеры также по РДП конектится к серверу после поднятия АД.

если добавишь новые учетки в группу пользователей удаленного рабочего стола  
 
 
Добавлено:
И вообще я как понял используется один сервер и на нем будет развернута роль AD? если да то так не рекомендуется делать по соображениям  безопасности.

Всего записей: 379 | Зарегистр. 30-11-2010 | Отправлено: 15:56 26-05-2014 | Исправлено: yrkrus, 15:59 26-05-2014
izot0p

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yrkrus
 

Цитата:
Локальные учетки это локальные, а АД учетки это АД учетки, т.е. придется все перенастраивать (ну или если не очень хочется все в ручами делать то GPO в помощь)
 

 
Спасибо что разъяснили)
Просто я тестил на виртуалке, все те пользователи (локальные на сервере) при добавлении роли АД, перемещались в AD Users and Comp->domain.local->Users. Думал может настройки сохранятся)

Всего записей: 5 | Зарегистр. 24-04-2012 | Отправлено: 16:09 26-05-2014
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот нашёл неплохой цикл статей - Управление групповыми политиками в организации (на одной странице - тут).
 
В частности, говорится о приоритетах. Но вот сделал я "Принудительное использование связи объекта групповой политики", а эффекта не вижу.
 
Сейчас используется способ, который подсказал wwladimir:

Цитата:
А через политики-на вкладке "делегирование" дефолтной политики добавьте подопытную машину и по
кнопочке "дополнительно" настройте ей безопасность, запретив "чтение" или "применить политику".  

А этот способ почему-то не срабатывает:

Цитата:
Если машины в разных OU то используйте enforced (правой кнопкой мыши  GPO-принудительный).


Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 11:43 27-05-2014
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что-то не помогает на одном компе даже и этот метод.
Ничего толкового не узнал и из gpresult /r
Как кто ошибки вычленяет?

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 00:02 28-05-2014
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Наверное, я чего-то недопонимаю, но:

Цитата:
Членство: локальные группы могут включать:
    любой объект безопасности (принципал) из домена: пользователи, компьютеры, глобальные группы, локальные доменные группы;

У меня есть группа (Локальная в домене) - "WSUS-test-grp", в которую я включил компьютер из дефолтной Computers. Находится она в OU, созданном для тестов - "WSUS-test".  
Я создал политику с особыми настройками для нового тестового WSUS-сервера и привязал к OU "WSUS-test".
Выше я писал, что ничего не помогает перебить корневую политику.
Так вот, стоило мне переместить компьютер из дефолтной Computers в это самое OU "WSUS-test" и сделать gpupdate /force на том компе, так сразу в gpresult /r всё стало нормально, а в реестре всё появилось.
 
Цитату привёл выше специально. Не могу понять, почему нужно переносить компы в OU, если их можно включать в группы?

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 12:39 28-05-2014
dirar01

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброе утро.
Создал нового пользователя в AD и хотел добавить его на терминальном сервере в Пользователи удаленного рабочего стола, но по кнопке добавить и дальнейшим поиском никак не могу найти этого пользователя. На других компьютерах новый пользователь появляется.

Всего записей: 33 | Зарегистр. 30-05-2014 | Отправлено: 10:04 17-06-2014
AMudrenko

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...

Всего записей: 1 | Зарегистр. 17-06-2014 | Отправлено: 14:39 17-06-2014 | Исправлено: AMudrenko, 16:01 17-06-2014
dirar01

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
терминальный сервер - это отдельный физический сервер, а так он заведен в домен.
несколько сайтов, да в одном сайте.
добавляю так:
встаю на organizational unit - new- user и все.
как обычно. никогда до этого не было проблем.

Всего записей: 33 | Зарегистр. 30-05-2014 | Отправлено: 16:28 17-06-2014
dirar01

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сегодня пользователи появились

Всего записей: 33 | Зарегистр. 30-05-2014 | Отправлено: 09:03 18-06-2014
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AMudrenko

Цитата:
Если политика привязана к OU "WSUS-test", а не ко всему домену, то она и будет выполняться только к компьютерам, которые лежат в этой OU.
Если в политике дополнительно указать что она распространяется только на группу безопасности "WSUS-test-grp", то политика применится на компах, которые лежат в OU И входят в группу.  

Получается, что ключевое здесь "И"?
Если ПК в дефолтной Computers, то хоть включай его в группу, хоть не включай, пока не перенесёшь в OU с нужной политикой, ничего работать не будет?

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 13:40 20-06-2014
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сделал следующим образом.
В корне создал политику и привязал её ко всему домену.  
В фильтре безопасности убрал "Прошедшие проверку" и добавил свою группу "WSUS-test-grp". Членами этой группы теперь являются ПК, добавляемые из Computers.  
На вкладке делегирование добавил группу "WSUS-test-grp" с правами чтения.
На политике щёлкнул правой кнопкой и выбрал "Принудительный".
 
Вывод для себя сделал такой.  
Для дефолтных OU типа "Computers" нужно политику создавать на самом верхнем уровне (т.е. в корне) и привязывать к этому самому корню (домену). Группа безопасности может лежать где угодно - хоть в корне, хоть в каком-то OU. В группу можно включить компы из "Computers". Но политика, привязанная к какому-то дочернему контейнеру-OU, не будет применяться к родительскому элементу, пусть даже в этом дочернем OU и лежит группа безопасности.  
Получается, или переносить учётные записи компов в нужные OU с привязанными политиками, или лепить всё в корень (как в моём случае, т.к. нужный мне VBS-скрипт не работает с чем-то иным, кроме "Computers").  
 
Разораться мне помогли: rsop.msc и gpresult /r
Отдельное спасибо: gpupdate /force

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 14:06 25-06-2014
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru