Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
 
Предыдущая часть этой темы здесь.

Всего записей: 11820 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008
dxd

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем доброе время суток! Прошу тапками не кидать за глупый вопрос, но разобраться с ним не получается =( Ситуация такая был сервер Win 2r3 с настроенным AD+DNS, решили перенести его на 2008. Вроде все перенеслось (учетки, глобальный каталог и DNS), но по факту получилось, что походу ДНС не перенесся. Удалил ДНС с 2008, и установил его опять, но при попытке добавления прямой и обратной зон, выдает ошибку "мастер настройки dns-сервера не может выполнить настройку корневых ссылок". Короче сейчас компьютера не видят друг друга и не могу нормально ввести новые ПК в домен, так же через оснастку Active Directory - "пользователи и компьютеры", нет возможности удаленно управлять компьютерами((((( очень надеюсь на советы и помощь...

Всего записей: 6 | Зарегистр. 27-07-2012 | Отправлено: 19:05 07-10-2012
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема, гляжу, не особо активная, но надеюсь, что кто-то ответит...
 
Есть домен (пока ещё есть) - rec.admlr.loc. Он является дочерним по отношению к домену admlr.loc.
В силу обстоятельств произошло то, что время tombstone превышено и он (rec) считается для родительского (admlr.loc) мертвецом, т.к. нет репликаций. Контроллер дочернего домена rec.admlr.loc является хозяином только RID, PDC, Инфраструктуры. Остальными ролями FSMO является контроллер родительского домена.
Возможно ли захватить роли для своего куска домена (rec.admlr.loc) и жить без основного?
 
Добавлено:
Второй вопрос.
 
Создал свой домен rec.loc  
Контроллер старого домена rec.admlr.loc является и файловым сервером.
Пока существуют два этих домена. Пользователи продублированы на новом (rec.loc). Благодаря этому они заходят на старый контроллер и могут пользоваться файлами (все разрешения на папки действуют).
 
Что будет, если старый контроллер сделать рядовым сервером (удалить роль контроллера домена rec.admlr.loc)? Все разрешения исчезнут и доступ пропадёт? Придётся заново прописывать всё (папок много)?
 
Подскажите, как правильно поступить? Что сделать, чтобы было возможно не потерять права на каталоги?
 

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 20:10 01-11-2012
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я так и думал...




Флуд. /emx/

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 17:31 06-11-2012 | Исправлено: emx, 09:48 09-11-2012
Zzhjckfd

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос хочу задать по реорганизации домена, если честно с этой точки зрения не сталкивался, поэтому посоветуйте, куда смотреть и с чего начать.
Есть старый домен "ааа" на вин2003. Хочу полностью перенести его на 2008Р2, но есть загвоздка, компов порядочно (около 200), работу нарушать низя вообще, работают практически круглосуточно
 
Возможно ли следующее развитие событий: на новом серваке создаем домен "а", в него полностью перекидываем старый "ааа" в качестве поддомена (сохраняя текущие права доступа и ограничения), и постепенно из него создаем другие поддомены "аа", "аб", "ас", перемещая (одновременно переименовывая старые компы и пользователей) из "ааа".
 
Как плавно перебросить управление со старого на новый или нужно это делать сразу? С какими проблемами столкнусь на пользовательских компах? Насколько будет трудоемким процесс переноса данных пользователей? Возможна ли автоматизация?

Всего записей: 7 | Зарегистр. 22-06-2009 | Отправлено: 08:45 07-11-2012
wwladimir



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zzhjckfd
Вы хотите как посложнее и что бы работы побольше было ?
Или легко и правильно, тогда ставьте доп. контролер домена, передавайте ему роли, обновляйте схему и т.д.- http://technet.microsoft.com/ru-ru/library/cc733027(v=ws.10).aspx
 
DcPromo вам в помощь...

Всего записей: 526 | Зарегистр. 08-11-2006 | Отправлено: 15:57 07-11-2012
anton04



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Zzhjckfd
 

Цитата:
Возможно ли следующее развитие событий: на новом серваке создаем домен "а", в него полностью перекидываем старый "ааа" в качестве поддомена (сохраняя текущие права доступа и ограничения), и постепенно из него создаем другие поддомены "аа", "аб", "ас", перемещая (одновременно переименовывая старые компы и пользователей) из "ааа".

 
Да можно, но непонятно зачем это делать!? Непонятно зачем заморачиваться с поддоменами...
 

Цитата:
Как плавно перебросить управление со старого на новый или нужно это делать сразу?

 
как угодно, создаётся ещё один контроллер домена и всё.
 

Цитата:
С какими проблемами столкнусь на пользовательских компах?

 
ни с какими... если вы пропишите им ещё и адрес нового DNS...
 

Цитата:
Насколько будет трудоемким процесс переноса данных пользователей?

 
Настолько насколько для Вас труден процесс установки второго контроллера домена.
 

Цитата:
Возможна ли автоматизация?

 
Автоматизация чего? Создания второго контроллера домена? Синхронизация AD происходит автоматически и вмешательство не требует... Перенос ролей? Ну так это разовая работа, несколько команд да тыканья мышкой... проверка на ошибки AD и их исправление!? ну так это вообще индивидуальная работа и автоматизации не поддаётся...  

Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 16:49 07-11-2012
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А мой вопрос, значит, игнорируем?..





Флуд. /emx/

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 18:10 07-11-2012 | Исправлено: emx, 09:48 09-11-2012
anton04



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sauron_zombie
 
п. 2.8.3. главы VIII Соглашения по использованию
 
Если не ответили на Ваш вопрос значит или некому или Ваш вопрос никому не интересен.
 

Цитата:
Возможно ли захватить роли для своего куска домена (rec.admlr.loc) и жить без основного?

 
Нет, только для всего домена. Захват ролей описан в сотнях статьях и учебниках, расписывать тут не имеет смысла.
 

Цитата:
Что будет, если старый контроллер сделать рядовым сервером (удалить роль контроллера домена rec.admlr.loc)? Все разрешения исчезнут и доступ пропадёт?

 
Не понятно взаимоотношение двух доменов rec.loc и admlr.loc. Учитывая что это разные домены, похоже вы настроили доверие, а следовательно если погасите admlr.loc NTSF разрешения не будет отрабатываться в домене rec.loc, куда ж ему обращаться за проверкой логина и пароля то!?
 

Цитата:
Подскажите, как правильно поступить? Что сделать, чтобы было возможно не потерять права на каталоги?

 
Поднимаем второй контроллер домена в лесу admlr.loc и передаём ему все права и DNS в том числе. Далее понижается основной контроллер домена до рядового. Проверяется на корректность передачи ролей и т.п.

Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 20:42 07-11-2012
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anton04
 
Спасибо добрый человек!
 
Про правила знаю (первый раз меня тыкнули носом ), но тут человеку помогли, а я решил ещё разок напомнить о проблеме.
Извиняйте, если что не так!  
 

Цитата:
Не понятно взаимоотношение двух доменов rec.loc и admlr.loc. Учитывая что это разные домены, похоже вы настроили доверие

Никакого взаимоотношения нет. Доверия нет.
Для админов admlr.loc мы были пятым колесом (т.е. наш поддомен rec.admlr.loc, когда-то давно созданный). Они покоцали все поддомены, чтобы переложить нагрузку на подразделения (у кого стали свои домены, а кто перешёл в рабочие группы), а мы были последним бастионом. Но вот и он рухнул.
 

Цитата:
Поднимаем второй контроллер домена в лесу admlr.loc и передаём ему все права и DNS в том числе. Далее понижается основной контроллер домена до рядового. Проверяется на корректность передачи ролей и т.п.

Так вот если с admlr.loc не возможно ничего делать (не дадут, пошлют просто, т.к. это головное подразделение и отношения у нас натянутые), то без установки доверительных отношений нельзя никак права к папкам на нашем контроллере (он же и файл-сервер) сохранить?
Ведь в настройках безопасности каталогов идут такие строки - REC\user.  
Домен rec.loc создавали с надеждой, что будет совпадать доменная часть REC.  
Сейчас пользователи, созданные "с нуля" (со всеми настройками и паролями) на новом контроллере (rec.loc) могут работать с теми же каталогами, что и существующие учётки старого контроллера (rec.admlr.loc). Но вот если не будет старого контроллера, то в параметрах безопасности каталогов останутся только длинные номера SID.
 
Думал уже и о копировании всех каталогов через TotalCommander с галкой "Скопировать права доступа NTFS" для создания такой же структуры на другом сервере, но не знаю, поможет ли это...
 
 
И ещё раз спасибо!  

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 22:18 07-11-2012 | Исправлено: Sauron_zombie, 22:20 07-11-2012
anton04



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sauron_zombie
 

Цитата:
Про правила знаю (первый раз меня тыкнули носом ), но тут человеку помогли, а я решил ещё разок напомнить о проблеме.

 
Если вы хотите обратится к кому то лично, то пишите в ПМ, т.к. правила общие для всех и то что Вам очень надо не повод их нарушать, а по получается как наглые водилы в России "ну коли мне очень надо  то можно". Просто срабатывает негатив и отвечать на таким людям ну просто не тянет.
 
А теперь по делу:
 

Цитата:
Никакого взаимоотношения нет. Доверия нет.

 
Ну тогда делайте захват всех ролей и всё.
 

Цитата:
Домен rec.loc создавали с надеждой, что будет совпадать доменная часть REC.

 
бред... т.к. предыдущий домен admlr и причём здесь поддомен rec непонятно, ведать мало почитали теории по названию доменов, обратитесь повторно к соответствующей литературе...
 

Цитата:
на новом контроллере (rec.loc) могут работать с теми же каталогами, что и существующие учётки старого контроллера (rec.admlr.loc).

 
Это всё потому что в этом случае у Вас логин и пароль ходит в открытом виде. Такое делается, но далеко как не приветствуется.
 

Цитата:
Но вот если не будет старого контроллера, то в параметрах безопасности каталогов останутся только длинные номера SID.

 
Да всё верно.
 

Цитата:
Думал уже и о копировании всех каталогов через TotalCommander с галкой "Скопировать права доступа NTFS" для создания такой же структуры на другом сервере, но не знаю, поможет ли это...

 
Поможет от чего? Ну скопирует он права NTFS, а имена пользователей система видит как SID, а SID привязан к домену, не будет домена ник-то ничего не увидит.
 
Ещё раз рекомендую сделать захват ролей и не городить огород. Если хотите новый (независимый) admlr домен, то делаете новой и туда передаёте все роли, а старый КД понижаете до рядового.  
Если хотите совсем новое название домена то, опять же, поднимается второй КД в admlr перебрасываете ему роли и всё такое, гасите старый и потом переименовываете текущий и то что хотите (где у MS была соответствующая утилита для переименования домена, думаю найдёте).

Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 13:27 08-11-2012
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anton04
 

Цитата:
мало почитали теории по названию доменов

Всё так.

Цитата:
Ещё раз рекомендую сделать захват ролей и не городить огород. Если хотите новый (независимый) admlr домен, то делаете новой и туда передаёте все роли, а старый КД понижаете до рядового.  

Так я и спрашиваю, могу ли я на контроллере поддомена rec.admlr.loc захватить роли? Ведь он является хозяином только RID, PDC, Инфраструктуры. Остальными ролями FSMO является контроллер родительского домена.  
К основному домену admlr.loc у меня нет и не будет никакой возможности подключиться, чтобы что-то там сделать. Да и связи теперь между ними нет (физически). А пользователи есть и права на каталоги для групп (OU) есть.
 
С новым контроллером домена (rec.loc) не удаётся установить доверие со старого (rec.admlr.loc), т.к. он является всего лишь часть большого домена admlr.loc.

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 19:29 08-11-2012
anton04



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sauron_zombie
 

Цитата:
Так я и спрашиваю, могу ли я на контроллере поддомена rec.admlr.loc захватить роли?

 
Можете. Можете захватить любые роли.
 

Цитата:
С новым контроллером домена (rec.loc) не удаётся установить доверие со старого (rec.admlr.loc), т.к. он является всего лишь часть большого домена admlr.loc.

 
После захвата ролей всё сможете сделать.

Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 10:59 09-11-2012
Sauron_zombie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anton04
Буду тогда пробовать это осуществить.  
Спасибо вам!

Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 15:51 11-11-2012
DevNOOL

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток.
Скажите возможно ли сделать так что бы пользователи AD не были привязаны к физической машине а могли получить доступ к своим профилям с любой машины в сети включая почту, хлам на рабочем столе, настройки программ (по сути на всех компах стоит идентичный набор ПО), вплоть до картинки на рабочем столе? Терминальный доступ использовать пока не хочу.
 
Если есть подобная функция/возможность в AD скажите хотя бы как называется чтоб искать в гугле что-то определённое, или хотя бы подскажите направление раскопок.
 
Заранее спасибо.

Всего записей: 9 | Зарегистр. 01-06-2010 | Отправлено: 17:20 28-11-2012
Yaromaxx

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
DevNOOL ключевое слово для поиска "перемещаемые профили" (roaming profiles)

Всего записей: 399 | Зарегистр. 24-02-2010 | Отправлено: 17:23 28-11-2012
DevNOOL

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Yaromaxx
 
Спасибо буду копать.

Всего записей: 9 | Зарегистр. 01-06-2010 | Отправлено: 17:34 28-11-2012
OOD

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Yaromaxx
Подскажите а что происходит, если хранилище профилей исчезает? К примеру был дисковый массив с сотнями узеров и он исчез,тогда пользователи живут на кеше, а если нужно отключить "перемещаемые профили", достаточно просто убрать путь в учетке пользователя где хранились перемещаемые профили и тогда пользователь продолжит жить на своем локальном хранилище?
 

Всего записей: 3378 | Зарегистр. 20-05-2006 | Отправлено: 17:34 28-11-2012
23q



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Достался в наследство сервер с Active Directory, нужно его вывести в раб. группу.  Он в сети один, все компы уже в рабочей группе. Если я удалю на этом контроллере Active Directory, то потом зайти на этот сервер смогу под локальным админом? Как узнать пароль локального админа, до удаления Active Directory?

Всего записей: 369 | Зарегистр. 09-02-2009 | Отправлено: 11:51 07-12-2012
OOD

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
23q
Загрузиться с alkid live cd и сбросить пароль на локального админ.

Всего записей: 3378 | Зарегистр. 20-05-2006 | Отправлено: 11:55 07-12-2012
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Достаточно просто после сноса домена и даунгрейда контроллера зайти в оснастку управление юзерами, и установить пароль и логин (по необходимости) на локального админа.

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 12:29 07-12-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru