emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Active Directory (AD) смотрите также: Групповые политики (Group Policy) Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы   В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.   » Как отличить общий вопрос от частного?   » Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory   » Полезные ресурсы по Active Directory (AD)   Предыдущая часть этой темы здесь. Всего записей: 11825 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008

Zloy_TapakaH Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Прошу совета, где копать: Ситуация - сеть 14 ПК, из которых 1 AD server - WS2008 R2 ENT, 1 сревер терминалов на WS2003 R2 ENT (под 1С), остальные WinXP sp3 PRO. Пользователи входят в сеть под учетками, заведенными в AD. На "терминальном" сервере есть шары, открытые для группы "Пользователи домена". Появилась необходимость добавить разрешения на этих шарах для пользователей, не входящих в группу "пользователи домена". При вызове настроек общего доступа, нажимаем "разрешения" - "добавить" - "размещение" и видим только локальный компьютер. Т.е. проблема в том, что не видит структуру групп/пользователей AD. Ранее забитые разрешения на сетевые "пользователи домена" успешно функционируют. Вручную забить новых пользователей AD не получается (не прописываются пользователи типа asm\user123, user123@asm, user123@asm.local и т.д.) При этом вполне нормально логинится под сетевой учеткой, ходит по шарам на других ПК по учетке AD.   Какие нужны логи, отчеты? Может в отдельную тему? Всего записей: 14 | Зарегистр. 02-07-2005 | Отправлено: 05:55 28-02-2014

say24 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Задался вопросом о возможности поднять контроллер AD на рабочей станции. Виртуалка - не годится, ввиду очевидных неудобств. Точнее - первичный контроллер - вполне можно посадить на виртуалку и периодически его поднимать. Но "постоянно действующий" контроллер - очень хочется запустить на одной из рабочих станций. Варианты с поднятим реального сервера, я не рассматриваю по нескольким причинам: 1. Ситуация не позволяет поднять сервер, так как это принесёт больше проблем, чем решит (описывать проблемы не буду - это личное). 2. Если возникнет вопрос о поднятии контроллера на серверной ОС (не суть - виртуальной или реальной), то тут вопросы и заканчиваются - всё и так понятно и многократно пройдено   Абсолютно уверен, что тем поднималась неоднократно, но навскидку - не нашёл решений. Всего записей: 261 | Зарегистр. 18-02-2003 | Отправлено: 20:52 18-03-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Такой вопрос. Есть политика, которая действует только для раздела "Конфигурация компьютера". Она применяется ко всем компам, подключенным к домену. Среди многих параметров - адрес WSUS.   Как сделать, чтобы для одного ПК можно было применить другой адрес (другой WSUS-сервер потестить)? Создал OU, группу безопасности, включил в неё этот комп.   Но, походу, корневая политика все настройки перебивает. Подскажите, чёкак. Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 20:23 25-05-2014

urodliv Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sauron_zombie Чёкак система-то? 2003, али старше чего? ---------- Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением. Всего записей: 6689 | Зарегистр. 29-04-2009 | Отправлено: 20:55 25-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору urodliv   Блин, сорри. Хотел же написать про это, да забыл.   2008 R2 у меня.   Компьютер в default папке Computers. Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 21:00 25-05-2014 | Исправлено: Sauron_zombie, 22:38 25-05-2014

wwladimir Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sauron_zombie Для одной машины можно и без политики. Ключики реестра- [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "WUServer"="http://ваш_WSUS" "WUStatusServer"="http://ваш_WSUS"   А через политики-на вкладке "делегирование" дефолтной политики добавьте подопытную машину и по кнопочке "дополнительно" настройте ей безопасность, запретив "чтение" или "применить политику".   Если машины в разных OU то используйте enforced (правой кнопкой мыши  GPO-принудительный). Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 08:34 26-05-2014 | Исправлено: wwladimir, 08:40 26-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору wwladimir Про ключи знаю, но они сбрасываются через некоторое короткое время на значения из политики. Enforced попробую.   Спасибо! Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 11:38 26-05-2014

yrkrus Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору izot0p   Локальные учетки это локальные, а АД учетки это АД учетки, т.е. придется все перенастраивать (ну или если не очень хочется все в ручами делать то GPO в помощь)   Цитата: А также смогут ли эти юзеры также по РДП конектится к серверу после поднятия АД. если добавишь новые учетки в группу пользователей удаленного рабочего стола       Добавлено: И вообще я как понял используется один сервер и на нем будет развернута роль AD? если да то так не рекомендуется делать по соображениям  безопасности. Всего записей: 379 | Зарегистр. 30-11-2010 | Отправлено: 15:56 26-05-2014 | Исправлено: yrkrus, 15:59 26-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вот нашёл неплохой цикл статей - Управление групповыми политиками в организации (на одной странице - тут).   В частности, говорится о приоритетах. Но вот сделал я "Принудительное использование связи объекта групповой политики", а эффекта не вижу.   Сейчас используется способ, который подсказал wwladimir: Цитата: А через политики-на вкладке "делегирование" дефолтной политики добавьте подопытную машину и по кнопочке "дополнительно" настройте ей безопасность, запретив "чтение" или "применить политику".   А этот способ почему-то не срабатывает: Цитата: Если машины в разных OU то используйте enforced (правой кнопкой мыши  GPO-принудительный). Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 11:43 27-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Что-то не помогает на одном компе даже и этот метод. Ничего толкового не узнал и из gpresult /r Как кто ошибки вычленяет? Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 00:02 28-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Наверное, я чего-то недопонимаю, но: Цитата: Членство: локальные группы могут включать:     любой объект безопасности (принципал) из домена: пользователи, компьютеры, глобальные группы, локальные доменные группы; У меня есть группа (Локальная в домене) - "WSUS-test-grp", в которую я включил компьютер из дефолтной Computers. Находится она в OU, созданном для тестов - "WSUS-test".   Я создал политику с особыми настройками для нового тестового WSUS-сервера и привязал к OU "WSUS-test". Выше я писал, что ничего не помогает перебить корневую политику. Так вот, стоило мне переместить компьютер из дефолтной Computers в это самое OU "WSUS-test" и сделать gpupdate /force на том компе, так сразу в gpresult /r всё стало нормально, а в реестре всё появилось.   Цитату привёл выше специально. Не могу понять, почему нужно переносить компы в OU, если их можно включать в группы? Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 12:39 28-05-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AMudrenko Цитата: Если политика привязана к OU "WSUS-test", а не ко всему домену, то она и будет выполняться только к компьютерам, которые лежат в этой OU. Если в политике дополнительно указать что она распространяется только на группу безопасности "WSUS-test-grp", то политика применится на компах, которые лежат в OU И входят в группу.   Получается, что ключевое здесь "И"? Если ПК в дефолтной Computers, то хоть включай его в группу, хоть не включай, пока не перенесёшь в OU с нужной политикой, ничего работать не будет? Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 13:40 20-06-2014

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сделал следующим образом. В корне создал политику и привязал её ко всему домену.   В фильтре безопасности убрал "Прошедшие проверку" и добавил свою группу "WSUS-test-grp". Членами этой группы теперь являются ПК, добавляемые из Computers.   На вкладке делегирование добавил группу "WSUS-test-grp" с правами чтения. На политике щёлкнул правой кнопкой и выбрал "Принудительный".   Вывод для себя сделал такой.   Для дефолтных OU типа "Computers" нужно политику создавать на самом верхнем уровне (т.е. в корне) и привязывать к этому самому корню (домену). Группа безопасности может лежать где угодно - хоть в корне, хоть в каком-то OU. В группу можно включить компы из "Computers". Но политика, привязанная к какому-то дочернему контейнеру-OU, не будет применяться к родительскому элементу, пусть даже в этом дочернем OU и лежит группа безопасности.   Получается, или переносить учётные записи компов в нужные OU с привязанными политиками, или лепить всё в корень (как в моём случае, т.к. нужный мне VBS-скрипт не работает с чем-то иным, кроме "Computers").     Разораться мне помогли: rsop.msc и gpresult /r Отдельное спасибо: gpupdate /force Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 14:06 25-06-2014

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование