Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
 
Предыдущая часть этой темы здесь.

Всего записей: 11820 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Просто не могу понять откуда инфа, что придется всех заново включать в домен? Если я скажу что-то типа, да ерунда это, понаверчу сайтов, и окажется, что таки надо выводить и вводить тачки... Их, блин, более 1000

 
Ну надо проанализировать политики какие применяются в сети, особенно связанные с сетевыми настройками, в общем результирующие политики. Потом подсобрать инфу по скоростям м/у сетями. И так далее. А чтобы машина вдруг вылетела именно из домена, а не просто его потеряла, если вдруг с ДНС косяки, то даже не представляю как.

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 13:23 25-08-2015
DieMaN



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ребят такой вопрос, возможно немого не в тему.  
Имеется маршрутизатор D-Link DFL-1660 и Active Directory (Windows Server 2008 R2). На маршрутизаторе есть возможность авторизовать пользователей через LDAP, т.е. грубо говоря открывая браузер пользователь для того чтобы попасть в интернет должен ввести свои доменные логин/пароль. Всё замечательно работает, но есть пара неудобных моментов:
1) После прохождения авторизации в браузере пользователь полазив по страничкам не закрывая браузера переключается на другую задачу на довольно длительное время, например на час.. И потом разворачивая браузер необходимо опять проходить авторизацию. Такое поведение не удобно когда доступ к ПК имеет только один человек, например сотрудник организации.
2) После прохождения авторизации в браузере пользователь полазив по страничкам закрывает браузер, но при этом сессия остаётся как бы открытой. Т.е. другой пользователь открыв браузер на этом же ПК выходит в интернет под учётными данными предыдущего пользователя. Такое поведение не удобно когда ПК публичный (в частности библиотечный ПК).
Собственно вопрос:
В Active Directory есть ли какой либо таймаут сессии при такой авторизации?
 
PS. На форуме Dlink ответов нет.
PPS. Ради эксперимента авторизовался в браузере, вышел в интернет. Закрыл браузер, перезагрузил ПК, открываю браузер и открываю странички без какой либо авторизации, т.е. сессия активна.
Подскажите пожалуйста в какую сторону копать.
 
attaattaatta Спасибо за предыдущий ответ и ссылки, этот этап уже пройден.

Всего записей: 169 | Зарегистр. 28-12-2003 | Отправлено: 14:48 15-09-2015 | Исправлено: DieMaN, 14:56 15-09-2015
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DieMaN
Скорее всего по кукизам отслеживается. AD здесь ни при чем.
Цитата:
В Active Directory есть ли какой либо таймаут сессии при такой авторизации
Не разруливает AD никакие сессии. Наиболее близко стоит параметр "время жизни билета" в Kerberos, но это не то.
Там нет случаем авторизации не LDAP, а Windows?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 15:11 15-09-2015
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
DieMaN
Dlink уже и до AD добрались, быть беде =)
http://www.dlink.com/-/media/Business_Products/DFL/DFL%20860E/Manual/DFL%20860E_User%20Manual_EN_US.pdf

Цитата:
Connection Timeouts
 
An Authentication Rule can specify the following timeouts related to a user session:
• Idle Timeout
How long a connection is idle before being automatically terminated (1800 seconds by default).
• Session Timeout
 
The maximum time that a connection can exist (no value is specified by default).
If an authentication server is being used then the option to Use timeouts received from the
authentication server can be enabled to have these values set from the server.
Multiple Logins
 
An Authentication Rule can specify how multiple logins are handled where more than one user from
different source IP addresses try to login with the same username. The possible options are:
 
• Allow multiple logins so that more than one client can use the same username/password
combination.
• Allow only one login per username.
• Allow one login per username and logout an existing user with the same name if they have been
idle for a specific length of time when the new login occurs.
 

 
UPD Понятно что мануал по другому девайсу, но ОС у них одна. И да, разруливать надо на аппарате.
 

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 15:11 15-09-2015 | Исправлено: attaattaatta, 15:13 15-09-2015
DieMaN



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Paromshick Нет, есть только LDAP, Radius и Local, но attaattaatta кажется нашёл, что я так искал
attaattaatta Большущее спасибо, завтра попробую, хитрозапрятанные опции находятся на вкладке Restrictions куда я не заглядывал.
 
 

Всего записей: 169 | Зарегистр. 28-12-2003 | Отправлено: 16:14 15-09-2015
inomaratadeath

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
комрады, нужна помощь. АД досталась в наследство. Админ, настраивавший её, давно уволился, ещё задолго до меня. Проблема возникла при попытке назначить групповую политику для всех пользователей : в оснастке "Active Directory - пользователи и компьютеры" группа Users с всеми пользователями домена есть, а в оснастке "Управление групповой политикой" -- её нету, соответственно - не могу к ней применить политику. При попытке создать такую же группу выдаётся сообщение, что такая группа уже существует, хотя я её в упор не вижу.  
http://i60.fastpic.ru/big/2015/1021/c7/a3a311fcb80c29b119bfe846cf89f4c7.png
http://i60.fastpic.ru/big/2015/1021/dd/7e4f1653b30219a6bfec215b129e3bdd.png

Всего записей: 48 | Зарегистр. 12-04-2009 | Отправлено: 14:45 21-10-2015
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
inomaratadeath
http://technet.microsoft.com/en-us/library/cc978249.aspx  
 
"It is not possible to link a Group Policy object to a generic Active Directory container. (A generic Active Directory container is identifiable by its plain folder icon in the Active Directory Users and Computers console. The icon for an organizational unit is similar, except that a small book is superimposed on the folder.) However, users and computers in generic Active Directory containers do receive policy by inheritance from Group Policy objects linked at a higher level of Active Directory. For example, the Users and Computers containers you see in Active Directory Users and Computers cannot have Group Policy objects linked directly to them, but they do receive domain-linked Group Policy objects by means of inheritance."
 
Redirecting the users and computers containers in Active Directory domains
https://support.microsoft.com/en-us/kb/324949

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 16:02 21-10-2015
inomaratadeath

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
гугловский переводчик вкратце мне пояснил, что там майкрософт накуховарили. В результате пришлось нужных юзверей засовывать в группу и уже к группе применять политику.

Всего записей: 48 | Зарегистр. 12-04-2009 | Отправлено: 20:08 22-10-2015
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
inomaratadeath
Вообще-то там всё написано. Есть специфические группы, создаваемые во время развертывания домена AD. Наследование и пр. Что прилинковано сверху, то и распространяется. Обычно там юзеров не держат, а создают OU, а туда уж линкуют что хотят. Таков дизайн.
Не хотите иметь дело с доменом AD? Ваше право. Есть еще домены: интернета, SMTP домены. Да и помимо виндовс есть еще оси )

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:50 22-10-2015
floatlife

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
народ, я в политиках групп AD пока плох, помогите плиз,  
нужно сделать - заблокировать доступ для всех на определенный интернет  ресурс (например www.google.ru), и сделать\оставить доступным его для пользователей входящих в группу
 
можно ли такое провернуть? и какие подпрыжки совершить?

Всего записей: 2 | Зарегистр. 11-11-2015 | Отправлено: 22:01 11-11-2015
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я бы сказал, что совсем плох. Вы сможете сделать у себя на компьютере то, что озвучили выше? Только настройкой реестра. Вряд ли.
Так вот. Политики - это просто массовое применение этих самых настроек, не более того.
 
В сторону сети смотрите и GW, дружащих с AD. Но, судя по тому куда задан вопрос, от этого вам еще хуже чем плохо станет :шютка:

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 22:27 11-11-2015
floatlife

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
спасибо за разъяснения,  
был неправ ...
буду копать в другом направлении,  
мне казалось в IE был список сайтов для блока, либо это было очень давно, либо спутал,  
посмотрел в 8,9, 11 - не нашел такого

Всего записей: 2 | Зарегистр. 11-11-2015 | Отправлено: 09:49 12-11-2015
anton04



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
floatlife
 
Ну и толку то с того что ты заблокируешь просмотр через IE какой-то сайт, а что мешает его же открыть в другом браузере!? Правильно НИЧЕГО не мешает.
 
Всё вопросы такого рода всегда решались на прокси сервере.

Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 11:03 12-11-2015
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
anton04
Ну как минимум политика запуска приложений помешает и AppLocker, правильно настроенные конечно =) Но конечно это не кошерно.

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 11:29 12-11-2015
serg53



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DEL

Всего записей: 967 | Зарегистр. 11-12-2006 | Отправлено: 13:50 26-11-2015 | Исправлено: serg53, 15:03 26-11-2015
marlin24

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну, предположим политика запрещает запустить программу iexplorer.exe а что мне запретить переименовать его в iiexplorer.exe и работать дальше? Нет, такие запреты можно вводить только на уровне firewall в сети. А там уже давать разрешения для групп или отдельных пользователей.

Всего записей: 91 | Зарегистр. 09-11-2006 | Отправлено: 14:01 26-11-2015 | Исправлено: marlin24, 14:02 26-11-2015
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
marlin24
Можно использовать хеширование или цифровую подпись. Фаер обойти можно любым туннелем например. Нет отдельных мер противодействия, есть только комплекс мер.

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 14:17 26-11-2015
serg53



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Странная ситуация с файловым сервером на Win 2003 после добавления в домен (не DC)
Нет доступа по адресу \\SRV.  А если так \\SRV.MYDOMEN.LOC,  то всё нормально.

Всего записей: 967 | Зарегистр. 11-12-2006 | Отправлено: 16:56 01-12-2015 | Исправлено: serg53, 16:57 01-12-2015
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Телепаю. С недоменной тачки?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:12 01-12-2015
serg53



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Телепаю. С недоменной тачки?

 
Не угадал - все тачки в домене

Всего записей: 967 | Зарегистр. 11-12-2006 | Отправлено: 19:02 01-12-2015
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru