Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
 
Предыдущая часть этой темы здесь.

Всего записей: 11820 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Залить систему, не ставить драйверы, установить стандартный (читай офисный) софт, плюс, возможно, что-то специфическое, типа Reader, хоть он и встроен уже кругом. Обновится полностью. Sysprep (отдельная тема, буквально, как там лучше и кому что надо). Слить образ. Заливать на новые компы.
Залитые новые компы, вводить в домен. Если сразу, то не создается локальный пользователь с правами администратора, ну, а если после, то создается ЕЩЕ один, или просто один, если старый был удалён при подготовке клонирования.
Основной вопрос: клонирование, там и копья ломать. По AD ничего не изменилось, так чтоб ну_ваще_всё_новое. Всё старое, только более ламерское

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 21:25 24-09-2017 | Исправлено: Paromshick, 21:26 24-09-2017
KocmonpaB



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
contrafack
 
Если есть возможность, добавить в домен, а доустановку и обновление пускай делают групповые политики.

Всего записей: 770 | Зарегистр. 20-09-2005 | Отправлено: 06:34 26-09-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
KocmonpaB
 
Ну там компов у нас не много. где то 30-35 штук. не в падлу для начала все переустановить и обновить ручную. дела в том, что никогда групповыми политиками ничего не делал
Я так и не понял, про установке создать локальный учетный запись или сразу в домен вводить?  
 
А если через Sysprep подготовить систему для шаблонного клонирования, то еще надо "систем центр" еще, или WDS ?  
хотя Sysprep_ом тоже никогда не пользовался.

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 19:06 27-09-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Тогда сделайте, как "не в падлу".
Вообще, ничего сложного в сиспрепе. Поставьте, залейте обновления и софт и запустите сиспреп. Таки гугль рулит. После выключения компьютера - снимите образ и раскатывайте его. Увидите, что локальный пользователь, ранее созданный под ногами путается. Его можно пофиксить, НО
Здесь это оффтоп жутчайший. Есть же тема Клонирование Windows: Ghost, True Image, Sysprep  Домен здесь вообще ни при чём


----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:31 27-09-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
 
блин, опять таки! как быть с локальными пользователями. Надо ли они? создать их при установке ?

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 23:57 28-09-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Опять таки - блин. Здесь, это оффтоп.
Реально, если я скажу, что нужен\не нужен локальный пользователь, то тут же набегут гуру-холиварщики, которые начнут ЗДЕСЬ копья ломать, хоть я указал уже тему, где это стоит делать.
 
Потому: чистое ИМХО, просьба не ссылаться.
Я бы сразу ввел в домен, зашел доменным админом, разобрался бы со встроенным администратором, залил из-под него софт. Не получается сейчас зайти админом, не создавая пользователя или я не знаю, как это сделать. Вывел из домена. Сделал сиспреп - generalize - shutdown. Слил образ акронисом или dism заюзал, смотря что хочу в итоге получить.
Раза с 10-го получилось бы, ибо обычно, какую-нибудь настроечку да забудешь.
И вообще - указал же тему. Хочется профиль единый и настроенный - там обсудить надо. Что там еще по мелочи... Много с ХР утекло. Меня всегда профиль интересовал и безопасность. Наличие профиля пользователя, отличного от встроенного, да еще и с привилегиями, не считаю полезным. Может его можно как-то с корнями выдрать - не знаю.
 
AD здесь Ни при чём

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 10:30 30-09-2017 | Исправлено: Paromshick, 10:32 30-09-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick

Цитата:
Я бы сразу ввел в домен, зашел доменным админом

А зачем вообще из рабочей станции зайти в домен с привилегиями домен.админа? А еще говорите о безопасности. Не лучше создать локального админа, из под него все делать, потом уже вводить в домен сразу под пользваотельской учеткой уже?

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 13:46 30-09-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Странно. Вы вроде здесь не первый день... Зачем здесь-то оффтопить?
Хотя, "зайти в домен", это уже не офтоп. Я зайду на локальную машину с привилегиями локального администратора. По умолчанию, группа Domain Admins включается в локальную группу Администраторы. И пользуясь привилегиями локального администратора, из под него включу встроенного, задам ему пароль и все дальнейшие действия буду делать из под него. Понимаете, нет? Вот и всё, зачем мне нужен домен. Если можно воспользоваться встроенной УЗ (account) Администратора как-то по иному (вЫнь 10) то огласите. Я не знаю способа.
Я знаю способ заюзать домен политики так, чтобы некий доменный пользователь, скажем DeployUser, будучи в домене рядовым, на данной тачке получил бы привилегии локального администратора. Оно мне надо?
Обоими локальными профайлами, после сиспреп, можно пренебречь. Удалить их и всё. Создав локального, как мы любим User, после sysprep, вы уже повторно его не создадите. Вот последний абзац - уже офтоп.
 
 
И вообще. Вы плохо читать умеете? Писал же
Цитата:
Потому: чистое ИМХО, просьба не ссылаться.
Следующим же постом идёт именно ссылка именно на то, на что просил не ссылаться.
Как это? Разбирайтесь сами тогда

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:03 30-09-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я серьезно запутался уже.. задал один вопрос, получил ответы на совсем другие вопросы.  
Давно я работал с доменами, еще на 2003_м, сейчас много чего забыл.  
никакого офтопа нет! тут тема про AD, и вопросы про него (ну про контроллер домена)
 
смотрю видео, там на одном рабочей станции, с привилегиями "user" выполняют команду "net user /domain" и команда показывает всех пользователей домена!  
Можете у себя выполнить эту команду, чтоб убедится в точности эксперимента? Я всегда думал, что из мог обычных пользователей нельзя получить список всех учетных записей домена, а тут такое...  

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 23:45 01-10-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Мне кажется всё проще: вы просто запутались. Вам надо всё и сразу, как это часто бывает.
Про клонирование винды - есть тема. Однозначно оффтоп обсуждать это здесь.
Насчет вывода списка пользователей, таки да. По умолчанию, записи AD могут читать все, ну или почти все. Читать же. Как иначе понять, какими пользователь обладает привилегиями, если не считать его атрибуты? В какие группы он входит и т.д. Никак. И в 2003 было так же.
Только начинали вы не с этого. Определитесь с тем, что вы хотите делать, станет легче.
 
Я бы озаботился отказоустойчивостью, наличием Exchange, вообще - планированием. А ввести тачки в домен, не сложно. По умолчанию безопасность настроена разумно...
Кстати, насчет "умолчаний". Найдите встроенные политики (их две) домена и контроллеров домена и забэкапьте их, там штатный пункт меню есть. Они уникальны для "чистого" домена. И хорошим стилем считается их не править.
Под каждую настройку создается своя политика. Одина настройка - одна политика, не путать с параметрами. Например, настройка удаленного помощника, это пять параметров. Небольшой файл со своими конфигами. В случае чего - рискуете только им. А не всем фаршем за всё вообще, который можно в политику напихать.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 07:41 02-10-2017 | Исправлено: Paromshick, 07:43 02-10-2017
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick

Цитата:
Про клонирование винды - есть тема. Однозначно оффтоп обсуждать это здесь.  

Что самое интересное, я не задал вопрос по клонированию )))))  

Цитата:
Как иначе понять, какими пользователь обладает привилегиями, если не считать его атрибуты?  

Да вы что )) а этой же видео выполняется команда "net group /domain", выясняются какие группы есть, а потом делает помоему "net group "domain admins" /domain" и показывает всех пользователей из этой же группы! И это на Win 2016 сервере.  
 

Цитата:
Только начинали вы не с этого. Определитесь с тем, что вы хотите делать, станет легче.

Мне интересует правильный ввод в домен новых систем. полый путь с инсталляции, создание учетки и ввода. на примере win 2016 и win10
 

Цитата:
Найдите встроенные политики (их две) домена и контроллеров домена и забэкапьте их, там штатный пункт меню есть. Они уникальны для "чистого" домена. И хорошим стилем считается их не править.  

К сожалению с GP никогда не работал на корпоративном уровне. Ну не пришлось, так сказать  
Вот жду удобного повода, чтоб поюзать, посмотреть что да и как.  

Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 22:10 02-10-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Ну, то есть вы ни о чем не спрашивали, ничего вам не надо. Поучить, покритиковать.
Простите, я ошибся. Это бывает.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 07:26 04-10-2017
sarkan20



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!  
Есть домен 2012 R2 и куча пользователей.  
Возможно ли делегировать права пользователя на редактирование своей карточки?
Например пользователь находит себя в АД(через поиск в домене) и редактирует свои данные. Только надо именно чтобы сам себя мог редактировать, на других прав нету.

Всего записей: 29 | Зарегистр. 11-10-2016 | Отправлено: 08:39 10-10-2017
KocmonpaB



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
sarkan20
 
продублирую здесь
 

Цитата:
 
В проводнике когда кликаете сеть, сверху появляется кнопка, в английской версии обзывается Search Active Directory. Ищем себя родного, если не вставляли никаких костылей, пользователь может изменять персональные аттрибуты.
 


Всего записей: 770 | Зарегистр. 20-09-2005 | Отправлено: 00:14 12-10-2017
rodent81

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем доброго дня!
 
Прочитал сегодня вопрос и задумался. Никак не могу понять, что надо делать. Чувствую, что истина где-то рядом, но не могу её поймать Подскажите куда копать?
 
Собственно сам вопрос:
Настроить отношение домен контролеров a -> b, т.е. чтобы пользователи домена a логинились в домене b но не в обратном направлении.
 
Уже нашёл ответ - не надо

Всего записей: 14 | Зарегистр. 26-02-2008 | Отправлено: 09:42 27-10-2017 | Исправлено: rodent81, 11:00 27-10-2017
sarkan20



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите пожалуйста! Есть АД 2012 R2. При поиске с рабочей станции средством "Поиск пользователей в Active Directory" пользователя вижу(в карточке пользователя) только некоторые поля. Мне нужно добавить еще видимые поля в карточку. Как добавить, или сделать видимыми, дополнительные поля?? (например вкладку телефоны)

Всего записей: 29 | Зарегистр. 11-10-2016 | Отправлено: 10:53 31-10-2017 | Исправлено: sarkan20, 10:54 31-10-2017
artclub

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
 
Нужна помощь!
 
Задача создать  пользователь домена с правами локального администратора.
 
Делал  
 
http://www.ekzorchik.ru/2012/12/server-2008-gpo-local-administrators/
 
и так
 
http://www.oszone.net/23983/
 
Все права работают кроме  управления компьютером .
 
Когда выбираешь управления компьютером  выдает ошибку
 
ошибка:  приведенная ниже оснастка,указанная в данном документе, ограничена политикой.  
 
 
Где копать, кто с этим сталкивался?
 

Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 08:51 14-03-2018
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
artclub
Цитата:
Где копать, кто с этим сталкивался?  
"Все уже было, было, было ..." (с) Экклезиаст
Локальный администратор, но юзер в домене
А вот такую хрень я не нашел.
Есть два DC в локалке, один "железный", второй - на виртуалке.
На каждом стоит IAS, виндовый RADIUS.
Идея - при отказе "железного" DC все работает на виртуальном.
Ан хрен! Вырубается первый - второй отказывается отвечать на запросы.
Все что нашел - это перенос заранее роли FSMO на второй сервер.
Но мне не надо переносить, надо просто обеспечить резервирование.
dcdiag проходит без ошибок на обоих серверах.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 11:34 14-03-2018
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary DNS ?  Поди на этих DC прописаны нэймсерверы друг на друга в сетевухах, а не сами на себя? В логах что-то пишет при отказе отвечать на запросы? И что в логах рабстанций?  


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 11:46 14-03-2018 | Исправлено: ipmanyak, 11:58 14-03-2018
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Цитата:
Поди на этих DC прописаны нэймсерверы друг на друга в сетевухах, а не сами на себя?
У меня там вообще отключены родные DNS .  
Прописаны два BIND9 на линуксах, уже лет 10 связка работает как часы.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 12:45 14-03-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru