Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

bu536



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)

Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 01:14 03-02-2004 | Исправлено: drros, 12:54 12-07-2006
pazdak

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
у меня есть несколько OU и для них своя политика, вот вопрос, применяется ли политика домена (она тоже настроена) к этим зверям? какАЯ политика приорететнее?  

Если вопрос правильно понял, то именно доменная политика применяется сначала, а потом политика OU, если конечно для доменной политики не установлен флажек, не перекрывать политику !!!
 

Цитата:
как правильно перенести локальный профиль в домен (хочу добавить машину в домен а там 3 юзера со своими профилями)  

Что еще за 3 пользователя ??? Вопрос не ясен, что хочешь по порядку ...

Всего записей: 357 | Зарегистр. 13-02-2003 | Отправлено: 09:31 03-02-2004
JcVai



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bu536

Цитата:
как правильно перенести локальный профиль в домен (хочу добавить машину в домен а там 3 юзера со своими профилями)  

Создай им доменные аккаунты, введи комп в домен, повходи на него  
соответсвующими доменными пользователями, после чего зайди админом
и через свойства системы-профили выполни копирование старых профилей в новые.
 

Всего записей: 661 | Зарегистр. 27-10-2002 | Отправлено: 09:55 03-02-2004
Doug



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bu536

Цитата:
можно ли сделать чтобы ПДЦ не синхронизировал время с внешним источником а клиенты доме синхронизировали время с ПДЦ

 
net time /SETSNTP:ИМЯ ТВОЕГО сервера...
Он тебе честно про это в журнале системы говорит....
А на клиентах службу времени просто не вырубай, они сами с сервака синхронизятся.

Всего записей: 70 | Зарегистр. 30-08-2002 | Отправлено: 12:12 03-02-2004
Lamerok



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
локальный профиль в домен (хочу добавить машину в домен а там 3 юзера со своими профилями) [/q]
На сколько я понял ты хочешь сделать roaming profile?  
тогда почитай тут:
http://support.microsoft.com/default.aspx?scid=kb;en-us;243420
как правильно перенести
 
единственное: все это очень тормозит загрузку личных настроек...меня это напрягает....
 
Приоритет  применения политики безопасности на компьютере:
 
1) локальная
2) политика сайта
3) политика домена
4) политика OU (самая приоритетная)
 
Разногласия по параметрам перекрываются более приоритетной политикой.

Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 12:33 03-02-2004 | Исправлено: Lamerok, 15:46 04-02-2004
Andryuha

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите, где искать инфу по политикам, когда домен на 2000, а клиенты под ХР.

Всего записей: 1231 | Зарегистр. 27-07-2001 | Отправлено: 13:09 03-02-2004
Duke Shadow



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lamerok
Ну всё расписал - молодец. Только ссылку поправь...
И ещё - если OU вложены, то после применения политики домена применяется политика OU верхнего уровня, затем следующего и т.д.
 
Andryuha

Цитата:
подскажите, где искать инфу по политикам, когда домен на 2000, а клиенты под ХР.

А чё там такого особенного? Практически никакой разницы, кроме пары новых параметров для XP, которых ты не увидишь...

----------
Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу
Войны никого не могут сделать великим(с)магистр Йода
Аватар(c)MindDiver

Всего записей: 3871 | Зарегистр. 15-02-2003 | Отправлено: 16:51 03-02-2004
bu536



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Приоритет  применения политики безопасности на компьютере:  
 
1) локальная  
2) политика сайта  
3) политика домена  
4) политика OU (самая приоритетная)  

 

Цитата:
Если вопрос правильно понял, то именно доменная политика применяется сначала, а потом политика OU, если конечно для доменной политики не установлен флажек, не перекрывать политику !!!  

 
Хмм... и кто прав? если главная это политика OU то почему она внизу?
 
 
Добавлено
внизу в списке

Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 10:26 04-02-2004
Lamerok



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bu536
 
я написал порядок применения политик. по очереди.
 

Цитата:
И ещё - если OU вложены, то после применения политики домена применяется политика OU верхнего уровня, затем следующего и т.д.  

 
забыл написать но имхо это по умолчанию и так понятно.
 
p.s. не забывайте что политика такой же объект AD как и юзеры компы и etc и к ней можно применять NTFS пермишены

Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 11:47 04-02-2004
Duke Shadow



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bu536
На будущее - не увлекайся дополнительными параметрами политик: не перекрывать и запретить наследование. Иначе можешь поиметь такой головной боли.
 
Lamerok

Цитата:
p.s. не забывайте что политика такой же объект AD как и юзеры компы и etc и к ней можно применять NTFS пермишены

И иногда даже нужно! Встречаются порой ситуации, когда изменение разрешений на политику - самый простой и красивый выход.
А ссылку так и не поправил. Висит крокодил с хвостом [q]как - в результате ссылка не работает.

----------
Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу
Войны никого не могут сделать великим(с)магистр Йода
Аватар(c)MindDiver

Всего записей: 3871 | Зарегистр. 15-02-2003 | Отправлено: 12:50 04-02-2004
Lamerok



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bu536
Мои рекомендации по развертываниЮ групповых политик:
1) в Default Domain Group Policy & Default Domain Controller Group Policy изменения рекомендуется вносить только в тех случаях когда точно извесно что нужно изменить.
2) На эти политики лучше обрезать права с modify до read only для группы Domain Admins. В случае необходимости права всегда подбавить можно. Такой момент поможет избежать внесения "левых" изменений в GPO
3) Для реализации GPO  нужно создавать отдельные OU и создавать на этот  OU соответствуЮщуЮ GPO и вносить все изменеия в ней.  
 

Цитата:
можно ли сделать чтобы ПДЦ не синхронизировал время с внешним источником а клиенты доме синхронизировали время с ПДЦ

 
в домене w2k3 синхранизация времени настраивается через GPO  
в домене w2k синхранизация времени настраивается через клЮчи реестра на сервис w32time. Рабочие станции w2k автоматически синхронизируЮтся в контроллером домена. Рабочие станции WinXP автоматически не сихронизятся. Для того чтобы их заставить синхронизиться необходимо править ветку реестра с параметрами сервиса w32time
 
Duke Shadow
ссылку поправил
 
 
 

Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 16:03 04-02-2004 | Исправлено: Lamerok, 16:13 04-02-2004
Duke Shadow



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lamerok

Цитата:
Мои рекомендации по развертываниЮ групповых политик:  
1) в Default Domain Group Policy & Default Domain Controller Group Policy изменения рекомендуется вносить только в тех случаях когда точно извесно что нужно изменить.

Перед этим ещё стоит скачать с MicroSoft.com статейки типа "Hardening Microsoft Windows 2000" и прочитать.

Цитата:
необходимо править ветку реестра с параметрами сервиса w32time

Командную строку и "net time" тоже не стоит забывать. Гораздо проще, чем лопатить реестр.
 

Цитата:
ссылку поправил

Ну вот теперь лепота.

----------
Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу
Войны никого не могут сделать великим(с)магистр Йода
Аватар(c)MindDiver

Всего записей: 3871 | Зарегистр. 15-02-2003 | Отправлено: 18:08 05-02-2004
Lamerok



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Настройка сервиса W32Time в Windows 2000:
 
Чтобы изменить установленные по умолчанию параметры службы W32Time, следует вручную модифицировать параметры в реестре по адресу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Для активизации внесенных изменений необходимо перезапустить службу времени W32Time.  
Ниже приведены основные параметры реестра для настройки W32Time:
 
Value Name: Period
Период синхронизациии
DataType: REG_DWORD or REG_SZ
0 = каждый день
65535, "BiDaily" = одни  раз в 2 дня
65534, "Tridaily" = один раз в три дня
65533, "Weekly" = один раз в неделю
65532, "SpecialSkew" = трижды каждые 45 мин до тех пор, пока время не будет успешно синхронизировано [default]
65531, "DailySpecialSkew" = для организации процесса синхронизации системного времени каждые 45 мин до успешного завершения процедуры синхронизации, а затем выполнять синхронизацию один раз в сутки
 
Value Name: LocalNTP :  
Data Type:REG_DWORD
Используется для старта SNTP-server
0 = не стартовать SNTP-server [default]
1 = стартовать SNTP server
 
Value Name: NtpServer :  
Data Type: REG_SZ (optional)
Значение устанавливается командой net time /setsntp:<servername or ip address>   и содержит имя SNTP – сервера, с которым нужно синхронизировать время.
 
Более подробную информацию о настройках W32TIME для Windows 2000 можно найти в по адресу: http://support.microsoft.com/support/kb/articles/Q223/1/84.ASP
 
Сервера  точного времни :
time-a.nist.gov (129.6.15.28) NIST, Gaithersburg, Maryland
time-b.nist.gov (129.6.15.29) NIST, Gaithersburg, Maryland
time-nw.nist.gov ( 131.107.1.10) Microsoft, Redmond, Washington

Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 21:05 05-02-2004 | Исправлено: Lamerok, 21:18 05-02-2004
bu536



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Всем сенкс за ответы  
но есть еще вопросы :
1) Как сделать чтобы юзер не мог залогиниться локальным пользователем вместо доменного (пока придумал тока один способ - убить локальный профиль, неужели нет другого выхода?)
2) Как сделать автологон чтобы при загрузке комп автоматом логинился доменным юзером (компы - Win2k)
 
Добавлено
И в догонку:
как сделать так чтобы компьютеры в сети были разделены (например: класс, бухгалтерия и тд) чтобы были какбы рабочие группы но с доменом

Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 13:28 20-02-2004
Dymond



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть вопрос, полагаю, по теме....Каким образом через GPO можно разрешить группе Domain Users запускать "несертифицированные" приложения (к примеру, hl.exe   )?

Всего записей: 332 | Зарегистр. 03-07-2002 | Отправлено: 17:37 20-02-2004
Duke Shadow



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bu536

Цитата:
1) Как сделать чтобы юзер не мог залогиниться локальным пользователем вместо доменного (пока придумал тока один способ - убить локальный профиль, неужели нет другого выхода?)  

1) Через политики настроить "запретить локальный вход" для нужных пользователей
2) Отключить локальную учётную запись

Цитата:
2) Как сделать автологон чтобы при загрузке комп автоматом логинился доменным юзером (компы - Win2k)

См. здесь

Всего записей: 3871 | Зарегистр. 15-02-2003 | Отправлено: 07:13 21-02-2004
bu536



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А как сделать так чтобы компьютеры в сети были разделены (например: класс, бухгалтерия и тд) чтобы были какбы рабочие группы но с доменом

Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 14:20 24-02-2004
Duke Shadow



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bu536

Цитата:
А как сделать так чтобы компьютеры в сети были разделены (например: класс, бухгалтерия и тд) чтобы были какбы рабочие группы но с доменом  

Попробуй распихать компы по OU. Кажется в этом случае открываешь домен, а потом нужное OU - получится примерно то, чего ты добиваешься.

----------
Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу
Войны никого не могут сделать великим(с)магистр Йода
Аватар(c)MindDiver

Всего записей: 3871 | Зарегистр. 15-02-2003 | Отправлено: 17:22 24-02-2004
bu536



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А еще один глупый вопрос можно ? :snuffle:
В политике безопасности есть закладка Restricted Groups в ней S-1-5-32-547 (Power Users) это значит что все изменения в политике коснутся только пользователей этой группы?

Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 12:49 25-02-2004 | Исправлено: bu536, 12:59 25-02-2004
Duke Shadow



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bu536

Цитата:
В политике безопасности есть закладка Restricted Groups

Полный путь не подскажешь? А то не могу дойти где это...

----------
Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу
Войны никого не могут сделать великим(с)магистр Йода
Аватар(c)MindDiver

Всего записей: 3871 | Зарегистр. 15-02-2003 | Отправлено: 16:10 25-02-2004
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)
emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru