Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

bu536



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)

Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 01:14 03-02-2004 | Исправлено: drros, 12:54 12-07-2006
Pazan



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Newbie777

Цитата:
заведи отдельный GPO, на него отфильтруй разрешения, т.е. на нужные группы apply+read

никак не пойму эти пермишины apply+read. Как они определяются?
 
Добавлено
Duke Shadow
после тщательных допросов предыдущего админа удалось установить следующее: он в локальной политике указал "Отклонить локальный вход" и выбрал группу "Пользователи". Почему админ не входит -- не понятно мне.

----------
Почему глупый, потому что бедный... Почему бедный, потому что глупый...

Всего записей: 924 | Зарегистр. 17-11-2002 | Отправлено: 17:49 17-05-2004
Jovanotti



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Pazan
Возможно Админ входит и в группу Юзеры.
Хотя такого быть не должно, но проверить стоит

Всего записей: 718 | Зарегистр. 22-12-2002 | Отправлено: 18:11 17-05-2004
Pazan



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Jovanotti

Цитата:
Возможно Админ входит и в группу Юзеры

точно, что не входит в юзеры, особенно встроенная учётная запись.

----------
Почему глупый, потому что бедный... Почему бедный, потому что глупый...

Всего записей: 924 | Зарегистр. 17-11-2002 | Отправлено: 18:51 17-05-2004
Pazan



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Создаю нового пользователя в Актив Директори (АД).
Создаю в папке Built-in группу «Ответсвенные лица». Захожу в Свойства\Член групп.
Там  есть  --  Пользователи  домена. Добавляю группу Administrators и Ответственные Лица. Назначаю её основной группой, иначе я не могу удалить  группу Пользователи домена. Таким образом новый пользователь есть членом групп Administrators и Ответственные Лица. Захожу под его  логином на любую машину в домене и хочу, напр.,
изменить время или параметры питания -- НЕДОСТАТОЧНО ПРАВ. ОБРАТИТЕСЬ К СЕТЕВОМУ АДМИНИСТРАТОРУ.  
Так чего не так делаю?

----------
Почему глупый, потому что бедный... Почему бедный, потому что глупый...

Всего записей: 924 | Зарегистр. 17-11-2002 | Отправлено: 14:34 12-06-2004
Newbie777

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
хожу под его  логином на любую машину в домене
ну а кто локально указан админом? domain admins, это далеко не buildin\Administrators

Всего записей: 920 | Зарегистр. 11-03-2003 | Отправлено: 17:19 14-06-2004
Pazan



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Newbie777

Цитата:
ну а кто локально указан админом

где именно?[
q]domain admins, это далеко не buildin\Administrators[/q]
а что енто?


----------
Почему глупый, потому что бедный... Почему бедный, потому что глупый...

Всего записей: 924 | Зарегистр. 17-11-2002 | Отправлено: 18:54 14-06-2004
Newbie777

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Pazan, извини, конечно, но ты хоть что-нибудь читал по теме? Хотя бы встроенный help?

Всего записей: 920 | Зарегистр. 11-03-2003 | Отправлено: 21:42 14-06-2004
greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На некоторых манинах с w2k_sp4 наблюдается следующее: при входе в домен с правами доменного админа на машине пользователя он становиться просто пользователем, прав администратора нет. К чему бы это!?
ps с группповыми политиками отпадает - они не прописаны...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:57 16-06-2004
Pazan



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Newbie777

Цитата:
что-нибудь читал по теме? Хотя бы встроенный help?

извини, конечно, но в школе читать/понимать научился на 3 языках (UK/RU/EN).

Цитата:
domain admins, это далеко не buildin\Administrators

по хелпу, написано, что домен админ важнее, но админгруппа получается с правами пользователя...

----------
Почему глупый, потому что бедный... Почему бедный, потому что глупый...

Всего записей: 924 | Зарегистр. 17-11-2002 | Отправлено: 09:58 17-06-2004
Duke Shadow



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox
Случаем не выкинул Domain Admins из локальных администраторов? А то, помниться в СП3, вообще админы домена на машину не могли попасть.
 
Pazan
То же самое - посмотри на машине группу Администраторы - кто в ней числится. Скорее всего получилось, что ты запихал нового пользователя в админы на контроллере домена, а на раб. станциях он пошёл как "Ответственные Лица".

Цитата:
в школе читать/понимать научился на 3 языках (UK/RU/EN)

Похвально. Попробуй, чтоли, книжки по ActiveDirectory и серверным версиям винды почитать. А то и правда создаётся впечатление, что в основах плаваешь. Без обид.

----------
Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу
Войны никого не могут сделать великим(с)магистр Йода
Аватар(c)MindDiver

Всего записей: 3911 | Зарегистр. 15-02-2003 | Отправлено: 14:03 17-06-2004
greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Duke Shadow

Цитата:
Случаем не выкинул Domain Admins из локальных администраторов?
АГА! А что нельзя!? Он разве права локальные получает не при входе в домен с уч.записью соответствующей!? Если нет, то накосячил конечно я...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:26 17-06-2004
Duke Shadow



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox

Цитата:
АГА! А что нельзя!? Он разве права локальные получает не при входе в домен с уч.записью соответствующей!?  


Нет. Просто при добавлении в домен автоматом Domain Admins прописываются в локальную группу Administrators, а Domain Users - соответственно в Users.
Я так на 3 сервис-паке вообще в машину не смог попасть, ибо один шибко умный товарищ убил эти вхождения и заодно поотключал все локальный учётки!

----------
Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу
Войны никого не могут сделать великим(с)магистр Йода
Аватар(c)MindDiver

Всего записей: 3911 | Зарегистр. 15-02-2003 | Отправлено: 16:59 17-06-2004
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Duke Shadow - в 2000 еще нельзя было отключить учетку Администратора локального. Так что тривиальный сброс пароля там канал. С ХР много хуже..  

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 09:43 18-06-2004
Duke Shadow



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kibkalo

Ага. Как щаз помню - пришлось SAM грохнуть.
Btw, не знаешь примерно такого же по простоте способа попасть в WinXP имея локальный доступ, а то я разок по старой памяти SAM грохнул, а он вообще перестал грузиться, сволочь (хорошо сказался многолетний опыт работы - переименовал, а не удалил). Можно ПМом - чтобы дальше оффтоп не разводить.

----------
Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу
Войны никого не могут сделать великим(с)магистр Йода
Аватар(c)MindDiver

Всего записей: 3911 | Зарегистр. 15-02-2003 | Отправлено: 22:00 18-06-2004
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Duke Shadow - обычно (если админ не параноик) винда хранит копии реестра на момент установки. Там есть SAM с твоим SID, и незадисейбленным админом. Ставишь этот файл дефолтным, ребьутаешься и сбрасываешь ему пароль (если не помнишь)
З.Ы. Комп вылетит из домена.

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 10:17 19-06-2004
inQui



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть ли способ запретить убирать Domain Admins с доменных машин при этом админовские права на машину раздавать тоже надо... Т.к. проблена с "шибкоумными" уже надоела

----------
Не умеешь - научись!

Всего записей: 602 | Зарегистр. 09-12-2001 | Отправлено: 13:25 19-06-2004
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
inQui - такой возможности нет.
У меня политикой логон скрипт проверяет при загрузке ПК наличие нужных доменных групп в локальных. При их отсутствии добавляет, делает мне уведомление и сохраняет security лог машины на сервер. По утвержденной руководством процедуре "шибкоумные" штрафуются на две дневных зарплаты за удаление и лишаются админских прав.

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 13:48 19-06-2004
Pazan



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Duke Shadow

Цитата:
Скорее всего получилось, что ты запихал нового пользователя в админы на контроллере домена, а на раб. станциях он пошёл как "Ответственные Лица".

Так чё, на каждой машине ходить и вбивать эккаунты юзерей с группой админ? А если локальный вход запрщён...

----------
Почему глупый, потому что бедный... Почему бедный, потому что глупый...

Всего записей: 924 | Зарегистр. 17-11-2002 | Отправлено: 14:55 19-06-2004
Duke Shadow



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Pazan

Цитата:
Так чё, на каждой машине ходить и вбивать эккаунты юзерей с группой админ? А если локальный вход запрщён...

Просто сделай пользователя членом Domain Admins.
И вручную вовсе не обязательно: "У меня политикой логон скрипт проверяет при загрузке ПК наличие нужных доменных групп в локальных."(с)kibkalo
 
kibkalo
Thanks

----------
Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу
Войны никого не могут сделать великим(с)магистр Йода
Аватар(c)MindDiver

Всего записей: 3911 | Зарегистр. 15-02-2003 | Отправлено: 19:59 19-06-2004
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Duke Shadow
Замечу, что у меня для тех саппорта есть глобальная доменная группа с их аккаунтами, которая является членом всех локальных групп Администраторы на ПК. Разумеется, они НЕ домен админы - ибо это небезопасно, а вот админы локальных компов - да (причем только тех, которые я хочу, на остальные политика их не добавляет - DENY Read & Apply для аккаунтов серверов канает на все 100% )

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 20:41 19-06-2004
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)
emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru