Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

bu536



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 01:14 03-02-2004 | Исправлено: drros, 12:54 12-07-2006
goshavt



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
rastlin
Как перенаправить? Прописать для внешнего адаптера IP адрес внутренего ДНС.
Так внутри серые IP 192.168.x.x. А он кинется искать снаружи.
Как настроить форвардинг?
Всего записей: 108 | Зарегистр. 12-12-2004 | Отправлено: 15:03 24-11-2006
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
goshavt

Цитата:
1. на внутренем указан адрес контролера домена, где поднята роль сервера ДНС.
    на внешнем ДНС сервера провайдера  

на внешний нужно тоже указать ДНС на контроллере домена (днс-форвардинг на винроуте отключить). А вот на ДНС сервере контроллера домена в свойствах переадресации указать ДНС провайдерский, и не забыть в винроуте прописать правило разрешающее контроллеру домена доступ по 53 порту на адрес ДНС провайдера без авторизации.
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 15:31 24-11-2006
gap5



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
От чего зависит возможность просмотра содержимого (шары) компов по dns имени и ip адресу? Например \\comp1.server.net не открывается, говорит Disallowed, по IP тоже самое... аналогично \\comp1. Доступ есть только если открыть сетевое окружение, домен, и в нем выбрать нужный комп. Притом адрес будет \\comp1... Как разрешить юзерам домена открывать компы по DNS имени\IP адресу? По nslookup имя разрешается в адрес без проблем.
 
(клиенты ХР, сервер 2003 R2)
Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 18:48 24-11-2006
netman



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gap5
Я б сначала на клиенте посмотрел службы Computer Browser (Обзор сети) ,Server,DNS CLient.
должны работать. Либо если сеть простая то на PDC сервис Computer Browser.
Всего записей: 305 | Зарегистр. 22-09-2003 | Отправлено: 23:22 24-11-2006
gap5



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Все запущено, все работает. Сервер с Active Directory. На сервере под администратором дает без проблем заходить на компы хоть по ip, хоть по netbt имени, хоть по dns имени. На компах же, даже если залогиниться под админом, пишет:
 
Address Bar
Access to the resource '\192.168.1.1' has been disallowed.
 
Причем отвечает сразу. Если указать несуществующий адрес, то задумывается на некоторое время и потом такой же мессаг. Что бы это могло быть?
Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 23:37 24-11-2006
gap5



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Притом через net use можно спокойно заходить как по IP так и по DNS имени на любые компы... а через Address Bar explorer'a болт! :-\
Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 15:02 25-11-2006
gap5



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Объясните Plz
 
1. Правильно ли я понимаю, что Organization Unit можно использовать чисто как контейнер для группировки компов, юзеров? А возможно сделать так, чтобы компы из AD в DNS имели имена вида: computer1.organization-unit1.domain-name.net? Или для этого надо ставить точку в названии компа? И возможна ли группировка компов в сетевом окружении исходя из принадлежности к organization unit?
 
2. В случае, если профиль пользователя хранится удаленно на сервере AD, означает ли это, что и все учетные записи, и temporary internet files тоже будут сливаться на сервер?
 
 
 
Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 18:11 27-11-2006
FreemanRU



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gap5
1. на все вопросы этого пункта ответ - нет. Для этого служат отдельные домены.
2. Нет, есть папки которые никогда не попадают на сервер, н-р это как раз Local Settings

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки
Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 07:20 28-11-2006
gap5



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FreemanRU
Т.е. можно создавать домены domain1.domain.net, domainA.domain1.domain.net и т.д.?
 
А могут быть у компов из разных доменов одинаковые имена? Например:
1.domain1.domain.net и 1.domain2.domain.net?
 
Кстати, насколько критично (по нагрузке на сервак) количество доменов? Если их будет, скажем, 15-20? Возможны еще какие ни будь подводные грабли?
Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 13:00 28-11-2006
G14



Добрый фей		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gap5

Цитата:
 Если их будет, скажем, 15-20?

Если у тебя будет 15 доменов, то и серверов будет 15 (минимум), если не использовать виртуализацию серверов (типа VMWare ESX). Нагрузка на каждый контроллер будет зависеть от количества клиентов в домене (пользователей, компьютеров) и от количества OU в домене.

Цитата:
А могут быть у компов из разных доменов одинаковые имена?

Теоретически - могут, без проблем. На практике, поскольку NetBIOS все еще живее всех живых, это вызовет кучу гемора. Не рекомендую.

----------
http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.)
Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 13:50 28-11-2006
gap5



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
G14
Т.е. на одном AD сервере нельзя создать несколько доменов??? :-Е
Каким тогда образом разделять компы в сетевом окружении?  
Или там всегда все будет в кучу? От жеж каменный век...
Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 14:42 28-11-2006
FreemanRU



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gap5

Цитата:
Или там всегда все будет в кучу?

А зачем тебе сетевое окружение? НЕ уж-то у тебя пользователи могут шары создавать?

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки
Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 15:28 28-11-2006
scriptserver

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
доброго времени суток
столкнулся с проблемой, на форуме она подымалась но решена на мой взгляд небыло!!!
на пользовательских машинах пропала языковая панель, если включить дополнительные текстовые службы то панель появляется, но настройки несохраняются и приходится каждый рас повторять одно и тоже, под админом всё ок.
 
 
Подскажите как с помощю AD настроить ету панель
 
 
заранее благодарен
Всего записей: 4 | Зарегистр. 13-08-2006 | Отправлено: 17:40 28-11-2006
gap5



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FreemanRU
Создавать - нет, но некоторым надо пользоваться существующими и кроме того для подключения сетевых принтеров... да и не особо приятно когда 50 компов в одной куче.
 
Кстати, не подскажешь, почему может не пускать на шару по адресу введенному в Address bar, а по net view\use без проблем?
 
P.S. Глупый вопрос - пермишены UserGroup или конкретного пользователя приоритетнее пермишенов для Everyone?
 
Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 18:07 28-11-2006
FreemanRU



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gap5

Цитата:
кроме того для подключения сетевых принтеров

"Посик в AD"

Цитата:
надо пользоваться существующими

Ну это вообще не допустимо - сервер должен быть. На крайний случай DFS.

Цитата:
да и не особо приятно когда 50 компов в одной куче

А и нечего там делать в общем-то.
 

Цитата:
пермишены UserGroup или конкретного пользователя приоритетнее пермишенов для Everyone?

Запрет или разрешение? Запрет всегда приоритетнее, а равнозначные доступы  суммируются. Н-р User1 находится в группе Group1. На папку даны разрешения Everyone Read - пользователь получит право на чтение, если нет других разрешений. Если же кроме Everyone указана группа Group1 на Write, то пользователь получит и запись тоже.

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки
Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 18:17 28-11-2006
admilo

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Люди подскажите пожалуйста (я уже замучился читать и не находить ответа) в чем могут быть реальные грабли? Ситуация следующая:
1. Была рабочая сетка с компами в одной рабочей группе (около 40 компов) почти все w2000
2. Было решено перевести всех в домен.
3. Подняли сервак на 2003 винде. Установили домен, все как положено.
4. Итак пришло время всех перетаскивать в домен(и тут началось!!!)
   -Изначально была группа "Пользователи домена" она входила в группу "Администраторы домена" (подключение проводилось в авральной ситуации и был косяк с правами, такчто пришлось)
   -Потом косяк этот с правами я вылечил, и решил попросту исключить группу "ПД" из "АД".
   -Многие восстанавливали свои настройки из старых профилей, просто копируя ntuser.dat и все остальное.
   -Проблема в том, что после этого у всех слетели настройки на рабочих машинах(ярлычки и тд).
 
Так вот! Вопрос в следующем: каким образом можно настроить теперь домен, так чтобы узеры ничего не заметили, и не были при этом "АД"? Ведь если я снова включаю им права "АД", то все встает на свои места.
Пробовал уже много чего. Пытался на тестовом пользователе поменять чтонибудь, все нормально. Однако понять почему слетели настройки у остальных не понимаю!!!
Всего записей: 82 | Зарегистр. 09-03-2006 | Отправлено: 19:03 28-11-2006
vicpo



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
admilo
Потму что скопировав
Цитата:
Многие восстанавливали свои настройки из старых профилей, просто копируя ntuser.dat и все остальное.
ты заставил юзера обращаться к старому профайлу, а доступ к профайлу имеют только Локальные администраторы и администраторы домена, решение проблемы дай юзерам права локального админа права администратора домена это большой урон безопасности домена
Всего записей: 295 | Зарегистр. 15-10-2005 | Отправлено: 19:32 28-11-2006
admilo

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Пробовал. Не помогло! И пробовал я группы "ПД" втаскивать локльно в "Администратор" и через домен. НЕ помогает. Просто реальные грабли.
Всего записей: 82 | Зарегистр. 09-03-2006 | Отправлено: 19:45 28-11-2006
gap5



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кстати, раз уж зашла речь о переносе юзеров.
Как грамотнее всего перенести локальных юзеров, или точнее сказать их профиль, в домен (дабы сохранились документы и установленный софт)? Вручную копировать содержимое Documents & Settings, или есть какой-то более красивый способ?
Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 20:56 28-11-2006
admilo

Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
или есть какой-то более красивый способ?

Вот и я об этом. Если не подскажут тут, скорее всего буду переставлять домен, и всех заново подключать. Как бы это сделать покрасивее и побыстрее?
Всего записей: 82 | Зарегистр. 09-03-2006 | Отправлено: 20:59 28-11-2006
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)
emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru