inQui
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kibkalo
Цитата:| Гы. У меня есть вопрос по Active Directory Schema! |
Может говорю известную вещь, но для редактирования схемы нужно это разрешить в реестре. Сейчас точно не скажу где, но в хелпе это оговорено.
To enable schema changes on a schema master running Windows 2000 - название топика.
Цитата:
To enable schema changes on a schema master running Windows 2000
Open Registry Editor.
Caution
Incorrectly editing the registry may severely damage your system. Before making changes to the registry, you should back up any valued data on the computer. You can also use the Last Known Good Configuration startup option if you encounter problems after manual changes have been applied.
In Registry Editor, navigate to the Parameters registry key:
Where?
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
NTDS
Parameters
On the Edit menu, click New, and then click DWORD Value.
Type Schema Update Allowed, and then press ENTER.
Double-click the Schema Update Allowed registry key that you just created, and then, in Value data, type 1 to enable schema
|
У меня другая проблема:
Когда-то решил понизить Domain Admins и убрать их с некоторых учётных записей и контейнеров в AD. Просто нужно определённой группе людей дать права домен админов, а именно - быть админами на каждой доменной машине. При этом нужно перекрыть доступ к самой AD, к редактированию пользователей находящихся в группе Administrators и т.п (т.е. потенциальную возможность поднять свои права). Так вот, привело это к тому, что система просто каждый час! (так и не понял при каком событии, но точно не репликация), сама сбрасывает пермишены обратно, возвращая домен админов обратно на все группы и аккаунты, откуда я их убрал. Ладно если б один раз, а то каждый час! Как будто не понимает, что и так уже всё стоит...
В журнале вот такое событие:
Цитата:
Security
Account Management
684
NT AUTHORITY\ANONYMOUS LOGON
Set ACLs of members in administrators groups:
Target Account Name: Enterprise Admins
Target Domain: DC=xxx,DC=xxx
Target Account ID: myDomain\Enterprise Admins
Caller User Name: myPDC$
Caller Domain: myDomain
Caller Logon ID: (0x0,0x3E7)
Privileges: -
|
Пытался это решить через схему, но не тут то было - можно выставить дефолтовые пермаки на создаваемых юзеров и группы в AD, но это ничего не даёт - система всё равно продолжает каждый час чудить с пермаками.
Так вот, как от этого избавиться, ну и если есть решение - как всё-таки убрать домен админов с определённых аккаунтов и групп?
----------
Не умеешь - научись! |
|
