Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

bu536



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)

Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 01:14 03-02-2004 | Исправлено: drros, 12:54 12-07-2006
inQui



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexSSS
Нет, ещё одна группа в локальных админах не нужна... Нужно именно так. Только что читал, что это такая примочка 2к3 (забыл сказать, у меня 2k3 native домен). Система считает это все как protected object.
http://www.experts-exchange.com/Security/Win_Security/Q_20856626.html
 
Кароче, решения пока так и нет..
 
Добавлено

Цитата:
684   Set the security descriptor of members of administrative groups.
 
Parameters: Domain of target user account, SID string of target user account, user name of subject changing the user account, domain name of subject changing the user account, logon ID string of subject changing the user account.  
 
Configurable Information: Success
 
Formal name: SE_AUDITID_SECURE_ADMIN_GROUP
 
Every 60 minutes on a domain controller a background thread searches all members of administrative groups (such as domain, enterprise, and schema administrators) and applies a fixed security descriptor on them. This event is logged.


----------
Не умеешь - научись!

Всего записей: 602 | Зарегистр. 09-12-2001 | Отправлено: 13:34 09-10-2004
Zeleznick

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
inQuiпопробуй почитать здесь http://www.osp.ru/win2000/2002/06/008_print.htm
помоему это то, что тебе нужно

Всего записей: 123 | Зарегистр. 02-09-2004 | Отправлено: 09:43 13-10-2004
BigBear

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Слетела политика контролеров домена (насмерть) пока не могу понять от чего
говорит что нет доступа или не существует
убил ее создал новую политику - теперь проблемма как востановить значения по умолчанию (создаласьобсолютно чистая политика)
кто может помочь ? нужен или бекап (есть утилита gpmc) или скриншот с экрана для Политика безопасности контроллера домена, назначения прав пользователей и параметры безопастности
БУДУ ОЧЕНЬ признателен

Всего записей: 276 | Зарегистр. 16-12-2001 | Отправлено: 16:29 13-10-2004
votuanr

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexSSS

Цитата:
не трожь святое, домен админов!!!! ;o)  
тем людям достаточно было дать право просто быть локальными админами на клиентских машинах. А для домена они остануться обычными пользователями. Чтобы не бегать по всем машинам, можно прописать это через политику.

 
подскажи как? как в политике написать "добавить пользователя в локальных админов"?
если делать logon script в котором  
net localgroup "Administrators" username /add
то он совершенно справедливо, что нет прав на добавление (при логине юзена на клиента)? куда прописать то?

Всего записей: 1 | Зарегистр. 14-11-2003 | Отправлено: 17:35 14-10-2004
AlexSSS

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
>как в политике написать "добавить пользователя в локальных админов"?  
 
цитата с
http://www.osp.ru/win2000/2003/03/056.htm
 
"Следующим шагом является ограничение членства в группе локальных администраторов. Данный параметр тоже удобно конфигурировать через групповые политики. Свойство GPO Restricted Groups позволяет указывать, какие учетные записи должны быть членами той или иной группы. В группу локальных администраторов необходимо включить администраторов домена, а также группу, в которую входят учетные записи персонала, осуществляющего техническую поддержку компьютеров подразделения. Поскольку последний параметр может быть в каждом подразделении свой, целесообразно применять подобные политики на уровне организационного подразделения."

Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 17:49 14-10-2004
SergeyDoronin

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2BigBear & All
 
У меня обратная проблема: поднял контролер, еще ничего не менял как можно сбэкапить политики безопасности?

Всего записей: 50 | Зарегистр. 03-05-2004 | Отправлено: 10:56 15-10-2004
Alan Mon

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BigBear
Попробуй выполнить на контроллере
secedit /configure /DB %TEMP%\sec.dat /CFG %SYSTEMROOT%\Inf\DefltDC.inf /AREAS SECURITYPOLICY GROUP_MGMT USER_RIGHTS
 
И еще для информации посмотри secedit /? и содержимое файлов %SYSTEMROOT%\Inf\DefltDC.inf, Defltsrv.inf, Defltwk.inf
SergeyDoronin
Ничего бакапить ненадо. Все уже сбакаплено в этих inf-файлах. Собственно оттуда дефолтные настройки безопасности и берутся при установке.

Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 11:20 15-10-2004
nikolvv



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Задача:Win2k ADS Как все знают после регистрации компьютера XYZ в домене запись объекта компьютер появляется в контейнере (Computers ), задумка разделить компьютеры на подразделения для применения к ним политики безопасности подразделения OU.  
 
Делаю следующие действия:
1.Запускаю Active Directory - пользователи и компьютеры
2. Захожу в контейнер Computers и от туда делаю перемещение компьютера c именем XYZ  в подразделение OU worsk.  
3. Теперь пробую зайти на машину XYZ пользователем домена для проверки и что мы видим соообщение об ошибки:
"Интерактивный доступ запрещен локальной политикой"
4.Пробую зайти Администратором локальным и Доменным все замечательно.
Возвращаем машину XYZ обратно из OU works в контейнер Computers, пробуем зайти на машину XYZ пользователем домена все замечательно входит.
Вопрос: Возможно ли решить данную проблему ?  

Всего записей: 21 | Зарегистр. 30-09-2003 | Отправлено: 12:36 15-10-2004
SergeyDoronin

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Разреши в политике этого OU вход в систему обычным пользователям и все будет!

Всего записей: 50 | Зарегистр. 03-05-2004 | Отправлено: 12:44 15-10-2004
BigBear

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
SergeyDoronin
есть утилита gpmc у мелкософта
 
Alan Mon
спасибо попробую
сообщу результат

Всего записей: 276 | Зарегистр. 16-12-2001 | Отправлено: 13:33 15-10-2004
SergeyDoronin

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2BigBear
Она заменяет стандартные средства управления политиками и по отзывам не удобна в управлении, а хороша для моделирования полиик. Есть ли другой вариант сбэкапить плитики?

Всего записей: 50 | Зарегистр. 03-05-2004 | Отправлено: 13:48 15-10-2004
BigBear

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
SergeyDoronin
не знаю по поводу неудобства - мне понравилась, но я только поставил ее так что может еще и снесу, но политики она бекапит это я уже проверил

Всего записей: 276 | Зарегистр. 16-12-2001 | Отправлено: 15:37 15-10-2004
leputain



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
люди. такой вопрос по AD.
dc - 2003. ws - 2000.
завел машины в домен, рассовал их по ОУ. а юзеров, т.е. их аккаунты в соответствующие ОУ надо или в users так и оставить?

Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 17:07 22-10-2004
FreemanRU



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
leputain
если надо, чтобы на них действовали политики определнных ОУ, то надо. Если нет - то нет Default Domain Policy на них все равно действовать будет.
но ИМХО удобнее разнести, т.к. повышается удобство работы к каталогом.

Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 18:03 22-10-2004
leputain



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ясно. спасибо.
идём дальше - к примеру - на ОУ domain controllers собираюсь менять групповую политику, что делать с default domain policy? т.е. создать ли ещё один слой м в него занести свои изменения или как? в каком вобще случае прибегают к нескольким GP на одном ОУ?

Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 06:35 23-10-2004
FreemanRU



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
leputain
Default Domain Policy трогать не надо. Лучше создать еще одну плитику и применить её на нужном ОУ, ну или на весь домен, тока надо 2 раза подумать, прежде чем на весь домен применять. Редактирование Def Dom применяется в случае, когда необходимо изменить параметры "Политик учетных записей" и "Локальные политики", т.к. по разумению Microsoft они должны быть одинаковы во всем домене

Цитата:
в каком вобще случае прибегают к нескольким GP на одном ОУ?

Да это как душе угодно. Главное не запутаться что где применяется.
ИМХО удобнеее создавать небольшие политики, и называть их соотвесвенно (н-р "Prog Whitelist", "IE settings" и т.п.). Потом эти политики можно прилинковать к другим ОУ.  
 
Добавлено
PS Почитал внимательнее - все таки ты имел ввиду Default Domain Policy или Default Domain Controller Policy? В любом случае дефолтные лучше не трогать, а создать парралель. Это обслегчает откат в случае чего (опть же, есть исключение - "Политики учетных записей" и "Локальные политики").

Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 10:33 23-10-2004
leputain



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ок. про откат - это идея.
спасибо за ответ.
а если уже похерена def dom и def dc policy, как восстаногвить?
+ если на ОУ повешены два "слоя" и оба с no override, то они применятся по-очереди самыми последними (т.е. фактически "выживут" параметры из второй)?

Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 13:16 23-10-2004
leputain



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
как бы так легко сравнить два шаблона (в .inf)?
раньше я делал так - сравнивал их через totalcmd построчно - помогало. а теперь такая ситуация - один в unicod'е, а другой - нет. их уже totalcmd построчно не сравнишь.
а мне бы увидеть какие параметры одинаковые в двух шаблонах, какие задаются в обоих но в разное значение, а какие - только в одном из двух. RSoP пробовал - всёравно приходится ручками сравнивать..

Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 04:51 24-10-2004
Garreth



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Интересняя ситуация возникла, может кто сталкивался.
В сети 2 контроллера домена (ALFA, BETA)под Windows 2003 и 1(Server) под NT4 (пережитки недавней миграции). На одном 5 ролей,Global Catalog, DNS. После того как у него упало питание (бывает и такое, к сожалению), пользователи долго не могли зайти в домен.  Более того, на сервер Beta стоит сервер MS SQL 2000 и некоторые jobы, которые были сделаны под доменным пользователем, ночью не прошли.  Вопрос: а на кой тогда дополнительный контроллер домена?! Неужели нужно руками ему отдавать роли (я подозреваю, что народ не логинился, потому что не было PDC Emulator), чтобы все работало?

Всего записей: 170 | Зарегистр. 06-10-2003 | Отправлено: 11:42 28-10-2004
Alan Mon

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Garreth
Я бы посоветовал во-первых, поднять DNS на втором контроллере и настроить на обоих форварды друг на друга. И во-вторых, сделать второй контроллер Global Catalog Server.
Не знаю как в 2003, но в 2000 если домен работает в native mode, пользователи не могут логиниться, если недоступен GC.

Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 12:18 28-10-2004
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)
emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru