Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

bu536



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)

Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 01:14 03-02-2004 | Исправлено: drros, 12:54 12-07-2006
SelfCoder

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Скажу точно - проблема в виндовом домене только одна - его существование. Всё остальное - проблема самбы на линуксовой машине. Ковыряй линух и не трожь домен.

На отдельной чистой машине был установлен Windows 2003, поднят домен, и в нём не меняя настроек самбы всё проходило на ура.

Всего записей: 5 | Зарегистр. 10-11-2006 | Отправлено: 10:21 13-12-2007
gbcfkf



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
riwen

Цитата:
Направьте на путь истинный. Заранее благодарен за ответы.  

Посмотрите в сторону vmware, кажется это как раз ваш случай  

Цитата:
Доброго времени суток.  
Есть желание установить Active Directory в небольшую локальную сеть (около 40 машин 2000 и XP + один сервер 2003, DHCP).Сейчас все работают в сети через рабочую группу. Но так как я буду делать это в первый раз, то хотелось-бы сначала установить AD на сервер, потом настроить но одной-двух машинах, разобраться и только после этого постепенно подключать  к AD остальных.  


Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 10:25 13-12-2007
rastlin



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SelfCoder

Цитата:
На отдельной чистой машине был установлен Windows 2003, поднят домен, и в нём не меняя настроек самбы всё проходило на ура.

Ну и что? Это говорит только о том, что в текущем домене какие-то настройки безопасности блокируют ввод или же настройки безопасности самбы недостаточны для работы с DC. Посмотрите лог контроллера на предмет матюков, обдумайте и исправтье то, что мешает ввести линух в домен. ИМХО, переставлять АД из-за того, что какая-то тачка с линухом не смогла прицепиться к АД - извращение. Где гарантия что вторая линуксовая тачка на новом домене не поведёт себя также после какой-то настройки (сбоя) АД? Опять будете домен переставлять? Этим можно баловаться, пока DC один, но правильно - исправить настройки, ведь не будете же Вы переставлять домен с несколькими DC из-за одной линуксовой машины?
 
Добавлено:
riwen

Цитата:
Так все-таки возможно ли временное сосуществование рабочей группы и AD? На другом ресурсе говорят что это возможно ("если не вводить пользователя в домен то он по прежнему будет работать в рабочей группе и для него ничего не измениться" - RUS-FAQ)

Возможно конечно. Что мешает?  
1. Netbios имя домена должно совпадать с названием рабочей группы
2. адрес DC должен быть в той же сети, что и компы юзеров (желательно).
3. В домене необходимо завести всех пользователей из этой рабочей группы с их паролями. Если логины/пароли совпадают в АД и на локальной тачке, то авторизация на сетевые шары будет прозрачной.
4. дальше прописываешь права на шары на сервере для доменных пользователей.
Пользователи, ессно должны иметь логины и пароли на своих компах, иначе придётся включать гостевой вход на DC, что врядли хорошее решение (ну только временно).
 
Добавлено:
Valery12

Цитата:
Но вот если общие папки на контроллере домена то доступа к ним рабочая группа не получит, потому что на КД локальных учетный записей нет, естественно варианты когда на КД снижают  уровень безопасности и разрешают к шарам анонимный доступ я не учитываю как извратный.

При совпадении логина/пароля на локальной тачке с учёткой в домене - получит, если будут разные - придётся ввести пароль для учётки домена.

Всего записей: 30 | Зарегистр. 05-07-2003 | Отправлено: 10:36 13-12-2007
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
При совпадении логина/пароля на локальной тачке с учёткой в домене - получит, если будут разные - придётся ввести пароль для учётки домена.

даже комментировать нет желания

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 11:34 13-12-2007
rkhodjaev



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lykym

Цитата:
я где то читал что могут заходить админы

  Что ты имееш под словом админы?пользователи у которые входять в группу "админы домена?
RoDeZiya

Цитата:
Не совсем. При использовании перенаправления папок можно указать расположение отдельно каждого из каталогов: "Мои Документы", "Рабчий стол" и еще каких-то...

 А где можно по подробнее прочитат?

Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 11:55 13-12-2007
Lykym



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery12

Цитата:
Но вот если общие папки на контроллере домена то доступа к ним рабочая группа не получит, потому что на КД локальных учетный записей нет, естественно варианты когда на КД снижают  уровень безопасности и разрешают к шарам анонимный доступ я не учитываю как извратный.

Шары можно подключить и те которые находятся на контроллере домена,  
user: domen.ru\user
pass: user pass. Сколько раз уже так подключал, да и пост мой выше.  
 

Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 12:39 13-12-2007
RoDeZiya



NL25
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rkhodjaev
Посмотри статью на OSZone.

Всего записей: 2238 | Зарегистр. 02-04-2006 | Отправлено: 13:09 13-12-2007 | Исправлено: RoDeZiya, 13:25 13-12-2007
rastlin



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lykym

Цитата:
Шары можно подключить и те которые находятся на контроллере домена,  

Полностью согласен.
Valery12

Цитата:
даже комментировать нет желания

Да и не надо. Возьми тачку не в домене, создай там свою учётку с паролем и убедись, что все сетевые шары тебе доступны.  
А то я уже начал задумываться, как это мне с домашней тачки удаётся по доменным ресурсам ходить. Шайтан однако.

Всего записей: 30 | Зарегистр. 05-07-2003 | Отправлено: 13:38 13-12-2007
mouser

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а куда можно всунуть всмысле для чего "Active Directory" ??

Всего записей: 800 | Зарегистр. 10-11-2006 | Отправлено: 14:40 13-12-2007
SelfCoder

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ну и что? Это говорит только о том, что в текущем домене какие-то настройки безопасности блокируют ввод или же настройки безопасности самбы недостаточны для работы с DC. Посмотрите лог контроллера на предмет матюков, обдумайте и исправтье то, что мешает ввести линух в домен. ИМХО, переставлять АД из-за того, что какая-то тачка с линухом не смогла прицепиться к АД - извращение. Где гарантия что вторая линуксовая тачка на новом домене не поведёт себя также после какой-то настройки (сбоя) АД? Опять будете домен переставлять? Этим можно баловаться, пока DC один, но правильно - исправить настройки, ведь не будете же Вы переставлять домен с несколькими DC из-за одной линуксовой машины?  

У меня нет ни капли желания переустанавливать домен. Логи конечно же смотрел. Там нет ничего подозрительного. Политики, которые создавал сам, отключил. Политики по умолчания сбросил в стандартные - dcgpofix. dcdiag и netdiag тоже без ошибок. Подскажите где еще можно покопать.

Всего записей: 5 | Зарегистр. 10-11-2006 | Отправлено: 15:36 13-12-2007
riwen

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Цитата:Так все-таки возможно ли временное сосуществование рабочей группы и AD? На другом ресурсе говорят что это возможно ("если не вводить пользователя в домен то он по прежнему будет работать в рабочей группе и для него ничего не измениться" - RUS-FAQ). Направьте на путь истинный. Заранее благодарен за ответы.  
 
По-моему вы неверно представляете себе сети с AD.  
1) Компьютер находится одновременно в рабочей группе и в домене не может.  
2) Если смотреть со стороны конечного пользователя, то внешне работа в домене ничем не отличается от работы в рабочей группе - те-же компьютеры в сетевом окружении, те-же шары на серверах. Внешне "Сетевое окружение" выглядит одинаково, что в домене, что в рабочей группе.  
3) Компьютеры не введенные в домен (работающие в рабочей группе) могут обращаться к шарам доменых серверов/компьютеров. Единственная заметная на глаз разница - что пользователь AD один раз ввел пароль для входа в систему и все. И под этим аккаунтом его будет пускать ко всем дозволенным ресурсам всего домена. Пользователю рабочей группы при обращении к доменным шарам прийдется вводить пароль при подключении к каждому компьютеру.

 
Спасибо всем за ответы, кажется я услышал то-что хотел подтвердить. Итак, насколько я понимаю можно смело поднимать сервер до контроллера домена, настраивать AD, затем ввести в домен свой компьютер и потихоньку разбираться, учиться и экспериментировать с AD. Но главное при этом - остальные пользователи смогут спокойно продолжать работать, до тех пор пока я не стану вводить их компьютеры в AD.Для меня ведь важно сначала разобраться самому с работой AD, но при этом не мешая остальным. Поправьте, если в чем не прав.

Всего записей: 5 | Зарегистр. 10-12-2007 | Отправлено: 16:53 13-12-2007
Lykym



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SelfCoder
IMHO копай в линухе, Ад не причем если логи чистые и диаги без ошибок. Если ты вводишь линух в домен, а ад не пускает всеравно чего-нибудь в логах бы появилось.
Попробуй виндовую машину в домен ввести, если не пустит тогда точно Ад(сомневаюсь что не пустит).
 
 
Добавлено:
riwen
Я вводил сразу домен, но потом еще пару раз переставлял и бегал потом по машинам заново их перевводил в домен. Твой вариант лучше, если че не так домен переставишь, да пару машин которые введены в него переподключишь.  

Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 17:00 13-12-2007
fly_house



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Подскажите как разрешить анонимный доступ к ресурсам контроллера домена? Как ни пытаюсь, все равно при входе, пароль спрашивает...

Всего записей: 587 | Зарегистр. 08-09-2002 | Отправлено: 22:37 13-12-2007
ali1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fly_house
гость разрешен? и гдето по моему была политика - разрешить анонимный доступ  
 
вопрос по организации AD  
виндовс рекомендует при установке АД чтобы журнал аудита был на отдельном жестком диске - стоит ли так организовывать АД
у меня около 150 пользователей, на 2-х серверах по 2 диска SAS 15000 оборотов  
думаю может лучше рейд1 организовать или все таки при таком количестве пользователей будет нагрузка на диски

Всего записей: 606 | Зарегистр. 15-07-2006 | Отправлено: 23:17 13-12-2007 | Исправлено: ali1977, 23:19 13-12-2007
FreemanRU



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ali1977

Цитата:
стоит ли так организовывать АД  
у меня около 150 пользователей

нет. ИМХО данное справедливо начиная от тысячи пользователей/на один DC

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки

Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 23:39 13-12-2007
rkhodjaev



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RoDeZiya

Цитата:
rkhodjaev  
Посмотри статью на OSZone.

  Спасибо,статейка хорошая попробую в ближайщие дни попробовать!

Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 07:12 14-12-2007
fly_house



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
fly_house  
гость разрешен? и гдето по моему была политика - разрешить анонимный доступ  

гость разрешен, что еще посмотреть?

Всего записей: 587 | Зарегистр. 08-09-2002 | Отправлено: 11:51 14-12-2007
ali1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FreemanRU

Цитата:
нет. ИМХО данное справедливо начиная от тысячи пользователей/на один DC

 
то есть рекомендуете рейд 1 ставить чтоб зеркало было?

Всего записей: 606 | Зарегистр. 15-07-2006 | Отправлено: 13:05 14-12-2007
FreemanRU



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ali1977
Рекомендую 2 контроллера иметь. Тоды и рэйд не нужен.

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки

Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 13:12 14-12-2007
PhoenixUA



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FreemanRU
Одно другому не мешает
Роли переносить тоже время надо, а так всего лишь диск заменить.

Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 13:48 14-12-2007
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)
emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru