bu536 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Active Directory (AD) смотрите также: Групповые политики (Group Policy) Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы   В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.   » Как отличить общий вопрос от частного?   » Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory   » Полезные ресурсы по Active Directory (AD) Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 01:14 03-02-2004 | Исправлено: drros, 12:54 12-07-2006

ali1977 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU Цитата: Рекомендую 2 контроллера иметь. Тоды и рэйд не нужен. так и будет 2 контроллера домена на каждом по 2 диска SAS - просто думал как их организовать - оба в зеркало или оставить обычную систему Всего записей: 606 | Зарегистр. 15-07-2006 | Отправлено: 18:19 14-12-2007

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ali1977 Цитата:  каждом по 2 диска SAS Чтоб я так жил...... Конечно тогда лучше зеркало.   У меня DC, на котором основные функции до прошлой недели жил на матери VIA, 768 Мб памяти, P4-1,5 и HDD 40Gb Seagate доисторическом. Щаз на виртуалке. Так что завидую по-хорошему. ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 18:52 14-12-2007

5555555 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Конечно тогда лучше зеркало. и 2-а lun'а, а то без кэширования зеркало не особо шустрое получится. Цитата: DC, на котором основные функции до прошлой недели жил на матери VIA, 768 Мб памяти, P4-1,5 и HDD 40Gb   а не обманываешь? Цитата: Щаз на виртуалке где крутятся еще штук 6-.. виртуалок, короче 4-хпроцессорная штука с "от 16 гигами озю" Всего записей: 2593 | Зарегистр. 01-04-2004 | Отправлено: 19:02 14-12-2007 | Исправлено: 5555555, 19:03 14-12-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: виндовс рекомендует при установке АД чтобы журнал аудита был на отдельном жестком диске по моему там есть рекомендации что бы сама база Ад была на отд.диске т.к. кэширование на нём отключается при установке (именно на физ.диске) ... Или там ещё что-то есть? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 19:08 14-12-2007

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору 5555555 Цитата:  не обманываешь? Нет Могу фотку прислать В домене 600 пользователей, на этом конкретно авторизовывалось примерно 400, плюс GK, плюс CA 5555555 Цитата: где крутятся еще штук 6-.. виртуалок, короче 4-хпроцессорная штука с "от 16 гигами озю не, всего 4 вирт. сервера, 2-а Xeon-а c 4мя ядрами, завтра будет 6 Гб FB-DIMM-ов, и 2 RAID5 SCSI по 140 Гб. ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 19:10 14-12-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Щаз на виртуалке на какой? Где то слышал мысль что вобщем то второй DC можно под VMware поднять - так сказать как резервный вариант - и вос-ть быстро и ресурсов "жрёт меньше" ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 19:11 14-12-2007

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору greenfox Цитата: Или там ещё что-то есть И то, и другое. Там такие же рекомендации, как и у любой журналируемой БД (н-р MSSQL).   Добавлено: Цитата: на какой Virtual Server 2005 R2. ИБо покупаешь один Win2003 Enteprise за $2000, и пользуешь 4 в виртуале (т.е. $740(цена Standard)*4=~#3000, чистая экономия в $1000). ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 19:12 14-12-2007 | Исправлено: FreemanRU, 19:14 14-12-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU Цитата: Virtual Server 2005 R2. ИБо покупаешь один Win2003 Enteprise за $2000, и пользуешь 4 в виртуале (т.е. $740(цена Standard)*4=~#3000, чистая экономия в $1000) т.е. по простому - мощный сервак, на него w2k3 с виртуалкой  Virtual Server 2005 R2 и соот-но одновременно запущеными 4-мя машинами? Ну и как, не тормозит? + что по мимо DC\CA крутится т.о.? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 19:23 14-12-2007 | Исправлено: greenfox, 19:24 14-12-2007

5555555 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU Цитата: один Win2003 Enteprise за $2000, и пользуешь 4 в виртуале Ага, ага! Цитата: Могу фотку прислать а пришли что-то отвлеклись - я заканчиваю, а то настучат за оффт. Всего записей: 2593 | Зарегистр. 01-04-2004 | Отправлено: 19:27 14-12-2007

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору greenfox Цитата: Ну и как, не тормозит Шикарно всё работает. Была основная проблема (слава богу тестировали перед боевой эксплуатацией) - это производительность дисковой системы. Поэтому 2 контроллера и два массива. Крутится:  - VPN-сервер (примерно 40 одновременных подключений, трафик в основном MSSQL-ный), он же front-end для Exchange (5 пользователей , тестовый прогон)  - сервер WSS, там портальчег маленький. Там же разработка.  - сервер антивируса, OpenFire, внутренний сайт ОИТ.  - ну и описанный мною DC   Еще в планах туда же посадить продакшн-WSS.   Плюсов от виртуализации - море. Это и бакап, и легкий перенос с сервера на сервер, и место в автозале, и попу от стула не надо отрывать чтоб новый сервак установить ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 19:32 14-12-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU мне фотку тоже + надо бы открыть ветку по виртуализации, поделиться опытом А то я пока только с VMWare эксперементировал ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 19:44 14-12-2007

mozers Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вот и у меня - обновление парка... На новом сервере установил Win2003 и AD. Хочется сделать все "по уму", а не так как было ("работает - и ладно"). При установке, как обычно, было создано безмерное количество групп безопасности. Действия, которые допустимы в той или иной группе не будет выполнять в реалии ни один из пользователей. Хочу ВСЕ что есть удалить и создать 3 реальных группы: Админы (т.е. просто переименовать имеющуюся группу "Администраторы домена") - чтобы могли делать абсолютно все и в домене и на любой клиентской машине (независимо от того имеет ли она подключение к сети). Юзеры (на основе группы "Users") - им все запретить, но при невозможности выполнения ими своих прямых обязанностей, что то временно разрешить. Продвинутые - их создам потом, скопировав права юсеров вместе с теми возможностями что временно разрешил, но только у юсеров я эти дополнительные права сразу отберу, а этим - так и оставлю. ... Я смутно догадываюсь что не совсем прав, но мне очень хотелось бы услышать как поступаете вы - опытные администраторы? Так и держите в неприкосновенности туеву хучу никому не нужных групп безопасности? Если надо пользователя наделить какими то правами, то пихаете его сразу в несколько приблизительно подходящих групп? Мелкософт это называет "гибкость". Я же считаю что эта предустановленная структура взаимосвязанных и пересекающихся прав только вводит в ступор начинающего администратора. В общем вопрос такой: Как правильно и максимально просто сделать такую 3х уровневую систему безопасности? Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 23:53 14-12-2007

RoDeZiya NL25 Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mozers Цитата: Так и держите в неприкосновенности туеву хучу никому не нужных групп безопасности? Если надо пользователя наделить какими то правами, то пихаете его сразу в несколько приблизительно подходящих групп? Именно так и поступаю. Как правило стандартных групп безопасности на 90% хватает для четкого, структурированного и главное - понятного управления пользователями. В случае необходимости - создать новую группу и добавить или ограничить права этой группы намного легче, чем пытаться восстановить параметры перенастроенной стандартной группы. Цитата: Мелкософт это называет "гибкость". Я же считаю что эта предустановленная структура взаимосвязанных и пересекающихся прав только вводит в ступор начинающего администратора. Вот здесь буду спорить. Разобраться в правах стандартных групп "начинающему админу" на самом деле, не так уж и сложно. Зато когда приходишь на новое место работы (или просто проконсультировать) и видишь вместо стандартных групп - абсолютно непонятную тебе иерархию пользователей, притом нигде не документированную, в которой сам админ-то едва разбирается - вот тогда уже начинаются реальные проблемы. Цитата: В общем вопрос такой: Как правильно и максимально просто сделать такую 3х уровневую систему безопасности? Стандартно - Администраторы, Опытные пользователи, Пользователи. Все. Правда с группой "Опытные пользователи" в домене могут возникнуть проблемы. MS её стандартной не считает. Либо скопировать группу "Пользователи" и расширить её права до необходимых.   ИМХО - Не удаляй стандартные группы. Искалечишь систему так, что потом не восстановишь. Они не не мешают. Вообще не мешают. Лучше почитай документацию на стандартные группы/встроенные учетные записи, разьерись и ознакомься с рекомендациями Microsoft. Если разберешься - тебе потом эта идея самому-же покажется дикой и смешной. ---------- Злой человек. Всего записей: 2238 | Зарегистр. 02-04-2006 | Отправлено: 00:26 15-12-2007 | Исправлено: RoDeZiya, 00:27 15-12-2007

ali1977 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 5555555 Цитата:  2-а lun а можно узнать про луну чуть поболее а то гугл при задании lun в поиск всякую хрень выдает))) Всего записей: 606 | Зарегистр. 15-07-2006 | Отправлено: 01:57 15-12-2007

mozers Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору RoDeZiya СПАСИБО. Ответ достаточно убедительный. Но в реалии выясняется что многое работает совсем не так как описано в документации Так, например, на старом домене, администратор включен во все группы подряд и тем не менее у него возникают проблемы с доступом. Я, как только столкнулся с этой ситуацией, удалил его из всех групп кроме, администраторов домена - в результате администратор уравнялся правами с обычным пользователем на всех клиентских машинах. В какой документации описан такой эффект?! Или где описано то, что при понижении роли сервера с контроллера домена до обычного сервера администратор не сможет попасть на машину ни со старым ни с новым паролем?! Вот поэтому и возникла мысль создать свои группы безопасности, права в которых будут работать железно, так как заложено мной, а не так как представляет себе безопасность воспаленный мозг Билла Гейтца А то что другие админы (те, что придут после меня) будут в шоке - так это даже лучше Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 12:06 15-12-2007

5555555 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ali1977 Цитата:  узнать про луну чуть поболее   боюсь это отклонение от данной темы, коротко: разбивать массив на "логические" (здесь-условное название) можно как средствами ос, так и рейд контроллера. И если ОС не выполняет отключение кэширования диска (а при установке в кач-ве контроллера, винда обязательно это делает), то вроде как без разницы (в некоторых случаях, имхо,  предпочтительней даже средствами ОС). А если отключает, то однозначно контроллером формировать. Луны видятся системой как отдельные физические диски и на них можно делать разную политику кэширования. Т.е. если рейд разбит на разделы, то при отключенном кэше "тормозить" (и довольно существенно) будет только раздел-диск с отключенным кэшем. Всего записей: 2593 | Зарегистр. 01-04-2004 | Отправлено: 12:27 15-12-2007

rastlin Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mozers Цитата: Так, например, на старом домене, администратор включен во все группы подряд и тем не менее у него возникают проблемы с доступом. Я, как только столкнулся с этой ситуацией, удалил его из всех групп кроме, администраторов домена - в результате администратор уравнялся правами с обычным пользователем на всех клиентских машинах. В какой документации описан такой эффект?! Это следствие того, что права на указанные ресурсы были даны только определённым группам и не даны стандартной группе Администраторов! Проверяйте права на ресурсы (про права на NTFS тожэе не забудьте). Поэтому администратор и был добавлен во все группы. Цитата: Или где описано то, что при понижении роли сервера с контроллера домена до обычного сервера администратор не сможет попасть на машину ни со старым ни с новым паролем?! Бред. Проверяйте настройки, такого быть не должно при стандартной настройке АД. Цитата: Вот поэтому и возникла мысль создать свои группы безопасности, права в которых будут работать железно, так как заложено мной, а не так как представляет себе безопасность воспаленный мозг Билла Гейтца   Это всё следствие "ручной" установки прав так как хотелось предыдущему админу. Вы сейчас сделаете точно такой же геморрой для следующего админа, которй долго будет вникать, что же Вы хотели этим сказать... Всего записей: 30 | Зарегистр. 05-07-2003 | Отправлено: 12:50 15-12-2007

5555555 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Вы сейчас сделаете точно такой же геморрой для следующего админа ну так он честно и признался: Цитата: А то что другие админы (те, что придут после меня) будут в шоке - так это даже лучше   Всего записей: 2593 | Зарегистр. 01-04-2004 | Отправлено: 12:54 15-12-2007

rastlin Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: ну так он честно и признался:     Цитата:А то что другие админы (те, что придут после меня) будут в шоке - так это даже лучше     Ну да. Вот только он сейчас сам в положении этих других админов. Всего записей: 30 | Зарегистр. 05-07-2003 | Отправлено: 13:12 15-12-2007

mozers Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rastlin 5555555 Вы будете очень удивлены, когда узнаете, что тот, кто ставил эту систему вообще не специалист и о группах безопасности имеет весьма смутное представление. Т.е. он все ставил по умолчанию. А когда, натолкнулся на то, что по умолчанию ничего работать не хочет, начал кидать админов и некоторых пользователей во все группы подряд. И система то - бесхитростная (клиенты - ХР и контролер на w2003) но по дефолтовым установкам ничего, по его словам, не заработало. На всех машинах файерволы отключил, везде гостя разрешил - только так постепенно начал жить... Это разве дело??? Моя воля - всю бы сеть переставил с нуля. Но нельзя - все практически круглосуточно в работе... Цитата: Цитата: Или где описано то, что при понижении роли сервера с контроллера домена до обычного сервера администратор не сможет попасть на машину ни со старым ни с новым паролем?!   Бред. Проверяйте настройки, такого быть не должно при стандартной настройке АД. Че там проверять? Только что на девственном компе поднял контроллер - непонравилось что то - понизил его до сервера - все! - после перезагрузки зайти на него не могу. Опять переустанавливать по новой... (за последние 2 дня я уже 4 раза эту процедуру проделывал. Эксперементирую знаете ли пока можно... Как в работу будет пущен - уже не дотронешся...) Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 13:55 15-12-2007 | Исправлено: mozers, 14:02 15-12-2007

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)

emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование