Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

bu536



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)

Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 01:14 03-02-2004 | Исправлено: drros, 12:54 12-07-2006
rkhodjaev



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lykym
  Хорошо значит это папка где поднять домен так-ntds.dit?

Цитата:
Все что приходит на ум в данном случае это проверить на какие файлы и ключи реестра нужны ноду для записи

Вот я тоже думаю какую нибудь улью реестера оставить открытим,ну ту что использует НОД.А вот не знаю возможно ли веточки реестра управлять при помощи GPO
PhoenixUA
Версия НОДа 2.50.26.  
Цитата:
Вторая линейка НОДа спокойно работает у юзеров в домене без всяких админских прав.  

Что ты имеешь под словом вторая линейка?
Но поднял эту тему в топике НОД посмотрим что скажут специалисты в области НОДа
 
 

Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 13:32 18-12-2007
SniZ

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Да, интересно как все это работало раньше ? Открывай параметры протокола tcp/ip   и смотри кто там у тебя Dns сервер. Запусти run->cmd->nslookup: набери имя своего домена, если ответ есть то можно предположить что Dns работает.  

 
так, вернул днс, всё начало пахать, только криво и с ошибками. терь вот:
с первого сервера:

Код:
 
C:\Program Files\Windows Resource Kits\Tools>gpotool.exe
Validating DCs...
ADsGetObject(LDAP://srv2.org.local) returned 0x8007203b, retry...
ADsGetObject(LDAP://srv2.org.local) returned 0x8007203b, retry...
ADsGetObject(LDAP://srv2.org.local) returned 0x8007203b, retry...
ADsGetObject(LDAP://srv2.org.local) returned 0x8007203b, retry...
ADsGetObject(LDAP://srv2.org.local) returned 0x8007203b, retry...
Available DCs:
srv1.org.local
Searching for policies...
Found 2 policies
============================================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Policy
Policy OK
============================================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Error: Version mismatch on srv1.org.local, DS=19, sysvol=18
Friendly name: Default Domain Controllers Policy
Details:
------------------------------------------------------------
DC: srv1.org.local
Friendly name: Default Domain Controllers Policy
Created: 03.02.2007 11:10:36
Changed: 02.03.2007 6:50:59
DS version:     0(user) 19(machine)
Sysvol version: 0(user) 18(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A
0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
============================================================
 
Errors found
 
C:\Program Files\Windows Resource Kits\Tools>C:\WINDOWS\ServicePackFiles\i386\dc
diag.exe
 
Domain Controller Diagnosis
 
Performing initial setup:
   Done gathering initial info.
 
Doing initial required tests
 
   Testing server: Default-First-Site\SRV1
      Starting test: Connectivity
         ......................... SRV1 passed test Connectivity
 
Doing primary tests
 
   Testing server: Default-First-Site\SRV1
      Starting test: Replications
         [SRV2] DsBindWithSpnEx() failed with error 5,
         Отказано в доступе..
         ......................... SRV1 passed test Replications
      Starting test: NCSecDesc
         ......................... SRV1 passed test NCSecDesc
      Starting test: NetLogons
         ......................... SRV1 passed test NetLogons
      Starting test: Advertising
         Warning: SRV1 is not advertising as a time server.
         ......................... SRV1 failed test Advertising
      Starting test: KnowsOfRoleHolders
         Warning: SRV2 is the Schema Owner, but is not responding to DS RPC Bind
.
         [SRV2] LDAP bind failed with error 8341,
         Произошла ошибка службы каталогов..
         Warning: SRV2 is the Schema Owner, but is not responding to LDAP Bind.
         Warning: SRV2 is the Domain Owner, but is not responding to DS RPC Bind
.
         Warning: SRV2 is the Domain Owner, but is not responding to LDAP Bind.
         Warning: SRV2 is the PDC Owner, but is not responding to DS RPC Bind.
         Warning: SRV2 is the PDC Owner, but is not responding to LDAP Bind.
         Warning: SRV2 is the Infrastructure Update Owner, but is not responding
 to DS RPC Bind.
         Warning: SRV2 is the Infrastructure Update Owner, but is not responding
 to LDAP Bind.
         ......................... SRV1 failed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... SRV1 passed test RidManager
      Starting test: MachineAccount
         ......................... SRV1 passed test MachineAccount
      Starting test: Services
            w32time Service is stopped on [SRV1]
         ......................... SRV1 failed test Services
      Starting test: ObjectsReplicated
         ......................... SRV1 passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... SRV1 passed test frssysvol
      Starting test: frsevent
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.
         ......................... SRV1 failed test frsevent
      Starting test: kccevent
         ......................... SRV1 passed test kccevent
      Starting test: systemlog
         An Error Event occured.  EventID: 0xC0001388
            Time Generated: 12/18/2007   12:54:08
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0x80001778
            Time Generated: 12/18/2007   12:57:34
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0xC0070002
            Time Generated: 12/18/2007   12:59:29
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0xC00010E1
            Time Generated: 12/18/2007   12:59:49
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0x40000005
            Time Generated: 12/18/2007   13:00:33
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0xC0001B70
            Time Generated: 12/18/2007   13:00:52
            (Event String could not be retrieved)
         ......................... SRV1 failed test systemlog
      Starting test: VerifyReferences
         ......................... SRV1 passed test VerifyReferences
 
   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
 
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom
 
   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
 
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom
 
   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom
 
   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom
 
   Running partition tests on : org
      Starting test: CrossRefValidation
         ......................... org passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... org passed test CheckSDRefDom
 
   Running enterprise tests on : org.local
      Starting test: Intersite
         ......................... org.local passed test Intersite
      Starting test: FsmoCheck
         ......................... org.local passed test FsmoCheck
 

 
вот со второго сервера:

Код:
 
C:\WINDOWS\ServicePackFiles\i386>dcdiag
 
Domain Controller Diagnosis
 
Performing initial setup:
   Done gathering initial info.
 
Doing initial required tests
 
   Testing server: Default-First-Site\SRV2
      Starting test: Connectivity
         ......................... SRV2 passed test Connectivity
 
Doing primary tests
 
   Testing server: Default-First-Site\SRV2
      Starting test: Replications
         ......................... SRV2 passed test Replications
      Starting test: NCSecDesc
         ......................... SRV2 passed test NCSecDesc
      Starting test: NetLogons
         ......................... SRV2 passed test NetLogons
      Starting test: Advertising
         ......................... SRV2 passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... SRV2 passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... SRV2 passed test RidManager
      Starting test: MachineAccount
         ......................... SRV2 passed test MachineAccount
      Starting test: Services
         ......................... SRV2 passed test Services
      Starting test: ObjectsReplicated
         ......................... SRV2 passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... SRV2 passed test frssysvol
      Starting test: frsevent
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.
         ......................... SRV2 failed test frsevent
      Starting test: kccevent
         ......................... SRV2 passed test kccevent
      Starting test: systemlog
         ......................... SRV2 passed test systemlog
      Starting test: VerifyReferences
         ......................... SRV2 passed test VerifyReferences
 
   Running partition tests on : TAPI3Directory
      Starting test: CrossRefValidation
         ......................... TAPI3Directory passed test CrossRefValidation
 
      Starting test: CheckSDRefDom
         ......................... TAPI3Directory passed test CheckSDRefDom
 
   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
 
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom
 
   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
 
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom
 
   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom
 
   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom
 
   Running partition tests on : org
      Starting test: CrossRefValidation
         ......................... org passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... org passed test CheckSDRefDom
 
   Running enterprise tests on : org.local
      Starting test: Intersite
         ......................... org.local passed test Intersite
      Starting test: FsmoCheck
         ......................... org.local passed test FsmoCheck
 
C:\Program Files\Windows Resource Kits\Tools>gpotool.exe
Validating DCs...
Available DCs:
srv2.org.local
srv1.org.local
Searching for policies...
Found 2 policies
============================================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Policy
Error: srv2.org.local - srv1.org.local sysvol mismatch
Details:
------------------------------------------------------------
DC: srv2.org.local
Friendly name: Default Domain Policy
Created: 03.02.2007 11:10:36
Changed: 04.02.2007 13:32:50
DS version:     1(user) 7(machine)
Sysvol version: 1(user) 7(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D
-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A
28C-00C04FB94F17}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D
0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-
00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: srv1.org.local
Friendly name: Default Domain Policy
Created: 03.02.2007 11:10:36
Changed: 04.02.2007 13:33:01
DS version:     1(user) 7(machine)
Sysvol version: 1(user) 7(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D
-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A
28C-00C04FB94F17}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D
0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-
00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Controllers Policy
Error: Version mismatch on srv1.org.local, DS=19, sysvol=18
Details:
------------------------------------------------------------
DC: srv2.org.local
Friendly name: Default Domain Controllers Policy
Created: 03.02.2007 11:10:36
Changed: 02.03.2007 6:50:45
DS version:     0(user) 19(machine)
Sysvol version: 0(user) 19(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A
0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: srv1.org.local
Friendly name: Default Domain Controllers Policy
Created: 03.02.2007 11:10:36
Changed: 02.03.2007 6:50:59
DS version:     0(user) 19(machine)
Sysvol version: 0(user) 18(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A
0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
============================================================
 
Errors found
 

 
Добавлено:

Код:
 
C:\Program Files\Windows Resource Kits\Tools>nslookup 192.168.1.101
Server:  srv1.org.local
Address:  192.168.1.101
 
Name:    srv1.org.local
Address:  192.168.1.101
 
 
C:\Program Files\Windows Resource Kits\Tools>nslookup 192.168.1.102
Server:  srv1.org.local
Address:  192.168.1.101
 
Name:    srv2.org.local
Address:  192.168.1.102
 
C:\Program Files\Windows Resource Kits\Tools>nslookup srv1.org.local
Server:  srv1.org.local
Address:  192.168.1.101
 
Name:    srv1.org.local
Address:  192.168.1.101
 
C:\Program Files\Windows Resource Kits\Tools>nslookup srv2.org.local
Server:  srv1.org.local
Address:  192.168.1.101
 
Name:    srv2.org.local
Address:  192.168.1.102
 

Всего записей: 71 | Зарегистр. 17-05-2006 | Отправлено: 14:47 18-12-2007
Lykym



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rkhodjaev

Цитата:
Вот я тоже думаю какую нибудь улью реестера оставить открытим,ну ту что использует НОД.А вот не знаю возможно ли веточки реестра управлять при помощи GPO  

 
Конечно можно, конфигурация компьютера-> конфигурация windows-> параметры безопастности->реестр.
Но скорее всего надо смотреть разрешения на доступ к файлам.
 
 

Цитата:
Хорошо значит это папка где поднять домен так-ntds.dit?  

Я не знаю куда ты устанавливал Ad при повышении роли, у меня он лежит в папке Ntds.
 
SniZ
Сервакам некоторое время нужно на репликация, так как они долгое время друг друга не видели.
Почисти логи на srv1 и запускай dcdiag/q - меньше логи будут, а выводится будут только ошибки.
 

Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 16:30 18-12-2007
SniZ

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 
Сервакам некоторое время нужно на репликация, так как они долгое время друг друга не видели.
Почисти логи на srv1 и запускай dcdiag/q - меньше логи будут, а выводится будут только ошибки.  


Код:
 
C:\Documents and Settings\Администратор.ORG>C:\WINDOWS\ServicePackFiles\i386\dcd
iag.exe /a /q /c /e
         ** Did not run Outbound Secure Channels test
         because /testdomain: was not entered
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.
         ......................... SRV2 failed test frsevent
         [SRV2] No security related replication errors were found on this DC!  T
o target the connection to a specific source DC use /ReplSource:<DC>.
         ** Did not run Outbound Secure Channels test
         because /testdomain: was not entered
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.
         ......................... SRV1 failed test frsevent
         [SRV1] No security related replication errors were found on this DC!  T
o target the connection to a specific source DC use /ReplSource:<DC>.
 

 
ну вот собсно...

Всего записей: 71 | Зарегистр. 17-05-2006 | Отправлено: 16:59 18-12-2007
mozers



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ALL
Сеть 20 компов winXP со статическими адресами и 2 сервера (работает пока один) с AD на win2003.
Выхода в инет нет и не будет никогда.
Для нормальной работы AD достаточно одного DNS сервера на PDC?
Я думаю нет строгой необходимости поднимать остальные роли?
А может и без DNS сервера обойдемся? (хотя я столько врмени на его отладку убил)
 
P.S. Кому то вопрос покажется глупым. Но я думаю что лучше побыть один раз дураком чем оставаться в своих укоренившихся заблуждениях всю жизнь...

Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 00:31 19-12-2007
FreemanRU



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
mozers

Цитата:
А может и без DNS сервера обойдемся

Без DNS AD не работает. ВООБЩЕ.
И лучше держать 2 сервера, для отказоустойчивости, есть они не просят.

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки

Всего записей: 3794 | Зарегистр. 16-07-2004 | Отправлено: 00:56 19-12-2007
mozers



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FreemanRU
СПАСИБО.
Я слышал что кто то умудряется обходится и без DNS сервера, но поскольку все методы решения проблем с AD начинаются со слов "убедитесь в правильной работе DNS сервера", решил не рисковать.
 
ALL, ЕЩЕ ВОПРОС:
Системой создан каталог, владельцем которого является только его создатель (обычный пользователь). Я, являясь членом групп "Administrators" и "Администраторы домена" не могу не попасть в этот каталог ни сменить его владельца (в списке "Владелец" - "Изменить владельца на" администраторы отсутствуют - только 2 имени текущего создателя - как локального пользователя и как пользователя домена и кнопочки внизу "Иные пользователи и группы" нету.).
Вопрос такой - КАК сменить владельца каталога???

Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 10:17 19-12-2007
Booklet

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Вопрос такой - КАК сменить владельца каталога???

Эм...  
Контекст > св-ва > безопасность > владелец.
 
Но это не из оперы АД.
или как раз этот способ не пашет?

Всего записей: 741 | Зарегистр. 09-03-2006 | Отправлено: 12:19 19-12-2007
mozers



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Booklet
Именно этот способ и "не пашет". А AD свои щупальца и на права NTFS распостраняет...

Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 15:29 19-12-2007
greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mozers

Цитата:
Именно этот способ и "не пашет". А AD свои щупальца и на права NTFS распостраняет...
что-то вы путаете, АД как хранилище учёток добавляет только доменных пользователей в систему со всеми вытекающими (их авторизацией и т.д.) А вот что там за права на папке и кто владелец afaik уже система настраивает сама...
У вас на лок. машине (что за система кстати, что там ещё крутится) в группу administrators входит доменная группа domain admins? (машина вообще в домене?)

----------
Три вещи вечны: смерть, налоги и потеря данных...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 15:44 19-12-2007
mozers



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox
Цитата:
АД как хранилище учёток добавляет только доменных пользователей в систему со всеми вытекающими (их авторизацией и т.д.) А вот что там за права на папке и кто владелец afaik уже система настраивает сама...  
Ну настраивает то она, исходя из информации AD. Вот щас, например, владелец многих каталогов DOMEN-NAME\Administrator.

Цитата:
У вас на лок. машине (что за система кстати, что там ещё крутится) в группу administrators входит доменная группа domain admins? (машина вообще в домене?)
Это 3 вопроса 3 ответа:
1. WinXP
2. В "Default Domain Policy" - "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" - "Группы с ограниченным доступом" добавил DOMAIN-NAME\Администраторы домена.
Как железно проверить что это работает??? (По дискам на компах пользователей лазаю без проблем - где угодно создаю/удаляю файлы, а вот тут...)
3. да

Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 18:32 19-12-2007
Booklet

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Наверное, входит.
Вероятно, mozers именно об этом говорит фразой "AD свои щупальца и на права NTFS распостраняет".
Механизм там чуть иной, конечно...

Всего записей: 741 | Зарегистр. 09-03-2006 | Отправлено: 18:42 19-12-2007
mozers



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ладно, расскажу как такое дело можно смоделировать
Создайте перенаправленную папку с помощью стандартного аплета в групповой политике. При создании поставьте галку "Предоставить пользователю монопольный доступ". И ВСЕ.
Хрен с этой папкой что сделаешь. Даже зайти в нее будет невозможно! НИ ПОД КАКИМИ СУПЕР-ПУПЕР ПРАВАМИ. Вот так.
Просто пользователь становится ЕДИНСТВЕННЫМ владельцем этой папки. И все. Кранты.
Как это дело отменить иначе чем через ту самую галку???

Всего записей: 2187 | Зарегистр. 03-01-2002 | Отправлено: 20:59 19-12-2007
TCPIP

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mozers

Цитата:
Как это дело отменить иначе чем через ту самую галку???

Так задумано. Доступ можно получить как обычно - взяв права владельца, о чем читай в указанной статье.
 
Да, тут разговор про группы шел. Так, на всякий случай. Наверняка многие знают, но, тем не менее, это иногда бывает полезно при разрешении конфликтов.

Всего записей: 4667 | Зарегистр. 31-01-2003 | Отправлено: 00:08 20-12-2007 | Исправлено: TCPIP, 00:13 20-12-2007
sLap



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Подскажите плз, как предоставить рядовому пользователю домена право только на добавление компьютеров в домен?

Всего записей: 214 | Зарегистр. 31-05-2002 | Отправлено: 07:06 26-12-2007
rkhodjaev



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 Hi to All
Прблема.Начал использовать корпоративный НОД,то есть с Administrative Console.Когда установил на свою машины,то без каких либо проблем смог Install,Uninstall and etc под доменным пользователем(с админовским паролем).Потом решил на сервере установить и пусть работает,мало ли что я меня будет.Теперь после этого с сервера не возможно Install,Uninstall and etc на удаленных машинах сети под доменным пользователем (с админ. правами),а под локальном возможно.Не знаете в чем может быть ошибка или что-то я не проделал.

Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 09:42 26-12-2007
PhoenixUA



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sLap
Можешь попытаться дать вот эти права:
http://img184.imageshack.us/img184/3056/accountadminsqq8.gif
+ каждый пользователь имеет право (если не менялись политики) ввести 10 компов в домен.

Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 09:47 26-12-2007
Lykym



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sLap
Да вроде он и так имеет такие права.

Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 09:47 26-12-2007
PhoenixUA



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lykym
Без прав на контейнер Computers пользователь сможет ввести машину в домен только если учетная запись компа уже была создана.
 
Добавлено:
rkhodjaev

Цитата:
Теперь после этого с сервера не возможно Install,Uninstall and etc на удаленных машинах сети под доменным пользователем (с админ. правами),а под локальном возможно.

Расшифруй эту фразу.  
И какое-то сообщение об ошибке он же должен выдавать...

Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 09:53 26-12-2007
Lykym



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PhoenixUA
Решил проверить, у меня server 2003, рабочая станция WinXp, домен работает в режиме Windows 2003. На контейнер Computers Domain users имеет права только на чтения, и то из-за того что он входит в группу прошедшие проверку. Вывел станцию из домена, перезагрузил, на контроллере удалил машину из контейнера. Зашел на машину под локальным админом, открыл соответствующее окно и там ввел машину в домен под аккаунтом Domain user-а.
 
Добавлено:

Цитата:
каждый пользователь имеет право (если не менялись политики) ввести 10 компов в домен.

С этим согласен, было такое.

Всего записей: 113 | Зарегистр. 09-04-2004 | Отправлено: 10:12 26-12-2007
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)
emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru