Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

bu536



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 01:14 03-02-2004 | Исправлено: drros, 12:54 12-07-2006
psj



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexSSS
Есть такая штука: http://www.autoitscript.com/autoit3/. Она позволяет запускать программы от имени любого пользователя. Есть описание на русском. Т.е. запускайтеОДНУ задачу хоть от имени администратора.
 


----------
В правильно заданном вопросе - 80% ответа :)
Всего записей: 267 | Зарегистр. 27-07-2004 | Отправлено: 10:16 23-12-2004
G14



Добрый фей		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
psj

Цитата:
поэтому посмотреть негде

microsoft.com>search вроде еще не отменили
AlexSSS

Цитата:
при каждом логоне

...применяется user policy. при каждой загрузке - machine policy.

Цитата:
Но для этого клиент должен быть минимум Power User-ом

разрешение политиками на ветку реестра + права ntfs на папку с прогой не помогает ?

Цитата:
но нет никакой гарантии, что апдейт не захочет еще чего-нибудь.

то есть это ты не проверял ? и что нужно этой проге для апдейта ты не знаешь ?

Цитата:
все настройки клиентов до сих пор настраиваюися скриптами.  

через ж...  конечно, но строку gpupdate.....  можно добавить в логон скрипт...
eventlog что нить говорит по поводу политик ?
Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 10:23 23-12-2004
psj



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
G14

Цитата:
microsoft.com>search вроде еще не отменили

А оно мне надо? Я данную проблему решил другими методами!

----------
В правильно заданном вопросе - 80% ответа :)
Всего записей: 267 | Зарегистр. 27-07-2004 | Отправлено: 10:31 23-12-2004
AlexSSS

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. поставил refresh interval for computers на пять минит, рандомизацию на минуту
2. на локальном компе gpupdate /force, все нормально, появляется нужная группа в Power Users
3. Стираю все из Power Users, перегружаю компьютер, на всякий случай жду еще десять минут - в Power Users ничего не появляется
 
AS>  Но для этого клиент должен быть минимум Power User-ом  
G14> разрешение политиками на ветку реестра + права ntfs на папку с прогой не помогает ?  
Для обычной работы достаточно, для апгрейта нет.
 
AS>  но нет никакой гарантии, что апдейт не захочет еще чего-нибудь.  
G14> то есть это ты не проверял ? и что нужно этой проге для апдейта ты не знаешь ?  
разрешение на ветку программы в hkey_local_mashine и NTFS права на папки программы установлены.
Апгрейт ругается. Мониторить дополнительно реестр и файловую систему на проверку, что ей еще надо, нет ни времени, ни желания. Уж лучше один раз разобраться с политиками ;o)
 
AS>все настройки клиентов до сих пор настраиваюися скриптами.    
G14> через ж...  конечно
когда в домене до сих пор больше 250 компов Windows 9X - это нормально ;o)
 
G14> но строку gpupdate.....  можно добавить в логон скрипт...  
без проблем, так и сделаю, если по другому не выйдет. Но уж если я взялся за применение политик, это надо добить до нормальной работы, тем более накопилось еще куча вещей, которые надо перевести на политики
 
> eventlog что нить говорит по поводу политик ?  
и на серваке и на клиенте - пусто.
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 10:48 23-12-2004
psj



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexSSS
У меня была похожая проблема. 3-х этажное здание, ~60 активно работающих пользователей в 17 подсистемах на 1 SQL-сервер. Система критична к длительным остановам. Обновления подсистем и таблиц ~1-2 раза в месяц, централизованно из головного предприятия. Обновление ставится тоже по приказу головного предприятия. Проблему решил следующим образом: SQL-сервер вынесен на отдельный сервер (по железу), был собран приличный файловый сервер на котором были размещены ВСЕ подсистемы. На рабочем столе каждого пользователя прописаны ТОЛЬКО те подсистемы на которые он имеет право в доменной политике (это делается при каждом логоне скриптами). Обновление делается ТОЛЬКО на файловом сервере. При необходимости, инсталяция некоторых DLL, которые приходят с обновлениями, на каждую рабочую станцию, производится при помощи доменных политик с помощью AutoIt. Обновление всех подсистем (сейчас их 24) и таблиц SQL-сервера происходит в течении 20-40 минут.
НО ЭТО ПЕРЕСТРОЙКА ВСЕЙ ТЕХНОЛОГИИ ВАШЕЙ РАБОТЫ!!! Вам может и не подойти.

----------
В правильно заданном вопросе - 80% ответа :)
Всего записей: 267 | Зарегистр. 27-07-2004 | Отправлено: 11:10 23-12-2004
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexSSS
Попробуй включить логи обработки политик на клиенте. Может там что-нибудь откопаешь.
How to Enable Logging for Security Configuration Client Processing in Windows 2000
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 11:15 23-12-2004
pazdak

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexSSS
А Мелкософтовской утилиткой GPResult пробывали посмотреть что к чему?

Цитата:
This command-line tool displays information about the result Group Policy has had on the current computer and logged-on user.

Вроде она идет вместе с Resource Kit, но я ее скачивал отдельно...
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/gpresult-o.asp
Всего записей: 376 | Зарегистр. 13-02-2003 | Отправлено: 11:25 23-12-2004 | Исправлено: pazdak, 11:29 23-12-2004
AlexSSS

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
psj
программа использует
1. Выделенный SQL Server
2. Выделенный сервер приложений, где крутятся какие-то сервисы и расположены программые файлы.
3. Клиентская часть на локальном компьютере, которая автообновляется с второго сервера при наличии там обновлений.
Клиент стоит где-то на 130 машинах, одновременно работать могут до 75 клиентов (лицензии, однако). Порядка 20 клиентов работает через терминал сервер
 
В свое время стоило достаточных усилий настроить стабильную работу этой системы и менять технологию работы точно уж не хочется ;o)
 
По поводу AutoIt - насколько я понял, он может криптовать исполняемый скрипт (при aut2exe)?
RunAsSet - функция безусловно полезная, однако, если нет криптования текста, грош ей цена
 
Добавлено
pazdak
GPResult попробовал после Вашего сообщения, насколько могу судить, вроде все в порядке.
 
Вызывает вопрос только одно - в хелпе к проге описан результат одной строки как
Last time Group Policy was applied: Monday, September 07, 1999 at 7:51:59 AM
 
для начала мне как раз и требуется узнать, в какие моменты времени все же проходило обновление политик. Однако в моем логе эта строка идет без даты-времени
Last time Group Policy was applied: 23 Group Policy was applied from: srv.dom1.dom2
 
еще раз сформулирую проблему- по gpupdate /force все замечательно обновляется. Если же не делать принудительного обновления, то ни логоф/логон, ни перезагрузка не помогают. Политика срабатывает в течении нескольких часов, но когда именно отловить не удалось
 
Добавлено
Alan Mon, спасибо
логи обработки политик на клиенте включил, именно там накоец-то нашел время, когда у меня все же обновлялась политика на компе
Это происходило при первом входе на комп утром (уже пару дней), либо при принудительном gpupdate /force
 
2 All
1. Могут ли быть проблемы с обновлением политик из-за 2000 mixed domain
тем более, что в домене есть еще один windows nt 4 BDC
2. Политика, которая должна примениться, сделана на уровне домена (не OU) и стоит второй по приоритету после Default Domain Policy. Default Domain Policy трогать не хочется. Могут ли на уровне домена или каждого OU быть по несколько политик?
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 11:31 23-12-2004
G14



Добрый фей		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AlexSSS

Цитата:
Могут ли быть проблемы с обновлением политик из-за 2000 mixed domain  

сомневаюсь....

Цитата:
Могут ли на уровне домена или каждого OU быть по несколько политик?

да. и применяется это (если не выставлено запрещение наследования) по порядку:
Сайт>домен>OU  . в каждом из них , если есть несколько политик, права на которые есть у всех, применяется "снизу вверх" и если параметр определен несколько раз в разных политиках-работает применившийся последним.
Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 12:23 23-12-2004 | Исправлено: G14, 12:27 23-12-2004
AlexSSS

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем большое спасибо, практически со всем разобрался
 
Последние эксперименты сводились к тому, что я убивал всех в локальной группе Power Users и ждал, пока там все же появится группа, прописанная в доменной политике. Однако, применение политики происходит тогда, когда на сервере и клиенте разные версии политик. Если же на них одна версия, то политика не применяется. Удаляя группу на компе, версия политики на локальном компе не изменяется и соответственно политика заново не обновляется. Если же обновить политику на сервере, то в течении заданного интервала она обновится и на клиенте.
 
осталось не совсем понятным, почему раньше не всегда обновлялась политика после перезагрузки, но сейчас уже все обновляется.
 
Есть ли возможность задать принудительное обновление политик при логоне, даже если политики не изменились (аналог gpupdate /force в логон-скрипте)?
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 13:17 23-12-2004
G14



Добрый фей		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AlexSSS

Цитата:
принудительное обновление политик при логоне

computer configuration>adm. templates>system>group policy
там security policy processing > enabled и галка Process Even If The Group Policy Objects Have Not Changed
Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 13:35 23-12-2004
AlexSSS

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
> Process Even If The Group Policy Objects Have Not Changed
это я видел, однако, насколько я понял, это принудительное применение политики не только при логоне, но временному периоду (Group Policy refresh interval for computers).
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 13:56 23-12-2004
G14



Добрый фей		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AlexSSS

Цитата:
не только при логоне, но временному периоду  

это тебя не устраивает ? выставь удобный рефреш интервал.....
для локальной сети там не такой дикий объем траффика будет.....
Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 15:45 23-12-2004
leputain



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
есть подозрение что не срабатывает политика domain member: digitally sign / encrypt connection always между PDC и просто терминал сервером. оба на 2003. домен и сайт в 2003 native mode. приходится ставить её в disable и включать if client agrees - тогда всё прёт.
 
Добавлено
что делать?
Всего записей: 1434 | Зарегистр. 24-11-2002 | Отправлено: 16:16 23-12-2004
psj



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexSSS

Цитата:
RunAsSet - функция безусловно полезная, однако, если нет криптования текста, грош ей цена  

Цитата из Help-а

Цитата:
Компилированный скрипт и дополнительные файлы, добавляемые функцией FileInstall сжимаются в соответствии со специально разработанным алгоритмом паковки (автор Jonathan B.) на основе сжатия по LZSS/Huffman



----------
В правильно заданном вопросе - 80% ответа :)
Всего записей: 267 | Зарегистр. 27-07-2004 | Отправлено: 19:00 23-12-2004 | Исправлено: psj, 19:03 23-12-2004
Alxdhere



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Как позволить пользователю, который входит в группу Users выполнить vbs скрипт?
 
Суть такая. У меня рабочие станции все именуются как ws### где ### многозначный серийный номер компа (например, ws14403). Пользователи именуются инициалами, типа PVN (Pupkin Vasya N).
 
Чтобы видеть, какой пользователь на какую машину вошел я сделал скриптик .vbs который читает username с машины на которой запущен и прописывает его в описание этой самой машины. Получается, что в сетевом окружении я увижу два столбика: один с именем юзера и номером машины, а в другом только номер машины.
Все красиво работает, пока тестил под админом. Когда прописал выполнение скрипта через политику, то он не стал выполняться. Выполнил ручками - фиг. Прав нету, на изменение описание компа. Как дать такие права.
 
Можно даже задать вопрос более широко. Как выполнять скрипт .bat или .vbs описаный в политике с правами админа??? (только не runas, т.к. там пароль в открытую виден).
 
Спасибо.
Всего записей: 183 | Зарегистр. 24-11-2004 | Отправлено: 17:05 27-12-2004
AlexSSS

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alxdhere
> Как выполнять скрипт .bat или .vbs описаный в политике с правами админа???  
в твоем случае это не поможет - тогда скрипт пропишет username админа, а не пользователя.
 
Для WSH есть Script Encoder
http://www.microsoft.com/downloads/details.aspx?familyid=e7877f67-c447-4873-b1b0-21f0626a6329&languageid=f49e8428-7071-4979-8a67-3cffcb0c2524&displaylang=en
 
могу предложить чуть другой вариант для решения твоей задачи - просто запись в лог файл на сервере все логины, кто, когда и на какой комп зашел. На уровне NTFS делаются права для пользователей на добавление в файл без права читать.
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 17:15 27-12-2004 | Исправлено: AlexSSS, 17:28 27-12-2004
Alxdhere



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Еще вопрос идеологический.
Есть сервер w2k3 и рабочие станции xp sp2. Я пока только изучаю возможности GPO и мне сильно нравится возможность установки софта с их помощью. Однако, из-за того, что политики применяются с правами пользователя, а не администратора не всякий софт поставится.
1. Скажем пакеты типа MS Office или AutoCAD 2005 поставить вроде можно. Надо только в политиках разрешить использовать права админа при запуске msi.
2. Пакеты "без инсталляторов", т.е. которые можно просто скопировать тоже проблемы не создают. Я сделал из них самораспаковывающийся .exe и рядом .bat-файл. Запускаю из GPO .bat и софт ставится. Там же проверяется, есть он или нет, чтобы второй раз не ставиться.
3. Но есть пакеты от Install Shield которые ставятся только с ключом /s. Есть пакеты, которые ставятся только со своими ключами и для них нужен отдельный .bat-файл в котором указана вся стартовая строка. Однако, для установки таких пакетов, помимо нахождения возможности silent установки, надо еще и права админа пользователю дать. А пользователь ведь в users и помещать его в administrators я не собираюсь.
4. Есть пакеты, которые можно превратить в самораспаковывающийся .exe, как в п.2, но надо исправить системные переменные (например, путь поиска прописать или еще чего), тоже не пускает. Прав нет.  
 
Загружать таких монстров как MOM или SMS мне кажется нецелесообразным. Как другие специалисты решают вопрос распространения софта на большое число машин? Скажем на 100-200?  
 
Буду признателен за развернутый как идеологический, так и технический ответ.
Всего записей: 183 | Зарегистр. 24-11-2004 | Отправлено: 14:23 11-01-2005
G14



Добрый фей		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Alxdhere
например:
HOW TO: Publish non-MSI Programs with .zap Files
HOW TO: Create Third-Party Microsoft Installer Package (MSI)
 
Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 15:06 11-01-2005 | Исправлено: G14, 15:33 11-01-2005
psj



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alxdhere
Если я не ошибаюсь, то для установки любого софта достаточно прав пользователя SYSTEM. Групповые политики, если Вы их применяете не к пользователю, а к компьютеру, выполняются под доменным пользователем SYSTEM. Вроде как должно хватать. Но еще раз говорю - могу ошибаться. Надо попробовать, а времени нет.
Всего записей: 267 | Зарегистр. 27-07-2004 | Отправлено: 15:12 11-01-2005
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)
emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru