Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

bu536



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 01:14 03-02-2004 | Исправлено: drros, 12:54 12-07-2006
MCT



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FreemanRU
 

Цитата:
ну очень логично.

 
Не знаю логично или не логично, имхо очень и очень правильно
 

Цитата:
 Особенно если учесть, что если политика наложенна на уровне домена и на уровне OU, то доменная не примениться вообще, а ПОЛНОСТЬЮ перекроиться OU (Account Policy в расчет не берем, это исключение)

 
Еще раз, на пользователя или компьютер будут по очереди накатыватся (применятся) ВСЕ политики, действующие на указанный объект согласно приоритетов "local, site, domain, OUs)
 
То есть, доменная политика БУДЕТ ВСЕГДА ПРИМЕНЯТСЯ, но если некоторые параметры политики переопределены на уровнях OUs, они будут перезатирать соотвествующие параметры политик с более низким приоритетом.  
Всего записей: 52 | Зарегистр. 31-07-2005 | Отправлено: 10:45 16-08-2005
FreemanRU



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MCT

Цитата:
Еще раз,

Ты сказал тоже только другими словами. я под политикой понимаю не объект GPO, а отдельное правило.

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки
Всего записей: 3795 | Зарегистр. 16-07-2004 | Отправлено: 10:51 16-08-2005
x666xx



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго Вам времени суток....  
 
Вот столкнулся с проблемой: На PDC WIN20003 в свойствах пользователя не могу открыть входящие звонки... Говорит что "Не удалось загрузить профиль набора номера для этого пользователя, по следующей причине: Не найден сетевой путь"  
При этом в журналах ошибок нет....  
Подскажите в каком направлении копать....
Всего записей: 105 | Зарегистр. 08-04-2004 | Отправлено: 06:38 29-08-2005 | Исправлено: x666xx, 06:40 29-08-2005
greenfox



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вопрос такой: кто-н "рисует" план AD (сайты, реплики, связи физич-логические, ip etc) какой-н программой!? Если да то чем!?

----------
Три вещи вечны: смерть, налоги и потеря данных...
Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 19:04 16-09-2005
Leonid_Z



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
кто-н "рисует" план AD (сайты, реплики, связи физич-логические, ip etc) какой-н программой!? Если да то чем!?

мне тоже интересно, т.к. планирую заняться
пока что все мысли сходятся на Visio (всё-равно в неё в результате выводить). А вот чем красиво всю информацию подготовить?
Есть вариант включить на серваках SNMP и собрать с помощью какой-нибудь проги инфу...
Карту физических соединений серверов и свичей когда рисовал, я импортировал в Visio отсканированную по snmp информацию (утилитой, которая раньше входила в поставку самой Visio). И конечно пришлось ещё повозиться ручками.
Всего записей: 917 | Зарегистр. 26-01-2002 | Отправлено: 19:24 16-09-2005
greenfox



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ещё вопрос - прочитал тут на мс что неплохо бы сделать "резервный хранитель ролей FSMO" (standby DC) и не совсем врубился как именно! Может кто подскажет!?

----------
Три вещи вечны: смерть, налоги и потеря данных...
Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 19:31 16-09-2005
awsswaawsswa

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В общем имеется домен на 2000 по имени DELL решил добавить резервный на 2003
по имени GALAXY, начальный этап прошел нормально но вот последующии синхронизации не идут
по netdiag и dcdiag на PDC ощибок нет, а вот на BDC в dcdiag
выдает следующую картину (избранные места - остально без ошибок):
(в общем беспокоит только надпись "5 Отказано в доступе.")
 
вывод dcdiag
 
в общем куда "рыть" и что делать



нарушение пункта 3.9 Правил форума — публикация длинного листинга в тексте сообщения. Исправлено.
dg
Всего записей: 91 | Зарегистр. 06-10-2004 | Отправлено: 09:32 20-09-2005 | Исправлено: dg, 15:42 24-09-2005
angelweb



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
awsswaawsswa
Фаервол на 2003 включен ? Под интерпрайз админом тесты запускал ?
Всего записей: 687 | Зарегистр. 09-12-2004 | Отправлено: 10:19 20-09-2005
awsswaawsswa

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
angelweb
 
firewall отключен, я сам интерпрайз админ
может нового нужно создать только как "интерпрайз админа"?
Всего записей: 91 | Зарегистр. 06-10-2004 | Отправлено: 11:02 20-09-2005
angelweb



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
awsswaawsswa

Цитата:
я сам интерпрайз админ  
и в какие группы ты входишь ? администратор схемы присутствует ? так же вот сюда или сюда можно посмотреть.  
Всего записей: 687 | Зарегистр. 09-12-2004 | Отправлено: 11:20 20-09-2005
Greedy

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
awsswaawsswa
Try this:
Modify the Gpttmpl.inf file to confirm that the appropriate users have the Access this computer from the network user right on the domain controller. To do this, follow these steps:
 
1. Modify the Gpttmpl.inf file for the Default Domain Controllers Policy. By default, the Default Domain Controllers Policy is where user rights are defined for a domain controller. By default, the Gpttmpl.inf file for the Default Domain Controllers Policy is located in the following folder.  
 
Note Sysvol may be in a different location, but the path for the Gpttmpl.inf file will be the same.
 
For Windows Server 2003 domain controllers:  
 
C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
 
For Windows 2000 Server domain controllers:  
 
C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf  
 
2. To the right of the SeNetworkLogonRight entry, add the security identifiers for Administrators, for Authenticated Users, and for Everyone. See the following examples.
 
For Windows Server 2003 domain controllers:
 
SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
 
For Windows 2000 Server domain controllers:
 
SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
 
Note Administrators (S-1-5-32-544), Authenticated Users (S-1-5-11), Everyone (S-1-1-0), and Enterprise Controllers (S-1-5-9) use well-known security identifiers that are the same in every domain.  
 
3. Remove any entries to the right of the SeDenyNetworkLogonRight entry (Deny access to this computer from the network) to match the following example.
 
SeDenyNetworkLogonRight =
 
Note The example is the same for Windows 2000 Server and for Windows Server 2003.
 
By default , Windows 2000 Server has no entries in the SeDenyNetworkLogonRight entry. By default, Windows Server 2003 has only the Support_random string account in the SeDenyNetworkLogonRight entry. (The Support_random string account is used by Remote Assistance.) Because the Support_random string account uses a different security identifier (SID) in every domain, the account is not easily distinguishable from a typical user account just by looking at the SID. You may want to copy the SID to another text file, and then remove the SID from the SeDenyNetworkLogonRight entry. That way, you can put it back when you are finished troubleshooting the problem.
 
SeNetworkLogonRight and SeDenyNetworkLogonRight can be defined in any policy. If the previous steps do not resolve the issue, check the Gpttmpl.inf file in other policies in Sysvol to confirm that the user rights are not also being defined there. If a Gpttmpl.inf file contains no reference to SeNetworkLogonRight or to SeDenyNetworkLogonRight, those settings are not defined in the policy and that policy is not causing this issue. If those entries do exist, make sure that they match the settings listed earlier for the Default Domain Controller policy.  
Всего записей: 317 | Зарегистр. 25-08-2004 | Отправлено: 11:25 20-09-2005 | Исправлено: Greedy, 11:26 20-09-2005
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
awsswaawsswa
adprep /forestprep, adprep /domainprep делал?
Common Mistakes When Upgrading a Windows 2000 Domain To a Windows 2003 Domain


----------
Ребята, давайте жить дружно. Кот Леопольд
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 11:32 20-09-2005
awsswaawsswa

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alan Mon
 
это делал
adprep /forestprep, adprep /domainprep  
по статье
 
http://www.networkdoc.ru/files/insop/win2000/read.html?325379.html
все прошло без ошибок
проверил что Объект
 CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=доменное_имя_обновляемого_домена  
 
существует.
Всего записей: 91 | Зарегистр. 06-10-2004 | Отправлено: 12:36 20-09-2005
awsswaawsswa

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Greedy
 
Проблема, вот эта вещь у меня почемуто лежит не тут где надо
 
C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf  
 
у меня она почему-то в тут
 
C:\WINNT\Sysvol\Sysvol\<Domainname>\NtFrs_PreExisting___See_EventLog\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf  
 
можно ли просто перебросить ручками куда надо или это делается по другому?
Всего записей: 91 | Зарегистр. 06-10-2004 | Отправлено: 08:21 21-09-2005 | Исправлено: awsswaawsswa, 08:24 21-09-2005
angelweb



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
awsswaawsswa
 
DFS (распределённая файловая система) не корректно работает.
 
Смотри логи и вперёд на http://eventid.net )
Всего записей: 687 | Зарегистр. 09-12-2004 | Отправлено: 08:57 21-09-2005
awsswaawsswa

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
angelweb
а что почитать по этому поводу?
и на какие ошибки обратить внимание?
Всего записей: 91 | Зарегистр. 06-10-2004 | Отправлено: 13:22 21-09-2005
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
awsswaawsswa

Цитата:
C:\WINNT\Sysvol\Sysvol\<Domainname>\NtFrs_PreExisting___See_EventLog\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf  

Это на каком контроллере, на 2000 или 2003? Существование NtFrs_PreExisting означает, что в момент включения репликации DFS в папке-приемнике уже что-то существовало. В этом случае DFS создает папку с таким именем и сбрасывает туда это содержимое. Как правило, ее можно смело удалять.

----------
Ребята, давайте жить дружно. Кот Леопольд
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 13:38 21-09-2005
zvonarev

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Упал контроллер домена (полетел винт, возможности востановить контроллер нету). Как удалить все связанные с этим контроллером записи в АД? ФСМО роли перенесены.
Всего записей: 36 | Зарегистр. 08-04-2005 | Отправлено: 13:59 21-09-2005
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zvonarev
В шапке ведь есть ссылка: Удаление из AD информации об уже несуществующем DC

----------
Ребята, давайте жить дружно. Кот Леопольд
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 14:31 21-09-2005
Ge0rge

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Земляне, а как узнать, с какой машины логинился в домен юзер перед тем, как он залочился?
 
2angelweb
Спасибо, но у меня таких прав в домене нет, какой-нибудь скрипт-прога существует на эту тему?
Всего записей: 19 | Зарегистр. 10-08-2005 | Отправлено: 16:07 21-09-2005
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)
emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru