Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
 
Предыдущая часть этой темы здесь.

Всего записей: 11820 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008
Deem_Basic



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!
Уважаемые знатоки, подскажите пожалуйста, проблема очень остро стоит сейчас уже передо мной ((
 
Приобрели новый сервер, установил 2019, развернул DC, файловый сервер и т.п.
Завели пользователей (пока просто без ограничений каких-либо прав)
 
ЗАДАЧА: ограничить скачивание (загрузку) данных с файлового сервера именно по размеру (объёму) например в 500 МБ.
 
Просто есть базы с полными проектами (несколько Гб.), с которыми работают сотрудники,
будет очень печально если кто-либо скачает себе полностью проект и "воспользуется не по договорённости" )) Как-то так.
 
Рассмотрю любые предложения по штатным средствам, либо сторонними ПО под win2019 либо ещё какими либо способами получить именно нужный функционал в ФС 2019 (ntfs)
Заранее огромное спасибо.

Всего записей: 296 | Зарегистр. 10-10-2006 | Отправлено: 08:59 29-11-2021
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Deem_Basic Задача от утечек DLP решается  не объемами, а шифрованием файлов на сервере. Читай в сторону IRM и RMS от Майкрософт.
 
Архив журнала "Системный администратор" за 2018 год, 192 выпуск
Особенности использования IRM-систем
для защиты документов в гетерогенной корпоративной среде
http://samag.ru/archive/article/3766
 
https://docs.microsoft.com/ru-ru/exchange/enable-or-disable-information-rights-management-on-client-access-servers-exchange-2013-help
 
Active Directory Rights Management Services Overview
https://docs.microsoft.com/ru-ru/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831364(v=ws.11)
 
Архитектура структуры IRM в SharePoint Foundation
http://msdn.microsoft.com/ru-ru/library/ms439625.aspx  
https://docs.microsoft.com/ru-ru/previous-versions/office/developer/sharepoint-2010/ms439625(v=office.14)?redirectedfrom=MSDN
 
 
Как и что делать, сам ищи.
 
В двух словах, документы шифрованы, юзер в домене, если ему даны нужные права, может читать, изменять файлы на сервере, но только на сервере.  Если даже юзер сумеет скопировать файл к себе на флэшку, то дома он не сумеет его прочесть, так как он зашифрован, а спецагента на его ПК дома нет.   Скриншоты с экрана, копипастить в буфер обмена и печать  юзер тоже не сможет делать , если ему не даны эти права.  Короче читай статью  на сайте журнала.  


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 15:31 29-11-2021 | Исправлено: ipmanyak, 16:00 29-11-2021
Deem_Basic



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AD RMS, насколько я понял, работает только с определёнными типами файлов/документов
 
Мне бы защитить данные проектов определённых форматах (графические) и т.д.
 

Всего записей: 296 | Зарегистр. 10-10-2006 | Отправлено: 09:01 02-12-2021
itanium

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый всем день!
Подскажите пожалуйста куда копать, не могу поднять вторичный АД и настроить нормально репликацию. Удалил все второстепенные АД и удалил все записи в днс о них, установил новый АД с ДНС добавил его в домен, вроде как была сделана репликация, во всяком случае все пользователи и ДНС были видны на втором АД и при добавление нового пользователя на второй АД он появлялся на первом, но есть несколько моментов:
1. в диспетчере серверов висит уведомление "повысить роль этого сервера до уровня контроллера домена" и не даёт его больше настроить.
[spoiler] [/spoiler]
2. если зайти на \\АД основной то видим две папки netlogon, sysvol, а на вторичном этих папок не видно.
 
AD1
[spoiler] dcdiag
 
Диагностика сервера каталогов
 
Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = ADW2R2
   * Определен лес AD.
   Сбор начальных данных завершен.
 
Выполнение обязательных начальных проверок
 
   Сервер проверки: Default-First-Site-Name\ADW2R2
      Запуск проверки: Connectivity
         ......................... ADW2R2 - пройдена проверка Connectivity
 
Выполнение основных проверок
 
   Сервер проверки: Default-First-Site-Name\ADW2R2
      Запуск проверки: Advertising
         ......................... ADW2R2 - пройдена проверка Advertising
      Запуск проверки: FrsEvent
         ......................... ADW2R2 - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения  об
         ошибках.  Сбои при репликации SYSVOL могут стать причиной проблем групповой политики.
         ......................... ADW2R2 - не пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... ADW2R2 - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         ......................... ADW2R2 - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ......................... ADW2R2 - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... ADW2R2 - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ......................... ADW2R2 - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         [ADW2R2] В учетных данных пользователя отсутствует разрешение на выполнение данной операции.
         Учетная запись, используемая для этой проверки, должна иметь права на вход в сеть
         для домена данного компьютера.
         ......................... ADW2R2 - не пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... ADW2R2 - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         [Проверка репликации,ADW2R2] Сбой функции DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105
         "Доступ к репликации отвергнут."
         ......................... ADW2R2 - не пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... ADW2R2 - пройдена проверка RidManager
      Запуск проверки: Services
            Не удалось открыть службу NTDS в ADW2R2, ошибка 0x5 "Отказано в доступе."
         ......................... ADW2R2 - не пройдена проверка Services
      Запуск проверки: SystemLog
         ......................... ADW2R2 - пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         ......................... ADW2R2 - пройдена проверка VerifyReferences
 
 
   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка CrossRefValidation
 
   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка CrossRefValidation
 
   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка CrossRefValidation
 
   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка CrossRefValidation
 
   Выполнение проверок разделов на: domen
      Запуск проверки: CheckSDRefDom
         ......................... domen - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... domen - пройдена проверка CrossRefValidation
 
   Выполнение проверок предприятия на: domen.local
      Запуск проверки: LocatorCheck
         ......................... domen.local - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... domen.local - пройдена проверка Intersite
[/spoiler]
 
AD2
[spoiler] dcdiag
 
Диагностика сервера каталогов
 
Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = dc-repl
   * Определен лес AD.
   Сбор начальных данных завершен.
 
Выполнение обязательных начальных проверок
 
   Сервер проверки: Default-First-Site-Name\DC-REPL
      Запуск проверки: Connectivity
         ......................... DC-REPL - пройдена проверка Connectivity
 
Выполнение основных проверок
 
   Сервер проверки: Default-First-Site-Name\DC-REPL
      Запуск проверки: Advertising
         Внимание: DsGetDcName вернул сведения для \\ADW2R2.domen.local при попытке получения доступа к DC-REPL.
         СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
         ......................... DC-REPL - не пройдена проверка Advertising
      Запуск проверки: FrsEvent
         ......................... DC-REPL - пройдена проверка FrsEvent
      Запуск проверки: DFSREvent
         ......................... DC-REPL - пройдена проверка DFSREvent
      Запуск проверки: SysVolCheck
         ......................... DC-REPL - пройдена проверка SysVolCheck
      Запуск проверки: KccEvent
         Возникло предупреждение. Код события (EventID): 0x80000B46
            Время создания: 12/21/2021   14:53:54
            Строка события:
            Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок
 LDAP SASL (согласование, Kerberos, NTLM или дайджест), не требующих подписи (проверки целостности), и простых привязок
LDAP, которые  выполняются через открытое (не зашифрованное с помощью SSL/TLS) подключение. Даже если клиенты не использ
уют такие привязки, настройка сервера на их отклонение улучшит его безопасность.
         ......................... DC-REPL - пройдена проверка KccEvent
      Запуск проверки: KnowsOfRoleHolders
         ......................... DC-REPL - пройдена проверка KnowsOfRoleHolders
      Запуск проверки: MachineAccount
         ......................... DC-REPL - пройдена проверка MachineAccount
      Запуск проверки: NCSecDesc
         ......................... DC-REPL - пройдена проверка NCSecDesc
      Запуск проверки: NetLogons
         Не удается подключиться к общему ресурсу NETLOGON. (\\DC-REPL\netlogon)
         [DC-REPL] Сбой операции net use или LsaPolicy с ошибкой 67, Не найдено сетевое имя..
         ......................... DC-REPL - не пройдена проверка NetLogons
      Запуск проверки: ObjectsReplicated
         ......................... DC-REPL - пройдена проверка ObjectsReplicated
      Запуск проверки: Replications
         ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
         ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
         Источник ADW2R2
         Репликация новых изменений по данному пути будет задержана.
         Эта проблема будет решена автоматически при следующей периодической синхронизации.
         ПРЕДУПРЕЖДЕНИЕ О ЗАДЕРЖКЕ РЕПЛИКАЦИИ
         ОШИБКА. Отсутствует ожидаемая ссылка уведомления.
         Источник ADW2R2
         Репликация новых изменений по данному пути будет задержана.
         Эта проблема будет решена автоматически при следующей периодической синхронизации.
         [Проверка репликации,DC-REPL] Сбой функции DsReplicaGetInfo(PENDING_OPS, NULL), ошибка 0x2105
         "Доступ к репликации отвергнут."
         ......................... DC-REPL - не пройдена проверка Replications
      Запуск проверки: RidManager
         ......................... DC-REPL - пройдена проверка RidManager
      Запуск проверки: Services
            Не удалось открыть службу NTDS в DC-REPL, ошибка 0x5 "Отказано в доступе."
         ......................... DC-REPL - не пройдена проверка Services
      Запуск проверки: SystemLog
         ......................... DC-REPL - пройдена проверка SystemLog
      Запуск проверки: VerifyReferences
         ......................... DC-REPL - пройдена проверка VerifyReferences
 
 
   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка CrossRefValidation
 
   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка CrossRefValidation
 
   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка CrossRefValidation
 
   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка CrossRefValidation
 
   Выполнение проверок разделов на: domen
      Запуск проверки: CheckSDRefDom
         ......................... domen - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... domen - пройдена проверка CrossRefValidation
 
   Выполнение проверок предприятия на: domen.local
      Запуск проверки: LocatorCheck
         ......................... domen.local - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... domen.local - пройдена проверка Intersite
[/spoiler]
 
AD1
[spoiler]
nslookup
╤хЁтхЁ яю єьюыўрэш■:  localhost
Address:  127.0.0.1
 
> 10.1.10.7
╤хЁтхЁ:  localhost
Address:  127.0.0.1
 
╚ь :     adw2r2.domen.local
Address:  10.1.10.7
 
> 10.1.12.7
╤хЁтхЁ:  localhost
Address:  127.0.0.1
 
╚ь :     dc-repl.domen.local
Address:  10.1.12.7
 
> dsquery server -hasfsmo schema
Unrecognized command: dsquery server -hasfsmo schema
 
 
 
ipconfig /all
 
Настройка протокола IP для Windows
 
   Имя компьютера  . . . . . . . . . : ADW2R2
   Основной DNS-суффикс  . . . . . . : domen.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : domen.local
 
Ethernet adapter Ethernet:
 
   DNS-суффикс подключения . . . . . : domen.local
   Описание. . . . . . . . . . . . . : Сетевое подключение Intel® 82574L Gigab
it
   Физический адрес. . . . . . . . . : 00-0C-29-D2-76-BE
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::604e:f957:314d:7a9e%12(Основной)
   IPv4-адрес. . . . . . . . . . . . : 10.1.10.7(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 10.1.10.1
   IAID DHCPv6 . . . . . . . . . . . : 302010454
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-20-2A-36-29-00-0C-29-D2-76-BE
 
   DNS-серверы. . . . . . . . . . . : 127.0.0.1
                                       10.1.10.7
   NetBios через TCP/IP. . . . . . . . : Включен
 
Туннельный адаптер isatap.domen.local:
 
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . : domen.local
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
 
[/spoiler]
 
AD2
[spoiler]
 
nslookup
╤хЁтхЁ яю єьюыўрэш■:  localhost
Address:  127.0.0.1
 
 
 
ipconfig /all
 
Настройка протокола IP для Windows
 
   Имя компьютера  . . . . . . . . . : dc-repl
   Основной DNS-суффикс  . . . . . . : domen.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : domen.local
 
Ethernet adapter Ethernet:
 
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Сетевое подключение Intel® PRO/1000 MT
   Физический адрес. . . . . . . . . : EA-C8-87-78-20-0D
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::20ae:d8c7:8f6a:db77%12(Основной)
   IPv4-адрес. . . . . . . . . . . . : 10.1.12.7(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 10.1.12.1
   IAID DHCPv6 . . . . . . . . . . . : 317376647
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-29-04-20-D1-EA-C8-87-78-20-0D
 
   DNS-серверы. . . . . . . . . . . : 127.0.0.1
                                       10.1.10.7
   NetBios через TCP/IP. . . . . . . . : Включен
 
Туннельный адаптер isatap.{A86A3DA4-1415-4B7A-BAA7-DCEA70BF23FF}:
 
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
 
[/spoiler]

Всего записей: 2 | Зарегистр. 15-07-2010 | Отправлено: 17:56 21-12-2021 | Исправлено: itanium, 17:56 21-12-2021
urodliv



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну что коллеги, всколыхнём здешнее "болото"?
 
Есть у меня клиент, где компы работают под управлением AD. На выходные взял один из компьютеров, чтобы полностью подготовить его к работе. Казалось бы что может быть проще: поставил все проги, отвёз к клиенту, ввёл в домен и жизнь удалась.
Проблема заключается в том, что на компе будет установлена программа Secret Net Studio. И у них на сайте я нашёл информацию о том, что эта прога работает с доменом как-то по особенному. Всё-таки это средство защиты информации. И чтобы не попасть впросак, я решил сначала ввести компьютер в домен, и только потом устанавливать необходимое ПО.
И тут опять встаёт частично новая для меня задача: создать VPN-туннель и через него ввести машину в домен. Решил подглядеть нюансы в интернете и в ходе поисков наткнулся на такую занятную штуку, как автономное присоединение к домену (offline domain join). "Воды" написано про это много, но с пояснениями - негусто.
Кто-нибудь эту штуку пробовал применять? Если "да", то прошу ответить на ряд вопросов.
1. Эта методика подразумевает лишь первоначальную настройку компьютера без физического доступа к AD, но с обязательной последующей отправкой системника туда, где этот доступ обеспечен?
2. Присоединённый по этой методике компьютер будет чем-нибудь отличаться от компьютера, который присоединён к домену традиционным способом?

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 00:28 30-04-2022
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
urodliv
Обычно "недософт" ведёт себя своеобразно
Его могут писать и тестировать дома
Но общая проблема это недостаточность прав
Домен ни при чём
Если я заведу локального пользователя и дам ему нужные права, то он сможет делать с компом всё
Но не сможет шариться по сети
Ибо для соседей он никто
Но если это доменный юзер и он прописан, скажем на шаре, хотяб для бэкапа, то он сможет бэкапиться
Как бы вся теория
Вообще распределённый ADDS  это тема и я даже был на семинаре в штаб-квартире MS, но это было до гипервойн
Решение мне не понравилось
Но кто-то любит арбуз, а кто-то свиной хрящик
 
Насчёт VPN не советовал бы
Но не понятно, как и чем вы будете его организовывать
Поэтому мыслей нет
 
Добавлено:
Да.... Клиенту можно сказать, не покривив, что МС ушла из России ибо войнушка

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 02:58 30-04-2022
urodliv



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
Войны, права - это всё вторично.
Ты мне ясно скажи вот что. Вся эта лабуда придумана только для первоначальной настройки оборудования вне рабочей площадки с последующим физическим перемещением в рабочую среду, или это именно что "форма распределённого варианта работы в AD"?

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 11:47 30-04-2022
urodliv



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В общем разобрался.
Offline domain join только подготавливает комп ко входу в домен. Ему сообщается, что он теперь в домене, но реально влезет туда только тогда, когда получит доступ к контроллеру домена.
Там где ты "и жнец, и швец, и на дуде игрец" - эта штука бесполезна. А вот если компы готовят одни, а эксплуатируют другие, тогда да, эта веселуха может быть полезной.

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 15:50 30-04-2022 | Исправлено: urodliv, 16:29 30-04-2022
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
urodliv
Не знаю топологии
Но обычно ставятся два контроллера
И они DNS
Клиентские тачки смотрят на ни
Это простейший вариант, легко атакуемый
 
У меня клиенты передают свои адреса в ЦОД, а потом зона растекается по всей сети
Вторичные сервера не подлежат ручному изменению
Изменить сервера ЦОД... Ну надо постираться
 
Зона наполняется через стек цискаря
 
Атакуют, но держимся

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 22:12 30-04-2022
Victorkoly



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А вот если компы готовят одни, а эксплуатируют другие, тогда да, эта веселуха может быть полезной.

 
А если одни админят домен, вторые - ставят Винду и Офис и вводят в домен, а третьи - ещё что-то настраивают юзеру...

Всего записей: 942 | Зарегистр. 01-03-2015 | Отправлено: 18:36 07-05-2022
urodliv



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Victorkoly

Цитата:
А если одни админят домен, вторые - ставят Винду и Офис и вводят в домен, а третьи - ещё что-то настраивают юзеру...

Вот, об этом я и говорил: если есть разделение труда, то толк от утилиты может быть.

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 01:42 08-05-2022
igolnik

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нужна помощь.
Есть домен AD третьего уровня: AAA.BBB.ru
Возможен ли сценарий создания в нем родительского домена BBB.ru стандартными средствами?
Есть ли вообще решение такой задачи?
 
 

Всего записей: 2 | Зарегистр. 04-02-2021 | Отправлено: 17:54 21-10-2022
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
igolnik откуда вы такие беретесь с такими вопросами ?

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 18:06 21-10-2022
0utcast



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
господа, подскажите,
если я не являюсь админом контроллера домена,
а админ создаст нужную уз, добавит в неё нужные servicePrincipalName и userPrincipalName,
смогу ли я, обладая паролем к этой уз и не являясь админом домена, самостоятельно сгенерировать keytab?
спасибо

Всего записей: 349 | Зарегистр. 08-07-2011 | Отправлено: 20:39 07-11-2022
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
0utcast Без дополнительных действий с пермишинами со стороны админа  домена не сможешь. Почитай конец поста.  
https://social.technet.microsoft.com/Forums/en-US/a67f37f9-6e4a-447b-86dd-bfc8205aaf10/trying-to-create-a-limited-permissions-account-that-is-allowed-to-set-the-delegation-properties-for?forum=winserver8gen


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 07:34 10-11-2022
0utcast



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
благодарю за разъяснение,
не мой случай, да
 
а можете пояснить ещё вот такой момент (ссылка)
в ней в шаге 1 автор предлагает использовать УЗ не юзера, как я хотел выше, а компьютера,
с паролем
 
поясните мне пожалуйста, как человеку, не являющемуся админом,
вот есть политика AD по пользовательской УЗ -- раз в 40 дней, допустим, смена
для этого для определённой пользовательской Уз пароль делается постоянным
 
а если генерить кейтаб из-под УЗ компьютера как по ссылке расписано (про пароли к уз компьютера я вообще первый раз услышал),
нужно ли как-то блокировать изменение пароля, что-то я запутался

Всего записей: 349 | Зарегистр. 08-07-2011 | Отправлено: 20:26 01-12-2022
svd87

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый вечер. Есть такая проблема. Синхронизация между dc перестала идти после непредвиденного выключения света. Ошибка 2042. 3шт. Dc роли распределены 3 мастер инфраструктуры, 2 мастер схемы, 1 pid и pdc. 1 отхватил время от 2008 в логах ругается на это время. Что последняя синхронизация больше 180дней.В реестре ветки в параметрах нет и через команду repadmin /regkey имя дц allowDivergent ошибка нет такого ключа в ветке. Что можно попробовать.

Всего записей: 2 | Зарегистр. 14-05-2021 | Отправлено: 20:27 05-02-2023
svd87

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Все получилось. Руки не оттуда. Забыл от админа запустить.

Всего записей: 2 | Зарегистр. 14-05-2021 | Отправлено: 17:21 06-02-2023
ChaZmik

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
del

Всего записей: 8 | Зарегистр. 30-12-2006 | Отправлено: 17:11 14-03-2023 | Исправлено: ChaZmik, 09:30 15-03-2023
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru