[gretis]

Машины объединены в домен AD, который в свою очередь наследует политики свыше. Проблема в следующем: необходимо дать права какому-то конкретному пользователю из AD на некую конкретную машину. Даем. Наслаждаемся. Через некоторое время срабатывает обновление политик и пользователь удаляется из группы администраторов. Есть у кого-нибудь идеи, откуда растут грабли и с какой стороны их обходить?

[Sergey_w]

Видимо репликация с другого контроллера домена настроена в одну сторону.

[Гость]

А если учесть, что вышестоящий контроллер для управления мне недоступен?

[Shiva]

Restricted Groups

[maxo127]

вот пишу в эту тему, вопрос наверно настолько глупый что не стоит новую тему открывать.

домен (DC - 2003 и 18 компов ХР) поработал у меня несколько месяцев, потом накрылся сервер, переставил, настроил все сначала, как тогда в первый раз, вроде работает, компы видят друг-друга, печатают, инет есть (а инет всегда есть почему-то, по моему даже если шнур выдернуть))). проблема в том, что с сервера (контроллера) войти на компы тоталом или эксплорером - минут 5, иногда больше, а порой и вообще навсегда. не только это, конечно, но у всех проблем кажется одни корны. устал уже ковыряться в непонятных и на редкость (на мой взгляд) тупих утилитках, рассказывающих все что не нужно.

может подскажете в какую сторону копать, с азов начинать нет ни сил, ни времени, пришлось вот так в середину прыгнуть. лишь бы домен заработал, потом разберусь потихоньку, ато уже ворчат генералы.

[LostSoul]

вот пишу в эту тему, вопрос наверно настолько глупый что не стоит новую тему открывать.

домен (DC - 2003 и 18 компов ХР) поработал у меня несколько месяцев, потом накрылся сервер, переставил, настроил все сначала, как тогда в первый раз, вроде работает, компы видят друг-друга, печатают, инет есть (а инет всегда есть почему-то, по моему даже если шнур выдернуть))). проблема в том, что с сервера (контроллера) войти на компы тоталом или эксплорером - минут 5, иногда больше, а порой и вообще навсегда. не только это, конечно, но у всех проблем кажется одни корны. устал уже ковыряться в непонятных и на редкость (на мой взгляд) тупих утилитках, рассказывающих все что не нужно.

может подскажете в какую сторону копать, с азов начинать нет ни сил, ни времени, пришлось вот так в середину прыгнуть. лишь бы домен заработал, потом разберусь потихоньку, ато уже ворчат генералы.

Нужно все машины вывести из домена и ввести в домен.

При этом будь готов морально что вероятно у пользователей появятся новые профили.

[Shiva]

достаточно сбросить учётки на ноль, есть прога такая netdom.exe

[LostSoul]

достаточно сбросить учётки на ноль, есть прога такая netdom.exe

 

Автор создал новый домен с таким-же названием, судя по общему содержанию письма.

 

"Сбросить учётки" тут не поможет - sid изменились. Только "введите и выведите Вия из церки"

[Shiva]

LostSoul, поможет, проверено, правда ещё на НТ4 :)

[igor_goncharov]

А сколько сетевых на контроллере домена, и кто прописан в качестве ДНС сервера?

Тоже придерживаюсь мнения что необходимо вывести из старого и ввести машины в новый домен.

Кстати если использовать Netdom.exe что именно предполагается сбрасывать?

[LostSoul]

Кстати если использовать Netdom.exe что именно предполагается сбрасывать?

Видимо речь шла о reset для Computer accounts. Зачем netdom для этого правда непонятно, делается правой кнопкой в Users and Computers в 1 клик.

 

В Active Directory это поможет только если SID домена не поменялся,

а судя по посту автора - он его не переносил, а просто создал заново домен с идентичным доменным именем.

 

Но в концепции w2k это по сути уже другой домен.

[maxo127]

igor_goncharov

Контроллер один, он-же днс

 

Shiva, LostSoul

Компы выводил все в воркгруп и вводил заново, конечно. Иначе они не зарегистрируются в новый домен (ведь правда сиды поменялись, так что для них это новый домен).

 

После этого домен работал, но потом перестал. Оказалось виноват во всем, как не странно, фаэрволл. Отключил его (на контроллере), и все заработало.

Непонятно только причем фаерволл, равно как и то, зачем я его отключил (я ведь даже не подозревал что дело в нем, это просто от отчаяния или, другим я бы сказал - интуитивно))), и вообще как он сам включился? правда, я создал для себя неадминовскую запись (чтоб сервер не сидел постаянно админом - этот контроллер по-совместительству всякие сервера и еще и мой рабочий ПК))) и регистрировался ею, но неужели из-за этого?

Вообще с этим фаерволлом одни проблемы, причем нелогичные и непонятные.

[Shiva]

maxo127, позакрывал порты вот и облом выходил :) Их там много надо для домена...

[maxo127]

Shiva, это вообще что-то новое для меня - я никакие порты не закрывал ни при установке домена ни после, и не открывал тоже. где это делается и зачем?

если ты имеешь в виду фаерволл - то в нем я никакие установки не делаю, а просто отключаю сразу после установки винды :) если надо, ставлю другие.

[Shiva]

maxo127,

Оказалось виноват во всем, как не странно, фаэрволл. Отключил его (на контроллере), и все заработало.  

Твои слова? Вот он по умолчанию закрывает много чего, оставляя один файлшаринг.

[killov]

Там такой глюк есть, если файрвол включен, но без привязки интерфейса, то есть служба запущена, а на всех сетевухах в настройках выключен - крышу отрывает очень не дурственно. Рекомендую всем понаблюдать на своих серверах - незабываемые впечатления гарантированы.

[Shiva]

а у меня MS ISA стоит, крышу тоже сносит с нетбиосом...

[igor_goncharov]

Поздравляю с решенной проблемой, мой вопрос про днс неслучаен, у нас на работе это самая распространённая ошибка.

Сетка большая, и чтобы негородить 10.0.0.0/16 сделано основная 10,0,2,0/24

и по аудиториям 10,0,Х,0/24, для маршрутизации используется 2 рип.

Так вот, очень часто народ в принципе непонимая как работает домен, на клиентские машины и на сервер в настройки днс ставит не днс сервер домена, а днс сервер нашего интернет провайдера, после чего имеют большой секс со временем входа в домен.

Кроме того в целях экономии у нас контроллеры домена по совместительству ещё и маршрутизаторы т.е. имеют место две сетевухи, причем как правило первая сетвеая карта к которой сервисы привязываются по умолчанию подключается к внешней сети а вторая ко внутренней и без настроенной маршрутизации (если днс необслуживает 2 интерфеса) тоже возникают проблемы.

Собственно этим и был продиктован мой вопрос.

:)

[Shiva]

igor_goncharov,

у нас контроллеры домена по совместительству ещё и маршрутизаторы т.е. имеют место две сетевухи

ужос, изначально глюконутое решение. А ДХЦП поднимать не пробовали, что бы оно отдавало настройки днс?

[igor_goncharov]

не у нас основной принцип как-то работает ну и нетрожь.