Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
WinCity.Ru _ Локальные сети, безопасность, лицензирование _ По настройке контроллера домена (DC) под Win2003
Автор: __Anton__ Среда, 12 Января 2005, 14:38
Здравствуйте.
В сети стоит сервер под управлением Windows Server 2003. На нём контроллер домена...
На нём, вроде, всё достаточно нормально настроено, кроме одной проблемы...
У нас пользователи при входе в винды входит не в ДОМЕН, а на свой комп ("имя_компа (этот компьютер)")... т.е. получается , что в систему он входит как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА (и пароль).
ПРОБЛЕМА В ТОМ, что когда пользователи пытается заходить на компы других пользователей домена, то им надо вводить снова свой логин и пароль, только в виде ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА (и пароль)... По сути, вводится тоже самое имя, под которым юзер зашёл в домен и на комп, но зашёл он как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА а к др. пользователям домена входит как ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА .
Зато на сервак пользователи домена заходят нормально, без пароля...
Вопрос: как это убрать? Надо сделать, чтобы между пользователями домена не надо было вводить логин и пароль.... Раз юзер зашёл под именем, которое прописано в Active Directory, пусть между членами домена нормально и ходит тогда.
Те пользователи, кто не в домене (сидят ещё в раб. группе или просто кто-то левый в сеть законнектился), не могут заходить не на сервер, не на ПОЛЬЗОВАТЕЛЕЙ ДОМЕНА (И НЕ НАДО, ЧТОБЫ ЗАХОДИЛИ - для этого домен и нужен был изначально)...
Напишите, пожалуйста, что надо и как настроить в политиках безопасности или ещё где... Реально, как только не пробовал настраивать - и по шаблонам безопасности и по смыслу - не получается и всё тут...
Или может у кого-нибудь есть возможность прислать свои настройки политик в ini-файлах (чтобы их можно было как шаблоны безовасности через консоль открыть и сверить настройки по ним)?... Если можете, пришлите для домена и для контроллера домена нормально работающие ini-файлы на мыло - xplace@mail.ru
DNS и WINS , вроде, настроены нормально (настроено, в частности, и по инфе, которая на этом же форуме была написана)...
Однако, есть 1 проблема... на сервере работает IIS и там лежит внутренний сайт сети... То, что "не члены домена" на него зайти не могут - это хорошо, НО почему-то пользователи домена могут на сайт заходить только как http://имя_компа , а если заходить под http://имя_компа.домен.loc , то спрашивает пароль (так же, можно ввести ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА и пароль - ЗАХОДИТ, как и на компы юзеров :))...
Помогите исправить эти 2 неполадки... хотя бы первую (хотя, их суть похожа)... Вариант, заходить при входе в винды в "ИМЯ_ДОМЕНА" а не в "ИМЯ_КОМПА (этот компьютер)" - НЕ ПОДХОДИТ.
Заранее благодарен...
С уважением, Антон.
Автор: Dimasik Среда, 12 Января 2005, 15:33
| Цитата |
| Помогите исправить эти 2 неполадки... хотя бы первую (хотя, их суть похожа)... Вариант, заходить при входе в винды в "ИМЯ_ДОМЕНА" а не в "ИМЯ_КОМПА (этот компьютер)" - НЕ ПОДХОДИТ. |
ответ на твой вопрос , кстати почему не подходит
IMHO ты не понял сам в чем суть проблемы , а решение проблемы лежит в первую очередь в ее понимании ,
| Цитата |
| У нас пользователи при входе в винды входит не в ДОМЕН, а на свой комп ("имя_компа (этот компьютер)")... т.е. получается , что в систему он входит как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА (и пароль). ПРОБЛЕМА В ТОМ, что когда пользователи пытается заходить на компы других пользователей домена, то им надо вводить снова свой логин и пароль, только в виде ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА (и пароль)... По сути, вводится тоже самое имя, под которым юзер зашёл в домен и на комп, но зашёл он как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА а к др. пользователям домена входит как ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА . Зато на сервак пользователи домена заходят нормально, без пароля... |
теперь вот этот пункт своей писанины прочитай и попытаися осмыслить происходящее в твоей сети (это не так сложно ), и осмысли что делает домен контролер , и для чего он нужен ......
Автор: __Anton__ Среда, 12 Января 2005, 16:34
Я всё, что можно было осмыслил и перепробовал... И написал вопрос, чтобы уже просто мне сказали как и чё, кто знает...
1. "Вариант, заходить при входе в винды в "ИМЯ_ДОМЕНА" а не в "ИМЯ_КОМПА (этот компьютер)" - НЕ ПОДХОДИТ."
2. В некоторых конторах я сам видел, что они так же все заходят на "свой комп" и у них всё работает и нет такого косяка, который происходит у нас...
Автор: Dimasik Среда, 12 Января 2005, 16:43
обьяснять человеку который сам не хочет понять - нет никакого желания , почитать тот же справочник дело 2 часов , я лучше потрачу время и нервы на то что бы ответить человеку у которого деиствительно траблы , а не учить сисадминов - мальчиков после института , которым просто лень (прости , но ничего личного ©), ты не осмыслил для чего нужен домен контролер , и какие функции он выполняет, он служит как бы тебе сказать , семафором для тех кто в нем авторизуется , а у тебя машины входят локально ..........
| Цитата |
| В некоторых конторах я сам видел, что они так же все заходят на "свой комп" и у них всё работает и нет такого косяка, который происходит у нас... |
я пару недель назад видел летающую тарелку , но я тоже почему то на ней не летаю ........
Автор: __Anton__ Среда, 12 Января 2005, 16:55
неужели сложно просто помочь настроить и всё?
Я уже разбирался как мог и делал всё, чё мог.... чтобы юзер входил в ДОМЕН - это крайния выход и я знаю, что так будет работать... но мне надобы, чтобы работало с входлн на комп юзера
Автор: Dimasik Среда, 12 Января 2005, 16:58
__Anton__, ок давай вот здесь поподробнее , причины именно такого вывода
Автор: lingod Среда, 12 Января 2005, 17:02
| Цитата |
| 1. "Вариант, заходить при входе в винды в "ИМЯ_ДОМЕНА" а не в "ИМЯ_КОМПА (этот компьютер)" - НЕ ПОДХОДИТ." |
А по другому при наличии домена не получиться.
| Цитата |
| 2. В некоторых конторах я сам видел, что они так же все заходят на "свой комп" и у них всё работает и нет такого косяка, который происходит у нас. |
ИМХО такое возможно в 2-х случаях
1. У них нет домена как такового и все компьютеры в рабочей группе.
2. На всех компьютерах разрешена учетная запись гостя либо прописаны все пользователи которые на эту машину заходят, что неправильно с точки зрения безопастности да и просто неудобно.
По поводу всего остального присоединяюсь к Dimasik, ты не понимаеш сути проблемы и похоже не пытаешся понять, но пытаешся ее решить.
Автор: __Anton__ Среда, 12 Января 2005, 17:10
Ну, допустим... Если входить в ДОМЕН... почему-то заходишь на комп как гость под какой-то ограниченной учётной записью)... ни настройки поиенять ничё... Вроде при этом в AD счлен групп я был "пользователь домена" и "администратор"...
И как быть? как сделать так, чтобы я бал админом на своём компе.... И как закачивать свои настройки на сервак, чтобы был "мой" раб стол, конфиг программ и прочее... как быть с почтой и прочее?
если это необходимо именно в домен входить, тогла подскажите, как настойки юзера и куда переносить, как сделать, чтобы юзер был админом на своём компе и как его настройки будут сохраняться, если юзер там например что-то поменяет в оформлении, в конфиге программ, почту там новую получит в аутлуке и т.п.? это всё на сервере будет храниться? или что-то на сервере, а что-то на компе?
Автор: __Anton__ Среда, 12 Января 2005, 17:24
А если юзер будет нами отрублен и будет заходить на свой комп потом, то как? У него на "его компе" будет устаревший профайл, который был ещё до входа в домен? Со старой почтой в аутлуке и прочее.... Тогда уж можно сделать, чтобы юзер независимо от тогу, куда вошёл, он юзал профайл из "Documents and Settings\имя" - чтобы не было 2х папок с 2-мя разными содержимыми... а ещё хуже, если это будет на сервере... всякие аутлуки то привыкли локально почту блать из каонкетной папки (или тогда надо использовать ещё и мастер переноса файлоф и параметров для нового ЮЗЕРА ДОМЕНА).... Это реальный геморой... юзать имеющуюся на компе папку куда удобнее и юзер не потеряет ничего, если мы его отрубим при необходимости...
Автор: lingod Среда, 12 Января 2005, 17:26
__Anton__, Не обижайся но ты книжки читать пробовал? Или просто поставил домен контроллер и вперед?
| Цитата |
| И как быть? как сделать так, чтобы я бал админом на своём компе.... И как закачивать свои настройки на сервак, чтобы был "мой" раб стол, конфиг программ и прочее... как быть с почтой и прочее? |
Чтобы иметь права администратора на своем компьютере пользователь должен быть членом группы "локальных" администраторов, т.е. группы Administrators.
Никакие настройки на сервер закачивать пользователю не нужно.
| Цитата |
| если это необходимо именно в домен входить, тогла подскажите, как настойки юзера и куда переносить, как сделать, чтобы юзер был админом на своём компе и как его настройки будут сохраняться, если юзер там например что-то поменяет в оформлении, в конфиге программ, почту там новую получит в аутлуке и т.п.? это всё на сервере будет храниться? или что-то на сервере, а что-то на компе? |
натройки пользователя можно перенести с помощью копирования профилей. Натройки пользователя храняться на локальной машине если не используються перемещаемые профили, но тебе о них думать пока рано.
Повторяю возьми книгу Active Directory и читай до полного просветления, вопросы у тебя конечно еще будут но поверь гораздо легче помочь человеку корорый понимает как работает то с чем у него возникла проблема чем тому кто об этом понятия не имеет.
Автор: __Anton__ Среда, 12 Января 2005, 17:35
По поводу группы Administrators я написал, что толку нет... я сам пробовал когда заходить в ДОМЕН, то в AD я был в группах "пользователи домена" и " Administrators" - был на компе как в терминалке 
А если юзер будет нами отрублен и будет заходить на свой комп потом, то как? У него на "его компе" будет устаревший профайл, который был ещё до входа в домен? Со старой почтой в аутлуке и прочее.... Тогда уж можно сделать, чтобы юзер независимо от тогу, куда вошёл, он юзал профайл из "Documents and Settings\имя" - чтобы не было 2х папок с 2-мя разными содержимыми... а ещё хуже, если это будет на сервере... всякие аутлуки то привыкли локально почту блать из каонкетной папки (или тогда надо использовать ещё и мастер переноса файлоф и параметров для нового ЮЗЕРА ДОМЕНА).... Это реальный геморой... юзать имеющуюся на компе папку куда удобнее и юзер не потеряет ничего, если мы его отрубим при необходимости...
Автор: Dimasik Среда, 12 Января 2005, 17:36
lingod, согласен во втором случае помогут перемещаемые профиля , справочник админа стоит 500 рублей максимум , а цитировать главы по 30 страниц - это ну не умно по краиней мере
Автор: __Anton__ Среда, 12 Января 2005, 17:44
ну, хотя бы подскажите, как делать перещаемый профиль... и его можно использовать ,получается, и когда юзер на свой комп зашёл и когда в ДОмен?
Автор: lingod Среда, 12 Января 2005, 17:55
| Цитата |
| По поводу группы Administrators я написал, что толку нет... я сам пробовал когда заходить в ДОМЕН, то в AD я был в группах "пользователи домена" и " Administrators" - был на компе как в терминалке |
Я не зря писал о "локальных" администраторах доменный пользователь должен принадлежать к группе администраторы на той машине куда он входит посмотреть принадледность к группам пользователей мажно в Control Panel - User Accounts. По умолчанию в группу Administrators (Администраторы) на всех машинах домена входит только группа Domain Admins.
| Цитата |
| ну, хотя бы подскажите, как делать перещаемый профиль... и его можно использовать ,получается, и когда юзер на свой комп зашёл и когда в ДОмен? |
Не нужны тебе перемещаемые профили, в данный момент кроме проблем с ними ты ничего не получиш.
| Цитата |
| А если юзер будет нами отрублен и будет заходить на свой комп потом, то как? У него на "его компе" будет устаревший профайл, который был ещё до входа в домен? Со старой почтой в аутлуке и прочее.... Тогда уж можно сделать, чтобы юзер независимо от тогу, куда вошёл, он юзал профайл из "Documents and Settings\имя" - чтобы не было 2х папок с 2-мя разными содержимыми... а ещё хуже, если это будет на сервере... всякие аутлуки то привыкли локально почту блать из каонкетной папки (или тогда надо использовать ещё и мастер переноса файлоф и параметров для нового ЮЗЕРА ДОМЕНА).... Это реальный геморой... юзать имеющуюся на компе папку куда удобнее и юзер не потеряет ничего, если мы его отрубим при необходимости... |
Не будет такого! Говорю же читай! Не решит форум твоих проблем! Не решит.
Автор: lingod Среда, 12 Января 2005, 17:58
| Цитата |
| согласен во втором случае помогут перемещаемые профиля , справочник админа стоит 500 рублей максимум , а цитировать главы по 30 страниц - это ну не умно по краиней мере |
Не помогут, тем более ни чему __Anton__, сейчас начинать с ними возиться, тем более что проблем там тоже хватает.
Автор: Dimasik Среда, 12 Января 2005, 18:12
lingod,
| Цитата |
| Тогда уж можно сделать, чтобы юзер независимо от тогу, куда вошёл, он юзал профайл из "Documents and Settings\имя" - чтобы не было 2х папок с 2-мя разными содержимыми... |
я про это , хотя они все равно сохранятся , ну че мож пару ссыл челу кинем , всегда лучше помочь человеку , чем он обиженный уидет. мы все когда то начинали ........
Автор: lingod Среда, 12 Января 2005, 18:28
| Цитата |
| Цитата |
| я про это , хотя они все равно сохранятся , ну че мож пару ссыл челу кинем , всегда лучше помочь человеку , чем он обиженный уидет. мы все когда то начинали ........ |
Понятно, ссылок да пожалуйста
http://www.networkdoc.ru/index.html
http://www.citforum.ru
на первое время и этого хватит, больше к сожалению я навскидку не вспомню.
ну и www.microsoft.com конечно, да и встроенный хелп тоже иногда очень помогает если читать его вдумчиво.
Автор: __Anton__ Среда, 12 Января 2005, 18:31
уууу....
ну уж до этого я и сам бы допёр... хэлп по виндам способен искать на support.microsoft.com ... гд общий хэлп найти по всему я и сам знаю
Автор: lingod Среда, 12 Января 2005, 18:36
| Цитата |
| у уж до этого я и сам бы допёр... хэлп по виндам способен искать на support.microsoft.com ... гд общий хэлп найти по всему я и сам знаю |
А на что ты расчитывал? Что тебе в двух словах расскажут как работает продукт описание функций которого занимает пару томо ~ 1000 страниц каждый? Не будет этого, форум может помочь решить сиюминутную проблему, но проблемы с отсутвием знаний у тебя он не решит, так что либо придется учится либо менять работу.
Автор: Dimasik Среда, 12 Января 2005, 18:57
короче общий принцип - клиент авторизуется на сервере и сервер сам разруливает политиками доступа и прочим т.е. определяет кому куда можно ходить а кому куда нет , если ты входишь под локальной учеткой то обрабатываются правила КАЖДОЙ МАШИНЫ В ОТДЕЛЬНОСТИ и у тебя общей политики быть не может , для выполнения централизованного управления и исполнения ЦЕНТРАЛИЗОВАНЫХ ПОЛИТИК (которые назначает АДМИНИСТРАТОР ) необходим сервер который будет семафорить эти политики , так называемый домен контролер , т.е. доменная структура , но если вход осуществляется локально , то машина отрабатывает локальные политики , а не доменные , т.е тебе нужен обязательный вход в домен , извиняюсь за некоторый сумбур , но я хотя бы попытался ............
Автор: __Anton__ Среда, 12 Января 2005, 19:00
а это и не работа.... и не дай мне бог работать по подобным вещам...
Это так, хобби... сетку с другом держим, развиваем, денег кучу поднимаем с этого и т.п....
А работа у меня совсем другого рода...
Автор: __Anton__ Среда, 12 Января 2005, 19:17
Dimasik, спасибо...
Ну, то, что ты пишешь - это понятно..
Подскажи, плиз, что белать с профайлами и как... Допустим, мы вводим юзера в домен... после этого он входит в виндах в домен... ЭТО ОК...
Как если профиль, который у него был на компе всегда, сунуть в "ДОМЕН", куда он будет входить?... И как предусмотреть возможность блокировка пользователя (чтобы он мог заходить, если чё, на СВОЙ КОМП и видеть тот же раб стол, те же настройки, ту же почту в аутлуке, которая у него была В ДОМЕНЕ) - чтобы, по стути, был 1 профаил для обоих способов входа?
Ведь при входе в ДОМЕН в Documents and Settings создаётся папка типа "имя.домен" , а при входе локально просто там папка "имя" (это в случаи, если на компе 1 юзер)... Или может эти 2 папки объявить "постфелями", чтобы они друг друга синхронизировали ))) ?
Автор: Dimasik Среда, 12 Января 2005, 20:35
__Anton__, так, хммммм ну если покумекать немного то сделать можно , но вот это как раз таки ЗАДАЧА ,по идее у тя домен должен быть доступен ВСЕГДА , а премещаемые профили - это ситуация когда пользователь заходить под своей учеткой (в домене ) и у него на любой машине в домене свой профаил , короче это вопрос уже я думаю должен финансироватся если ты говоришь что
| Цитата |
| Это так, хобби... сетку с другом держим, развиваем, денег кучу поднимаем с этого и т.п.... |
так что ве зависит от полноты налитого стакана. я думаю lingod, меня поддержит
Автор: Барэль Среда, 12 Января 2005, 20:49
| Цитата |
| Сетку с другом держим, развиваем, денег кучу поднимаем с этого и т.п. |
Упаси Бог меня от таких админов, вы уж простите...
Автор: Egor Среда, 12 Января 2005, 21:25
... тем более с такими знаниями
Только вот у меня очень большие сомнения по поводу правдивости такого заявления. Гнутые пальцы все это.
Dimasik
Не кумекай, не изобретай велосипед Неужели ты думаешь, что мелкософт не предусмотрел подобной ситуации и ее решения? С ихним-то параноидальным отношением к безопасности и сохранением информации? 
Автор: Dimasik Четверг, 13 Января 2005, 8:05
Egor, ну блин заказчику то надо все красиво преподнести сорри за оффтоп но этот парень меня улыбнул
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)