Здравствуйте.
В сети стоит сервер под управлением Windows Server 2003. На нём контроллер домена...
На нём, вроде, всё достаточно нормально настроено, кроме одной проблемы...
У нас пользователи при входе в винды входит не в ДОМЕН, а на свой комп ("имя_компа (этот компьютер)")... т.е. получается , что в систему он входит как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА (и пароль).
ПРОБЛЕМА В ТОМ, что когда пользователи пытается заходить на компы других пользователей домена, то им надо вводить снова свой логин и пароль, только в виде ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА (и пароль)... По сути, вводится тоже самое имя, под которым юзер зашёл в домен и на комп, но зашёл он как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА а к др. пользователям домена входит как ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА .
Зато на сервак пользователи домена заходят нормально, без пароля...
Вопрос: как это убрать? Надо сделать, чтобы между пользователями домена не надо было вводить логин и пароль.... Раз юзер зашёл под именем, которое прописано в Active Directory, пусть между членами домена нормально и ходит тогда.
Те пользователи, кто не в домене (сидят ещё в раб. группе или просто кто-то левый в сеть законнектился), не могут заходить не на сервер, не на ПОЛЬЗОВАТЕЛЕЙ ДОМЕНА (И НЕ НАДО, ЧТОБЫ ЗАХОДИЛИ - для этого домен и нужен был изначально)...
Напишите, пожалуйста, что надо и как настроить в политиках безопасности или ещё где... Реально, как только не пробовал настраивать - и по шаблонам безопасности и по смыслу - не получается и всё тут...
Или может у кого-нибудь есть возможность прислать свои настройки политик в ini-файлах (чтобы их можно было как шаблоны безовасности через консоль открыть и сверить настройки по ним)?... Если можете, пришлите для домена и для контроллера домена нормально работающие ini-файлы на мыло - xplace@mail.ru
DNS и WINS , вроде, настроены нормально (настроено, в частности, и по инфе, которая на этом же форуме была написана)...
Однако, есть 1 проблема... на сервере работает IIS и там лежит внутренний сайт сети... То, что "не члены домена" на него зайти не могут - это хорошо, НО почему-то пользователи домена могут на сайт заходить только как http://имя_компа , а если заходить под http://имя_компа.домен.loc , то спрашивает пароль (так же, можно ввести ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА и пароль - ЗАХОДИТ, как и на компы юзеров :))...
Помогите исправить эти 2 неполадки... хотя бы первую (хотя, их суть похожа)... Вариант, заходить при входе в винды в "ИМЯ_ДОМЕНА" а не в "ИМЯ_КОМПА (этот компьютер)" - НЕ ПОДХОДИТ.
Заранее благодарен...
С уважением, Антон.
Цитата |
Помогите исправить эти 2 неполадки... хотя бы первую (хотя, их суть похожа)... Вариант, заходить при входе в винды в "ИМЯ_ДОМЕНА" а не в "ИМЯ_КОМПА (этот компьютер)" - НЕ ПОДХОДИТ. |
Цитата |
У нас пользователи при входе в винды входит не в ДОМЕН, а на свой комп ("имя_компа (этот компьютер)")... т.е. получается , что в систему он входит как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА (и пароль). ПРОБЛЕМА В ТОМ, что когда пользователи пытается заходить на компы других пользователей домена, то им надо вводить снова свой логин и пароль, только в виде ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА (и пароль)... По сути, вводится тоже самое имя, под которым юзер зашёл в домен и на комп, но зашёл он как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА а к др. пользователям домена входит как ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА . Зато на сервак пользователи домена заходят нормально, без пароля... |
Я всё, что можно было осмыслил и перепробовал... И написал вопрос, чтобы уже просто мне сказали как и чё, кто знает...
1. "Вариант, заходить при входе в винды в "ИМЯ_ДОМЕНА" а не в "ИМЯ_КОМПА (этот компьютер)" - НЕ ПОДХОДИТ."
2. В некоторых конторах я сам видел, что они так же все заходят на "свой комп" и у них всё работает и нет такого косяка, который происходит у нас...
обьяснять человеку который сам не хочет понять - нет никакого желания , почитать тот же справочник дело 2 часов , я лучше потрачу время и нервы на то что бы ответить человеку у которого деиствительно траблы , а не учить сисадминов - мальчиков после института , которым просто лень (прости , но ничего личного ©), ты не осмыслил для чего нужен домен контролер , и какие функции он выполняет, он служит как бы тебе сказать , семафором для тех кто в нем авторизуется , а у тебя машины входят локально ..........
Цитата |
В некоторых конторах я сам видел, что они так же все заходят на "свой комп" и у них всё работает и нет такого косяка, который происходит у нас... |
неужели сложно просто помочь настроить и всё?
Я уже разбирался как мог и делал всё, чё мог.... чтобы юзер входил в ДОМЕН - это крайния выход и я знаю, что так будет работать... но мне надобы, чтобы работало с входлн на комп юзера
__Anton__, ок давай вот здесь поподробнее , причины именно такого вывода
Цитата |
1. "Вариант, заходить при входе в винды в "ИМЯ_ДОМЕНА" а не в "ИМЯ_КОМПА (этот компьютер)" - НЕ ПОДХОДИТ." |
Цитата |
2. В некоторых конторах я сам видел, что они так же все заходят на "свой комп" и у них всё работает и нет такого косяка, который происходит у нас. |
Ну, допустим... Если входить в ДОМЕН... почему-то заходишь на комп как гость под какой-то ограниченной учётной записью)... ни настройки поиенять ничё... Вроде при этом в AD счлен групп я был "пользователь домена" и "администратор"...
И как быть? как сделать так, чтобы я бал админом на своём компе.... И как закачивать свои настройки на сервак, чтобы был "мой" раб стол, конфиг программ и прочее... как быть с почтой и прочее?
если это необходимо именно в домен входить, тогла подскажите, как настойки юзера и куда переносить, как сделать, чтобы юзер был админом на своём компе и как его настройки будут сохраняться, если юзер там например что-то поменяет в оформлении, в конфиге программ, почту там новую получит в аутлуке и т.п.? это всё на сервере будет храниться? или что-то на сервере, а что-то на компе?
А если юзер будет нами отрублен и будет заходить на свой комп потом, то как? У него на "его компе" будет устаревший профайл, который был ещё до входа в домен? Со старой почтой в аутлуке и прочее.... Тогда уж можно сделать, чтобы юзер независимо от тогу, куда вошёл, он юзал профайл из "Documents and Settings\имя" - чтобы не было 2х папок с 2-мя разными содержимыми... а ещё хуже, если это будет на сервере... всякие аутлуки то привыкли локально почту блать из каонкетной папки (или тогда надо использовать ещё и мастер переноса файлоф и параметров для нового ЮЗЕРА ДОМЕНА).... Это реальный геморой... юзать имеющуюся на компе папку куда удобнее и юзер не потеряет ничего, если мы его отрубим при необходимости...
__Anton__, Не обижайся но ты книжки читать пробовал? Или просто поставил домен контроллер и вперед?
Цитата |
И как быть? как сделать так, чтобы я бал админом на своём компе.... И как закачивать свои настройки на сервак, чтобы был "мой" раб стол, конфиг программ и прочее... как быть с почтой и прочее? |
Цитата |
если это необходимо именно в домен входить, тогла подскажите, как настойки юзера и куда переносить, как сделать, чтобы юзер был админом на своём компе и как его настройки будут сохраняться, если юзер там например что-то поменяет в оформлении, в конфиге программ, почту там новую получит в аутлуке и т.п.? это всё на сервере будет храниться? или что-то на сервере, а что-то на компе? |
По поводу группы Administrators я написал, что толку нет... я сам пробовал когда заходить в ДОМЕН, то в AD я был в группах "пользователи домена" и " Administrators" - был на компе как в терминалке
А если юзер будет нами отрублен и будет заходить на свой комп потом, то как? У него на "его компе" будет устаревший профайл, который был ещё до входа в домен? Со старой почтой в аутлуке и прочее.... Тогда уж можно сделать, чтобы юзер независимо от тогу, куда вошёл, он юзал профайл из "Documents and Settings\имя" - чтобы не было 2х папок с 2-мя разными содержимыми... а ещё хуже, если это будет на сервере... всякие аутлуки то привыкли локально почту блать из каонкетной папки (или тогда надо использовать ещё и мастер переноса файлоф и параметров для нового ЮЗЕРА ДОМЕНА).... Это реальный геморой... юзать имеющуюся на компе папку куда удобнее и юзер не потеряет ничего, если мы его отрубим при необходимости...
lingod, согласен во втором случае помогут перемещаемые профиля , справочник админа стоит 500 рублей максимум , а цитировать главы по 30 страниц - это ну не умно по краиней мере
ну, хотя бы подскажите, как делать перещаемый профиль... и его можно использовать ,получается, и когда юзер на свой комп зашёл и когда в ДОмен?
Цитата |
По поводу группы Administrators я написал, что толку нет... я сам пробовал когда заходить в ДОМЕН, то в AD я был в группах "пользователи домена" и " Administrators" - был на компе как в терминалке |
Цитата |
ну, хотя бы подскажите, как делать перещаемый профиль... и его можно использовать ,получается, и когда юзер на свой комп зашёл и когда в ДОмен? |
Цитата |
А если юзер будет нами отрублен и будет заходить на свой комп потом, то как? У него на "его компе" будет устаревший профайл, который был ещё до входа в домен? Со старой почтой в аутлуке и прочее.... Тогда уж можно сделать, чтобы юзер независимо от тогу, куда вошёл, он юзал профайл из "Documents and Settings\имя" - чтобы не было 2х папок с 2-мя разными содержимыми... а ещё хуже, если это будет на сервере... всякие аутлуки то привыкли локально почту блать из каонкетной папки (или тогда надо использовать ещё и мастер переноса файлоф и параметров для нового ЮЗЕРА ДОМЕНА).... Это реальный геморой... юзать имеющуюся на компе папку куда удобнее и юзер не потеряет ничего, если мы его отрубим при необходимости... |
Цитата |
согласен во втором случае помогут перемещаемые профиля , справочник админа стоит 500 рублей максимум , а цитировать главы по 30 страниц - это ну не умно по краиней мере |
lingod,
Цитата |
Тогда уж можно сделать, чтобы юзер независимо от тогу, куда вошёл, он юзал профайл из "Documents and Settings\имя" - чтобы не было 2х папок с 2-мя разными содержимыми... |
Цитата |
Цитата |
я про это , хотя они все равно сохранятся , ну че мож пару ссыл челу кинем , всегда лучше помочь человеку , чем он обиженный уидет. мы все когда то начинали ........ |
уууу....
ну уж до этого я и сам бы допёр... хэлп по виндам способен искать на support.microsoft.com ... гд общий хэлп найти по всему я и сам знаю
Цитата |
у уж до этого я и сам бы допёр... хэлп по виндам способен искать на support.microsoft.com ... гд общий хэлп найти по всему я и сам знаю |
короче общий принцип - клиент авторизуется на сервере и сервер сам разруливает политиками доступа и прочим т.е. определяет кому куда можно ходить а кому куда нет , если ты входишь под локальной учеткой то обрабатываются правила КАЖДОЙ МАШИНЫ В ОТДЕЛЬНОСТИ и у тебя общей политики быть не может , для выполнения централизованного управления и исполнения ЦЕНТРАЛИЗОВАНЫХ ПОЛИТИК (которые назначает АДМИНИСТРАТОР ) необходим сервер который будет семафорить эти политики , так называемый домен контролер , т.е. доменная структура , но если вход осуществляется локально , то машина отрабатывает локальные политики , а не доменные , т.е тебе нужен обязательный вход в домен , извиняюсь за некоторый сумбур , но я хотя бы попытался ............
а это и не работа.... и не дай мне бог работать по подобным вещам...
Это так, хобби... сетку с другом держим, развиваем, денег кучу поднимаем с этого и т.п....
А работа у меня совсем другого рода...
Dimasik, спасибо...
Ну, то, что ты пишешь - это понятно..
Подскажи, плиз, что белать с профайлами и как... Допустим, мы вводим юзера в домен... после этого он входит в виндах в домен... ЭТО ОК...
Как если профиль, который у него был на компе всегда, сунуть в "ДОМЕН", куда он будет входить?... И как предусмотреть возможность блокировка пользователя (чтобы он мог заходить, если чё, на СВОЙ КОМП и видеть тот же раб стол, те же настройки, ту же почту в аутлуке, которая у него была В ДОМЕНЕ) - чтобы, по стути, был 1 профаил для обоих способов входа?
Ведь при входе в ДОМЕН в Documents and Settings создаётся папка типа "имя.домен" , а при входе локально просто там папка "имя" (это в случаи, если на компе 1 юзер)... Или может эти 2 папки объявить "постфелями", чтобы они друг друга синхронизировали ))) ?
__Anton__, так, хммммм ну если покумекать немного то сделать можно , но вот это как раз таки ЗАДАЧА ,по идее у тя домен должен быть доступен ВСЕГДА , а премещаемые профили - это ситуация когда пользователь заходить под своей учеткой (в домене ) и у него на любой машине в домене свой профаил , короче это вопрос уже я думаю должен финансироватся если ты говоришь что
Цитата |
Это так, хобби... сетку с другом держим, развиваем, денег кучу поднимаем с этого и т.п.... |
Цитата |
Сетку с другом держим, развиваем, денег кучу поднимаем с этого и т.п. |
... тем более с такими знаниями
Только вот у меня очень большие сомнения по поводу правдивости такого заявления. Гнутые пальцы все это.
Dimasik
Не кумекай, не изобретай велосипед Неужели ты думаешь, что мелкософт не предусмотрел подобной ситуации и ее решения? С ихним-то параноидальным отношением к безопасности и сохранением информации?
Egor, ну блин заказчику то надо все красиво преподнести сорри за оффтоп но этот парень меня улыбнул
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)