emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Active Directory (AD) смотрите также: Групповые политики (Group Policy) Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы   В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.   » Как отличить общий вопрос от частного?   » Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory   » Полезные ресурсы по Active Directory (AD)   Предыдущая часть этой темы здесь. Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тема, гляжу, не особо активная, но надеюсь, что кто-то ответит...   Есть домен (пока ещё есть) - rec.admlr.loc. Он является дочерним по отношению к домену admlr.loc. В силу обстоятельств произошло то, что время tombstone превышено и он (rec) считается для родительского (admlr.loc) мертвецом, т.к. нет репликаций. Контроллер дочернего домена rec.admlr.loc является хозяином только RID, PDC, Инфраструктуры. Остальными ролями FSMO является контроллер родительского домена. Возможно ли захватить роли для своего куска домена (rec.admlr.loc) и жить без основного?   Добавлено: Второй вопрос.   Создал свой домен rec.loc   Контроллер старого домена rec.admlr.loc является и файловым сервером. Пока существуют два этих домена. Пользователи продублированы на новом (rec.loc). Благодаря этому они заходят на старый контроллер и могут пользоваться файлами (все разрешения на папки действуют).   Что будет, если старый контроллер сделать рядовым сервером (удалить роль контроллера домена rec.admlr.loc)? Все разрешения исчезнут и доступ пропадёт? Придётся заново прописывать всё (папок много)?   Подскажите, как правильно поступить? Что сделать, чтобы было возможно не потерять права на каталоги?   Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 20:10 01-11-2012

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я так и думал... Флуд. /emx/ Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 17:31 06-11-2012 | Исправлено: emx, 09:48 09-11-2012

Zzhjckfd Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос хочу задать по реорганизации домена, если честно с этой точки зрения не сталкивался, поэтому посоветуйте, куда смотреть и с чего начать. Есть старый домен "ааа" на вин2003. Хочу полностью перенести его на 2008Р2, но есть загвоздка, компов порядочно (около 200), работу нарушать низя вообще, работают практически круглосуточно   Возможно ли следующее развитие событий: на новом серваке создаем домен "а", в него полностью перекидываем старый "ааа" в качестве поддомена (сохраняя текущие права доступа и ограничения), и постепенно из него создаем другие поддомены "аа", "аб", "ас", перемещая (одновременно переименовывая старые компы и пользователей) из "ааа".   Как плавно перебросить управление со старого на новый или нужно это делать сразу? С какими проблемами столкнусь на пользовательских компах? Насколько будет трудоемким процесс переноса данных пользователей? Возможна ли автоматизация? Всего записей: 7 | Зарегистр. 22-06-2009 | Отправлено: 08:45 07-11-2012

wwladimir Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Zzhjckfd Вы хотите как посложнее и что бы работы побольше было ? Или легко и правильно, тогда ставьте доп. контролер домена, передавайте ему роли, обновляйте схему и т.д.- http://technet.microsoft.com/ru-ru/library/cc733027(v=ws.10).aspx   DcPromo вам в помощь... Всего записей: 527 | Зарегистр. 08-11-2006 | Отправлено: 15:57 07-11-2012

anton04 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Zzhjckfd   Цитата: Возможно ли следующее развитие событий: на новом серваке создаем домен "а", в него полностью перекидываем старый "ааа" в качестве поддомена (сохраняя текущие права доступа и ограничения), и постепенно из него создаем другие поддомены "аа", "аб", "ас", перемещая (одновременно переименовывая старые компы и пользователей) из "ааа".   Да можно, но непонятно зачем это делать!? Непонятно зачем заморачиваться с поддоменами...   Цитата: Как плавно перебросить управление со старого на новый или нужно это делать сразу?   как угодно, создаётся ещё один контроллер домена и всё.   Цитата: С какими проблемами столкнусь на пользовательских компах?   ни с какими... если вы пропишите им ещё и адрес нового DNS...   Цитата: Насколько будет трудоемким процесс переноса данных пользователей?   Настолько насколько для Вас труден процесс установки второго контроллера домена.   Цитата: Возможна ли автоматизация?   Автоматизация чего? Создания второго контроллера домена? Синхронизация AD происходит автоматически и вмешательство не требует... Перенос ролей? Ну так это разовая работа, несколько команд да тыканья мышкой... проверка на ошибки AD и их исправление!? ну так это вообще индивидуальная работа и автоматизации не поддаётся...   Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 16:49 07-11-2012

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А мой вопрос, значит, игнорируем?.. Флуд. /emx/ Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 18:10 07-11-2012 | Исправлено: emx, 09:48 09-11-2012

anton04 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sauron_zombie   п. 2.8.3. главы VIII Соглашения по использованию   Если не ответили на Ваш вопрос значит или некому или Ваш вопрос никому не интересен.   Цитата: Возможно ли захватить роли для своего куска домена (rec.admlr.loc) и жить без основного?   Нет, только для всего домена. Захват ролей описан в сотнях статьях и учебниках, расписывать тут не имеет смысла.   Цитата: Что будет, если старый контроллер сделать рядовым сервером (удалить роль контроллера домена rec.admlr.loc)? Все разрешения исчезнут и доступ пропадёт?   Не понятно взаимоотношение двух доменов rec.loc и admlr.loc. Учитывая что это разные домены, похоже вы настроили доверие, а следовательно если погасите admlr.loc NTSF разрешения не будет отрабатываться в домене rec.loc, куда ж ему обращаться за проверкой логина и пароля то!?   Цитата: Подскажите, как правильно поступить? Что сделать, чтобы было возможно не потерять права на каталоги?   Поднимаем второй контроллер домена в лесу admlr.loc и передаём ему все права и DNS в том числе. Далее понижается основной контроллер домена до рядового. Проверяется на корректность передачи ролей и т.п. Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 20:42 07-11-2012

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору anton04   Спасибо добрый человек!   Про правила знаю (первый раз меня тыкнули носом ), но тут человеку помогли, а я решил ещё разок напомнить о проблеме. Извиняйте, если что не так!     Цитата: Не понятно взаимоотношение двух доменов rec.loc и admlr.loc. Учитывая что это разные домены, похоже вы настроили доверие Никакого взаимоотношения нет. Доверия нет. Для админов admlr.loc мы были пятым колесом (т.е. наш поддомен rec.admlr.loc, когда-то давно созданный). Они покоцали все поддомены, чтобы переложить нагрузку на подразделения (у кого стали свои домены, а кто перешёл в рабочие группы), а мы были последним бастионом. Но вот и он рухнул.   Цитата: Поднимаем второй контроллер домена в лесу admlr.loc и передаём ему все права и DNS в том числе. Далее понижается основной контроллер домена до рядового. Проверяется на корректность передачи ролей и т.п. Так вот если с admlr.loc не возможно ничего делать (не дадут, пошлют просто, т.к. это головное подразделение и отношения у нас натянутые), то без установки доверительных отношений нельзя никак права к папкам на нашем контроллере (он же и файл-сервер) сохранить? Ведь в настройках безопасности каталогов идут такие строки - REC\user.   Домен rec.loc создавали с надеждой, что будет совпадать доменная часть REC.   Сейчас пользователи, созданные "с нуля" (со всеми настройками и паролями) на новом контроллере (rec.loc) могут работать с теми же каталогами, что и существующие учётки старого контроллера (rec.admlr.loc). Но вот если не будет старого контроллера, то в параметрах безопасности каталогов останутся только длинные номера SID.   Думал уже и о копировании всех каталогов через TotalCommander с галкой "Скопировать права доступа NTFS" для создания такой же структуры на другом сервере, но не знаю, поможет ли это...     И ещё раз спасибо!   Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 22:18 07-11-2012 | Исправлено: Sauron_zombie, 22:20 07-11-2012

anton04 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sauron_zombie   Цитата: Про правила знаю (первый раз меня тыкнули носом ), но тут человеку помогли, а я решил ещё разок напомнить о проблеме.   Если вы хотите обратится к кому то лично, то пишите в ПМ, т.к. правила общие для всех и то что Вам очень надо не повод их нарушать, а по получается как наглые водилы в России "ну коли мне очень надо  то можно". Просто срабатывает негатив и отвечать на таким людям ну просто не тянет.   А теперь по делу:   Цитата: Никакого взаимоотношения нет. Доверия нет.   Ну тогда делайте захват всех ролей и всё.   Цитата: Домен rec.loc создавали с надеждой, что будет совпадать доменная часть REC.   бред... т.к. предыдущий домен admlr и причём здесь поддомен rec непонятно, ведать мало почитали теории по названию доменов, обратитесь повторно к соответствующей литературе...   Цитата: на новом контроллере (rec.loc) могут работать с теми же каталогами, что и существующие учётки старого контроллера (rec.admlr.loc).   Это всё потому что в этом случае у Вас логин и пароль ходит в открытом виде. Такое делается, но далеко как не приветствуется.   Цитата: Но вот если не будет старого контроллера, то в параметрах безопасности каталогов останутся только длинные номера SID.   Да всё верно.   Цитата: Думал уже и о копировании всех каталогов через TotalCommander с галкой "Скопировать права доступа NTFS" для создания такой же структуры на другом сервере, но не знаю, поможет ли это...   Поможет от чего? Ну скопирует он права NTFS, а имена пользователей система видит как SID, а SID привязан к домену, не будет домена ник-то ничего не увидит.   Ещё раз рекомендую сделать захват ролей и не городить огород. Если хотите новый (независимый) admlr домен, то делаете новой и туда передаёте все роли, а старый КД понижаете до рядового.   Если хотите совсем новое название домена то, опять же, поднимается второй КД в admlr перебрасываете ему роли и всё такое, гасите старый и потом переименовываете текущий и то что хотите (где у MS была соответствующая утилита для переименования домена, думаю найдёте). Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 13:27 08-11-2012

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору anton04   Цитата: мало почитали теории по названию доменов Всё так. Цитата: Ещё раз рекомендую сделать захват ролей и не городить огород. Если хотите новый (независимый) admlr домен, то делаете новой и туда передаёте все роли, а старый КД понижаете до рядового.   Так я и спрашиваю, могу ли я на контроллере поддомена rec.admlr.loc захватить роли? Ведь он является хозяином только RID, PDC, Инфраструктуры. Остальными ролями FSMO является контроллер родительского домена.   К основному домену admlr.loc у меня нет и не будет никакой возможности подключиться, чтобы что-то там сделать. Да и связи теперь между ними нет (физически). А пользователи есть и права на каталоги для групп (OU) есть.   С новым контроллером домена (rec.loc) не удаётся установить доверие со старого (rec.admlr.loc), т.к. он является всего лишь часть большого домена admlr.loc. Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 19:29 08-11-2012

anton04 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sauron_zombie   Цитата: Так я и спрашиваю, могу ли я на контроллере поддомена rec.admlr.loc захватить роли?   Можете. Можете захватить любые роли.   Цитата: С новым контроллером домена (rec.loc) не удаётся установить доверие со старого (rec.admlr.loc), т.к. он является всего лишь часть большого домена admlr.loc.   После захвата ролей всё сможете сделать. Всего записей: 2821 | Зарегистр. 14-06-2006 | Отправлено: 10:59 09-11-2012

Sauron_zombie Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору anton04 Буду тогда пробовать это осуществить.   Спасибо вам! Всего записей: 536 | Зарегистр. 31-01-2006 | Отправлено: 15:51 11-11-2012

23q Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Достался в наследство сервер с Active Directory, нужно его вывести в раб. группу.  Он в сети один, все компы уже в рабочей группе. Если я удалю на этом контроллере Active Directory, то потом зайти на этот сервер смогу под локальным админом? Как узнать пароль локального админа, до удаления Active Directory? Всего записей: 369 | Зарегистр. 09-02-2009 | Отправлено: 11:51 07-12-2012

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Достаточно просто после сноса домена и даунгрейда контроллера зайти в оснастку управление юзерами, и установить пароль и логин (по необходимости) на локального админа. Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 12:29 07-12-2012

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование