Помогите разобраться с некоторыми ньюансами по AD.
Вообще я программист, но мне дали админскую задачку создать доменную сеть, поэтому я в этом деле не ас и маюсь уже пару месяцев с литературой. /решили совместить 2 должности в связи с кризисом:)/

До преобразований ситуация в сети была следующая:
1. Имелись 7 физ. серверов с локальными учетными записями Администратор.
2. 60 ПК с локальными учетными записями Администратор.

Естественно, чтобы заходить на шары, администратору приходилось самому заполнять логины и пароли от лок. записей тех или иных УЗ.

Сейчас ситуация такая:

Я поднял на 1 сервере контроллер домена, настроил AD (т.е. создал пользователей с паролями /в новой OU/, создал пару админов /в новой OU/ немного настроил GPO для каждого, ну и т.д.) сервер DNS также создан и пока работает без проблем.

В итоге ситуация в целом по учет. записям такая:
1 сервер под УЗ контроллера домена
6 серверов остались работать под локальными админскими УЗ
60 юзеров под доменными УЗ пользователей.

На данный момент вопросы следующие возникли:
1. Необходимо ли переводить остальные 6 серверов под УЗ доменных администраторов? И вообще, как лучше всего сделать /точнее - правильно/?

2. И Про доступ доменных юзеров к шаровым папкам этих 6 серверов с локальными УЗ. Некоторые доменные пользователи спокойно заходят к шаре к этим 6 серверам, а у некоторых выходит запрос на авторизацию (от локальных админских УЗ этих серверов). Как сделать так, чтобы доменные пользователи могли без авторизации заходить к шаровым на этих серверах? Или все-таки придется все серверы переводить на доменных админов?

3. Создал DFS-корень для общих папок пользователей на одном из сервере с Лок. адм. УЗ-ю, опубликовал его на контроллере домена. Создал общую папку в AD-пользователи и компьютеры, ссылаясь на этот корень. Добавил ссылки на общие папки пользователей (чтобы всем было удобней иметь доступ к расшареным папкам всех работников в одном месте). Вроде все получилось. Однако, любой пользователь может заходить в расшаренные папки ДРУГИХ пользователь, но не может зайти в свою же собственную. Пишет, что отказано в доступе, обратитесь к админу ну и бла-бла-бла, - ссылка не доступна. Хотя НЕ через сеть он спокойно заходит в свою папку (т.е. локально). В безопасности на эту папку у всех прописано: полный доступ всем пользователем домена. Почему через DFS пользователь не может зайти в свою же совственную расшаренную папку?

Спасибо.

1. А что означает фраза "сервер под локальной учетной записью"? Понятно, что войти на него можно под локальной учеткой, если это не DC, и под доменной. Нормальной состояние сервера винды - в домене или не в домене. Правильно держать все машины в одном домене, если их функции не расходятся на корню.
2. Некоторые пользователи спокойно заходят по той причине, что в их компьютерах была нажата галочка "сохранить пароль". Для того, что бы доменные пользователи могли шариться по шести серверам, все шесть серверов должны быть в домене.

Ясно, вобщем все машины надо перевести на доменные учетки.

А что касается DFS-корня. Почему пользователь не может через DFS ссылку зайти в свою же расшаренную папку? Ведь в безопасности все к этому располагает.

Почему через DFS пользователь не может зайти в свою же совственную расшаренную папку? »
А какиеправа на шару стоят? На файловую систему понятно, но чтобы до нее добраться, надо сперва удовлетворить шаровые права

А какиеправа на шару стоят? »
На шаровую в доступе разрешено всё для всех (и чтение, и запись). В системной: - полный доступ для дом. админов и дом. пользователей. Сама она сидит под дом. пользователем.

Сразу возникнул вопрос: В шаровом доступе группа "Все" действует и для локальных и для доменных учет. записей?

2. И Про доступ доменных юзеров к шаровым папкам этих 6 серверов с локальными УЗ. Некоторые доменные пользователи спокойно заходят к шаре к этим 6 серверам, а у некоторых выходит запрос на авторизацию (от локальных админских УЗ этих серверов). Как сделать так, чтобы доменные пользователи могли без авторизации заходить к шаровым на этих серверах? Или все-таки придется все серверы переводить на доменных админов? »
Если на серверах будут логины+пароли локальных пользователей совпадать с логинами+паролями пользователей домена то авторизация будет проходить без проблем, 60 юзеров на 6 серваков делать это гемор, проще ввести все в домен.

Если на серверах будут логины+пароли локальных пользователей совпадать с логинами+паролями пользователей домена то авторизация будет проходить без проблем, 60 юзеров на 6 серваков делать это гемор, проще ввести все в домен. »

С этим я разобрался.

Есть еще одна проблема. У меня на одном из серваков стоит сервер DNS /AD стоит на другом сервере/. Параллельно на этом сервере (где DNS) работает принт-сервер. Пытаюсь эти принтеры внести в список AD, но они не вносятся /появляется сообщение, что это потребует несколько минут/, никаких ошибок не выдает, а просто снимается чекбокс с параметра "Внести в AD". Причем, попробовал с обычного ПК добавить принтер в АД, - добавился без проблем за доли секунды. В чем может быть проблема? Доступ DNS-сервера к серверу AD, естественно, есть, - иначе AD бы не работал без DNS.

Разобрался почему не добавлялись в AD принтеры, потому что в AD можно добавлять только под ДОМЕННОЙ учеткой.