История такая:

было 3 контроллера домена: 1 основной (имя server ip 192.168.0.3) + (server2 - 192.168.0.2 и server3 - 192.168.0.5)2 резервных.

На основном КД также была расшаренная папка файло-обмена для всех пользователей, которую предварительно я зархивировал. Также имеется полный образ основного КД (развернуть на основном КД заново не удалось).

В итоге основной КД пал смертью храбрых и больше не существует.

Согласно инфе и мануалам решил сделать server2 основным КД при помощи команды ntdsutil. Но при подготовке в какой-то момент потребовалась перезагрузка и сейчас зайти в обычном режиме на него не получается - идёт очень долгая "подготовка сетевых подключений", а затем когда ввожу имя администратора домена и пароль идёт также долгое "применение личных параметров" и затем вылет в "синий экран смерти". Зашёл в сейф-моде и в журнале событий обнаружил несколько ошибок.

Я так понимаю основная моя ошибка была в том, что сначала нужно было передать роли основного КД резервному server2 и только потом уже чего-то начинать делать. Сейчас я так понимаю всё функционирует благодаря server3, но общие ресурсы пока расшарить не получается. Я так понимаю нужно корректно передать роли на оставшийся КД. Только как это сделать при отсутствие основного КД? Все как правило ссылаются на ntdsutil, но непонятно какие именно команды нужно выпонять.

Только как это сделать при отсутствие основного КД? »
http://support.microsoft.com/kb/255504
там же ссылка "Удаление данных из Active Directory после неудачного понижения роли контроллера домена"
http://support.microsoft.com/kb/216498/

http://support.microsoft.com/kb/255504

вообщем-то всё понятно, кроме того, что какую именно всё-таки команду использовать для получения или для передачи роли? Т.е. команда transfer или seize?

seize - так как предыдущего держателя роли больше нет

не получается
пишет "нет связи с текущем владельцем fsmo"

Также пишет о 5 известных ролях и перечисляет их.

не получается
пишет "нет связи с текущем владельцем fsmo" »
повторюсь - делайте seize, а не transfer

Делаю seize - выходит сначала то что я описал выше, а если сделать 2-ой раз, то вроде как передача роли проходит успешно и в инфе о 5ти ролях вроде видно, что хозяин тот контроллер, который нужно.

Так-с, хорошо, а что дальше? Вроде как роли он подхватил...

http://support.microsoft.com/kb/216498/
Удаляете данные о КД который "пал смертью храбрых"

Чё-то всё-таки не так пошло... в ДНСе нового контроллера не вижу зон прямого и обратного просмотра... такое чувство что не вс ещё до конца проделал...

Всё вроде заработало - кое что маленько перемудрили, но сделали потом всё по-новой и вроде как новый основной КД поднят. ДНС и всё остальное также реплицировалось и вроде всё функционирует.

Теперь такой вопрос - на старом основном КД была расшаренная папка и каждому новому пользователю она автоматически подключалась. Теперь эта папка недоступна и у меня у пользователей постоянно висит сообщение об автономной работе и невозможностью соединиться с server (тот который умерший КД). Теперь вопрос каким образом наиболее эффективно будет реанимировать и эту функцию на новой основном КД (или даже дополнительном резервном)? Полазив в групповых политиках ничего там толком не нашёл. Может быть есть возможность как-то переназначить эту папку для файлообмена через новый основной КД или же придётся ручками везде ходить исправлять сетевой ресурс? И как быть с этой синхронизацией?

ЗЫ Большое спасибо за помощь, кстати говоря! :-)

CyberDYne, на старом основном КД была расшаренная папка и каждому новому пользователю она автоматически подключалась »
2008 R2 - Сетевой диск и Групповая политика (http://forum.oszone.net/thread-156793.html)
CyberDYne, Скайнет бодяжишь? ;)

2008 R2 - Сетевой диск и Групповая политика
Спасибо! Я так понимаю для 2003R2 также справедливо?

CyberDYne, Скайнет бодяжишь?
скайнет рулит! :-)

Ещё один немаловажный вопрос, если можно...

Сейчас занимаюсь раздачей прав на общий сетевой ресурс. Вообщем-то это одна папка, расположенная на резервном КД. Общий ресурс я сделал. Внутри этого ресурса есть папки, где каждому пользователю определяются полномочия в соответствие с группой этого пользователя и его должностью. Так вот как сделать так, чтобы сам сетевой ресурс они видели и заходили в него, а вот в подпапки уже должны быть ограничения. И вот тут мне не очень понятно - если группа "пользователи домена", к которой относятся все пользователи без исключения назначить корневой ресурс на общий доступ с определёнными правами, то эти права наследуются на подпапки и ограничить на некоторые подпапки доступ уже не получается. Может есть что-то и по этому вопросу?

Отключить наследование на подпапках. Или поправить DACL на корневом ресурсе, чтобы ACE действовали только на объекты внутри папки, а не на подпапки и файлы
PS: ACE - access control entry - для тех кто не в курсе

CyberDYne,
В свойствах безопасности - дополнительно - вышестоящей папки уберите галку "Заменять разрешения..." (по умолчанию галка стоит), либо в низлежащих папках снимайте галку "Наследовать разрешения"

Нашёл я способ правильно распределить права. Наследование отключать нельзя, потому что тогда почему-то не могут люди видеть папки, даже если их в подпапки явно прописать (или их группу). Решение было простое - сделать наследование прав на корневую папку всем пользователям (группа "общая" допустим), а доступ только на чтение (одна галка всего) и по мере необходимости в дальнейшем в подпапки просто добавлять нужные права и нужные группы пользователей.

Ещё раз спасибо всем за советы!

У меня образовался ещё один вопрос:

У некоторых пользователей папки "Мои документы" находились в сети в той самой расшаренной папке. И, по умолчанию, когда пользователь грузился, происходила синхронизация. Сейчас путь к этим папкам поменялся (т.к. поменялось имя сервера файлообмена) - так вот теперь вопрос - где именно надо прописать правильный путь конечным пользователям, т.к. если его не прописать, то идут очень сильные тормоза (навернгое из-за обращений к несуществующей папке). Или это нужно делать на сервере?

Просто заметил такую вещь - если просто тупо открыть проводник и правом кликом вызвать свойства "моих документов", то там явно прописывается путь к этой папке и его, при желании, можно поменять. Но вот у тех пользователей, что "мои документы" были на сети этот путь "серый" и его поменять на правильный не получается. Так где это можно всё-таки сделать?

Всё нашёл как! )))) Вопрос исчерпан....

Если она автоматически подключалась через net use, поместите скрипт на логон пользователя в Групповой политике типа
net use k: /delete
net use k: \\server_new\share

Всё нашёл как! )))) Вопрос исчерпан.... »
Если не сложно - приведите решение.