У себя недавно поставил АД, сходу столкнулся со следующими пробеммами(не пинайте плиз, я юниксоид, винда мне в новинку):
1) Как мне выдать компу/юзеру полный доступ на его комп(для установки программ требующих прав администратора), НО не давая админку на домен.
2) Как мне сделать чтобы пользователь одновременно был в домене и мог сидеть по диал-апу в инете. При подключении он пишет как я понял что не может найти инетовские адресса в домене. Что загвозка в использовании DNS (эт я так подозреваю:)
3) Вопрос по DNS: В сервере 3 сетевушки, на каждую повешано по сегменту, как сделать так чтобы все компьтеры сети были в одном списке в файловых менеджерах??
4) Как мне ОГРАНИЧИТЬ использование моего контролера домена(он у меня маршрутизатор/ирк_сервер/веб_сервер) компьютерами НЕ регистрированными в домене(рабочие группы). Мне нужно чтобы сервер не обрабатывал запросы и не общался с этими компьютерами до их авторизации в домене, пусть даже он им выдаст DHCP.

Уважаемые коллеги-сисадмины!! Буду оччень благодарен за предоставленную помощь и советы!! Нужно поднять систему в кротчайшие сроки, без вас справиться не получится!!

1. Включить пользователя(ей) в группу локальных администраторов нужного компьютера.
3. Включить все компьютеры в один домен.
4. Лезь в групповую политику контроллеров домена - "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" и там уже делай что и как тебе будет угодно. Справочная система Windows тебе расскажет многое.

А вообще я бы советовал сначала зайти СЮДА (http://www.oszone.net/9/Windows_Server_2003) и прочитать как можно больше оттуда.

to_xoxmodav:
1. Можно добавить домен_юзеру админку на конкретный комп, я правильно понял?? если да то резонный вопрос как и через какие инструменты это сделать, желательно с нубскими пояснениями.
3. хм... само сабой включил... но ток как виден был только свой сегмент, так он и остался... может заморочка глубже??
4. А за это сенкс

А то куда ты меня послал, по сути я там ничего интересного не обнаружил... Но всё равно спасиб

назрел ещё 1 вопрос по 3) пункту: у меня сегменты типа: 192.198.х.0, всего 3 сегмента. Если мне объединить их в 1 диапазон это может мне помочь?? Или же можно реализовать и по 3м сегментам?? Днс это по идее позволяет, но в чём трабла я понять не могу, голова уже пухнет.

насчет п. 1 Заходишь на комп, правой клавишей по "мой компьютер"->"управление". Далее откроется окно, в нем ищем "локальные пользователи и группы", там открываем "группы", находим "администраторы", открываем ее и добавляем нужного юзера туда. Результат - он админ на этой машине.

Насчет п. 3 Так наверно сначала надо было создать подсеть класса С, а в ней создавать сегменты х1 х2 х3, ну и компы пехать по нужным сегментам. Либо я чего то недопонял

2. Как вариант - в свойствах DNS-сервера поставить редирект чужих адресов на сервер прова.

насчет п. 1 Заходишь на комп, правой клавишей по "мой компьютер"->"управление". Далее откроется окно, в нем ищем "локальные пользователи и группы", там открываем "группы", находим "администраторы", открываем ее и добавляем нужного юзера туда. Результат - он админ на этой машине.
это если 1-2 компа.. иначе все делается через групповые политики
Группы с ограниченным доступом (ветвь Конфигурация компьютера\Конфигурация Windows\Пapaмeтpы безопасности).
Членами такой группы являются только те учетные записи и группы, которые вы явно укажете.

Кстати, рекомендую к прочтению - Шетка Петр Microsoft Windows Server 2003 Практическое руководство по настройке сети

to Strange_V тоже верно, но если чел юниксоид, то надо ево с азов администрирования учить :) (не в обиду автору темы)

2_madmax24: опечатка, сегменты у меня вида 192.168.х.0. Я немного не понял, ты эту опечатку имел ввиду или что то другое хочешь предложить?? Мне главное что - руководство требует все компы в 1 списке, раньше всё работало через мою линуху(рабочая группа). Обстоятельства заставили перейти на вин, но подобные решения делаются на основе домена, так что осваиваю... Идеи есть??
2_amel27: свойства сервера - наблюдение рекурсивный запрос к другим днс серверам?? это?? иначе - сцылку в студию :)))
to_Strange_V: за книгу пасиб, не сразу понял про что мад макс выразился ))))
...кароч ща дойду до компа и отпишусь

хочу добавить что домен ставился как и всё в винде: по окошкам и менюшкам. Есть подозрение... Ирк-сервер не может определить пользовательский ДНС и использует обычный ип... Может обратная зона настроенна неправильно? В окошке ДНС сервера в обратной зоне вообще пусто, ниодной записи.

Особое спасибо madmax24 & Strange_V ибо помогли. Увидел кнопочку, ща потыкаю:)))

это если 1-2 компа.. иначе все делается через групповые политики
Группы с ограниченным доступом (ветвь Конфигурация компьютера\Конфигурация Windows\Пapaмeтpы безопасности).
Членами такой группы являются только те учетные записи и группы, которые вы явно укажете.
Имеется ввиду конфигурация домена а не компьтера??? Ну добавлю я туда допустим группу "пользователи домена". Что изменится?? Если дать пользователю "администратора" оттуда же, то по сути ничего не меняется, пока не дашь админку на домен. Пожалуйста, поподробнее

Назревает ещё 1 вопрос, как оставаясь "локал админом", админом только своего компа, НЕ иметь доступа к сетевым настройкам(к смене IP хотябы, но имея права открывать шары)?? От моих "лучших собаководов" хоть стой, хоть падай:)
Сегодня книгу докачаю(за ночь стянул метров 30:)), и её на досуге почитаю:)

Насчет обратной зоны - неплохо бы ее сделать :) Там все по дефолту, лишнего ниче не пиши.
Насчет последнего вопроса - групповыми политиками можно это дело все закрыть(но я не помню распространятся ли это на локального админа). Я думаю, что если любопытный юзер-локальный админ захочет себе поменять настройки, то это его проблемы - ну не получит он сервисов твоей сети и все равно придет к тебе и будет плакаться. Мне нравятся пользователи, которые соображают в компах - но слишком умных надо наказывать. Каждый должен своим ремеслом занимаца.
П,С, еще в помощь могу посоветовать на свою рабочую машину поставить AdminPack и GMPC, чтобы админить удобнее было. А GMPC тебе покажет все твои политики удобно и читабельно.

Имеется ввиду конфигурация домена а не компьтера??? Ну добавлю я туда допустим группу "пользователи домена". Что изменится?? Если дать пользователю "администратора" оттуда же, то по сути ничего не меняется, пока не дашь админку на домен. Пожалуйста, поподробнее
Вот выдержка из хелпа по этому вопросу
Политика групп с ограниченным доступомПолитика «Группы с ограниченным доступом» может быть использована для управления членством в группах. При помощи этой политики можно определить, кто является членом группы. Члены, не определенные в политике, удаляются во время настройки или обновления. Кроме того, вариант обратной настройки членства гарантирует, что каждая группа с ограниченным доступом является членом только групп, присутствующих в столбце Входит в состав.

Внимание!
Если политика групп с ограниченным доступом определена и объект «Групповая политика» обновлен, любой текущий член, не указанный в списке членов политики групп с ограниченным доступом будет удален. Может также произойти удаление членов по умолчанию, таких как администраторы.

Важно!
Группы с ограниченным доступом должны применяться главным образом для настройки членства в локальных группах на рабочих станциях и серверах.

хоть убейте, но понять не могу как связаны политика групп с ограниченным доступом и локал_админ? Я так понял, добавление пользователя в группу "администраторы" не даёт ему необходимых прав, пока не сядешь за юзерский комп и ручками не добавишь с учётки домен_админа его запись с добавлением в группу "администраторы_локально". Я только понял, что если пользователь не добавлен в такую группу, то он решается незаслуженных прав, кстати это тоже пригодится в проектировании сети.

Ещё 2 оччень животрепещущих вопроса, если на них найду ответ то моя душа обретёт покой: как ограничить(запретить!) любое общение компьютера(члена домена) с компом, не явлющимся членом домена, но находящимся в одной физической сети. Где копать??

И 2й: ACDSee is unable to connect to the database and will now close. Please make sure the following database is accessible from this computer, and then restart ACDSee:
C:\Documents and Settings\Администратор.FRIENDS\Application Data\ACD Systems\Catalogs\80\Default
Это появляется при открытии картинок через ACDSee, думаю это НЕ единичная проблемма, как починить?? Есть рекомендации??

Вы читали вышеупомянутую книгу? цитата оттуда:
- В новом объекте групповой политики раскройте ветвь Конфигурация компьютера\Конфигурация Windows\Пapaмeтpы безопасности.
- Щелкните правой кнопкой мыши по политике Группы с ограниченным доступом и из контекстного меню выберите команду Добавить группу.
- В диалоговом окне Добавить группу введите (без опечаток) название Administrators и нажмите ОК.
- В диалоговом окне свойств группы, в верхней части, нажмите кнопку Добавить и введите регистрационное имя Administrator. Потом нажмите кнопку Обзор и выберите группу STUDY\Domain Admins и доменную учетную запись STUDY\Other1.

Other1 - пользователь которому так же хотите дать права админа.

Все же книгу советую прочитать, чтобы правильно применить данную политику (ст. 336).


На счет ACDSee:
Подскажите как решить вот такую проблему:
ACDSee is unable to connect to database, and now will close.
Please make sure the following database is accessible from this computer, and then restart ACDSee:
C:\Documents and Settings\XXX\Localsettings\Application Data\ACD System\Catalogs\90\Default

Вопрос решил вот этим способом:
Нужно после этого запустить диспетчер задач, убить процесс ACDSee9.exe, который там наверняка останется не выгруженным, после чего удалить папку (c:/Documents and settings/[user]/Application Data/ACD Systems/90/Default) со всем содержимым. При последующем запуске ACDSee эта папка и база в ней будут созданы заново и программа запустится.
(с) forum.ru-board

Хм.... сначала идею не уловил, но когда сделал - понял как это реализуется. Весьма интересный меанизм, хоть и имеет свои минусы. Ну чтож, пасиб что разъяснил.
(кстати книгу я прочёл/пролистал в первую ночь, просто я не понял суть механизма сперва)

И последний вопрос: как же мне реализовать ограничение доступа к компьтерам_членам_домена от компьтеров_таковыми_не_являющимися??? Настраивать через групповые политики?? Требовать использование кернбероса?? У меня планируется ~200 компов к осени, не знаю, хватит ли сервера на обработку запросов, да и механизм пока только смутно где-то в области головы крутится... Может быть IPSec?? Есть идеи/предложения??

Так компы, которые не в домене, при обращении к компам из домена увидят перед собой окошко с вводом логина и пароля. И собственно если они их не знают, то доступ не получат.
Или тебе требуется, чтобы они вообще даже не видели компы твоего домена?

думаю защиты расшаренных ресурсов мне хватит, подумал на досуге что впринципе шифрование траффика и политики IPSec мне не нужны... Ты имеешь ввиду, что компьютеры при обращении к ресурсам доменных компов будут получать окошко для ввода пароля?? как реализовать??

да, ты правильно понял мою мысль - левый комп пишет в адресной строке \\domaincomp или \\ip или нечто подобное, в ответ он получает окно с вводом логина и пароля для доступа к ресурсам domaincomp. Соответсвенно если он их знает, то войдет на комп, иначе прости-прощай. :)

ну это я понял, где в политиках галочку поставить то? :))))
кк парметр называется ну или через что реализуется??