ISA server 2006 не видит учётные записи пользоветелей и группы Active Directory.
 

Всем привет.
Возникла такая проблема, поднят домен на Winows 2003 server, в Active Directory созданы несколько учётных записей пользователей, добавляю их в правиле ISA server, но доступ в интернет не предоставляется. А если вместо этих пользователей просто добавить или оставить вариант "все пользователи", то всё работает и доступ в интернет есть на всех клиентах.
Если кто то знает в чем проблема, подскажите пожалуйста.
С уважением DIMAPIKS.

там сначало нужно создать "пользователя" в ISA, назначив ему пользователя из AD...
кстати, для ISA, есть отдельный подфорум...

exo, Я именно так и сделал:

Толку нет.

DIMAPIKS, я на каждого пользователя заводил отдельного пользователя в ISA...

exo, И на каждого так же заводил, не выходит.... Может быть сам ISA сервер битый, хотя вряд ли. Может в AD надо что то дополнительно прописать? По идее, если в AD создать группу с пользователями, и добавить группу в пользователя ISA то тоже должно работать для всех пользователей.

DIMAPIKS,
Воспользуйтесь встроенным мониторингом. Вы же информации не дали, как клиенты к ISA подключены, что за правила, ipconfig /all не дали.
Вот exo, телепат, сможет и так помочь.

monkkey, Я сделал скрины ipconfig /all и правил ISA и ещё пользователей в AD.
Всё заново ставил на виртуалках, такой же результат, если добавишь "все пользователи" то тогда есть доступ из внутренней сети во внешнею.

Может быть надо ещё какую то отдельную информацию, вы только подскажите пожалуйста где это можно посмотреть, если что то надо?
Не понял про мониторинг.

Мониторинг включить, и посмотреть, по какому правилу не пускает - не судьба? Как настроено подключение к ISA - Firewall client, прокси, NAT?

DIMAPIKS, фаервол-клиент то установлен на клиентских компах ?

monkkey, exo, Клиентский комп, это Winows XP, ничего я как раз туда не установил, что лучше всего установить, ISA - Firewall client, прокси, NAT? Как я понял фаервол-клиент мне предлагал установить ISA, но я от этого отказался.

monkkey, exo, Большое спасибо, я уже разобрался, вы мне подсказали что я пропустил. У меня такой вопрос к вам, когда в Active Directory задаёшь политику а именно, отключение учётно записи администратора и запрет на локальный вход в систему для определённых юзеров:

Я заметил что есть эффект если это настраивать только в Default Domain Policy, если в политике подразделения котором находится пользователь, то нет ни какой реакции, так и должно быть?

я бы вам не советовал вообще трогать эту политику. А создовать новые для администрирования.
Установить себе GPMC.MSI - упростит админство.
хотелось бы посмотреть как вы это делаете на скриншотах из GPMS.

exo, Значит лучше вообще не трогать Default Domain Policy, а как же политика на счёт паролей. Или это можно так же прописать в требованиях новой политики?
GPMC.MSI попытался поставить, сказали что это для SP1, а у меня SP2.

всё что подходит для SP1 должно работать и на SP2 и на SP3...
политику паролей вы можете настраивать в любой созданной вами политике.
Вы сами можете управлять иерархией политик. Можете назначить DGP (Default GP) последней или перекрыть её другой политикой.
DGР применяется ко всем объектам в домене по умолчанию.
Созданные вами, вы сами решаете на какие OU, Group, User их применять...

Но действовать будет только политика из Default Domain Policy.

т.е. моя не перекроет настройки из DGP ? или это особенность политики пароелй - т.е. действует только на весь домен ?

Default Domain Policy определяет политику паролей домена.

monkkey, Спасибо за пояснение. Значит только Default Domain Policy, отвечает за политику паролей на весь домен. Мне только не понятно, тогда почему в самом Windows уже есть готовые настройки по домен контроллеру, и там почему то задаётся требования по паролю или это не показатель? А Default Domain Policy она так же определяет на весь домен политику на блокирования учётно записи администратора и пользователей для локального входа, конечно в контроллере домена это можно всё разрешить и Default Domain Policy не перекроет политику контроллера, если в нём например разрешена учётная запись администратора. Я уточняю потому что, пробовал отключать в любой другой политике учётку админа и локальный вход для определённых пользователей, в которой конечно находятся учётные записи, и эффекта ни какого не было, только если в Default Domain Policy задать, то тогда блокируется. Именно так работает, или я что то не то отключал?

Главное - не путать политику компьютера и пользователя. Всё будет работать в созданных Вами политиках

monkkey, Вы не в курсе, где надо разрешить общий доступ к папке, а то у компьютера в домене есть пару папок, и там имеется правило для другого пользователя. Что в AD и где именно изменить так и не понял.... Дело в том что даже не видно у компьютера в домене общих папок, стандартные общие ресурсы. Например находясь на контроллере домена, пытаюсь открыть, а мне в ответ, доступ закрыт. Хотя пользователе домена, могут на контроллере домена открыть общие папки.

в свойствах папки - доступ. это общий доступ.
Безопасность - доступ по правам NTFS (через группы из AD).

В курсе. Открытие общего доступа к папке или диску определенным пользователям или группам

monkkey, Спасибо.
Не знаете почему так выходит. Я создавал правило, для блокирование запрета определённых URL. Так вот когда я создавал для яндекса, то правило выглядело так: http://*.yandex.ru и при этом всё работало и блокировало, появляется соответственное сообщение, если же по такому принципу задавать правило для маил, выглядит так: http://*.mail.ru то тогда страница не блокировалась, а выводилась в каком то недоделанном виде, отсутствовала графика (картинки, анимация), но когда я добавил ещё и http://mail.ru, вот после этого запрет работал полноценно. Почему с яндексом хватило одного URL а вот с маил нет? Или это особенность сайта? Может есть более правильный способ что бы прописывать URL? Скрин с URL:

*.mail.ru - идут всяческие баннеры и т.п., нет префикса www. А у Яндекса он есть.

как это нет ?
www

http://mail.ru/
C префиксом попадет под правило со *, без него - нет.

monkkey, а как же у автора с яндексом правило?
кстати, а правило *mail.ru - будет работать и с www и без www ? т.е. тут точки нет.

Если без точки, будет работать и на gmail, hotmail

monkkey, Большое спасибо. Получается что mail.ru как частный случай, как я понимаю? Скажите а если для каждого сайта указывать два варианта как с mail.ru, ну что бы наверняка, вдруг подобный сайт попадётся, нарушений в работе ISA сервера не будет, точнее в отношении блокировки URL? Какая команда запретит все сайты вообще, а в исключениях уже напишу что можно.

Ещё такой вопрос, так и не понял где в AD настроить так что бы была возможность устанавливать программы на машинах которые привязаны к домену, то же самый Flash плеер и тот не дают установить, мол запрещено, надо иметь права администратора.
Скрин: