Windows 2003 Ent+AD+DNS
 

Доброго времени суток! Подскажите пожалуйста решение некторых проблем.

Установил AD на Windows 2003 Ent - все делал по мастеру настройки. Поднял DNS - тоже стандартные действия. Домен firma.lan, DNS с форвардингом на DNS-ы провайдера. Завёл пользователей:

1. Для того, что бы подключить пользователя в домен необходимо ли завести его компьютер на сервере AD в разделе computers или же хватает создание учетной записи? (Заранее прошу прощение за очевидно глупые вопросы)

2. В какую группу можно включить пользователей, что бы они имели администраторские права у себя на компьютерах, но на сам сервер AD с расшаренными ресурасами эти права не распространялись?


3. Сервер имеет два сетевых адаптера с реальником и приватником. У клиентов соот-но в качестве DNS прописан локальный ip address.
Но при пинге домена (ping firma.lan) резолвится то реальник (который не доступен) то приватник ?! . В настройках DNS убираю, если не изменяет память, А запись с сопоставлением реальника и firma.lan. Через некоторое время она автоматически появляется сама. Вопрос как указать DNS резолвить только приватник на firma.lan?


4. Открываю на сервере общую папку с разрешениями для разных пользователей и групп. При заходе на сервер вида \\firma.lan\общая_папка - получаю ошибку, что не может получить сведения о разрешениях с домена (в тот момент домен резолвился как надо). При заходе на сервер вида \\приватник\общаю_пака - все установленные разрешения работают. В чем проблема?


5. В фирме где я работаю, моя учетная запись имеет привелегии администратора. Я могу подключиться к любому компьютеру через удалённый рабочий стол и войти на этот компьютер под своим доменным именем, не делая никаких лишних телодвижений.

Тестируя сеть с "моим" AD у меня не получалось входить через удалённый рабочий стол под учетками пользователей, входивших в группу администраторы. Только добавив в ручную на пользовательском компьютере удалённых пользователей - меня пустило в систему.
Вопрос - что нужно сделать (какую политику или не политику), смотреть что бы было идентично ?


Заранее благодарю.
С уважением.

1. Хватает простого создания учётной записи если ты не планируешь использовать групповые политики и все остальные преимущества доменной системы. Без введения компьютеров пользователей в домен у тебя, как администратора, возникнет гора проблем.

2. В группу локальных администраторов.

3. Вопрос не допонял - выложи логи "ipconfig /all" с сервера и клиента.

4. Проверь "Журнал событий" на предмет ошибок и предупреждений, а также настройки файервола (если он на контроллере включен). Компьютер, с которого ты это делаешь в домен введён?

5. Через групповую политику - "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" - "Локальные политики" - "Назначение прав пользователя" - "Разрешать вход в систему через службу терминалов".
Или же добавляй себя через "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" - "Группы с ограниченным доступом"

P.S. А вообще, прочитав правила раздела форума и воспользовавшись советами оттуда, ты мог найти ряд уже имеющихся ответов на форуме.

А DFS у Вас сделан?
В папке "сетевые подключения" - Дополнительно - дополнительные параметры - внутренняя сетевая карта должна стоять вверху.
И не зря МС не рекомендует устанавливать DC на машины, выставленные в Инет, также проблема multihomed (более одной сетевой карты) DC с DNS и master browser

Прошу простить меня за невнимательность повлёкшую за собой возможные нарушения правил раздела. Моя неопытность и малая осведомлённость в данном вопросе сыграла против меня в поиске нужной информации. Впредь постараюсь быть внимательнее!
Если позволите продолжить эту ветку - буду весьма балгодарен!

1. Для групповых политик полагается добавлять компьютеры пользователей в раздел computers?



По 3-му вопросу еще раз на пальцах :
На сервере установлены 2 сетевые карты. Одна смотрит в Интернет, допустим 200.200.200.1, а другая в локальную сеть, допустим 10.0.0.1

На компьютере введеным в домен, у которого прописан ДНС 10.0.0.1 при пинге firma.lan то резолвится адрес 200.200.200.1 и тайм-аут от него (это нормально), то при следующем пинге резолвится 10.0.0.1 и ответы от него.
Так вот для корректной работы, как я могу судить, необходимо что бы при обращении к firma.lan резолвился ТОЛЬКО адрес 10.0.0.1 и он всегда отвечал. А получается чередование ответов.
Вот конфиг клиента:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : design
Основной DNS-суффикс . . . . . . : firma.lan
Тип узла. . . . . . . . . . . . . : смешанный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : firma.lan

Подключение по локальной сети 3 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DFE-530TX PCI Fast Ethernet A
dapter (rev.C)
Физический адрес. . . . . . . . . : 00-0F-3D-CC-75-54
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.3.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.0.3.1
DNS-серверы . . . . . . . . . . . : 10.0.0.1

Конфиг сервера:

Имя компьютера . . . . . . . . . : file-server
Основной DNS-суффикс . . . . . . : firma.lan
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : firma.lan

Real ip address - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Физический адрес. . . . . . . . . : 00-17-31-1B-2B-1F
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 200.200.200.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 200.200.200.1
DNS-серверы . . . . . . . . . . . : 10.0.0.4

Local Network Connecton - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
Физический адрес. . . . . . . . . : 00-17-31-1B-2B-1E
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 10.0.0.1

Что такое DFS? (приходит на ум только распределенная файловая система, но думаю она тут не причем и моё суждение не верно :) )
В дополнительных параметрах внутренняя сетевая карта стоит вверху.


4. Фаерволл не включен. Компьютер в домен введен.

5. Сделал так - зашел в политику безопасности домена, далее все как Вы указали. Все равно не пускает, пока вручную не добавишь пользователя в группу локальных администраторов :(

Примного благодарен за поддержку!

Почему у клиента шлюзом 10.0.3.1?
Пользователи должны быть в группе Remote Desktop Users
Такое возможно только в случае DFS, иначе должно быть \\SERVER.firma.lan\общая_папка
В группу "Администраторы" на локальном компьютере.

У ОП Computers нет групповой политики, поэтому если хочешь для них создавать отдельную политику, то надо создать отдельное ОП
И потом - при введении компьютера в домен, комп автоматически добавляется в ОП Computers, в случае, если для этого компьютера не была создана заранее учетная запись с тем же именем в другом ОП

такое возможно и без DFS (domain.local\sysvol), но без корректно настроенного DNS - факт :=]
другое дело если контроллеров два. и.. корректности такого обращения к сетевой точке доступа