Профили пользователей
 

Здравствуйте, я начинающий сис. админ. Прошу помощи с следующей ситуацией:

Предыстория: Есть предприятие, два сервера (основной и для инета), и порядка 40 компов. Раньше был домен company.ja, но из-за определенных обстоятельств пришлось на основной сервер устанавливать новую винду. Установил 2003 серверную, настроил DNS, DHCP, WINS, AD с именем company.local . Для пользователей настроил перемещаемые профили на сервер, редирект папок "мои документы", "рабочий стол". Возвратил все документы своим владельцам. Но на данный момент есть проблема. Чтобы описать её - приведу пример:

Есть компьютер бухгалтера у которого установлена клиентаская программа "клиент-банк". Серверная часть программы соотвественно установлена на сервере. Захожу на компе буха в "панель управления - учетные записи пользователей". Ввожу логин и пароль доменного администратора, название домена.


И вижу следующее окно.


Потом добавляю пользователя (которого выбираю с AD, даю ему права администратора. Захожу в программу вношу изменения в каталогах чтобы прога ссылалась на сервер (без прав админа просто не выставляються пути). Все работает отлично. Но, после перегразрузки компьютера все настройки возвращаются на такие какие были до всех манипуляций. Тобиш та доменная запись которую я добавил вручную - пропадает. И так на каждом компе.

Заметил что раньше в командной строке писало C:\Users\имя_пользователя.company.ua>, а сейчас C:\Users\имя_пользователя.JUVENTA.000>.

Что надо сделать чтобы доменная запись, не пропадала и настройки пользователей сохранялись?

P.S. Извините если что-то не так описал, просто исправте, второй раз не повторю ошибку, так как быстро учусь :)

Добавлено: После добавления пользователя в групу - "Администратор домена", проблемы нету. Но это не выход

Не включен ли автовход на клиентских комьютерах? И какой пользователь залогинен, когда ты это все делаешь? Не админ ли локальный?

Автовход отключен, пользователи для входа в систему должны авторизироваться доменной учетной записью (состоят в групе "пользователи" в АД), но при этом если зайти в учетные записи пользователей - то как показано на скрине в 1 посте виден только локальный профиль.

Tigreshka, для добавления пользователей в локальные группы используйте оснастку "Управление компьютером" - "Локальные пользователи и группы". Именно там в группу администраторов добавьте учетную запись доменного пользователя.

Tigreshka, политики Restricted Groups не настраивали, случайно?

2Petya V4sechkin. Да групы с ограниченым доступом настроены с самого начала. В групе внесено 2 записи - Администраторы и Администраторы домена.
2QRS - Внесение одноименного пользователя в локальную групу администраторов через оснастку "управление компьютером" результата не принесло.

Меня больше всего смущает то, что независимо от того входит пользователь домена в групу администраторы домена или нет, если зайти в "панель управления, учетки", то отображаеться только локальный администратор, а доменная учетная запись не присувствует.

Тогда что вас удивляет?

Тоесть для того чтобы все заработало надо либо убрать групы с ограниченым доступом, либо внести в "члены групы" всех доменных пользователей?

Хотите сделать администраторами всех?

Типа того.
Либо выяснить, к каким папкам, файлам и разделам реестра требует доступ этот чудесный "Клиент-банк", и предоставить соответствующие разрешения (чтобы он работал с правами пользователя).

Ясно, сейчас попробую.

Увы не работает.

http://s003.radikal.ru/i201/1105/9a/cb3a52669374.jpg

На нижнем левом окне ведь должна отображаться доменная запись типа

Tetiana.Sivuk - juventa.local - пользователь/администратор

а её нету :(, при попытке запустить одну из прог которой надо админ права - ругается что нету доступа в реестре.

gpupdate /force выполнили?

Можно с помощью RegMon помониторить, какой раздел.

Цитата:

Цитата Tigreshka Tetiana.Sivuk

Кстати, для чего эта локальная учетная запись на скриншоте?

Да обновление груповой полити форсировал, и даже комп перегружал.
По поводу учетной записи - тестово создавал на пост номер 4 в этой теме :)

хм, и такой вопросик, пользователь в АД в какие групы должен входить кроме "пользователь домена"?


P.S. Еще вопрос немного не в ту ветку но все-же.
У меня на сервере стоит сейчас зеркальный первый рейд с 2-х винтов (апаратный), есть 3 старых винта (на котором был прошлый домен), которые были огранизованы в 5 рейд и на которых все работало (рейд был организован средствами винды). Если я отключу 2-а винта которые прицеплены сейчас, удалю рейд, и поключу старые винты чтобы посмотреть что и как было сделано на превидущем домене, смогу ли я снова, сделать 1 рейд и подключив те hdd что подключены сейчас, нормально работать ?

Так что никто не знает как выйти с этой ситуации?

А если дать пользователю права администратора домена (или назначить его управляющим этим компьютером), сделать все настройки, а потом забрать у него права, что все пути сбрасываются? Очень инициативно ведет себя клиент-банк. Извиняюсь, если я чего-то не понял...

Я бы не стал давать пользователям права админа из-за одной программы.

У клиент-банка обычно есть поддержка, можно им позвонить и спросить, как запустить их программу под пользователем с ограниченными правами. По моему опыту, ответ на этот вопрос в поддержке знают почти всегда.

Если не получится через поддержку, можно попробовать настроить ACL на необходимые ветки реестра, на папку с программой, и пр., но тут уже придется полагаться на свой опыт, интуицию и логи filemon/regmon.
Хотя в половине случаев достаточно прав записи в %programfiles%\имя_программы и HKLM\Software\имя_разработчика_или_программы