2008 R2

Angry Demon · Отправлено: **09:02, 15-11-2011** | #2

Цитата sinq:

Как помочь моему горю?

Установить второй DC.

sinq · Отправлено: **09:13, 15-11-2011** | #3

Действие разворачивается в удаленном филиале, не хотелось бы, чтобы там имелось представление о всех наших пользователях, группах, и т.п.,.. ограничение канала, необходимость контроля прав, лишние неудобства.

Есть ли ещё вариант?

Angry Demon · Отправлено: **09:27, 15-11-2011** | #4

sinq, лишние неудобства - это то, чем вы сейчас пытаетесь заняться. А контроллер домена в филиале - отработанный годами метод построения инфраструктуры предприятия. И с чего бы кто-то там в филиале узнает о пользователях/группах? Или у вас везде у всех администраторские права и пароль администратора предприятия/домена на обоях написан?

Delirium · Отправлено: **09:36, 15-11-2011** | #5

Цитата sinq:

Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
поставил = 25 »

Эта опция вообще не имеет отношения к теме вопроса

Если охота сделать свое решение в ущерб безопасности, делаем так: включаем учетную запись гостя на том сервере, где лежит сетевая папка, на вкладке ДОСТУП на нужную сетевую папку даем разрешение группе Все или Гости, на вкладке БЕЗОПАСНОСТЬ даем разрешение группе Все. В таком случае будет вообще наплевать на права и контроллер, был бы сетевой доступ к серверу.

Но это такой костыль, какой и во сне не приснится нормальному айтишнику.

sinq · Отправлено: **09:43, 15-11-2011** | #6

Т.е. даже не дочерний домен, я правильно понял вашу мысль, а именно второй КД ? А какие роли правильно разместить на второй, филиальный, КД?

sinq · Отправлено: **10:02, 15-11-2011** | #7

Delirium, соглашусь с вами, что открывать доступ гостевой учетной записи это крайняя мера..

Telepuzik · Отправлено: **10:25, 15-11-2011** | #8

Цитата sinq:

я правильно понял вашу мысль, а именно второй КД ? »

Именно второй КД. Можете использовать контроллер домена Read-Only (RODC).

sinq · Отправлено: **14:11, 15-11-2011** | #9

Цитата Angry Demon:

И с чего бы кто-то там в филиале узнает о пользователях/группах? Или у вас везде у всех администраторские права »

Подскажите пож-та, нет опыта, сейчас на виртуалке попробую, но может зря я в эту сторону думаю: Если филиальному администратору делегировать права на администрирование только конкретной OU, сможет ли он просматривать объекты других OU, имея ввиду оснастку "пользователи и компьютеры", примененные "групповые политики"?

Delirium · Отправлено: **00:55, 16-11-2011** | #10

sinq, просматривать структуру AD сможет любой администратор, но при правильном делегировании на этом его права и закончатся. Ничего криминального в том, что он увидит учетки, нет.