Настройка active directory windows server 2003




Сайт для системных администраторов и пользователей ПК

Установка Active Directory на Windows Server 2003

Active Directory является LDAP-совместимой реализацией службы каталогов для ОС семесйств Windows NT. Используется администраторами для управления групповых политик в сети компании, например. Облегчает совместное управление компьютерами через GPO. Дает возможность устанавливать ПО на всех компьютерах, подключенных к данному домену,управлять пользователями(менять пароли, права, настройки всех компьютеров в сети и т.д.), запускать скрипты и многое другое, о некоторых скриптах в разделе #171;скрипты Win #171;.

Итак, установка Active Directory (контролер домена)

#171;Пуск#187; #8212; #171;Выполнить#187; #8212; команду #171;dcpromo#187; и поехали

Далее следуем подсказкам мастера установки

Выбираем первый пункт, так как это главный домен #171;леса#187;

Вы можете дать любое имя для вашего сервера

Так как установка DNS #8212; это следующая статья, то пока этот шаг пропустим

пароль для восстановления AD

Процесс установки как правило затягивается на несколько минут, в зависимости от параметров сервера

Мастер требует перезагрузки для применения новых настроек системы

После перезагрузки служба каталогов Active Directory установлена. так же рекомендуем посетить страницу, где вы найдете сборник книг по Active Directory. очень интересно и занимательно.


Установил MS Windows Server 2003 Standart Edition (не Update с MS Windows Server 2000) домен, Active Directory, всё ок создаём Acive directory USER (после кавыряния в Default Domain Security Politics of Active Directory, юзер логинится тоже ок, инаконец
у юзера после логина в свой ACOUNT появляется Virtual Disk Drives Z:
а когда юзер пробует создать в своём диске Z: директорию или запиcать фаил система выдаёт
ERROR
. говорит нет прав доступа,

короче чего не пробовали, никак.

при создании юзера и его директории обитания, например при создания для него Virtual Disk Drives Z: по адресу:

//VAD1/home/%username% где VAD1 является NetBios name контоллера домена

системма выдавала сообшение что мол всё принято для юзера но саму директорию создать не может,и мол должны мы его создать в ручную.
так как у меня оказывается нет прав на создание директорий в //VAD1/home несмотря на то что логинились мы как администратор на AD Controller Server (Active DirectoryController-ов у нас 2
n1 -- под Windows Server 2003 Standart edition. VaAD1
n2 -- под Windows Server 2003 enterprise. VAD1

и пытались создать директорию ( //VAD1/home/%username% ) для юзера на диске контроллера n2 ). заходим разумеется как администратор.
права доступа пытались менять даже самой директорие //VAD1/home в Security директории разрешив админу Active direcrory Controller - n1. Allow Full Control над директорией, но ничего не вышло.


замечу что если сделать апдейт Active Directory стоявшей на MS Windows Server 2000 таких проблем нет так как права доступа в таком случае наследствуются от MS Windows 2000. одним словом а 2003-ей версии дядя Билл постарался.

Помогите ребяпа если есть наработанный рецепт для выставления прав на Windows Server 2003 для вышеуказанных целей, чтобы дыру не создать в системме и админу с юзером дать возможность работать.

извени конечно но это и мы поняли сразу. но поменять ничего не смогли.


Напомню что в Secourity of Windows Server 2003 действует право Greater

значит. если гдето права строже а гдето слабей то действовать будет строгий

и если гдето в Secourity Policy это запрешено пока не разрешим ничего не получится!
поэтому и попросил

наработанный рецепт для выставления прав на Windows Server 2003 для вышеуказанных целей,

грубо говоря где именно снять галочки и где кого прописать.

n1 -- под Windows Server 2003 Standart edition. VaAD1
n2 -- под Windows Server 2003 enterprise. VAD1


n1 - это имя или просто ты так номер один написал?

замечу что если зделать упдате Active Directory стоявшей на MS Windows Server 2000 таких проблем нет так как права доступа в таком случае наследствуются от MS Windows 2000. одним словом а 2003-ей версии дядя Билл постарался.


Ерунда. Ты апдейтил какой 2000 - тот который ДО тебя настроили?

Пробуй прописать слэши правильно, напиши, как у тебя контроллеры называются и в каких они отношениях: контроллеры одного домена или это дерево - там покумекаем ещё.

----------
Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу
Войны никого не могут сделать великим(с)магистр Йода
Аватар(c)MindDiver

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору marcucio
Давай я лучше тут скриптик выложу.
Написан он ещё прежним админом - всё руки не доходят до ума довести.
Запускается так: user_add username фамилия имя отчество

net user %1 654321 /ADD /ACTIVE:YES /FULLNAME: %2 %3 %4 /PROFILEPATH: #92;#92;AD_controller#92;profiles#92;%1 /SCRIPTPATH: startup.cmd
net group regular_user %1 /add


Добавляем пользователя username с паролем 654321, профилем, располагающемся на сервере AD_controller в папке profiles#92;%username%, стартовым скриптом starup.cmd (пользую для чтобы мапить сетевые диски), дополнительно закидываем пользователя в группу regular_user - для некоторых внутренних нужд пользую.

d:
cd #92;profiles
mkdir %1

xcacls %1 /R everyone /E
xcacls %1 /g %1:c /t /e


Переходим на диск D: (именно там у меня хранятся все профили, документы и программы), в папку profiles, там создаём папку с именем пользователя. Прописываем права с помощью утилиты xcacls (входит в состав Win2k3, в Win2k качаем Resource Kit - раздаётся совершенно бесплатно на сайте Microsoft).
Это всё

----------
Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу
Войны никого не могут сделать великим(с)магистр Йода
Аватар(c)MindDiver

Установка и внедрение Active Directory в Windows Server 2003

Установить Active Directory непросто — вам понадобится настроить не только компьютер, выступающий в качестве контроллера домена, но и все компьютеры в локальной сети, которые будут входить в новый домен. Контроллер домена должен работать под управлением Windows Server 2003 и выше; для его настройки используется специальный мастер.
Перед внедрением Active Directory следует разработать структуру будущего домена таким образом, чтобы его обслуживание было эффективным и практически не требующим участия системных администраторов. Несмотря на то, что установка Active Directory занимает много времени, для ее настройки и оптимизации потребуются определенные силы. Учетные записи пользователей, группы, групповые политики, шаблоны, сайты, репликация данных — это лишь малая часть работы, которую придется провести для настройки домена.
Чтобы настроить сервер для работы в качестве контроллера домена, выполните команду Пуск - Администрирование - Управление данным сервером


В открывшемся окне выберите Добавить или удалить роль. Откроется окно Мастер настройки сервера.

В окне Мастер настройки сервера выберите команду Контроллер домена (Active Directory) и щелкните на кнопке Далее. после чего будет запущена программа Мастер установки Active Directory. Щелкните на кнопке Далее. В следующем окне мастера вы увидите предупреждение о том, что компьютеры под управлением старых версий Windows и Windows NT не смогут быть зарегистрированы в домене с контроллерами домена Windows Server 2003 и выше, и соответственно, и не получат доступа к ресурсам домена. Щелкните на кнопке Далее.

В новом окне следует выбрать чип контроллера домена. Доступны два варианта: контроллер домена в новом домене или добавочный контроллер и уже существующем. Поскольку домена Active Directory еще не существует, оставьте без изменений переключатель Контроллер домена в новом домене и щелкните на кнопке Далее. В очередном окне выберите тип домена. Для каждого из трех типов предоставлено подробное описание его использования. В данном случае следует выбрать вариант Новый домен в новом лесу.

В следующем окне введите полное DNS-имя для нового домена, например active.server.com. Щелкните на кнопке Далее. Введите в новом окне имя домена (в формате NetBIOS), которое будет использоваться клиентами старых версий Windows. В следующем окне требуется указать локальную папку Windows для файлов базы данных Active Directory, а также папку расположения системного журнала домена. Но умолчанию для базы данных и журнала используется одна и та же папка. Щелкните на кнопке Далее.

В следующем окне укажите расположение папки SYSVOL, содержащей серверную копию общих файлов домена. Содержимое этой папки будет обновляться методом репликации на всех контроллерах домена.

В новом окне следует выбрать гид разрешения для доступа к объектам Active Directory. Будут доступны два переключателя — выбрать необходимое, после щелкните на кнопке Далее. В последнем окне мастера будет отображена общая информация о выбранных параметрах. Щелкните на кнопке ОК. после чего сервер станет полноценным контроллером домена Active Directory.

Источники: http://admin-vestnik.ru/windows-server-2003/ustanovka-active-directory-na-windows-server-2003.html, http://forum.ru-board.com/topic.cgi?forum=8topic=10181, http://all4os.ru/winserv3/619-ustanovka-i-vnedrenie-active-directory-v-windows-server-2003.html




Комментариев пока нет!

Поделитесь своим мнением