![Фотография](https://vse.kz/uploads/av-447.jpg?_r=0)
Active directory (AD)домены, леса, репликации, групповые политики и др. вопросы
#221
Отправлено 06.08.2008, 13:08:50
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
#222
Отправлено 06.08.2008, 15:26:40
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
как думаешь вообще стоит ли переносить пользователей с помощью этой утилитки миграшин тулс или потом будут глюки.у меня вообще такой вариант поднять сервак 2003 потом реплицировать его со старым потом переставить старый поднять АД а потом заново реплицировать с того сервака.думаю должно прокатить а?
Лучше конечно дополнительный контролер домена поднять, передать ему все роли. Потом старый можно будет понизить, переустановить и провести указанные шаги еще раз.
#223
Отправлено 07.08.2008, 00:19:17
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
Что значит "делать репликацию с нелицензионого на лицензионный"?? Ты добавил еще один DC в имеющийся домен или рядом еще один лес построил?Слушай эго если вот у меня такая беда стоит вин2003 англоязычная с МУИ и стоит нормальная с лицензией рускоязычная.дело в том что когда я ставлю лицензионный сервер и пытаюсь потом сделать репликацию с нелицензионого на лицензионный он мне говорит что лес не подготовлен и версии лесов не совпадают.можно это как нибудь обойти?
#224
Отправлено 12.09.2008, 10:12:15
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
Ws2k3 server Enterprise edition
у юзеров XP pro
Сообщение отредактировал egoist: 12.09.2008, 12:05:58
#225
Отправлено 16.09.2008, 16:49:36
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
Подскажите, каким макаром можно всё это дело прописать/разрешить. Точнее, что именно прописать?
К предыдущему посту - можно запретить в свойствах политик запуск апплета "Установка и удаление программ". А лучше всего просто прописать разрешённые к запуску приложения и всего делов. Юзерам, если на компах стоят как минимум два локальных пользователя, просто понизить права, до гостевых, к примеру, или ещё более ограничить.
Сообщение отредактировал borec_za_istinu: 16.09.2008, 16:52:40
#226
Отправлено 09.04.2009, 14:04:28
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
Хотелось бы услышать пару дельных советов, по тому как ограничить пользователей организации.
Не много о технических возможностях:
Сервер под управлением Win Serv 2003, поднятый на нем домен.
Рабочие станции Win xp Prof
ТАк вот. Начальству очень надо, чтоб пользователь на компе мог открывать только 1С. Т.е не залазить более ни куда, ни создовать\устонавливать сто-либо. Это 1 группа . У 2 группы тоже самое только 3 ярлыка две 1С и папка на сетевой ресурс. Вообщем где бы я не лазил отрубить запись на локальные диски найти не могу.
И еще: Как отменить локальный вход пользователям? Только поуберать учетки а админа поставить под пароль?
Вот такие вот пироги!
Сообщение отредактировал borec_za_istinu: 09.04.2009, 14:24:49
#227
Отправлено 09.04.2009, 14:36:32
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
Локальный вход можно запрертить, к примеру, таким образом - создать перемещаемые профили пользователей с удалением локальной копии профиля по завершении сеанса пользователя. Политики профиля настраиваются в ветках система-профили пользователей политики юзера и машины. Так же можно воспользоваться разрешениями NTFS - выставить запрет на запись, к примеру, на рабочий стол пользователя в его перемещаемом профили. Не забудьте добавить права админской учётке для перемещаемого профиля - есть соответствующий пунт. Если у пользователей много документов и перемещаемые профили неприлично распухают - воспользоваться перемещаемыми папками - на файловый сервер. Так же в политиках безопасности можно запретить локальный вход - там уж сами выберете кому.
Да, админская учётка, по-любому, должна быть запаролена.
ЗЫ: Кстати, нашёл решение к своему предыдущему посту. Нужно добавлять исполняемый файл в разрешённые программы только при непосредственном доступе пользователя к этому файлу. Так как у меня пользователи запускают программы через ярлыки, то и прописывать нужно соответствующие ярлыки на DOS-программы - то есть файлы с раширением .pif. Как только так сделал - тут же всё заработало.
Сообщение отредактировал borec_za_istinu: 09.04.2009, 14:44:04
#228
Отправлено 10.04.2009, 08:33:29
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
Спасибо за "дельный совет" по поводу чтения описания групповых политик. И все таки, да действительно можно пробежать всех и поставить запрет на запись. (Если файловая система NTFS). Но что делать если парк компов свыше 100? Обегать всех?
Просто еще раз уточну вопрос:
Можно ли ограничить пользователей через ГП, если да то где (все просмотрел, но не увидел... может очки надеть...)?
З.Ы: Отдельное спасибо за предупреждения. (очки одеть забыл, ну не увидел...) И второе это за совет по поводу запрета локального входа через ГП, после прочтения сообщения сразу все увидел =)
#229
Отправлено 10.04.2009, 11:09:11
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
![:fie:](http://vse.kz/public/style_emoticons/default/smile.gif)
Локальный вход можно запретить в следующещей политике:
конфиг. компьютера - конфиг. windows - параметры безопасности - назначение прав пользователя - отклонить локальный вход - добавить пользователя или группу.
По-поводу устанавливать и прочее - пропиши в конфиг. компьютера - конфиг. windows - политики ограниченного использования программ пути или хэши разрешённых к запуску файлов, и запрет на запуск всех остальных. Я, правда, на первое время, у себя проще сделал - в конфиг пользователя - адм. шаблоны - система - прописал в "запретить запуск перечисленных программ" *.*, а в выполнять разрешённые приложения прописал те, которые нужны пользователям. Это, конечно, полумера, так как если пользователи прознают, то никто им не помешает переименовать файл в разрешённое имя и запускать его. Но проще и быстрее, чем с хэшем и путями.
Дополнительно можно выставить в конфиг комп - адм. шаблоны - копмпонеты win - установщик win - запретить использование.
Вобщем, можно запретить ВСЁ, но для этого нужно изучить все параметры групповых политик, чего я изначально и советовал.
#230
Отправлено 10.04.2009, 12:28:29
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
Но появилась другая проблема... Записать они на диски ни чего не могут... но вот пользоватся флэшками могут и могут уже от туда делать что хотят! Думал обрубить напрочь USB порта, но не выход у них стоят и принтера и сканеры через это порт. Порыскал в гугле... Нарыл много чего но мало дельного.... Может подскажите как быть?
#231
Отправлено 10.04.2009, 14:50:33
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
Сообщение отредактировал borec_za_istinu: 10.04.2009, 14:52:00
#233
Отправлено 11.04.2009, 11:05:05
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
#234
Отправлено 16.04.2009, 10:30:41
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
Сообщение отредактировал leonsv: 16.04.2009, 10:31:46
#236
Отправлено 20.04.2009, 15:57:48
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
#237
Отправлено 23.04.2009, 16:13:44
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
![:-)](http://vse.kz/public/style_emoticons/default/biggrin.gif)
Вообщем вебсервер уже есть, ДНС настроен на домен domen.local... Если в ДНС вручную настроить запись CNAME на переадресцию с, к примеру, superserver на нужный нам вебсервер, то оно работает! Но если вписывать адрес сайта vkontakte.ru - то он автоматически дописывает суффиксы vkontakte.ru.domen.local - как нибудь можно это обойти? или реализовать по другому?
можно прописать в файл hosts - но это тяжелый путь для большого количества компьютеров
#238
Отправлено 23.04.2009, 16:53:51
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
...если вписывать адрес сайта vkontakte.ru - то он автоматически дописывает суффиксы vkontakte.ru.domen.local - как нибудь можно это обойти? или реализовать по другому?
можно прописать в файл hosts - но это тяжелый путь для большого количества компьютеров
Создай на локальном ДНС-сервере еще один домен "vkontakte.ru" а в нем нужную запись... только это изврат, что мешает на проксе закрыть доступ? ;)
#240
Отправлено 23.04.2009, 17:11:11
![](https://vse.kz/public/style_images/osnovnoi34/post_offline.png)
сейчас попробую создать домен, только если у меня будет домен с именем vkontakte.ru, как создам еще одну запись в нем? только ИМЯ.vkontakte.ru ??? надо делать просто ru? и создавать запись с именем vkontakte? но это что-то страшное )))
Количество пользователей, читающих эту тему: 1
пользователей: 0, неизвестных прохожих: 1, скрытых пользователей: 0