Active Directory

[Touareg]

Странно, что нет такой темы, теперь есть.
Есть домен контроллер win 2003 sp2, есть stand alone сервер win 2003 sp2, есть несколько рабочих компьютеров win xp sp2, есть пользователь user, которого при входе в домен надо приконнектить в терминальном режиме к stand alone серверу, ибо рабочие компьютеры маленькие и старенькие, а сервер большой и новенький. То есть фактически надо сделать из рабочих компьютеров полутонких клиентов (самостоятельных до логона и в случае падения сети) вопрос что где крутить и сколько курить при этом. Желательно обойтись штатными средствами и минимумом усилий.

ps географически все компьютеры неподалеку, канект хороший, сеть 100 мегабит.

 

[amk]

Странно, что нет такой темы, теперь есть.
Есть домен контроллер win 2003 sp2, есть stand alone сервер win 2003 sp2, есть несколько рабочих компьютеров win xp sp2, есть пользователь user, которого при входе в домен надо приконнектить в терминальном режиме к stand alone серверу, ибо рабочие компьютеры маленькие и старенькие, а сервер большой и новенький. То есть фактически надо сделать из рабочих компьютеров полутонких клиентов (самостоятельных до логона и в случае падения сети) вопрос что где крутить и сколько курить при этом. Желательно обойтись штатными средствами и минимумом усилий.

ps географически все компьютеры неподалеку, канект хороший, сеть 100 мегабит.

Если на контроллере домена активирован сервер лицензий (для терминалного сервера) и введены лицензии,
то на stand alone сервере достаточно разрешить службу терминального сервера, ( конечно лучше его ещё в домен включить )
а клиентов win xp можно цеплять из командной строки:

>mstsc /v:IP_АДРЕС_СЕРВЕРА

Никто ничего не курит - это всё штатные средства.
PS: Конечно некоторая настройка на клиенте нужна - но её можно сохранить и всё будет OK

PS: Никогда не сохраняйте пароли ! ! !

 

[Touareg]

>mstsc /v:IP_АДРЕС_СЕРВЕРА

То есть в групповой политике надо батник с этой строкой на логон юзеру повесить, я правильно понимаю? Сервер тоже в домен вогнать и автологон на нем юзеру включить чтобы второй раз три кнопки не жать? А выход как прозрачным сделать? Вобщем то вопрос не срочный, интерес скорее академический.

PS: Никогда не сохраняйте пароли ! ! !

Здесь можно, опыты в песочнице с изолированным от остальной сети адресным пространством, внутренняя демилитаризованная зона.

 

[amk]

То есть в групповой политике надо батник с этой строкой на логон юзеру повесить, я правильно понимаю? Сервер тоже в домен вогнать и автологон на нем юзеру включить чтобы второй раз три кнопки не жать? А выход как прозрачным сделать? Вобщем то вопрос не срочный, интерес скорее академический.

Здесь можно, опыты в песочнице с изолированным от остальной сети адресным пространством, внутренняя демилитаризованная зона.

Насчёт autologon надо решать самому - эта местная политика безопасности - можно и за два раза логинится,
а в остальном - попробуйте и всё будет ясно. А три кнопки жать не придётся.
Если сервер терминальный не выключается и работает стабильно - user-у проще делать disconnet.
И ещё иногда имеет смысл нескольких подключений от одного клиента.

Вообщем - пробуйте и у Вас всё получится.

 

[Touareg]

Вообщем - пробуйте и у Вас всё получится.

Благодарю, я подозревал что это просто.

 

[Mike22]

Темы такой нет потому-что всё это очень подробно описано в официальной документации MS.
Помимо официальной документации есть несколько десятков хороших книг по AD.

 

[Touareg]

Темы такой нет потому-что всё это очень подробно описано в официальной документации MS.
Помимо официальной документации есть несколько десятков хороших книг по AD.

Книги толстые, а вопрос конкретный, потеребил гугль - он сказал что это можно сделать, а как не сказал.

Конечно если кто нибудь поделится точной ссылкой на описание решения этого вопроса в официальной документации MS буду очень признателен, искал два часа не нашел.

 

[Touareg]

Разобрался, работает. Нашел отличную статью Полное руководство по терминальным службам Windows Server 2003, даром что на народе.

 

[Touareg]

А вот еще есть вопрос.
Локальная сеть, домен, клиентские машины win xp sp2, сервера win 2003 sp2, один из них файлсервер. Если залогиниться на клиентской машине локально, при попытке доступа к файлопомойке попросит ввести домен\логин и пароль, потом пустит, как сделать чтобы не пускало? То есть чтобы пускало прозрачно только в случае логона со входом в домен.

 

[Touareg]

Или даже спрошу по другому, как сделать так, чтобы при физически работоспособном сетевом соединении при локальном логоне все сетевые ресурсы были недоступны, а при доменном логоне доступны?

 

[Mike22]

Тема AD - сложная.
Не станет тут никто хитростями делиться.
В крупных городах, не так давно, AD-специалист мог легко получить оклад 1.5-3 тыс.$.
Сейчас ситуация изменилась, сейчас идёт массовый отказ от технологий MS.
Часто специалист даже не рассматриает другие варианты т.к. просто не знает о них и не интересуется ими.
Вы просто для себя тех.задание напишите, и потом подумайте, нужно-ли вам попупать лицензию от MS на этот объём, или можно будет другими вариантами обойтись.

В большинстве случаев применение AD обусловлено не тем что выбора нет, а низкой квалификацией.

AD - это в каких-то случаях, очень даже хорошо, и оправдано, но приминять эту систему повсеместно - глупо. (Особенно, если вы свои собственные деньги на это тратите).

 

[zzz]

Или даже спрошу по другому, как сделать так, чтобы при физически работоспособном сетевом соединении при локальном логоне все сетевые ресурсы были недоступны, а при доменном логоне доступны?

если _все_ ресурсы недоступны, то как тогда аутентифицироваться в домене?
если на помойке пермишены только для доменных узеров стоят, то вроде как всех остальных отвинчивать должно...

 

[Touareg]

если _все_ ресурсы недоступны, то как тогда аутентифицироваться в домене?
если на помойке пермишены только для доменных узеров стоят, то вроде как всех остальных отвинчивать должно...

Вобщем то да, логично.
Сформулирую по-другому, как в зародыше подавить возможность возникновения ситуации, когда продвинутый юзер делает формат цэ, самостоятельно ставит какую нибудь кривую сборку а-ля зверь и находясь в воркгруппе (соответственно игнорируя деййствие доменных групповых политик) продолжает пользоваться всеми сетевыми ресурсами, при необходимости локально логинясь своей доменной учетной записью.

Тема AD - сложная.
Не станет тут никто хитростями делиться.

Ну почему же, кому надо спрашивайте, если знаю поделюсь.

А по поводу политических вопросов, уместно ли использовать AD или лучше наслаждаться полноценной сексуальной жизнью с самбой - лично я конечно за полноценную и бесплатную сексуальную жизнь, но есть такие словосочетания как "исторические причины" и "корпоративный стандарт".

 

[zzz]

если _все_ ресурсы недоступны, то как тогда аутентифицироваться в домене?
если на помойке пермишены только для доменных узеров стоят, то вроде как всех остальных отвинчивать должно...

ааа, понял.
наверное, только запретить локальные эккаунты как класс.

 

[Mike22]

... Ну почему же, кому надо спрашивайте, если знаю поделюсь.

Да не нужно это совершенно никому, кто "в теме".
Я уже говорил про доступность официальной документации и десятков книг по AD.

Это промышленное решение, совет по этой теме стоит денег. У нас в городе я лично знаю пару человек, которые решат все ваши вопросы по AD за 5 минут.
Но это не будет бесплатным.

 

[Touareg]

Да не нужно это совершенно никому, кто "в теме".
Я уже говорил про доступность официальной документации и десятков книг по AD.

Это промышленное решение, совет по этой теме стоит денег. У нас в городе я лично знаю пару человек, которые решат все ваши вопросы по AD за 5 минут.
Но это не будет бесплатным.

Mike22, да в принципе я и сам большинство своих вопросов по AD решаю за 5 минут, спрашиваю Яндекс, он отправляет меня на микрософт, интуит, озон или на ветки форумов типа ру-борды или сисадминс, проверяю на тестовом стенде, обычно все работает. И никто денег не просит что характерно. Вобщем то я и не спрашиваю конкретный рецепт со скриншотами, а только направление для самостоятельного поиска. Например данный вопрос завел меня в тупик, я просто не знаю что спрашивать у Яндекса.

ааа, понял.
наверное, только запретить локальные эккаунты как класс.

Благодарю)

 

[Mike22]

Вот, разрешите позудеть -

Вопрос к администраторам сетей которые "супер-технологии" применяют (например AD) - у вас, вообще, есть понимание, что такое ААА ?

Вы осознаёте и понимаете чем отличаются процессы и смысл аутентификации, авторизации и аккаунтинга ???
Это ж три совершенно разных задачи, которые бывает очень сложно увязать (из-за специфики конкретных условий, собственно в этом и есть сложность настройки таких систем).
Но ведь понимания, что такое AAA нет у 95% наших "супер-пупер" IT-специалистов.

Это настолько грустно, но это реальность.

 

[Touareg]

Вот, разрешите позудеть -

Вопрос к администраторам сетей которые "супер-технологии" применяют (например AD) - у вас, вообще, есть понимание, что такое ААА ?

Вы осознаёте и понимаете чем отличаются процессы и смысл аутентификации, авторизации и аккаунтинга ???
Это ж три совершенно разных задачи, которые бывает очень сложно увязать (из-за специфики конкретных условий, собственно в этом и есть сложность настройки таких систем).
Но ведь понимания, что такое AAA нет у 95% наших "супер-пупер" IT-специалистов.

Это настолько грустно, но это реальность.

Реалии наших палестин в том, что "супер-технологии" у нас обычно идут по цене дивиди болванки, на которую они записаны (хотя в принципе цены на академические лицензии вполне божеские надо заметить), содержать "супер-пупер" IT-специалистов на штатной основе большинству контор просто не по карману, а пользоваться услугами сторонних гуру в таких интимных вопросах религия не позволяет.

А про ААА покурю, спасибо)

 

[Mike22]

Реалии наших палестин в том, что "супер-технологии" у нас обычно идут по цене дивиди болванки, на которую они записаны (хотя в принципе цены на академические лицензии вполне божеские надо заметить), содержать "супер-пупер" IT-специалистов на штатной основе большинству контор просто не по карману, а пользоваться услугами сторонних гуру в таких интимных вопросах религия не позволяет.

А про ААА покурю, спасибо)

Курите в сторону открытых систем.
Кроме AD сейчас есть две очень активно развивающихся полновеснных AAA-систем.
google - в помощь

 

[Touareg]

Курите в сторону открытых систем.
Кроме AD сейчас есть две очень активно развивающихся полновеснных AAA-систем.
google - в помощь

Клиентскую часть массово сдвинуть с венды в обозримом будущем почти невозможно, а на серверной стороне работы в этом направлении ведутся.