← All posts tagged AD

k1lg0reTr0ut
Windows AD restore hyper-v стоит hyper-v. на нем в качестве контроллер домена крутится виртуалка.
внезапно, нужно провести восстанволение виртуалки и для этого запустить ее в DSRM mode.
соответственно, туда нужно логиниться имя_хоста\administrator.
а хуй, потому что hyper-v использует RDP для коннекта к виртуалке! и этот юзер не в списке пользователей, которые могут логиниться по RDP.
вот эта фича hyper-v, я ее не сильно видимо понимаю? как и где можно разрешить заходить на виртуалку кому угодно без логина на саму виртуалку?
k1lg0reTr0ut
Windows Microsoft AD вопрос на засыпку.
есть в одном филиале RODC. на нем кешируются только учетки обычных работников филиала. ни одного доменного админа не кешируется. ни одной учетки, которая имеет права ментейнить сервак тоже не кешируется.
теперь предположим, что человек, который ментейнит RODC(состоит в группе которая определена в Managed By вкладке у учетки RODC) случайно... выключил сетевой интерфейс.
сети нет, никто на RODC зайти не может. так как сети нет, и нельзя аутентифицировать пользователя.
Есть допустим ILO на железке. но зайти нельзя.
что в таких случаях можно сделать? Safe Mode?
k1lg0reTr0ut
Microsoft AD GPO такое дело.
есть политика, которая применяется только к компу. Во всяком случае, я не нашел, как применить к юзеру File Type Assotiation в политиках для Windows 8.
Вот, политика применяется к компу, а нужно применить к нескольким пользователям.
при этом, компы абсолютно всех лежат в одной OU, и рассортировать их по отделам нельзя.
то есть, если применять политику, то она разойдется по всем компам. а вот как ограничить политику и проверить, заходит ли туда именно определенный юзер входящий в определенную группу.
WMI тут врят ли помогут.
есть ли истории успеха?
k1lg0reTr0ut
Windows Microsoft AD В дампе есть такой вопрос.
QUESTION 68
Your network contains an Active Directory domain named contoso.com. The domain contains a domain controller named DC1 that runs Windows Server 2012 R2.
You create an Active Directory snapshot of DC1 each day.
You need to view the contents of an Active Directory snapshot from two days ago.
What should you do first?

A. Run the dsamain.exe command.
B. Stop the Active Directory Domain Services (AD DS) service.
C. Run the ntdsutil.exe command.
D. Start the Volume Shadow Copy Service (VSS).
________________
Правильно ли я понимаю, что
1. вначале снепшот монтируется через ntdsutil snapshot mount {GUID}
2. запускается dsamain c базой на примонтированном в п.1 разделе и своим выделенным портом.
3. через ADUC нужно заходить на контроллер:порт из п.2 и уже можно видеть старую версию AD.

Т.е. правильный ответ С. то есть нужно вначале примонтировать и сделать это можно только через ntdsutil.
k1lg0reTr0ut
Windows Microsoft AD подскажите такое.
есть несколько сайтов. они привязаны к подсетям.
но! я нашел сети, которые не привязаны к сайту, и из этих сетей пользователь получает ip.
к какому сайту тогда будет принадлежать юзер? есть ли какой-то дефолтный сайт? и как его посмотреть?
а если к конкретному сайту привязана политика и она должна выполняться на клиенте, а он из сети, которая не привяза к сайту, как эта политика выполнится?
k1lg0reTr0ut
Windows Microsoft AD а я веть правильно понимаю, что параметр GPO: Turn off background refresh of Group Policy, который находится по пути "Computer Configuration/Administrative Templates/System/Group Policy", который запрещает обновлять именно эту данную политику(на другие объекты GPO оно не влияет), пока юзер не разлогинится?
и второй вопрос, Preferense это же немного другое. и на Preference в силу их своиств этот параметр не влияет?
k1lg0reTr0ut
Windows Microsoft AD вопрос. создаем в корне домена container(не OU), в нем еще несколько контейнеров, и лишь в них различные OU. причем эти OU могут иметь в разных контейнерах одинаковые названия.
если к этим OU прикрепить политики — будет ли все работать? по логике должно работать.
а в реальности?
k1lg0reTr0ut
Windows Microsoft AD тут почти нет истинных гуру виндоводов, поэтому вопрос задаю на всякие случай, вдруг сокровенное знание находится где-то рядом.
очень хочется разобраться во всех отношениях между объектами, классами на уровне схемы.
вот есть пермишн у GPO, называется read gPCMachineExtentionName.
что он означает? где это прочитать? ну и можно некую общую информацию, если такую можно насобирать по этому делу.
прошу шквального рекомендомета.
k1lg0reTr0ut
Windows Microsoft AD когда-то было модно держать пустой корневой домен, и уже от него начинать рабочие домены, в которых создаются пользователи, девайсы и группы. типа там хорошо держать схему-мастера и мастера имен(лень писать по английски, а по русски не знаю как он правильно зовется).
вобщем, как обстоят дела с этим сейчас? следует ли держать пустой корневой домен?
веть с виртуализацией ничего не стоит пустить 2 виртуалки на его содержания.
какие есть за и против?
как сейчас с этим обстоит дело?
k1lg0reTr0ut
Microsoft AD разумно ли выделать допустим два филиала в один сайт? просто в одном филиале вообще никаких серваков, и не хочется туда внедрять контроллер.
один сайт на ЦО и другой сайт на два его филиала. впринципе проблема репликации этим решается. а других поводов организовывать отдельный сайт для 20 компов я не вижу.
есть мнения?
традиционный рекомент был бы кстати
k1lg0reTr0ut
Windows AD GPO ситуация. софт ассигнится на компьютер.
политика с накатываемым софтом направлена на OU, где находится компьютер.
но. софт нужно накатывать только тогда, когда за компом находится определенный пользователь.
ессно, фильтровать по пользователям не получается, потому что политика направлена на компы.
что делать? создавать wmi фильтр, который будет смотреть, есть ли на данном компе учетка пользователя и тогда устанавливать?
k1lg0reTr0ut
Windows Microsoft AD большая вероятность, что вопрос тухлый и никто не ответит.
есть 2 контроллера домена. один основной, на нем все роли, другой резервный.
на обоих стоят днсы.
при ping domain.loc пингуется один из них, если этот их них идут в ребут, то должен автоматом пинговаться второй из них?
либо я не понимаю принципа резервного контроллера, либо что то делаю не так, но как сделать так, что бы резерный контроллер заменял основной без проблем. пока что проблемы, и постоянные проблемы.
k1lg0reTr0ut
Windows AD был котроллер домена один. на нем перестали работать политики. поднял второй, с ним все нормально, без него — лажа. хочу второй сделать праймери. как это сделать?
k1lg0reTr0ut
Windows AD а должно ли по \\имя_домена заходить на контроллер домена и заходить в папку sysvol? у меня не заходит. есть подозрение что должно заходить.
а вот в такую \\имя_контроллера.имя_домена заходит
это так и должно быть? у меня политики не все отрабатывают
k1lg0reTr0ut
Windows AD нахуя, нахуя в политиках этого ебаного АДА есть параметр обновить, если он не всегда и не на всем работает? где блять логика? во всяком случае обновление сетевых дисков не работает. просто пидарство какое то. просто нелогично нихуя.
k1lg0reTr0ut
Windows Microsoft AD хуйня когда я создаю правило в AD для выполнения чего-то там, ну типа назначенное задание. это заябись. это крута. винда рулит. уааааааааууу скажу я, но потом повод нахмуриться. эти правила в AD создаются на локальных копах в виде локальных плавил в назначенных заданиях.
Внимание! Ситуация такова: когда вдруг(по прихоти) удалю данное конкретное правило в AD, локальное правило на локальном компе остается. ну и постепенно там компится локальный пиздец из старых локальных правил, которые локально пытаются выполняться. а виду я к тому. локальные правила эти можно удалить, если правило в АДУ не удалить сразу, а поставить ему статус УДАЛИТЬ(а не обновить, создать и прочее). тогда они удаляются.
Это у меня не правильно, не по виндовому происходит? или должно быть так, что когда я просто тупо удаляю правила из АДА они автоматически должны удаляться и из локальных тасков(Windows\Tasks)?
Или это так и должно быть, и я должне ритуально махнув хвостом, изменить статус правила сначала на удалить, а котом, когда оно выполнится на всех компах — удалить само правило? имх это неудобно. но сейчас это у меня так и происходит.
и еще один момент: там есть галочка, говорящая мне, что типа я могу ее поставить и типа когда правило больше не будет выполняться — он удалится. ниразу не удалялось. вот хотелось бы знающих майкрософтных людей(гуру, задротов и прочих) спросить, как вообще реализуются эти правила? в аде хранится ли информация, на скольких компах применилось это правило?, когда это правило удалится на компах, на которых отмечено, что политика на них отпработала, и соответственно удалится само правило в АДЕ?
хотелось бы узнать ответ. во всяких мануалах по АДУ, только адово бесполезная информация ни о чем, то есть о том, что можно потыкать на кнопочки и самому узнать.
k1lg0reTr0ut
Windows AD появилась надобность, что бы информация о пользователях(телефоны, адреса и прочее) редактировались, сисадмино(то есть я) решил отмазаться от этих дел, и поручить это блондинке. но как то ссыкотно давать ей консоль — компьютер и пользователи на контроллере. хотелось бы ограничить ее только редактированием учеток, что бы она не могла их создавать, удалять, только редактировать, и не имела никакого доступа ко вкладке с паролями и т д. дайте совет, полюбому есть решение
k1lg0reTr0ut
Windows Microsoft AD ненавижу блядские разработки этого магкоговна. все не через жопу, все просто хуй знает как. криворучки ебаные. объясню почему.
Можно в домене раздать политикой разрешения на директории(папочки на языке пидоромягких). можно. заходишь в политику, выбираешь создать, и тут происходит такая хуета. оказывается всплывает окошечко, где ты можешь выбрать, на какую папочку ебучую можно наложить права. угадайте где? прааавильно на контроллере домена. то есть я обязан повторять на контроллере то же файловое дерево, что и на рабочих тачках? обязан зайти в папку Program Files и создать папочку фотошоп? нахуя мне на контроллере домена папочка фотошоп? что за блять дибилизм? что за блять дибилизм? что за блять дибилизм? ладно, похуй, создам папочку фотошоп(на самом деле другая, то тоже существование которой на контроллере так же важно как и лошадинные яица на питухе. петь будет, но выглядит нелепо), раздаю права какие нужно. и опа! замечается что контроллер 32 битный, а на клиентской машине с 64битной виндой, эта хуйня(папочка) находится где? в папочке Program Filex(x86). теперь я должен обязательно создавать на контроллере домена папочку Program Files(x86)? но это еще не все. есть еще много красочных слов об этой залупе, но что то заебался писать много букв. продолжение следует.