← All posts tagged AD

nixon89
? Windows AD 2012 2008 Проболжаю ебаться по-тихоньку с той задачкой, пару постов назад.
Дак вот. Есть свинсервер 2012, введенный в домен есть контроллер домена винсервер 2008 r2.
Делаю Replica Domain Controller на 2012-м. Установил службы Actrive Diretory в 2012-м. Делаю пункт "Развертывание" из этого мануала — technet.microsoft.com
Застрял на пункте "Установить". Самый последний в моменте когда повышение уровня 2012-го винсервера идет. Нельзя нажать, потому что пользователь, которого я указывал в этих пунктах, "Не находится в группах Администраторы схемы и Администраторы предприятия".
Пошел посмотреть на контроллере, мой пользователь там состоит в этих группах, ну и + в группе Администраторы домена, естественно в ней состою.
Вопрос, почему 2012-ый считает что я в них не состою? Как с этим бороться?
nixon89
AD kerio Одна из дурацких особенностей kerio control (речь идет о 7.х версиях, как с этим в 8.х версия дела обстоят — не щупал еще), это то, что он не может удалять пользователей из статистики, которых уже нет ни в самом керио ни в домене, к которому он присоединен. Т.е. чувака удалили, например, год назад. А в админке со статистикой он все равно показывается, хотя у него и будет расход трафика по нолям.
При вычленении нужных пользователей с расходом трафика на человека, эти "мертвые души" уж больно бросаются в глаза.
nixon89
Windows AD ФСТЭК kerio ИСПДН у меня тут в связи с покупкой нового железа, лицензионного ПО и необходимостью получения аттестата о защите ИСПДН (или как он там называется) квест наметился)) поставит вин сервер 2012 фстэковский, перевести на него домен с вин сервер 2008 r2, убить старый контроллер домена.
рядом поставить вин сервер 2012 фстэковский, налепить на него керио контрол фстековский. и заменить старый керио новым лицензионным и фстэковским версии 7.2.3.
Еще часть квеста состоит в том, что надо эту винду серверную фстэковскую "подтверждать" через агента SafeNet (алладиновским usb-токеном.

PS: лютобешено жду когда kerio аттестует версию 8.3 во ФСТЭКе. Ибо можно будет поставить на виртуалку его без необходимости иметь вин сервер лицензионный. Т.к. kerio отказались от windows версий своей UTM начиная с версии 8.0. Манагер сказал что сейчас они находятся на второй стадии аттестации — непосредственно проверке фСТэком версии 8.3 на соответствие их требованиям. Обещали, что процедура закончится в первом квартале 2015-го. И тогда мне можно будет спокойно перевести керио в virtual appliance.
PS2: хорошо то, что с момента активации той лицензии на керио, которая фстэковская (да и лбоую лицензию керио можно так же сделать), начинает действовать поддержка software maintance, суть которой в том, что при выходе более новой версии, можно без дополнительной платы проапгрейдиться на актуальную версию.
nixon89
? Windows AD RDP cal Вот у меня тут такой вопрос по лицензиям возник:
У меня есть 5 лицензий CAL, допустим. На УСТРОЙСТВО.
1. Если у меня есть 5 компутеров, подключенных в домен, и я добавляю 6-ой, то как они будут себя вести? Кто первый — тот и папа ( тот и сможет зайти в AD)?
2. Если я хочу чтобы люди ходили к отдельному приложению как к remoteapp, то мне нужно активировать terminal services (тоже ведь отдельных денег стоит). На них отдельную лицензию еще отдельно нужно на каждого пользователя в дополнение к тем 5 cal лицензиям на устройства из первого пункта?
3. Если второй пункт такой как я думаю (что для ts этого нужны дополнительные лицензии), то есть ли еще сервисы в windows server которые требуют отдельное лицензирование по пользователям/устройствам?
4. Еще раз про устройства. CAL лицензия на устройство — это на активное устройство лицензия или на присоединенный компьютер в оснастке AD в пункте computers (пусть даже он сто лет назад присоединен и с того времени не включался)?
nixon89
Linux Ubuntu mail AD я как-то это пропустил, но вышел zentyal 3.2 — набор всё-в-одном. Упор на конфигурирование через веб-интерфейс при работе с сервером. zentyal.org <- Брать там. Есть в виде готового iso-образа. Есть вариант установки на ubuntu 12.04 в качестве метапакета.
nixon89
? Windows AD Чуваки, вопрос для подтверждения своей догадки. Есть виндоус7-машина, заведенная в домен и залогиненная доменным юзером и доменным администратором. Потом из этих учеток выйдено. И машына включена. Перенесена в другое место, где нет доступа к сетке домена, пока не залогиниться юзером/админом, и не пока не подключить впн-клиента.
Вопрос такой: у винды же КЭШ пользователей/паролей есть, что если не доступен домен, то она авторизует по данным кэша. Я правильно понимаю?
nixon89
AD ВКонтакте firewall utm kerio Сегодня запилил на работе на Kerio Control интеграцию с AD, его теперь можно использовать как более-менее нормальный UTM. Есть там такой пункт как "Политика HTTP". И можно например чтобы дял определенных пользователей показывался один контент вместо другого. Теперь вместо картинок во вконтактике у юзеров все jpg'и заменяются на гифку с Доктором Зло, который держит мизинец у рта и смеется. ^_^
nixon89
Windows AD Обдуманный выбор структуры АД выдал следующее. Основная единица — отдел организации. Побочная — региональное отделение этого отдела.
nixon89
? Windows AD Что выбрать в организации AD: Грцппировку пользователей по регионам, а потом по подразделениям в регионах. Или наоборот?
Пока в компании есть основной головной офис и маленькие по 2-3 человека (рег. представитель + несколько диспетчеров) региональные отделения. В ближайшее время планируется рост количества сотрудников.
nixon89
Linux Samba AD fs winbind сукаблядьнахуй! winbind синхронизировал записи ad из сервера 2008 в линуксу, самбавская шара поднялась на бубунте, но как только начинаешь редактировать права у шар (чтобы определенные группы.пользователи могли пользовать), то сразу же появляется ошибка "отказано в доступе..." при монтировании в винде
штоделоц?
nixon89
work Windows AD На свежем домене настраивать сетевые принтеры одно удовольствие :)
Не то что было до этого — перепиленный пятьюдесятью админами домен с хер знает какими настройками