По настройке контроллера домена (DC) под Win2003
Модератор: Модераторы
Сообщений: 3
• Страница 1 из 1
__Anton__ » 12 янв 2005, 19:52
Здравствуйте.
В сети стоит сервер под управлением Windows Server 2003. На нём контроллер домена...
На нём, вроде, всё достаточно нормально настроено, кроме одной проблемы...
У нас пользователи при входе в винды входит не в ДОМЕН, а на свой комп ("имя_компа (этот компьютер)")... т.е. получается , что в систему он входит как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА (и пароль).
ПРОБЛЕМА В ТОМ, что когда пользователи пытается заходить на компы других пользователей домена, то им надо вводить снова свой логин и пароль, только в виде ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА (и пароль)... По сути, вводится тоже самое имя, под которым юзер зашёл в домен и на комп, но зашёл он как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА а к др. пользователям домена входит как ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА .
Зато на сервак пользователи домена заходят нормально, без пароля...
Вопрос: как это убрать? Надо сделать, чтобы между пользователями домена не надо было вводить логин и пароль.... Раз юзер зашёл под именем, которое прописано в Active Directory, пусть между членами домена нормально и ходит тогда.
Те пользователи, кто не в домене (сидят ещё в раб. группе или просто кто-то левый в сеть законнектился), не могут заходить не на сервер, не на ПОЛЬЗОВАТЕЛЕЙ ДОМЕНА (И НЕ НАДО, ЧТОБЫ ЗАХОДИЛИ - для этого домен и нужен был изначально)...
Напишите, пожалуйста, что надо и как настроить в политиках безопасности или ещё где... Реально, как только не пробовал настраивать - и по шаблонам безопасности и по смыслу - не получается и всё тут...
Или может у кого-нибудь есть возможность прислать свои настройки политик в ini-файлах (чтобы их можно было как шаблоны безовасности через консоль открыть и сверить настройки по ним)?... Если можете, пришлите для домена и для контроллера домена нормально работающие ini-файлы на мыло - xplace@mail.ru
DNS и WINS , вроде, настроены нормально (настроено, в частности, и по инфе, которая на этом же форуме была написана)...
Однако, есть 1 проблема... на сервере работает IIS и там лежит внутренний сайт сети... То, что "не члены домена" на него зайти не могут - это хорошо, НО почему-то пользователи домена могут на сайт заходить только как http://имя_компа , а если заходить под http://имя_компа.домен.loc , то спрашивает пароль (так же, можно ввести ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА и пароль - ЗАХОДИТ, как и на компы юзеров
)...
Помогите исправить эти 2 неполадки... хотя бы первую (хотя, их суть похожа)... Вариант, заходить при входе в винды в "ИМЯ_ДОМЕНА" а не в "ИМЯ_КОМПА (этот компьютер)" - НЕ ПОДХОДИТ.
Заранее благодарен...
С уважением, Антон.
В сети стоит сервер под управлением Windows Server 2003. На нём контроллер домена...
На нём, вроде, всё достаточно нормально настроено, кроме одной проблемы...
У нас пользователи при входе в винды входит не в ДОМЕН, а на свой комп ("имя_компа (этот компьютер)")... т.е. получается , что в систему он входит как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА (и пароль).
ПРОБЛЕМА В ТОМ, что когда пользователи пытается заходить на компы других пользователей домена, то им надо вводить снова свой логин и пароль, только в виде ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА (и пароль)... По сути, вводится тоже самое имя, под которым юзер зашёл в домен и на комп, но зашёл он как ИМЯ_КОМПА\ИМЯ_ЮЗЕРА а к др. пользователям домена входит как ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА .
Зато на сервак пользователи домена заходят нормально, без пароля...
Вопрос: как это убрать? Надо сделать, чтобы между пользователями домена не надо было вводить логин и пароль.... Раз юзер зашёл под именем, которое прописано в Active Directory, пусть между членами домена нормально и ходит тогда.
Те пользователи, кто не в домене (сидят ещё в раб. группе или просто кто-то левый в сеть законнектился), не могут заходить не на сервер, не на ПОЛЬЗОВАТЕЛЕЙ ДОМЕНА (И НЕ НАДО, ЧТОБЫ ЗАХОДИЛИ - для этого домен и нужен был изначально)...
Напишите, пожалуйста, что надо и как настроить в политиках безопасности или ещё где... Реально, как только не пробовал настраивать - и по шаблонам безопасности и по смыслу - не получается и всё тут...
Или может у кого-нибудь есть возможность прислать свои настройки политик в ini-файлах (чтобы их можно было как шаблоны безовасности через консоль открыть и сверить настройки по ним)?... Если можете, пришлите для домена и для контроллера домена нормально работающие ini-файлы на мыло - xplace@mail.ru
DNS и WINS , вроде, настроены нормально (настроено, в частности, и по инфе, которая на этом же форуме была написана)...
Однако, есть 1 проблема... на сервере работает IIS и там лежит внутренний сайт сети... То, что "не члены домена" на него зайти не могут - это хорошо, НО почему-то пользователи домена могут на сайт заходить только как http://имя_компа , а если заходить под http://имя_компа.домен.loc , то спрашивает пароль (так же, можно ввести ИМЯ_ЮЗЕРА@ИМЯ_ДОМЕНА и пароль - ЗАХОДИТ, как и на компы юзеров
)...
Помогите исправить эти 2 неполадки... хотя бы первую (хотя, их суть похожа)... Вариант, заходить при входе в винды в "ИМЯ_ДОМЕНА" а не в "ИМЯ_КОМПА (этот компьютер)" - НЕ ПОДХОДИТ.
Заранее благодарен...
С уважением, Антон.
Harry33 » 13 янв 2005, 10:54
__Anton__
Для начала изучи вот эти разделы сайта
http://www.networkdoc.ru/insop/activ-dir.html
http://www.networkdoc.ru/insop/win2000.html
И все что связано с работой АД
1. Машины входят в состав домена?
2. Если машины входят в состав домена и у пользователей есть учетные записи в домене, почему они логинятся под локальными учетками ?
Для начала изучи вот эти разделы сайта
http://www.networkdoc.ru/insop/activ-dir.html
http://www.networkdoc.ru/insop/win2000.html
И все что связано с работой АД
1. Машины входят в состав домена?
2. Если машины входят в состав домена и у пользователей есть учетные записи в домене, почему они логинятся под локальными учетками ?
| Цитата | ||||||
| Помогите исправить эти 2 неполадки... хотя бы первую (хотя, их суть похожа)... Вариант, заходить при входе в винды в "ИМЯ_ДОМЕНА" а не в "ИМЯ_КОМПА (этот компьютер)" - НЕ ПОДХОДИТ.
[/quote] Расскажи пожалуйста зачем тебе домен и как ты себе представляеш принципы авторизации в домене? И для чего вообще требуется AD? Знания, которые нельзя применить - бесполезны
|
