[xoxmodav]

1. Хватает простого создания учётной записи если ты не планируешь использовать групповые политики и все остальные преимущества доменной системы. Без введения компьютеров пользователей в домен у тебя, как администратора, возникнет гора проблем.

2. В группу локальных администраторов.

3. Вопрос не допонял - выложи логи "ipconfig /all" с сервера и клиента.

4. Проверь "Журнал событий" на предмет ошибок и предупреждений, а также настройки файервола (если он на контроллере включен). Компьютер, с которого ты это делаешь в домен введён?

5. Через групповую политику - "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" - "Локальные политики" - "Назначение прав пользователя" - "Разрешать вход в систему через службу терминалов".
Или же добавляй себя через "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" - "Группы с ограниченным доступом"

P.S. А вообще, прочитав правила раздела форума и воспользовавшись советами оттуда, ты мог найти ряд уже имеющихся ответов на форуме.

[monkkey]

Цитата:

При заходе на сервер вида \\firma.lan\общая_папка

А DFS у Вас сделан?
В папке "сетевые подключения" - Дополнительно - дополнительные параметры - внутренняя сетевая карта должна стоять вверху.
И не зря МС не рекомендует устанавливать DC на машины, выставленные в Инет, также проблема multihomed (более одной сетевой карты) DC с DNS и master browser

Прошу простить меня за невнимательность повлёкшую за собой возможные нарушения правил раздела. Моя неопытность и малая осведомлённость в данном вопросе сыграла против меня в поиске нужной информации. Впредь постараюсь быть внимательнее!
Если позволите продолжить эту ветку - буду весьма балгодарен!

1. Для групповых политик полагается добавлять компьютеры пользователей в раздел computers?



По 3-му вопросу еще раз на пальцах :
На сервере установлены 2 сетевые карты. Одна смотрит в Интернет, допустим 200.200.200.1, а другая в локальную сеть, допустим 10.0.0.1

На компьютере введеным в домен, у которого прописан ДНС 10.0.0.1 при пинге firma.lan то резолвится адрес 200.200.200.1 и тайм-аут от него (это нормально), то при следующем пинге резолвится 10.0.0.1 и ответы от него.
Так вот для корректной работы, как я могу судить, необходимо что бы при обращении к firma.lan резолвился ТОЛЬКО адрес 10.0.0.1 и он всегда отвечал. А получается чередование ответов.
Вот конфиг клиента:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : design
Основной DNS-суффикс . . . . . . : firma.lan
Тип узла. . . . . . . . . . . . . : смешанный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : firma.lan

Подключение по локальной сети 3 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DFE-530TX PCI Fast Ethernet A
dapter (rev.C)
Физический адрес. . . . . . . . . : 00-0F-3D-CC-75-54
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.3.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.0.3.1
DNS-серверы . . . . . . . . . . . : 10.0.0.1

Конфиг сервера:

Имя компьютера . . . . . . . . . : file-server
Основной DNS-суффикс . . . . . . : firma.lan
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : firma.lan

Real ip address - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Физический адрес. . . . . . . . . : 00-17-31-1B-2B-1F
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 200.200.200.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 200.200.200.1
DNS-серверы . . . . . . . . . . . : 10.0.0.4

Local Network Connecton - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
Физический адрес. . . . . . . . . : 00-17-31-1B-2B-1E
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.0.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 10.0.0.1

Что такое DFS? (приходит на ум только распределенная файловая система, но думаю она тут не причем и моё суждение не верно )
В дополнительных параметрах внутренняя сетевая карта стоит вверху.


4. Фаерволл не включен. Компьютер в домен введен.

5. Сделал так - зашел в политику безопасности домена, далее все как Вы указали. Все равно не пускает, пока вручную не добавишь пользователя в группу локальных администраторов

Примного благодарен за поддержку!

[monkkey]

Почему у клиента шлюзом 10.0.3.1?

Цитата:

входить через удалённый рабочий стол под учетками пользователей

Пользователи должны быть в группе Remote Desktop Users

Цитата:

\\firma.lan\общая_папка

Такое возможно только в случае DFS, иначе должно быть \\SERVER.firma.lan\общая_папка

Цитата:

В какую группу можно включить пользователей, что бы они имели администраторские права у себя на компьютерах, но на сам сервер AD с расшаренными ресурасами эти права не распространялись?

В группу "Администраторы" на локальном компьютере.

[Michael]

Цитата:

1. Для групповых политик полагается добавлять компьютеры пользователей в раздел computers?

У ОП Computers нет групповой политики, поэтому если хочешь для них создавать отдельную политику, то надо создать отдельное ОП
И потом - при введении компьютера в домен, комп автоматически добавляется в ОП Computers, в случае, если для этого компьютера не была создана заранее учетная запись с тем же именем в другом ОП

[Fighter]

Цитата:

\\firma.lan\общая_папка Такое возможно только в случае DFS, иначе должно быть \\SERVER.firma.lan\общая_папка

такое возможно и без DFS (domain.local\sysvol), но без корректно настроенного DNS - факт :=]
другое дело если контроллеров два. и.. корректности такого обращения к сетевой точке доступа