Нужна помощь в настройке АD
 

Сейчас изучаю Active Directory. И у меня не получается две вещи.
Как пользователям принадлежащим одному OU (назовем это подразделение "Admin") разрешить установку любого софта с админскими првами (например пришел пользователь, воткнул флеху и установил то что ему надо). А также разрешить этому подразделению производить любые манипуляции с драйверами оборудования. Можно было пользователей тупо включить в группу "администраторы домена", но при этом назначается много "лишних прав".

PS Пользователь принадлежит группе "пользователи домена" и находится в OU "Admin", со своей групповой политикой. Профиль пользователя "переносной".
сервер: ОС Windows 2003 SP2 R2 Standart
рабочее место: Windows XP SP2 PRO
Все это установленно на виртуальной машине VMware 5.5.3

Заранее благодарен за любую консультацию.

Сделать группу.
Группу сделать членом локальной админской группы на компах.
Все.

Хочется еще уточнить одну деталь. Нельзя ли эту процедуру (Группу сделать членом локальной админской группы на компах) как-то автоматизировать централизованно? Ну чтобы не приходилось каждый раз руками добавлять:)

XXXandr, либо в Restricted Groups (Группы с ограниченным доступом), либо в логон-скрипте:
YOURDOMAIN - ваш домен, LocalAdmins - созданная группа.
Логон-скрипт - это в политиках -> Конфигурация компьютера -> Конфигурация Windows -> Сценарии.

Если я не ошибаюсь это называется "делегирование прав"

Прочитал внимательнее. Верно, чуток не туда копнул.

Запрещение записи на флешки через групповую политику так будет выглидить?
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "WriteProtect"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 0 DEFAULT
NAME !!Enabled VALUE NUMERIC 1
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "System\CurrentControlSet\Control\StorageDevicePolicies"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
labeltextusb="Disable USB Ports"
Enabled="Enabled"
Disabled="Disabled"

Или где-то я ошибся?
Заранее спасибо за помощь.

Разумеется можно, с помощью групповой политики. Почитайте механизм "restricted groups" или "ограниченного членства в группах".
Но если не в теоретическом смысле, а в практике, то предложенные вам решения не очень хороши.
Лучше а) с пом. тех же ГП наделить нужную группу на нужных компах привилегией "Загрузка и выгрузка драйверов устройств",
б) вслучае необходимости установки - рекомендую создать специального "коня"(на любом языке программирования), которому можно будет подсовывать установочные файлы, а он их - запускать от имени локального админа. или пользоваться пакетом от MS для запуска программ с проблемами совместимости.

Понятно.
Тут еще пара вопросов:
1)После подключения рабочей станции к домену пропадает закладка "время интернета" в настройках времени-это так сделать чтобы она появилась.
2)Обязательно ли настраивать NTP сервер (через групповую политику), или синхронизация времени с контролером домена будет и так идти?Если надо настраивать,тот как прописывается домен Organithation.local или просто Organithation?
3)Включение шифрования трафика сильно ли ведет к потере производительности сети?
4)В свойствах DHCP сервера-закладка "сервер-параметры". За что отвечают пункты 004 "Сервер времени" и т.д.?
Заранее спасибо:)

К вопросу 2 присоединяюсь - почему майкрософт рекомендует в приват доменах использовать .local?

Потому что машина в домене по умолчанию синхронизирует время с DC.
Желательно настроить DC на синхронизацию с NTP-сервером в Инете.
Настройка основного сервера времени в Windows Server 2003
3. Если имеете в виду IPSec, то на сети это не отразится, а нагрузку на сервер и клиент (если шифрование двустороннее) - на 20-30%
4. Как называется, за то и отвечает. Просто машины будут получать параметры ДО логина пользователя, при получении IP-адреса.

sacredboy,
Чтобы не было потом путаницы с DNS при использовании .com, .ru и т.п.

Если честно не понял какая путаница может произойти. :dont-know

sacredboy,
Вы набираете в поисковике company.ru и попадаете - на внутренний сайт (если он есть, конечно) или на внешний? Такие вопросы частенько на этом, да и других форумах встречаются. Дополнительные сложности с ручной настройкой DNS.

DNS правильно ли настроен?
Вот парочка команд:

Команда IPCONFIG /ALL

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . : organithation.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : organithation.local

Подключение к инету - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VIA VT6105 Rhine III Compatible Fast Ethe
rnet совместимый адаптер
Физический адрес. . . . . . . . . : 00-1B-11-C4-29-CE
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.101
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.254
DNS-серверы . . . . . . . . . . . : 194.84.94.150
194.84.94.149

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8168/8111 PCI-E Gigabit Ethern
et NIC
Физический адрес. . . . . . . . . : 00-1D-92-46-94-7F
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

C:\Documents and Settings\Администратор>


Команда ROUTE /PRINT

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1b 11 c4 29 ce ...... VIA VT6105 Rhine III Compatible Fast Ethernet ёю
тьхёЄшьvщ рфряЄхЁ - UserGate NAT Kernel Mode Service Miniport
0x3 ...00 1d 92 46 94 7f ...... Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC
- UserGate NAT Kernel Mode Service Miniport
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.101 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.101 192.168.0.101 30
192.168.0.101 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.0.255 255.255.255.255 192.168.0.101 192.168.0.101 30
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 10
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 10
224.0.0.0 240.0.0.0 192.168.0.101 192.168.0.101 30
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 10
255.255.255.255 255.255.255.255 192.168.0.101 192.168.0.101 1
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
Основной шлюз: 192.168.0.254
===========================================================================
Постоянные маршруты:
Отсутствует

C:\Documents and Settings\Администратор>


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Команда NSloopkup

DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
Default Server: UnKnown
Address: 192.168.1.1

>
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Обратной зоны нет.
В прямой зоне две области:
1) _msdcs.organithation.local

сервер имен NS server.organithation.local 192.168.1.1
псевдоним CNAME server.organithation.local 192.168.1.1
Начальная запись SOA 12 server.organithation.local.

2)organithation.local

узел А server 192.168.1.1
узел А как папка верхнего уровня 192.168.1.1
псевдоним CNAME server.organithation.local 192.168.1.1
Начальная запись SOA 20 server.organithation.local.

Предпочтительнее на внешней карте DNS оставить только шлюз, на внутренней указать внутренний DNS, а на том, в свою очередь, настроить пересылку неразрешенных запросов (forwarding) на DNS провайдера, тем самым сократите трафик с провайдером.

Вопрос следующего характера.
Настроил домен, вроде все работает (и переносные профиля и сохраняются перенаправленные папки и интернет транслируется (с помощью программы UG)). Только один косяк - если начать копирование на сервер большое количество данных начинаются дикие тормоза (долго работают или реагирую приложения локально и особенно те которые ссылаются на сервер). С чем это может быть связано? Неправильная настройка или что-то еще. Сервер исполняет следующие функции: файл сервер, принт сервер, DHCP сервер, DNS сервер, AD, сервер приложений. Между головным свичом скорость пока 100Мбит/сек, планирую заменить на гигабитку.

Мониторьте загрузку сети на сервере. Хардовая система какая?

Монитор сети на сервере показывает не полную загрузку (от0 до 50 или 70). Что странно на клиентском месте(откуда идет загрузка файлов) в мониторе сети загрузка то идет нормально, то падает до 0 на пару секунд, потом опять передает данные. Я думаю может идет какая-то проверка у сервера на "зарегистрирован ли клиент или нет"? И поэтому образуются такие паузы.
Винт пока один, но вот вот поставлю рэйд (зеркало). Винт используется обычный (SATA2 250Gb 16Mb). Системник пока обычный (двух ядерка(AMD), 2 гига памяти). Но скоро привезут настоящий сервер.

И чего Вы хотите от такого винчестера? И сетевуху надо нормальную ставить, гигабитную.

Понятно. А можно ли будет "объединить" две сетевые карты для увеличения пропускной способности? Ну типа использовать сетевой мост воткнутый в один сегменти сети.

Можно, если они поддерживают такой режим и если у Вас больше 1000 компьютеров. Проще купить гигабитную сетевую карту за 500 р.

Можно. Раньше интеловские сетевки поддерживали объединение в транк.
Только какое бы ни было железо, про простом копировании, тем более при 100мбит никаких тормозов быть не должно. Возможно, какой-то драйвер кривой.

Такой вопрос:
А могут ли возникнуть проблемы с новым доменом? Настроить хочу его также как старый (тот же IP адресс и доменное имя и т.д.) Как это воспримут рабочие станции? Придется ли их заново подключать к домену или обойдется без этого?
В опциях сетевых карт есть опции балансировка сети и объединение в команду - это и есть "объединение"?

- если ты отключишь старый домен и просто поднимешь абсолютно новый даже с теми же именами, то придется вносить в домен. Не проще поднять дополнительный контроллер, сделать его глобальным каталог, передать ему все роли и понизить старый контроллер?

Я наверно так и сделаю. Спасибо за совет.

Все кажется работает, но хотелось выяснить пару вещей.

Рабочие станции: Win XP PRO SP2 или SP3
Сервер: Win 2003 Server SP2 R2

Первое: иногда на рабочих станциях происходит следующий эффект. Создаешь папку или файл его не видно появляется только если обновить страницу. Тоже самое если удалять. Удалишь файл, а он еще видится пока не обновишь вид. Что это может быть? Хотелось бы знать в какую сторону копать.

Второе: Если ставлю галочку на свойствах групповой политики (отключить параметры для компьютеров) появляется восклицательный знак. Это вроде значит нарушение политики безопасности. Серьезная ли это проблема или можно на это не обращать особого внимания.

Заранее всем спасибо.

PS
Не судите строго я только пока учусь :)

А зачем ее отключать, это же очень удобная вещь. И не надо ее отключать, во избежание проблем в будущем.
Подобное у меня наблюдалось, когда делал перенаправление папок рабочего стола на сервер. Нет ничего подобного?

Да включал :(

ну вот и выяснили :) Попробуйте отключить перенаправление для пользователя и посмотрите.