none
Windows 7 v Domene Windows 2000 server

    Dotaz

  • Dobry den, mam v domene Windows 2000 server a 3 nove PC s operacnim systemem Windows 7. Nyni kdyz zarazuji PC do domeny a na konci pruvodce chci pridat na pc domenovy ucet Administratora tak mi Win7 zahlasi ze

    Uzivatele nelze pridat jelikoz vztah duveryhodnosti mezi touto stanici a primarni domenou selhal.

    Po restartu je vsak pc z domene. Nyni kdyz chci pridat pres Ovladaci panely -> Uzivatelske ucty novu ucet opetovne dostanu hlaseni ze

    Uzivatele nelze pridat jelikoz vztah duveryhodnosti mezi touto stanici a primarni domenou selhal.

    Jediny zpusob jak pridat domenoveho uzivatele na Win7 tak je pres compmgmt.msc Systemove nastroje -> Mistni uzivatele a skupiny  -> Skupiny

    Tento zpusob pridani uzivatele funguje nicmene misto nazvu uctu pak vidim pouze jejich ID. Takze vlastne nevim kdo je clenem jake skupiny.

    Muzete mi nekdo rici co delam pri pridavani domenovych uctu spatne ?

    pondělí 17. května 2010 9:15

Odpovědi

Všechny reakce

  • Doménové účty nemusíš nikam přidávat. Prostě jsou definovány v doméně a poté se dá skrz ně přihlašovat na ty PC. Resp > proč jsi je chtěl přidávat na jednotlivé počítače?

    Lokální účet Administrátora je standartně zakázaný ve Windows 7. Musí se povolit v compmgmt.msc.

    pondělí 17. května 2010 9:58
  • Ja chci mit na pc jeden domenovy ucet ktery bude soucasne administratorskym uctem na danem pc a jeden domenovy ucet ktery bude mit opravneni User. Proto. A kdyz jsem hovoril o uctu administratora mel sem na mysli ze chci na pc pridat domenovy ucet administratora a udelat z nej administratorsy ucet daneho PC.

    pondělí 17. května 2010 10:09
  • Ahoj,
    od toho je group policy a polozka Restricted Groups.

    Skupina Domain Admins je ovsem STANDARDNE clenem lokalnich Administrators stejne jako Domain Users jsou clenem Users. IMHO resis vyresene :). Spust si lusrmgr.msc a over.

    MP

    pondělí 17. května 2010 10:18
    Vlastník
  • No ale proto ho nemusíš přidávat někam do místních uživatelů:)

    Doménový Administrátor má prostě Administrátorská oprávnění na daný PC a není to nutné nikam přidávat. To samé s uživateli. Pokud je někdo definovaný jako user.

    Myslím, že myslíš scénář, že někdo není doménový Administrátor a chceš aby měl Administrátorská práva na daný PC. Toho docílíš takto:

    Start - Spustit (nebo Win+R) - control userpasswords2 - Add/Přidat - napíšeš uživatelské jméno a doménu a přiřadíš oprávnění z lokálního PC

    to samé s uživatelskými oprávněními...

    pondělí 17. května 2010 10:19
  • To musim overit, mam 100% overeno pod XP ze pokud nezadam pres Ovladaci panely -> Uzivatelske ucty ze ucet domenoveho administratora jeadministratorem na danem pc rozhodne mi to napr. nedovoli vzdalene instalovat antivirovy software apod. Stejne tak instalovat ovladace.

    pondělí 17. května 2010 10:30
  • No a prave kdyz se pokusim o zmineny druhy scenar tak dostanu hlaseni

    Uzivatele nelze pridat jelikoz vztah duveryhodnosti mezi touto stanici a primarni domenou selhal.

    Jediny zpusob jak pridat takoveho to uzivatele je pres compmgmt.msc Systemove nastroje -> Mistni uzivatele a skupiny  -> Skupiny.

    pondělí 17. května 2010 10:32
  • Zkus změnit NTLM autentifikaci v klientské stanici na "Send LM & NTLM - use NTLMv2 session security if negotiated"

    Network security: LAN Manager authentication level

    pondělí 17. května 2010 10:52
  • Přidáním PC do domény se vždy skupina domain admins přidá do lokální skupiny Administrators. To prostě tak je. Pak je lokálně administrator stanice a může dělat cokoli uzná za vhodné. Od Vista je účet "administrator" zakázaný a bez hesla, využívá ho nástroj řízení účtů. Průšvih je, když máte doménovou politiku, která mu přepisuje heslo.

    Vztah důvěryhodnosti selže nejčastěji v případě. 1) čas na stanici a na řadiči domény se liší o více, než 5 minut. (3minuty) 2) ce schematu s více řadiči domény nefungují správně DNS servery 3) nějaký blbec rozklonoval instalaci OS na stanice a nezměnil jim SID.

    Jinak uživatele můžete učinit lokálním administrátorem přidáním do lokální skupi ny administrators, jak říkal kolega předemnou, nebo lépe politikou. K tomuto účelu je možné si založit spešl politiky jako to dělá například SBS.
    Jednotlivě to řešíme nejčastěji spuštěním mmc a přidáním modulu správa uživatelů pro vzdálený počítač. člověk nemusí nikam chodit, nemusí vytvářet politiku ani se připojovat na RDP.

    Co se týká verzí Win7 a 2000 server, je to samozřejmě mimo podporovaný rozsah a může způsobovat nečekané potíže. Co nejdříve bych koupil aktuální serverový OS a převedl AD, dokud je ještě čas. I fosilní 2003 vám někdo odprodá často i s celým serverem za směšnou částku, někdy i včetně spousty CALů.

    pondělí 17. května 2010 22:14
  • Tady je popsán problém s kompatibilitou ověřování včetně řešení.
    http://social.technet.microsoft.com/Forums/cs-CZ/windowsservercs/thread/dfd659e0-9fab-40e2-a724-a69fdc8f5042

    Nemám ale pocit, že provozovatz takhle vzdálené systémy je bezpečné a profesionální víc, než na úrovni provizoria.

    pondělí 17. května 2010 22:22
  • Aby vse uvedli na pravou miru
    - ja celou dobu hovorim o uctu DOMENA\Administrator ne PC\Administrator (tento ucet prakticky nikdy nepouzivam).
    - jak se ucinit lokalnim administratorem vim take.
    - co se tyce faktu ze ze skupina domain admin je cleny lokalni skupinky Administrator vim take (jsem jejim clenem a napr. NAZEVPC\c$ pouzivam neustale)
    a jde mi jen o Win7 a kombinaci Windows Server 2000 BackOffice.

    Nicmene sem vzdy trpel predstavou ze musim pomoci control userpasswords2 vzdy explicitne definovat u vsech uctu jejich lokalni opravneni coz byla ma neznalost. To ocividne nemusim ikdyz napr. pri vzdalene instalaci Kaspersky for Worstation pokud tak neucicim instalace selze coz me mozna mystifikovalo.

    Co se selhani Vztah důvěryhodnosti tyce setkal sem se s tim poprve prave kdyz sem zarazoval Win7 do domeny Win 2000 srv (ani jeden z vami uvedenych bodu e me nenastal).

    Co me nejvice stve je fakt ze kdyz si zobrazim seznam clenu nektere lokalni skupiny zabezpeceni dostanu misto jejich nazvu DOMENA\PepaPepovic souze jejich domenova ID (toto se mi stalo pouze na Win7).

    Vase navrhovane reseni dnes zkusim. Dekuji.

    úterý 18. května 2010 6:29
  • Ze stránky technické podpory Microsoftu se dá stáhnout jeden hotfix pro Windows 7, který by ti mohl pomoct:

    http://support.microsoft.com/kb/976494/en-us

     

    středa 19. května 2010 11:52