none
Открытие филиала. RRS feed

  • Вопрос

  •  

    в городе А существует домен А1

    в городе B компания открывает свой филиал.

     

    Стоит задача организовать доменную сеть на win2k3 в городе B и делегировать полномочия по управлению группами/компьютерами/пользователями ресурсами филиала города B на администраторов города B.

    м/у городами A и B есть высокоскоростной канал связи.

     

    почитав информацию, я пришел к выводу что оптимальным вариантом здесь будет создание сайта для города А и сайта для города B и включение сети города B в домен A1. А группы/компьютеры/пользователей города B включить в организационную единицу созданную для города B.

     

    верна ли такая схема в моем случае?

    1 октября 2008 г. 7:17

Ответы

  •  sys_admin1 написано:

    верна ли такая схема в моем случае?

     

    Все верно. И как сказали, нужно еще DC в филиале сделать, если пользователей достаточно много и если нужно обеспечить их работу при пропадании канала.

     

    А использование Windows Server 2008 поможет вам более гибко настроить делегирование особенно по управлению удаленного DC.

    1 октября 2008 г. 8:35
    Модератор
  •  aLexRADCH написано:

    первичный DNS - DC в сайте

    вторичный - DC в сайте с PDC



    После обнаружения контроллера домена клиент устанавливает с ним соединение, используя протокол LDAP, чтобы получить доступ к службе каталогов Active Directory. В процессе соединения контроллер домена определяет местонахождение клиента на основании IP-адреса его подсети. Если клиент подключается не к ближайшему (или наиболее оптимальному) контроллеру домена, то контроллер возвращает имя сайта клиента.

    Если клиент уже пытался найти контроллеры домена на этом сайте (например, посылая DNS-серверу запрос на просмотр DNS-имен для поиска контроллеров домена в собственной подсети), то клиентом будет использоваться неоптимальный контроллер домена. Или же клиент может снова выполнить запрос к DNS-серверу на поиск по конкретному сайту, используя имя оптимального сайта. Для идентификации сайтов и подсетей контроллер домена использует некоторые сведения службы каталогов.

    После обнаружения клиентом контроллера домена запись об этом контроллере кэшируется. Если этот контроллер расположен не на оптимальном сайте, то через 15 минут клиент очищает кэш и удаляет соответствующую запись в кэше. После этого клиент пытается найти оптимальный контроллер домена в своем собственном сайте.


    Остальное тут
    7 октября 2008 г. 16:40
  •  sys_admin1 написано:

     

    Каким образом можно назанчить Администратора доменконтроллера в сайте филиала не включая его в группы Enterprise Admins и Domain Admins и не давая ему логина и паролья администратора всего домена?



    Откройте оснастку Active Directory Sites and Services, выберете необходимый сайт, щёлкните по нему правой кнопкой мыши и выберете Delegate Control

    Перед выполнением данной процедуры сделайте резервную копию контроллеров домена.

    Для чистоты эксперимента протестируйте всё в лабораторной среде.

    И помните - действия делегирования не отменяются визардом, для "отмены" полномочий нужно повторно запускать делигирование.
    24 октября 2008 г. 9:07

Все ответы

  •  sys_admin1 написано:

     

    в городе А существует домен А1

    в городе B компания открывает свой филиал.

     

    Стоит задача организовать доменную сеть на win2k3 в городе B и делегировать полномочия по управлению группами/компьютерами/пользователями ресурсами филиала города B на администраторов города B.

    м/у городами A и B есть высокоскоростной канал связи.

     

    почитав информацию, я пришел к выводу что оптимальным вариантом здесь будет создание сайта для города А и сайта для города B и включение сети города B в домен A1. А группы/компьютеры/пользователей города B включить в организационную единицу созданную для города B.

     

    верна ли такая схема в моем случае?



    На мой взгляд в филиале необходим дополнительный контролер. Как будут авторизироваться клиенты при отсутствии связи с главным офисом ?
    1 октября 2008 г. 7:35
  •  

    я предполагаю - деление домена на сайты подразумевает наличие хотябы одного домен контроллера в своем сайте. или не так?

    1 октября 2008 г. 8:31
  • Так - сервер лицензирования терминалов тоже необходим для каждого сайта.
    1 октября 2008 г. 8:33
  •  sys_admin1 написано:

    верна ли такая схема в моем случае?

     

    Все верно. И как сказали, нужно еще DC в филиале сделать, если пользователей достаточно много и если нужно обеспечить их работу при пропадании канала.

     

    А использование Windows Server 2008 поможет вам более гибко настроить делегирование особенно по управлению удаленного DC.

    1 октября 2008 г. 8:35
    Модератор
  •  

    поэкспериментировал с OU.

    есть вопросы

     

    1.возможно ли сделать так, чтоб при добавлении в сайте города B компьютера в домен - то он сразу же попадал в соответствующую этому городу OU? сейчас все компьютеры появляются во вкладке Computers (в корне домена)

     

    2.каким образом можно внести определенную группу из OU в локальные группы клиентских компьютеров входящих в ту же OU или сайт города B. Пробывал создавать GP объект непосредственно для сайта или OU в нем соответственно забивал все группы в Restricted Groups - не работает. может где галку не дожал =(

     

     

     

    6 октября 2008 г. 11:53
  •  sys_admin1 написано:

     

    поэкспериментировал с OU.

    есть вопросы

     

    1.возможно ли сделать так, чтоб при добавлении в сайте города B компьютера в домен - то он сразу же попадал в соответствующую этому городу OU? сейчас все компьютеры появляются во вкладке Computers (в корне домена)

     

    2.каким образом можно внести определенную группу из OU в локальные группы клиентских компьютеров входящих в ту же OU или сайт города B. Пробывал создавать GP объект непосредственно для сайта или OU в нем соответственно забивал все группы в Restricted Groups - не работает. может где галку не дожал =(

     

     

     



    1)Возможно - перед включение ПК в домен вручную заводите его в необходимой OU

    2)А какой тип группы использовали ?
    6 октября 2008 г. 11:58
  • 1. Варианты:

     

    1. Запретить всем создавать учетные записи компьютеров и создавать их только централизовано в тех OU, где нужно. Тогда при включении компьютера в домен будет использована уже созданная учетка компьютера. Для создания учеток можно применить оснастку ADUC или команду netdom add.
    2. Выполнить перенаправление Default OU http://support.microsoft.com/kb/324949 Но это работает на весь домен
    3. Использовать команду netdom join для включения компьютера в домен и задействовать ключ /OU (работает удаленно!)

     

     

    2. Используйте http://support.microsoft.com/kb/279301/en-us

    7 октября 2008 г. 3:39
    Модератор
  •  

    Вопрос в тему.

    Вот, по вышеописанному принципу, работает филиал (т.е. в собственном сайте есть свой DC). Так вот если вдруг этот DC выключить, то пользователи не могут залогинится, хотя эмулятор PDC из другого сайта остается доступным... или в сайте обязательно нужно делать резервирование DC?

    7 октября 2008 г. 14:39
  •  aLexRADCH написано:

     

    Вопрос в тему.

    Вот, по вышеописанному принципу, работает филиал (т.е. в собственном сайте есть свой DC). Так вот если вдруг этот DC выключить, то пользователи не могут залогинится, хотя эмулятор PDC из другого сайта остается доступным... или в сайте обязательно нужно делать резервирование DC?



    На клиентских ПК какие DNS прописаны в сетевых настройках ?
    7 октября 2008 г. 14:46
  • первичный DNS - DC в сайте

    вторичный - DC в сайте с PDC

    7 октября 2008 г. 16:27
  •  aLexRADCH написано:

    первичный DNS - DC в сайте

    вторичный - DC в сайте с PDC



    После обнаружения контроллера домена клиент устанавливает с ним соединение, используя протокол LDAP, чтобы получить доступ к службе каталогов Active Directory. В процессе соединения контроллер домена определяет местонахождение клиента на основании IP-адреса его подсети. Если клиент подключается не к ближайшему (или наиболее оптимальному) контроллеру домена, то контроллер возвращает имя сайта клиента.

    Если клиент уже пытался найти контроллеры домена на этом сайте (например, посылая DNS-серверу запрос на просмотр DNS-имен для поиска контроллеров домена в собственной подсети), то клиентом будет использоваться неоптимальный контроллер домена. Или же клиент может снова выполнить запрос к DNS-серверу на поиск по конкретному сайту, используя имя оптимального сайта. Для идентификации сайтов и подсетей контроллер домена использует некоторые сведения службы каталогов.

    После обнаружения клиентом контроллера домена запись об этом контроллере кэшируется. Если этот контроллер расположен не на оптимальном сайте, то через 15 минут клиент очищает кэш и удаляет соответствующую запись в кэше. После этого клиент пытается найти оптимальный контроллер домена в своем собственном сайте.


    Остальное тут
    7 октября 2008 г. 16:40
  •  

    Каким образом можно назанчить Администратора доменконтроллера в сайте филиала не включая его в группы Enterprise Admins и Domain Admins и не давая ему логина и паролья администратора всего домена?

    24 октября 2008 г. 8:58
  •  sys_admin1 написано:

     

    Каким образом можно назанчить Администратора доменконтроллера в сайте филиала не включая его в группы Enterprise Admins и Domain Admins и не давая ему логина и паролья администратора всего домена?



    Откройте оснастку Active Directory Sites and Services, выберете необходимый сайт, щёлкните по нему правой кнопкой мыши и выберете Delegate Control

    Перед выполнением данной процедуры сделайте резервную копию контроллеров домена.

    Для чистоты эксперимента протестируйте всё в лабораторной среде.

    И помните - действия делегирования не отменяются визардом, для "отмены" полномочий нужно повторно запускать делигирование.
    24 октября 2008 г. 9:07