none
Развертывание доменной структуры в филиалах. Проблемы доступа. RRS feed

  • Вопрос

  • Доброго времени суток!
    Имеется Центр и 23 филиала. Каналы связи до центра минимум 512 Кбит/сек. В основном 2 Мбит/сек. В каждом филиале есть свой сисадмин.
    Планирую развернуть доменную структуру на филиалы. В центре домен поднят - работают 2 Контроллера домена на Windows Server 2008. В филиалах планируется установка Windows Server 2003.
    Что касается филиалов - стою на перепутье: либо ставить дочерний домен в каждом филиале, либо создать OU для каждого филиала и поставить там по одному Контроллеру.
    Вариант с OU, одним доменом и дополнительными Контроллерами домена в филиалах привлекает больше. С делегированием прав на OU вроде все понятно. Но есть одно НО. Т.к. сисадмин филиала входит только в группы "Пользователи домена" и "Операторы сервера", то при попытке установить какой-либо софт на своем Контроллере домена он получает отлуп. А права на установку ему требуются, т.к. на этом же сервере будет и подчиненный WSUS и Почтовый сервер. Добавлять в группу Администраторы как-то не хочется, т.к. в таком случае он получает все права над AD. А где даются права на установку/удаление программ я так и не смог найти.
    Может кто подскажет?
    23 июля 2009 г. 7:00

Ответы

  • В таком случае, вы рискуете остаться вообще без своего домена (в случае единого домена).
    Вот здесь мы об этом рассказывали.
    • Помечено в качестве ответа Nikita PanovModerator 12 августа 2009 г. 11:19
    23 июля 2009 г. 10:56
  • если отвечать непосредственно на Ваш вопрос, то вот возможное решение, хотя немного деревянное, но работает :-)

    http://kudratsapaev.blogspot.com/2009/07/installing-program-as-simple-user-or.html



    сила в справедливости
    • Помечено в качестве ответа Nikita PanovModerator 12 августа 2009 г. 11:19
    23 июля 2009 г. 11:45

Все ответы

  • А вы не хотите  построить  свою инфраструкутуру на 2008 серверах  ? - там есть возможность дать пользователю административные права на КД, но не давая права на саму АД
    MCP/MCSA/MCTS:Exchange
    23 июля 2009 г. 7:42
  • А вы не хотите  построить  свою инфраструкутуру на 2008 серверах  ? - там есть возможность дать пользователю административные права на КД, но не давая права на саму АД
    MCP/MCSA/MCTS:Exchange

    Увы! Только на win2003.
    23 июля 2009 г. 8:50
  • В таком случае, вы рискуете остаться вообще без своего домена (в случае единого домена).
    Вот здесь мы об этом рассказывали.
    • Помечено в качестве ответа Nikita PanovModerator 12 августа 2009 г. 11:19
    23 июля 2009 г. 10:56
  • если отвечать непосредственно на Ваш вопрос, то вот возможное решение, хотя немного деревянное, но работает :-)

    http://kudratsapaev.blogspot.com/2009/07/installing-program-as-simple-user-or.html



    сила в справедливости
    • Помечено в качестве ответа Nikita PanovModerator 12 августа 2009 г. 11:19
    23 июля 2009 г. 11:45
  • В таком случае, вы рискуете остаться вообще без своего домена (в случае единого домена).
    Вот здесь мы об этом рассказывали.

    Н-да... Видимо придется делать дочерние домены.
    23 июля 2009 г. 12:09
  • если отвечать непосредственно на Ваш вопрос, то вот возможное решение, хотя немного деревянное, но работает :-)

    http://kudratsapaev.blogspot.com/2009/07/installing-program-as-simple-user-or.html
    На счет runas тоже догадался. Но что-то мне этот вариант не нравится :)
    23 июля 2009 г. 12:14
  • можно всё упаковать в красивый vbs скрипт, но результат будет тот же, т.е. пароль всё равно будет сохраняться в Stored User names and Passwords

    сила в справедливости
    23 июля 2009 г. 12:32
  • В таком случае, рискуете черезчур усложнить инфраструктуру;-). Подумайте, хотя бы, над вариантом миниального количества дочерних доменов, а не один филиал - один домен.
    А в идеальном варианте - вам нужен RODC:-)!

    23 июля 2009 г. 13:07
  • В таком случае, рискуете черезчур усложнить инфраструктуру;-). Подумайте, хотя бы, над вариантом миниального количества дочерних доменов, а не один филиал - один домен.
    А в идеальном варианте - вам нужен RODC:-)!


    На то они и идеалы.... :)
    А что мне даст один дочерний домен? Проблема-то остается. Это опять: либо филиальных сисадминов делать Администраторами своего единого дочернего домена, либо как посоветовал Kudrat Sapaev всем выдать скрипт на запуск appwiz.cpl и периодически скармливать ему пароль Администратора.
    Квалифицированных админов в районах, мягко говоря, мало. Некоторые про "домен AD" только слышали :). Так что, если убьют домен, то уж лучше пусть это будет домен одого филиала, а не общий домен для всех :-)
    Чем мне не нравится скрипт на запуск appwiz.cpl. Во-первы: если пароль Администратора меняется, то его надо заново забивать в приглашении скрипта. Во-второых: если я правильно понял, то пароль кэшируется только в RAM и при перезагрузке он будет утерян, что опять вынудит вводить его при запуске скрипта. Тут конечно можно возразить, что не так уж и часто требуется что-то инсталлировать на сервере, но все же хотелось бы максимальной автономности филиальных сисадминов.
    Как вы правильно выразились в вышеуказанной конференции, дилемма: "Либо мы работаем, либо защищены" :)
    А вот про усложнение инфраструктуры можно поподробнее или линк, чтоб почитать. Чем это грозит? А-то уже не в первый раз про это слышу, а понятного объяснения, почему это не рекомендуется, пока не встретил.
    24 июля 2009 г. 4:31
  • Хотя бы, просто подумайте, как вы всем этим хозяйством управлять будете, особенно, учитывая, высокую квалификацию ваших филиальных админоФ;-). Банально, каждый филиал - решение многих организационных вопросов, таких как доменное имя, разрешение DNS-имён дочернего/родительского домена, наличие минимум двух контроллеров на домен (опять же в идеале) и головные боли в случае возникновения проблем...
    24 июля 2009 г. 4:58
  • Спасибо всем за советы! Нужно будет хорошенько все взвесить :)
    24 июля 2009 г. 7:46
  • По возможности, я бы не давал региональному персоналу повышенных привилегий на серверах вообще.
    Всё сам, плюс помощник (1-2) из числа моих же людей.

    24 июля 2009 г. 8:37
    Отвечающий
  • У меня работает нечто подобное. Сделано вот как.

    http://oszone.net/5796/
    • Предложено в качестве ответа Lamaster 1 августа 2009 г. 10:52
    1 августа 2009 г. 10:52
  • Думаю, что лучший вариант это отказаться от идеи совмещения роли контролера домена в филиала с другими ролями. Тогда не придется делегировать административные полномочия в домене технарям в филиалах.
    Я бы установил в филиалах контроллеры домена на виртуальных машинах, а на других виртуалках уже создавал бы серверы приложений и делегировал бы административные права.


    http://www.itcommunity.ru/blogs/alifatov/
    1 августа 2009 г. 12:47
    Модератор
  • Если проблема только в установке WSUS и Exchange, то почему бы не установить их самому - либо по терминалу, либо при установке сервера сразу. Да и дело с концом.
    1 августа 2009 г. 18:23