знатоки - у меня ламерский вопрос.

суть проблемы в следующем, есть локалка, в ней стоял вин2000 сервер, на нем был поднят AD DC, ,были заведены пользователи

тперь того домена не существует физически, но пользователи-то остались, я поставил новый сервер, поднял на нем AD DC и завел пользователей по новой (но логины оставил теми же, да это и не важно), теперь если на рабочих машинах логинуться новым пользователем, то у него все установки сбрасываются (и это понятно SID пользователся ведь поменялся), создается новая папка внутри Documents and Settings и все приходится настраивать по новой: почту, папки бла-бла...

Лениво

Как бы залогинувшись новым пользователем втянуть в него настройки из старого пользователя.

PS
еще вопрос - как через скрипт логина поменять местоположение таких папок как "Мои документы" "Темп", а?

lab,
заходишь новым пользователем, ему создается профайл.
Потом заходишь локальным администратором, идешь в CP->System->User Profiles и копируешь старый профайл в новый.
Все.

P.S. Темп меняется просто set TEMP=C:\TEMP

A вот "мои документы" так не поменяешь. Только через политики.

Фил, что-то я не наблюдал такого - это же не локальные пользователи, а пользователи домена и в списке локальных пользователей их просто нет.

можно поподробней насчет "моих документов" и политик?

меня местный модератор не забанит за оффтоп в предыдущих постах?

я мигом исправляюсь и хочу спросить вот, что - среди цисок (или устройств от другой конторы) есть такие железки, чтобы с одной стороны в нее втыкался кабель с интернетом, а с другой строны к ней подключалась локалка и эта железка содержала в себе стенку, НАТ еще что-нить полезное и поддерживало VPN для связи двух локалок расположеных в разных городах (два домена AD будут общаться друг с другом через VPN)

во как ;)

Эээ... насколько я себе представляю современный рынок, то в любом цисковом рутере будет все, что ты попросил. Но я на 100% утверждать не буду. На читать описания.

По поводу профилей. Юзера не локальные. А профиль лежит локально (тот самый каталог в Documents and Settings) Я-же тебя не в user manager посылал, а в user profiles закладку в CP->system
Ты туда сходи сначала, а потом спрь :)

По поводу политик я так прямо ходу не расскажу. Там и раньше все было как-то не просто. А с введением AD вообще все стало непонятно. :( Я может позже сам разберусь и расскажу. А может и не разберусь.

^Cisco PIX^ хороша тем, что к ней есть карточка- ускоритель ^VPN^, очень серьезно поднимает скорость. Недостаток Сиски известно какой- цена. Впрочем, карточка у меня где-то валяется, могу помочь, но ^PIX^ целиком- увы, нет.
^FiL^ У меня к тебе вопрос. Подцепил своуй новую ^XP Pro^ на ^AD Domain^. Когда зашел доменным аккаунтом, не дает мне ничего делать с системой. Я знаю, что есть способ сделать юзера из домена локальным администратором, но не могу найти, как именно. Не подскажешь?

Подскажу.
После того, как добавил хрюшу в домен, заходишь на хрюшу локальным админом и лезешь в user manager. Там добавляешь доменного юзера в группу Administrators.

Обычно оно так работает, но у меня последние пару раз локальный user manager не хотел видеть доменных юзеров. Решается просто. Идется на домен-контроллер (админом, ессно). Там запускается computer manager, из него коннектишься к хрюше, и в нем уже доменные юзера замечательно видны. Добавляешь доменного юзера в локальную группу Administrators и спишь довольный.

Если чего непонятно - стучись. Буду пошагово рассказывать.

О! Помоему топик на 12-ой страничке принял тот самый вид ради которого он создавался. Так сказать пошаговая стратегия без побочных коментариев, типа глубокой теории чем усери локальные отличаются от усеров доменных, и что такое вообще домаин, блах блах блах... :p

^astra^- это из темы "дай человеку рыбу или научи его рыбачить"- пошаговые инструкции не очень то помогают в понимании делаемого.
^FiL^- спасибо, именно так и оказалось- не видел доменного юзера. Так как у меня нет доступа к контроллеру и его админу, я поковырялся еще. Оказалось, что доменного юзера можно добавить в список, ну а дальше все, как ты сказал.

astra, ну не скажи. Иногда в топике на форуме очень понятно и подробно объясняют какой-то момент, который ты почему-то не мог понять сам. Не всю теорию, а какой-то один момент.

laborant По профилям. Как одно из решений, можно и так сделать:
1) переименовать Default User в DU,
2) стародоменный профиль в Default User,
3) на папку Default User установить Full Control "мигрируемого",
4) залогиниться под "мигрируемым" :),
5) проверить что все ok и можно выпить пива,
6) убить Default User,
7) переименовать DU в Default User
Еще. Также в самой ХР очень клевая штучка, которой никто не пользуется, а я пару раз попробовал, неплохо. Имеется ввиду "Files And Setting Transfer Wizzard" из System Tools. Все просто и понятно.
Что еще... Да хотя бы средствами от USMT, ADMT, Ideal Migration .... до Aelita Сontrolled Migration Suite (админ все равно работает с тем, что знает, и что есть под руками :D) Единственно, что при одинаковом имени домена (как у тебя), с утилитами по-проще будут проблемы...
По "Мои документы". Самое лучшее ИМХО, сделать через политику в Active Directory настройку, чтобы при открытии папки "Мои документы" посылать всех пользователей НА ..., нет, не туда, куда ты подумал, а на сетевой диск. Запускаем dsa.msc, в групповой политике подразделения (OU) идем в User Configuration > Windows Settings > Folder Redirection > ... дальше все понятно.
Может такое случится, что потом, когда надо, не возврашается назад. Такая гадость у меня была несколько раз и просто сломал голову. А все очень просто. Забыл про secedit... Без этого работать не будет. Вообще любое изменение в политике, да почитай сам Using Secedit.exe to Force Group Policy to Be Applied Again

genka

laborant А по поводу "железки" с VPN, очень симпатично пашет всем известный ZyXEL. Дешево и красиво. Все, что тебе надо, там есть. И стоит на порядок (или два) дешевле, чем Cisco или им подобные. Опять же, смотря какие у тебя задачи. Если без параноидального total security (а я думаю, что именно так у тебя и обстоит дело :)), то вполне и очень даже...

а если без железки, как организовать работу, совместную двух доменов, один в Москве, другой в Балтийске... а?

laborant

скорость у меня 128 кбит
для начала нужно хотя бы, чтобы домен (AD) вошел в состав уже действующей группы доменов... чтобы пользователь из московского домена смог залогинуться в Балтийске и дотянуться до своего компа в Москве.. ну например за файлом из папки "Мои документы", чтобы доступ к шарам был.. ну и т.д.

laborant

Дело в том, что я планирую заранее это сделать. чтобы к моменту когда начнем - быть в курсе. Потому что очень скоро планируется расширение канала до 2 Мбит и уже можно будет всерьез об этом думать

Можно для меня ликбез небольшой сделать по этому вопросу? Или меня проще в книжку послать?

Чтобы огород не городить, поищу чего-нибудь хорошо и просто написанное.
А книжка... Да это всегда САМОЕ лучшее. Из всех, которые приходилось читать, особенно запомнилась одна. Если не ошибаюсь, Федор Зубанов. "Active Directory - подход профессионала". В России она продается везде и дешево. Обязательно купи, тем более, что собираешься работать, а не просто так. Получишь удовольствие!

lab, для твоей задачи я-бы просто поднял софтовый VPN между домен-контроллерами. Прямо родной от MS.
Доступ к московским файлам из Балтийска особо шустрым не будет, но это и не самая частая операция. А логины авторизуются локально. Репликация будет идти долго и нудно, но настрой ее на 2 часа ночи и пусть себе ходит.

ну и что мне делать - пытать Фила или пойти искать книжку?

FiL
Все зависит от схемы, и если

heineken man
у меня програмный раутер - Kerio WinRoute FireWall

Это конечно противотечит некоторым моим принципам, но в этом случае я вижу как два MS ISA сервера делают Site-to-Site VPN. Может быть PPTP или L2TP/IPSEC. Они же служат и стенками в обеих сетях. Можно конечно и между серверами, используя RRAS сервис, но в таком случае нужно проверить что существующая стенка поддерживает VPN passthrough. :w00t: :fear2:

heineken man

А я и предлагаю MS, хоть мне лично это и противно. ISA ставится на обычный сервер 2000 или 2003, для ВПН-а использует штатный виндовский механизм. Но вдобавок, еще и служит файерволом.

В интернет человек выходит через Керио, у того с одной стороны интернет-девайс, а с другой - локальная сеть, в которой сидит домейн контроллер. Вместо того чтобы строить ВПН между контроллерами и пропускать его через Керио, лучше делать терминацию на файерволе, он же VPN Gateway, он же ISA server - разрабатывает его майкрософтовское отделение в Хайфе. Кстати, сейчас бесплатно дают бета-версию ISA-2004.

ISA Server Home Page

Идея в том, чтобы заменить Керио на ISA. Оба файерволы, но ISA еще и VPN Gateway. Таким образом, туннель существует между двумя файерволами, а все кто за ними - общаются друг с другом через ВПН. Т.н. Site-to-Site.

В ссылке, которую я привел все довольно подробно описано. За одним приятным исключением - PKI (CA Authority) можно не поднимать, L2TP/IPSec VPN может работать с pre-shared secret.

heineken man
Ознакомился с твоей ссылкой, спасибо. Действительно, очень подробно. Что сразу не понравилось (правда, ознакомился я довольно поверхностно, абсолютно не вникал в детали, так что чего-то, возможно, и не просек) - установку кучу дополнительных сервисов, как, например IIS, Wins, и пр.
Мне кажется, что это здорово усложняет настройку...

Я ведь писал уже почему - из-за требуемой переконфигурации Керио и дополнительных преимуществ соединения сетей а не серверов. Потом, если поднять тунель между файерволами, то не нужно делать вообче никаких изменений внутри каждой сети - весь трафик (как интернетный так и ВПН-ный) и так проходит через файервол.

Насчет конфигурации - IIS нужен только для CA, а если использовать pre-shared то его ставить не надо. Кажется, стенку можно вообще в домейн не ставить.

По моему, если платить - то надо ставить железо, если нет - то ISA. :w00t: :fear2:

разговаривал с москвой - обещали дать железку ;)

что просить?

Лаборант:
1. Сколько юзеров внутри каждой сети.
2. Как сети выходят в интернет (АДСЛ, сетевой кабель в стену помещения и т.д) - это определяет нужна ли поддержка ПППоЕ/ППТП.
3. Сколько законных адресов имеется.
4. Нужны ли ДМЗ - например почтовый сервер или Веб в отдельном сегменте с доступом из интернета - отсюда можно сформулировать требование к количеству НИКов на железке. Это ОЧЕНь влияет на цену. Дело в том, что в моделях начального уровня обычно 2 интерфейса без возможности расширения.

Подберем тебе что-нибудь. :w00t: :fear2:

З.Ы. Не кажется ли вам, что последние пару страниц нужно перенести в отдельный топик? А то что-то слишком большой контраст между бурным началом темы и ее занудным концом. :diablo: :sick:

ок. ситуация такая:

Балтийск: офис сидит на выделенной линий, но потом здесь будет SDSL 2 Мбита, в локалке один AD DC, почтовый сервер (MDaemon, буду менять на Excandge) и 15 пользователей

Москва: точно не скажу, но когда я там был, я видел что у них уже их домен входит в состав чего-то там... потому что в сетевом окружении видны подсети и в лондоне и в женеве и т.д.

как у них там организовано: лесом, деревом - не знаю, я там был всего один день и не разобрался еще.

почему я так все выспрашиваю: конечно, когда будем связывать наши домены мне все скажут, но как-то хочется подготовится к этому вопросу и быть может выбить для себя лучший вариант.

С Балтийском все более-менее понятно - стандартная ситуация Small Office. Типичное решение - двухинтерфейсный appliance. Когда будет SDSL, будет и раутер. Провайдер выделит некоторое кол-во "взрослых" адресов, один из них займет внутренняя нога раутера, другой - внешняя файервола. Все локальные компы присоединены к внутреннему интерфейсу файервола, в Интернет и в ВПН ходят через него. Адреса у всех - левые. Для доступа к Ексченжу из интернета на железке открывается Static NAT или Port Redirection, в зависимости от наличия свободного "взрослого" адреса. Как рекомендуемую альтернативу можно рассмотреть покупку трехинтерфейсного железа, тогда в полученный ДМЗ можно поставить еще один почтовый сервер-релей, который будет форвардить почту в Ексченж.

Минимально подходящие железки из серьезных ценой в 500-700$.- Safe@Office110 (S-Box), Nokia IP 40 и Cisco PIX-501. Все упомянутые продукты расчитаны на несколько меньшее кол-во юзеров (в стандартной форме лицензирования), возможно придется немного доплатить.

С Москвой сложнее (у них там в Москве всегда все сложно :diablo: ). Из наличия лондонских и женевских доменов можно предположить наличие также и существующих интернет и/или WAN линий, и Балтийский оффис понадобиться интегрировать в существующую инфраструктуру. Тут без подробного анализа существующей сети не обойтись, и следует танцевать от уже установленного оборудования. В любом случае, предпочтительнее иметь две железки от одного вендора на разных концах. Скажем, если окажется что в Москве стоит раутер Cisco , то лучше всего для Балтийска подойдет PIX, если там Checkpoint - то Nokia или S-Box. Что-то ж там есть, и не слабое, они ведь как-то и в интернет и в Лондон ходят. Нагрузка там судя по всему не малая, вышеперечисленные младшие модели скорее всего не подойдут. :w00t: :fear2:

heineken man
Да не так уж и понятно. Но если начали говорить об интеграции, то получается, что возможны два варианта: каждый из доменов располагается в отдельном сайте, или один из доменов разбит на несколько сайтов. А это уже в корне меняет дело. И сколько серверов DNS - Балтийск, если народу там мало, может вообще обойтись без него, ну или одного хватит, а вот все остальные? Как они между собой связаны? Как они вообще стоят? Если все за стенками, то по 53-у и готово, если один(и) там, а другой(е) снаружи, как ты будешь связывать? Это на все сервера ставить надо и настраивать-переделывать, о чем ты говоришь? Не получится вот так "железно" внедриться (ИМХО)... Схема-то давно пашет, все утверждено, ты можешь только подстроиться под существующие условияи, и я просто не понимаю саму постановку вопроса:

Ребята, ведь это же форум для начинающих, а не для крутых админов!

ну что же - может модератор отреагирует и отрежет мой кусок в куда-нибудь? ;) и назовет его - "как связать две сети по VPN (или не по VPN)"

Админы - режьте, а то меня совесть мучает. :w00t: :fear2:

пусть Москва сама с собой разбирается, тем более, что у нее уже есть структура через которую они ходят в Лондон.

можно ли не вникая в структуру Москвы, посоветовать решение для Балтийска, чтобы, например, иметь железку для хождения в инет и поддежржки защищенного канала для связи с Москвой?

разговаривал с Москвой - новая вводная, пока с Лондоном нас интегрировать не будут, в Москве поставят новый сервер, отдельный канал и все это только для связи с Балтийском... то есть сначала мы настроим связь Москва-Балтийск, вот. Но по сути ничего не поменялось и я еще раз повторю: сначала разберемся с железкой (однозначно будет железка) что вы посоветуете взять для подобных условий с прицелом на будущее (может мы и не будет расти численно по экспоненте, но запас прочности иметь надо) и не сильно ограничивая себя в деньгах (кстати - в Лондоне предпочитают циски, пусть и у меня будет циска ;) )

up

Так за тебя уже все решили- бери ^cisco^, и не мучайся, раз деньги дают. По твоим требованиям сгодится даже 501, но если можно потратить больше, то возьми 506 для душевного спокойствия.

heineken man перенял эстафету. Удачи.
:)

Во.. спасибо за конкретный ответ - значит 501 или 506 - будем клянчить :)

Если модератор не вырежет это кусок, то он так и останется тут

Я пойду покупать книгу и пока железка не появится буду изучать мат.часть

Скажите, а можно сначала сделать связь опираясь на програмные продукты, а потом переключить это на железку? а то мне ее в течении месяца врядли купят.

Тут такой момент - 501 и 506 PIX-ы двухинтерфейсные, без возможности расширения. 15 юзеров с тенденцией на увеличение сеть уже не крошечная, а вполне даже чувствительная, особенно если вместе с расширением канала юзеры почувствуют апетит к серьезным даунлоудам (ФТП, П2П). Плюс по существующему VPN туннелю начнут гонять не только синхронизацию доменов, но и много всего прочего. Я конечно понимаю, что 0.5-1к и 2-3к суммы совершенно разные, но все же PIX-515 - "взрослый" файервол, который может с успехом работать как с 15 юзерами, так и с значительно большим количеством, не предявляя при этом ограничений малых моделей. Если фирма готова платит за вхождение в мир серьезных дядь (а симметричный канал 2мб очень даже "совершеннолетний", я до этого года менеджил фирму с 150 юзерами плюс 20 ВПН туннелей на таком канале), то лишняя тысяча зеленых никого не должна остановить. IMHO. :w00t: :fear2:

Насчет поиграться пока программно, муторное это дело поднимать такие вещи на временной инфраструктуре. Временной, потому что наверняка новый канал с сервером в Москве еще не готов, а выводить через существующий без внедрения в структуру сети не получится, как уже неоднократно подчеркивалось. Да и в Балтийске пока 128к, наверняка забит в дупель 24 часа в день, только туннелей там не хватало. :help:
Месяц всего - сколько той зимы. :w00t: :fear2:

Мне кажеся, что и маленького ^PIX^ должно хватить- трафик он потянет, а дополнительный интерфейс для ^DMZ^ в региональном офисе вряд-ли нужен. Но! Если дают $$, надо покупать самое лучшее. Купишь и будет работать- никто тебя ни в чем не упрекнет, а если возмешь подешевле и через некоторое врмея выяснится, что мощи не хватает, то шишки могут посыпаться Хорошо, если ты им в ответ сказать- я хотел получше, а вы денег не дали :p
Я лично маленьких ^PIX^ов не видел. у меня только 515ые, да и те я не использую для ^VPN^. Недавно разжился большой книгой. Посмотрел, тебе все равно подходит 501. 506 отличается только скоростью- ^3DES VPN^ до 17Мб вместо 3. 515 имеет больше возможностей- до 6 интерфейсов, поддержка ^failover^, скорость еще выше- до 140Мб. Вопрос только, нужно ли тебе это. Я думаю, что нет, но если бабки есть- бери!