Sette opp Active Directory i Windows Server 2003

[ob1]

1.

Hvis serveren går ned så blir de nok utilgjengelige ja. Når det gjerlfder desktop så er det en del av profilen din, og hvis du da implementerer roaming profiles så har du den liggende på serveren og kopieres til arbeidsstasjonen hver gang du logger på.

 

2.

Det er ikke noe problem. Du vil nok kanskje se litt blanding av norsk og enkelsf noen plasser. Som f.eks i Group policy på serveren. Det er ren kosmetikk og ikke noe farlig da.

[Newbeee]

Finnes da heldigvis andre OS enn Windows 2003.

 

Vi administrerte en OU som et lite læringsoppdrag på skolen. For meg virket det ganske forvirrende, klarte ikke helt å se hvordan ting hang sammen, og hvorfor ting var som de var. Dette er vel kanskje et kjennemerke for alle Microsoftprodukter.

 

 

At du syntes det er forvirrende betyr ikke at det er dårlig. Enkelt å skjønne hvordan det henger sammen spør du meg.....

[ob1]

Ble du bare satt ned foran en server eller var det noen som viste/forklarete deg hvordan det hang sammen?

 

Jeg synes at AD og DNS er meget logisk og fornuftig bygd opp!

[jocke]

Har nå endelig satt opp win2003server m/ dhcp, dns og wins.

 

Men "problemene" kommer når jeg skal legge til brukere på domenet.

Jeg vil at hver enkelt bruker som lages, skal automatisk få sin egen home-directory på C:\Users\Home\%USERNAME%.

Når jeg skriver dette inn i profilen, får jeg en melding om at brukeren/systemet ikke har rettigheter til å opprette mappen %USERNAME% under angitt folder. Hvordan setter jeg en setting som gjør at hver enkelt bruker får tilgang til sin angitte home-directory - UTEN å legge til rettighetene manuelt på hver enkelt mappe.

 

Jeg vil også ha sånn roaming-profile, noe jeg har klart. Men får fremdeles samme "feilmelding" når jeg skriver C:\Users\Profiles\%USERNAME%.

Mappen C:\Users\Profiles\ er ikke sharet, men blir tilgjengelig fordeom. Eller?

[kjhanken]

Jeg vil at hver enkelt bruker som lages, skal automatisk få sin egen home-directory på C:\Users\Home\%USERNAME%.

Når jeg skriver dette inn i profilen, får jeg en melding om at brukeren/systemet ikke har rettigheter til å opprette mappen %USERNAME% under angitt folder. Hvordan setter jeg en setting som gjør at hver enkelt bruker får tilgang til sin angitte home-directory - UTEN å legge til rettighetene manuelt på hver enkelt mappe.

 

Jeg vil også ha sånn roaming-profile, noe jeg har klart. Men får fremdeles samme "feilmelding" når jeg skriver C:\Users\Profiles\%USERNAME%.

Mappen C:\Users\Profiles\ er ikke sharet, men blir tilgjengelig fordeom. Eller?

Først bruk alttid unc (?) navnet, altså \\server\users\%username% når du setter opp profiles og brukerområder. Ikke finn på å bruk c:\users\home\%username%, siden dette vil ikke fungere over nettverket.

 

I rotmappen for brukermappenene (altså users i mitt tilfelle og home i ditt), gir du domain admins eller administrators fulle rettigheter. Ingen andre trenger rettigheter i den mappen. Når du da oppretter nye bruker med \\server\users\%username% som beskriver hvor hjemmeområdet til brukeren ligger, vil systemet automatisk opprette mappen og sette rettighetene slik at brukeren får tilgang.

 

I rotmappen for profiles setter du slik at domain users har fulle tilganger. Dette fordi disse mappene blir opprettet når brukeren logger seg på første gangen. Sikkerheten kan du sette i GP'en slik at brukeren tar eierskapet på mappene som han oppretter. Noe som er et svineri dersom du skal hjelpe brukeren, siden du da må ta ownership over mappene.

[jocke]

Takk, fikk litt klarhet i hvordan ting fungerer.

Så jeg må fjerne rettigheten "everyone" på begge mappene? (siden ingen andre enn aktuell bruker skal se home/profiles-mappa).

 

Og finnes det en måte å lage "mange" brukere på èn gang? På skolen min, har dem 300 brukere ++. Er det slik at sysadmin har lagt inn èn og èn manuellt? Eller kan han lage brukere ut i fra en database (f.eks. excel-dokument)...

Det er jo ganske mye som legges inn, blant annet fullt navn (noe som blir over 600 ord)..

 

En ting til;

til nå, har jeg slettet profilmappen (til brukeren jeg har logget på domenet med), slik at jeg "begynner på scracth" hver gang eg logger på.. bare for å "teste".. når den logger på - bruker den LAAANG tid.. (nesten 5 minutter).. Er dette en instilling, eller er det bare fordi eg har skrevet "C:\Users\.."? (istedetfor over nettverket)

 

En siste ting;

hvordan kan jeg sette homefolder'en, uten at den blir tilkoblet som nettverksdisk? (jeg vil kjøre logon-script til dette). Det er jo bare to alternativer; lokalt på maskinen, eller via delt resurs på servern (siste alternativ gjør at den automatisk kobler disken til).

[ob1]

Så jeg må fjerne rettigheten "everyone" på begge mappene? (siden ingen andre enn aktuell bruker skal se home/profiles-mappa).

 

Du kan godt fjerne "everyone" så lenge "domain users", "domain administrators" og "system" har tilgang.

 

Det finnes script og noen programmer som lager flere brukere utifra f.eks en tekstfil. "addusers.exe" er et slikt program men den finner du i Resource kit'et. Ikke integrert i Windows.

 

Du kan lete litt på microsoft.com om det ligger noe til nedlasting der.

 

til nå, har jeg slettet profilmappen (til brukeren jeg har logget på domenet med), slik at jeg "begynner på scracth" hver gang eg logger på.. bare for å "teste".. når den logger på - bruker den LAAANG tid.. (nesten 5 minutter).. Er dette en instilling, eller er det bare fordi eg har skrevet "C:\Users\.."? (istedetfor over nettverket)

 

Hvor stor er profilen din? Husk at det du lagrer på desktopen din også blir kopiert over nettverket ved roamnig profiles.

 

mtp Hjemmekatalogen så kan du re-directe "my documents" til et share. Det blir ikke det samme men det er nesten.

 

Håper det hjalp.

[Lurifaksen]

Nå har jeg rotet det til...

 

Jeg satt opp redirect av både application data, desktop og my documents. Siden det fungerte særdeles dårlig, pga offline files rot, og at alle ikonene får et lite "synkroniserings-ikon" på seg, valgte jeg å gå tilbake til vanlig. Men det ser ikke ut til å fungere.

 

Fremdeles prøver windows å synkronisere mappene når jeg logger av, og Opera finner ikke de opprinnelige innstillingene sine.

 

Er det noe jeg har glemt å fikse?

[prolixin]

Nå har jeg rotet det til...

 

Jeg satt opp redirect av både application data, desktop og my documents. Siden det fungerte særdeles dårlig, pga offline files rot, og at alle ikonene får et lite "synkroniserings-ikon" på seg, valgte jeg å gå tilbake til vanlig. Men det ser ikke ut til å fungere.

 

Fremdeles prøver windows å synkronisere mappene når jeg logger av, og Opera finner ikke de opprinnelige innstillingene sine.

 

Er det noe jeg har glemt å fikse?

Dropp synkronisering og roaming, blir bare rot

 

Hvis du absolutt skal sentralisere ting så ett heller opp en Citrix metaframe server og lek deg med published applications og roaming på terminal profiler, mye mere gøy

Endret 22. april 2004 av prolixin

[jocke]

Du kan godt fjerne "everyone" så lenge "domain users", "domain administrators" og "system" har tilgang.

Men da får jo alle domain users tilgang til home-mappa til hver enkelt bruker - noe jeg ikke vil. Hvordan gjør jeg det i så fall?

[prolixin]

Du kan godt fjerne "everyone" så lenge "domain users", "domain administrators" og "system" har tilgang.

Men da får jo alle domain users tilgang til home-mappa til hver enkelt bruker - noe jeg ikke vil. Hvordan gjør jeg det i så fall?

Det er snakk om sharet/hoved katalogen, ikke bruker folderne som havner under denne. Bruker folderne og rettigheter blir lagd automatisk når du skrive inn unc path'et til brukeren i AD.

[jocke]

Du kan godt fjerne "everyone" så lenge "domain users", "domain administrators" og "system" har tilgang.

Men da får jo alle domain users tilgang til home-mappa til hver enkelt bruker - noe jeg ikke vil. Hvordan gjør jeg det i så fall?

Det er snakk om sharet/hoved katalogen, ikke bruker folderne som havner under denne. Bruker folderne og rettigheter blir lagd automatisk når du skrive inn unc path'et til brukeren i AD.

Takk

Forresten; hvordan får jeg DHCP-servern til å dele ut IP'er til maskiner som ikke er logget på domenet? (eller *skal* den gjøre det by-default).

[prolixin]

Du kan godt fjerne "everyone" så lenge "domain users", "domain administrators" og "system" har tilgang.

Men da får jo alle domain users tilgang til home-mappa til hver enkelt bruker - noe jeg ikke vil. Hvordan gjør jeg det i så fall?

Det er snakk om sharet/hoved katalogen, ikke bruker folderne som havner under denne. Bruker folderne og rettigheter blir lagd automatisk når du skrive inn unc path'et til brukeren i AD.

Takk

Forresten; hvordan får jeg DHCP-servern til å dele ut IP'er til maskiner som ikke er logget på domenet? (eller *skal* den gjøre det by-default).

den skal gjøre det som default. du må huske på å autorisere DHCP servern for at den skal virke da.

 

men de blir ikke registert i DNSen før de er lagt inn i domenet.

[ob1]

DHCP-serveren skal gi ut IP'er uavhengig om de er med i domenet eller ikke.

[jocke]

DHCP-serveren skal gi ut IP'er uavhengig om de er med i domenet eller ikke.

Jepp, men jeg hadde glemt å autorisere dhcp-scop'en.

[ob1]

bare en liten korrigering:

 

Du autoriserer en DHCP-server. (bare nødvendig i domener)

Du aktiverer et DHCP-scope.

 

Jeg regner med at du autoriserte serveren, siden det vanligvis er den som folk glemmer eller ikke vet om.

[jocke]

bare en liten korrigering:

 

Du autoriserer en DHCP-server. (bare nødvendig i domener)

Du aktiverer et DHCP-scope.

 

Jeg regner med at du autoriserte serveren, siden det vanligvis er den som folk glemmer eller ikke vet om.

Oooops. Spelling-nazi-crew har hacket seg inn på maskinen min igjen

Mente seff at jeg hadde autorisert dhcp-servern.

[jocke]

Så kom jeg hjem og skulle teste hele ruklet her da. Hater når ting ikke fungerer slik *jeg* vil at det skal fungere

 

Uansett, har laget en bruker som heter "jallakim". Lokalt på servern har eg laget følgende mapper til brukerne;

C:\Users\Home

C:\Users\Profiles

Derav %USERNAME% blir subfolders under disse mappene.

 

Da jeg laget brukeren "jallakim", skrev jeg inn følgende baner;

Profile path: \\home\profiles\%USERNAME%

Home folder -> Connect: M: to \\home\home\%USERNAME%

Mappene endret seg raskt til \\home\%folder%\%username%, og rettigheter ble satt.

 

Da jeg så logget på, mekket den en ny profil, og aktiverte dette fint. Men litt seinere oppdaget jeg at den lagret profilen lokalt fremdeles. Fikk heller ikke tilgang til å opprette filer/mapper på home-området (som ble connecta som M:).

 

What the heck did I do wrong?

 

edit; fant ut at %USERNAME% under "Profile path", ble endret til "jallakim" (duh..), men den laget ingen mapper under C:\Users\Profiles\, og det ble heller ikke satt noen rettigheter til brukeren under denne mappen. Hva skjer?

 

edit2; rettighetene som blir opprettet når eg skriver inn %USERNAME% i home-path, settes bare under fanen "Security".. Vil denne overstyre settingene under "Sharing"? Brukeren "jallakim" får i alle fall ikke tilgang til å lage filer/mapper under home-folderen (som ikke har noen settings under "sharing", men bare under "security".)

Endret 23. april 2004 av jallakim

[ob1]

Share og NTFS-rettigheter vil kombineres hvor den mest restrektive blir gjeldene. Default er alle shares i XP og win2003 everyone - read, og der for vil brukerene bare ha lese-rettigheter når de kobler seg til sharet uavhengig hva NTFS-rettighetene sier.

 

Sjekk dette!

[jocke]

Share og NTFS-rettigheter vil kombineres hvor den mest restrektive blir gjeldene. Default er alle shares i XP og win2003 everyone - read, og der for vil brukerene bare ha lese-rettigheter når de kobler seg til sharet uavhengig hva NTFS-rettighetene sier.

 

Sjekk dette!

Poenget er at selve mappen C:\Users\Home\jallakim ikke er sharet, bare C:\Users\Home\. Sistnevnte mappe har følgende permissions på shar'en;

Domain Admins - Allow all

Domain Users - Read only

SYSTEM - Allow all

..og følgende permissions på security'en;

Domain Admins - Allow all

Domain Users - Read & Execute, List Folders, Read

SYSTEM - Allow all

Så der skal det egentlig ikke være noe problem. Eneste måtte vært at Domain Users bare har Read (noe som forsåvidt er rett, men de enkelte brukerne skal ha full tilgang til sine egne home-mapper.)

 

På mappen C:\Users\Home\jallakim, er det ikke noen permissions på shar'en, siden denne ikke er sharet som en enkelt folder. Derimot har den følgende permissions på security'en;

Administrators - Allow all

Domain Admins - Allow all

Domain Users - Read & Execute, List Folders, Read

Jallakim - Allow all

SYSTEM - Allow all

I henhold til de siste instillingene, får brukeren "jallakim" fulle rettigheter på denne mappen. Men det gjelder vel kanskje bare lokalt på servern? Hvordan får eg i så fall satt rettighetene slik at brukeren "jallakim" får full tilgang til C:\Users\Home\jallakim, men ikke til f.eks. C:\Users\Home\%USERNAME% (der %USERNAME%=tilfeldig annen bruker)...?

 

Fikk også en feilmelding tidligere i dag når jeg logget på datamaskinen, som sa at jeg ikke hadde tilgang til C:\Users\Profiles\... Da jeg sjekket denne mappen, har det ikke blitt laget en mappe som heter "jallakim" der (selv om jeg skrev \\home\profiles\%USERNAME%), og det har heller ikke blitt satt rettigheter - noe som gjør at den ikke kan opprette noe der. Finnes det en måte å "fikse" dette på, eller må jeg gjøre settingen manuelt?

 

Mappen C:\Users\Profiles\ har følgende permissions på shar'en;

Domain Admins - Allow all

Domain Users - Read only

SYSTEM - Allow all

..og følgende permissions på security'en;

Domain Admins - Allow all

Domain Users - Read & Execute, List Folders, Read

SYSTEM - Allow all

Så jeg ser ikke helt hvorfor systemet ikke har mekket en sub-folder i henhold til %USERNAME% (dvs for brukeren jallakim -> C:\Users\Profiles\jallakim)

 

Hva er galt?