Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Sette opp Active Directory i Windows Server 2003

Lurifaksen

Av Lurifaksen
i Internett og nettverk

Anbefalte innlegg

ob1

ob1

Skrevet
Skrevet

Hvorfor skal du det? "users" og "auth.users" vil i ditt tilfelle være de nøyaktig samme brukerene! men gå på properties - security på policy'en og fjern aloow apply policy på auth. users, legg til "users" og gi de den allow apply policy og allow read.

 

Treg innlogging kan være at den enten timer ut for å vente på profilen eller så er det policy som tar opp tiden

 

Sjekk event viewer - application log på maksinen du logger på etter feil som oppstår under pålogging.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
jocke

jocke

Skrevet
Skrevet

Dette med rettigheter gjør meg sprø!!

Skulle kopiere over loggfilen fra klientmaskinen. Fant da ut at siden sharen \\home\Users\ har "everyone -> FC", kan jo alle (absolutt alle) gjøre endringer. Denne endrer jeg nå til "Authenticated Users", så blir det affal litt kontroll.

 

Uansett, her er loggfilen til klientmaskinen.

Lenke til kommentar
ob1

ob1

Skrevet
Skrevet (endret)

Jammen du bruker NTFS-rettigheter til å begrense tilgang, ikke share. La share stå på everyone FC og glem share fullstendig. At alle kan gjøre endringer er fordi at du ikke har skrudd til NTFS-rettighetene!

 

 

Det er klart du blir sprø av rettigheter hvis du hele tiden skal køle med share-rettighter. Ikke bruk de! Bruk NTFS-rettigheter og sett (som sagt mange gang nå) share til "everyone FC". Da vil ikke share påvirke rettigheter i det hele tatt og du kan dermed konsentrere deg om kun NTFS-rettigheter for å begrense tilgangen. Det gir mye bedre oversikt og kontroll! :thumbup:

Endret av ob1
Lenke til kommentar
Lurifaksen

Lurifaksen

Skrevet
  • Forfatter
Skrevet

ob1: Du har vel tilfeldigvis ikke peiling på hvordan jeg kan fikse slik at jeg kan lage brukere som ikke krever passord. Min mor og søster gidder ikke å skrive inn passord, og sikkerhetsmessig så bryr jeg meg ikke så mye, siden disse kontoene er restriktert allikevel, og det ville allikevel ikke vært verdens undergang.

 

Jeg har vært inne i "Domain security policy" og skrudd av alle passords-restriksjonene der, men det ser ut til at det er flere plasser jeg må gjøre det, siden det ikke hadde noen effekt. Har du peiling på hvor?

Lenke til kommentar
jocke

jocke

Skrevet
Skrevet
Jammen du bruker NTFS-rettigheter til å begrense tilgang, ikke share. La share stå på everyone FC og glem share fullstendig. At alle kan gjøre endringer er fordi at du ikke har skrudd til NTFS-rettighetene!

 

 

Det er klart du blir sprø av rettigheter hvis du hele tiden skal køle med share-rettighter. Ikke bruk de! Bruk NTFS-rettigheter og sett (som sagt mange gang nå) share til "everyone FC". Da vil ikke share påvirke rettigheter i det hele tatt og du kan dermed konsentrere deg om kun NTFS-rettigheter for å begrense tilgangen. Det gir mye bedre oversikt og kontroll! :thumbup:

Fant ut hvorfor jeg kunne mekke mapper - var ikke noe med permissions.

For å finne loggen, måtte jeg logge meg inn som admin på klientmaskinen, og den hadde tilfeldigvis samme bruker/passord som servern. Derfor fikk den fulle rettigheter via nettverket. Har nå endret adminpass på klientmaskin, samt adminbruker på server.

 

Uansett; fikk du noe fornuftig ut av loggen?

Lenke til kommentar
ob1

ob1

Skrevet
Skrevet
ob1: Du har vel tilfeldigvis ikke peiling på hvordan jeg kan fikse slik at jeg kan lage brukere som ikke krever passord. Min mor og søster gidder ikke å skrive inn passord, og sikkerhetsmessig så bryr jeg meg ikke så mye, siden disse kontoene er restriktert allikevel, og det ville allikevel ikke vært verdens undergang.

 

Jeg har vært inne i "Domain security policy" og skrudd av alle passords-restriksjonene der, men det ser ut til at det er flere plasser jeg må gjøre det, siden det ikke hadde noen effekt. Har du peiling på hvor?

Gå inn i AD users and comp, høyreklikk på domenet - properties - group policy.

Default domain policy er der fra før, men hvis det ligger flere der så kan de overstyre det du har satt der!

 

Hvis det bare er den der så ta edit og sett

Minimum password length til 0

Maximum password age til 0

 

frem med et kommandopropmt og kjør "gpupdate /force".

 

Tilbake i AD users and comp. høyreklikk på brukerene - set password og sett det blankt. Logg så inn medbrukerene og blankt passord.

 

That should be it.

Lenke til kommentar
ob1

ob1

Skrevet
Skrevet (endret)

Fant ut hvorfor jeg kunne mekke mapper - var ikke noe med permissions.

For å finne loggen, måtte jeg logge meg inn som admin på klientmaskinen, og den hadde tilfeldigvis samme bruker/passord som servern. Derfor fikk den fulle rettigheter via nettverket. Har nå endret adminpass på klientmaskin, samt adminbruker på server.

 

Uansett; fikk du noe fornuftig ut av loggen?

Jeg sa at du skulle sjekke loggen. Det er greit å hjelpe deg, men jeg gjør ikke jobben for deg!

 

Med mindre du begynner å spandere halvlitere på meg da.... :thumbs:

 

edit: Ikke at du er gammel nok til det da... :p

Endret av ob1
Lenke til kommentar
Lurifaksen

Lurifaksen

Skrevet
  • Forfatter
Skrevet (endret)
Hvis det bare er den der så ta edit og sett

Minimum password length til 0

Maximum password age til 0

 

frem med et kommandopropmt og kjør "gpupdate /force".

I stedet for å sette minumum til "0" hadde jeg prestert å sette den til "not defined" :p

 

Det fungerte nå :)

Endret av GeeZuZz
Lenke til kommentar
jocke

jocke

Skrevet
Skrevet (endret)
Jeg sa at du skulle sjekke loggen. Det er greit å hjelpe deg, men jeg gjør ikke jobben for deg!

 

Med mindre du begynner å spandere halvlitere på meg da....  :thumbs:

 

edit: Ikke at du er gammel nok til det da... :p

Om en måned spanderer jeg halvliter :p

 

Denne meldingen oppstod som "feil" under loggen;

Windows kan ikke bestemme bruker- eller datamaskinnavnet. (Det angitte domenet finnes ikke eller kan ikke kontaktes. ). Gruppepolicybehandling er avbrutt.

Dette er feilmeldingene som oppstår i forhold til domenepålogging. Ut i fra det jeg kan se, er det noe galt med policy-instillingene. Men hva?

 

Og denne som "advarsel";

Windows har oppdaget at frakoblet hurtigbufring er aktivert på den delte ressursens sentral brukerprofil. Frakoblet hurtigbufring bør deaktiveres på delte ressurser hvor sentrale brukerprofiler lagres, for å unngå profilkorrupsjon.

Hvor finner jeg instillingene for denne "frakoblet hurtigbufring"? (har dette noe med synchronizing av filer?)

 

Under feilmeldingen, får jeg en url til en side med "mer informasjon", men jeg får bare en beklagelig feilmelding fra MS om at det ikke finnes noe hjelp på dette området. Og at det i tillegg står på norsk, hjelper meg lite - da det er vanskelig å søke etter hjelpeemner på supportsidene.

Endret av jallakim
Lenke til kommentar
Lurifaksen

Lurifaksen

Skrevet
  • Forfatter
Skrevet

Argh!

 

Det er en liten krise her nå.

 

Jeg kjøpte ny harddisk, og skulle flytte profil/home mappene over på denne. Det ble lettere sagt enn gjort. Jeg har jo ikke tilgang til å gjøre det selv med administrator rettigheter!

 

Er det virkelig ikke mulig at administrator får full tilgang til alle profil/home mapper?

Lenke til kommentar
prolixin

prolixin

Skrevet
Skrevet
Argh!

 

Det er en liten krise her nå.

 

Jeg kjøpte ny harddisk, og skulle flytte profil/home mappene over på denne. Det ble lettere sagt enn gjort. Jeg har jo ikke tilgang til å gjøre det selv med administrator rettigheter!

 

Er det virkelig ikke mulig at administrator får full tilgang til alle profil/home mapper?

Skal ikke være noe problem å flytte over de da. Det er ikke fordi filene er låst fordi profilene eller hjemmeområdet brukes ?

 

Sjekk security og se at administrator har full controll, hvis dette ikke er tilfelle, ta eierskap over alle filene/sub folderne og sett full controll.

Lenke til kommentar
ob1

ob1

Skrevet
Skrevet

Den korrekte måten er (mens alle brukerene er avlogget domenet) ta backup av hjemmeområder og profiler vha det innebygde backupprogrammet i windows. (start - run - ntbackup), rediger brukerene i AD slik at stien er peker til det nye stedet. Legg tilbake filene fra backup, men til den nye plasseringen. voila!

 

For administratorer og "backup operators" så kan de ta backup av filer som de ikke får tilgang til gjennom NTFS.

Lenke til kommentar
ob1

ob1

Skrevet
Skrevet
Windows kan ikke bestemme bruker- eller datamaskinnavnet. (Det angitte domenet finnes ikke eller kan ikke kontaktes. ). Gruppepolicybehandling er avbrutt.

 

Som det står helt i starten så har du ikke helt kontakt mellom klienten og serveren. sjekk DNS'en og se i dns-sona om bå de serveren og klienten ligger der med riktige ip-adresser. HVis det er ok, så se etter skrivefeil i Group policy eller i properties på brukeren.

Lenke til kommentar
prolixin

prolixin

Skrevet
Skrevet
Den korrekte måten er (mens alle brukerene er avlogget domenet) ta backup av hjemmeområder og profiler vha det innebygde backupprogrammet i windows. (start - run - ntbackup), rediger brukerene i AD slik at stien er peker til det nye stedet. Legg tilbake filene fra backup, men til den nye plasseringen. voila!

 

For administratorer og "backup operators" så kan de ta backup av filer som de ikke får tilgang til gjennom NTFS.

Robocopy er også det veldig fint utilty som gjør hverdagen lettere for mange :)

Lenke til kommentar
jocke

jocke

Skrevet
Skrevet (endret)
Windows kan ikke bestemme bruker- eller datamaskinnavnet. (Det angitte domenet finnes ikke eller kan ikke kontaktes. ). Gruppepolicybehandling er avbrutt.

 

Som det står helt i starten så har du ikke helt kontakt mellom klienten og serveren. sjekk DNS'en og se i dns-sona om bå de serveren og klienten ligger der med riktige ip-adresser. HVis det er ok, så se etter skrivefeil i Group policy eller i properties på brukeren.

Vel, alle maskinene i nettverket (inklusiv servern) har %maskinnavn%.hjemme.asparges.net som fullt datamaskinnavn. Jeg får pinget alle maskinene, samt kopiert filer, osv.

 

Men jeg merket at noe er galt, blant annet når jeg prøvde å "manage" klientmaskinene fra servern. Da får jeg følgende feilmelding;

Computer \\%computername%.hjemme.asparges.net cannot be managed because the network is unreachable. Verify that your network cabling is securely attached.

Dette kan være i sammenheng med ovennevnte problem, eller at servern ikke har admin-tilgang på klientmaskinen. Eller?

 

1. Hvor kan jeg definere policyinstillinger pr. enkelt bruker?

2. Jeg får snart bredbånd igjen, og i den anledning vil jeg kjøre endel servere, osv. Siden jeg får router med DMZ, vil jeg sette denne mot servern jeg har nå. Servern står jo som DNS-server internt, men er det også mulig å få denne til å virke delvis mot internett? Dvs at jeg gjør etellerannet, som gjør at alle forespørsler mot hjemme.asparges.net går til servern. Hvis jeg da skriver ftp.%computername%.hjemme.asparges.net, kommer jeg inn på ftp-servern til den aktuelle maskinen. Eller hvis jeg skriver http:\\%computername%.hjemme.asparges.net\ kommer jeg til web-servern til den aktuelle maskinen. Er alt dette overhodet mulig, eller?

Jeg har tilgang til å legge til A, MX og CNAME-records på hjemme.asparges.net, samt at jeg vil bruke no-ip-tjenesten, slik at jeg kan oppdatere ip'en min (siden jeg ikke har fast ip). Desverre har jeg ikke en anelse om hvordan jeg skal gjøre dette, da jeg ikke har anledning til å sette inn url på dns-recordsa på domenet mitt (MÅ jeg ha en ip-adresse, eller skal det gå med url?).

Endret av jallakim
Lenke til kommentar
Lurifaksen

Lurifaksen

Skrevet
  • Forfatter
Skrevet

Er det mulig? Nå har det for pokker klikket igjen. Dette skjedde:

I dag startet PC-en fra standby, funket ingenting. Jeg la merke til at serveren sin port på huben ikke hadde lys. Merkelig nok var serveren fremdeles på, men lyset var av, og den var altså ikke tilgjengelig på nettverket. På en eller annen måte må nettverket på serveren klikket. Jeg skrur den av (har ikke skjerm, så gjør det den "lettvindte måten".

 

Jeg restarter også min egen maskin.

 

Når jeg skal logge på igjen, er plutselig profilen min blitt mongo. På serveren ser alt riktig ut. Alle filene i profilen er der, det er riktige "stier" spesifisert i profilinstillingene, men allikevel logges jeg på med en blanding av en ny og en gammel profil. Hva skjer? Jeg finner faktisk ikke en gang ut av hvor profilen lastes fra...

 

Hvordan kan jeg få den til å laste "Applications data" fra \\serveren\profiler$\%username% slik som jeg har spesifisert?

Lenke til kommentar
prolixin

prolixin

Skrevet
Skrevet
Er det mulig? Nå har det for pokker klikket igjen. Dette skjedde:

I dag startet PC-en fra standby, funket ingenting. Jeg la merke til at serveren sin port på huben ikke hadde lys. Merkelig nok var serveren fremdeles på, men lyset var av, og den var altså ikke tilgjengelig på nettverket. På en eller annen måte må nettverket på serveren klikket. Jeg skrur den av (har ikke skjerm, så gjør det den "lettvindte måten".

 

Jeg restarter også min egen maskin.

 

Når jeg skal logge på igjen, er plutselig profilen min blitt mongo. På serveren ser alt riktig ut. Alle filene i profilen er der, det er riktige "stier" spesifisert i profilinstillingene, men allikevel logges jeg på med en blanding av en ny og en gammel profil. Hva skjer? Jeg finner faktisk ikke en gang ut av hvor profilen lastes fra...

 

Hvordan kan jeg få den til å laste "Applications data" fra \\serveren\profiler$\%username% slik som jeg har spesifisert?

Velkommen til roaming profiles :devil:

Lenke til kommentar
Lurifaksen

Lurifaksen

Skrevet
  • Forfatter
Skrevet (endret)

Takk for velkomsten :)

 

Jo lenger jeg holder på med dette, jo dårligere løsning blir det... :(

 

edit:

 

Det som faktisk har skjedd, er at PC-en min (det kan vel ikke være serveren?) plutselig har funnet ut at "nå skal vi være litt norsk og bruke Profildata i stedet for Application Data"

 

Jeg meldte i går inn en norsk xp maskin, og antar at denne kan ha en finger med i spillet, selv om jeg ikke kan skjønne hvordan, for jeg har nemlig ikke logget på den med annet enn lokal administrator konto.

 

Hvorfor har min PC begynt å bruke Programdata i stedet for Application data - og hvem sa at en norsk windows fungerte fint i samme domene som engelsk windows? :ermm:

Endret av GeeZuZz
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...