Windows 2012 R2 domainban local admin

Sziasztok!

Nem tudok rájönni, hogy ha beteszem a szervert domainben akkor miért nem tudok bejelentkezni local adminként?

Domain: FS.DOMAIN.LAN
Local: FS

Login a domainbe DOMAIN\Rendszergazda
Login a localba FS\Rendszergazda

Utóbbira írja helytelen felhasználónév vagy jelszó. Azért is kellene pl. mert csak local adminként tudom állitani a local policyt. Vagy itt már ezt máshogy kell elérni?

Minden segítséget előre is köszönök.

Bye Totonyás

Hozzászólások

FS\administrator

Local GPO-t a következő tartományi csoportok szerkeszthetik alapértelmezetten:
Domain Administrators, Enterprise Administrators, Group Policy Creator Owners

De inkább tartományi GPO-t használok mindenhol, a policy-t delegálhatod csak az adott gépre.

Thx a választ. Ez egy magyar Windows 2012 R2, és a legfőbb kínom az, ha pl a local policyben be van állítva a passwords complexity de a főnökség meggondolja magát akkor azt már nem tudom állítani ha nem tudok belogolni local adminként. Elég rég installáltam Windowst szerver ez a 2012 elég sok meglepetést okozott, pillanatnyilag virtualizált környezetben próbálkozom.

Nem teljesen.
Az első DC telepítésénél a lokális felhasználók tartományi felhasználókká konvertálódnak, a következő DC-knél a lokális felhasználók nem konvertálódnak, de csak safe mode-ban érhetőek el, a 'net user' kiadásakor látod, hogy nem a lokális, hanem a tartományi usereket fogja listázni.

Domain member esetén semmi nem változik a beléptetésnél.

Lehet, hogy a kérdéses szerver DC, ezt elfelejtettem megkérdezni. :)

Hello,

nem pontosan értem a helyzetet, légyszi segíts tisztázni:
-hogy érted, hogy a domain az FS.DOMAIN.LAN? Létezik DOMAIN.LAN nevű AD domain, aminek az FS.DOMAIN.LAN egy AD aldomainje? Vagy ha nem ilyen, milyen az AD hierarchia?
-vagy inkább FS a host neve, FS.DOMAIN.LAN az FQDN-je és a gép a DOMAIN.LAN domain tagja?
-login a domainbe: ezek szerint a domain-es rendszergazda fiók a DOMAIN.LAN domainben taláható?
-melyik domain tagja a FS gép?
-az FS gép domain member vagy domain controller?

Ha az FS sima domain member, akkor továbbra is simán hozzáférhető kell legyen a helyi felhasználói adatbázis.

Üdv,
Marci

Délutánra pontosan leírom milyen lépéseket követtem el, milyen eredménnyel. A FS.DOMAIN.LAN a gép FQDN-je, DC lenne, és azt szeretném ha a lokál gépre akarok bejelentkezni akkor is menjen ha a domainba akkor is.
Domain login DOMAIN\Rendszergazda
Lokal gép login FS\Rendszergazda
Utóbbi nem megy.
Ha a domainbe új juzert akarok felvenni bizonyos esetekben kiírja, hogy nem lehet a jelszóházirend beállítása miatt. Emlékeim szerint a GPO-ban ok minden, a Helyi házirend Fiók/Jelszóbeállítások inaktívak.

Mindenkinek köszönöm a választ valószínű én tolhattam el valami. Vagy nem futtatam a gpupdate-et vagy nem léptettem életbe a DDP-t vagy valami más lehetett. Pár apróbb beállítás kel majd még, pl. a login scripnél a net time \\szervernev /set /yes miért nem fut le illetve jó lenne hamar megtalálni hogy a klasszikus login screen legyen minden usernél.
De ezekkel egy későbbi topicban kérek tőletek segítséget.

Kellemes Hétvégét Mindenkinek :)

Bye Totonyás

Meglesem a tűzfalat.
Vmware-en próbálom a szerver/kliens felállásban a háló host only. A DHCP-t úgy konfigoltam hogy legyen időszinkron.
Szerintem biztos ami biztos loginkor legyen időszinkron
Emlékeim szerint ezt anno ide tettem, de lehet ez is változott az idők folyamán?
Ha nem ide akkor hová kell tenni, hogy a kliens órája a szervertől kérdezze le állítsa be a pontos időt.

Bye Totonyas

+1

"Every computer that is running the Windows Time service uses the service to maintain the most accurate time. In most cases, it is not necessary to configure the Windows Time service. Computers that are members of a domain act as a time client by default. "

http://technet.microsoft.com/en-us/library/cc773013(v=WS.10).aspx

Üdv,
Marci

Ez az időbeállítás nálam nem nagyon megy juzerként :) de ezzel később is elszórakozom. A nagyobb kérdés az, hogy W7 kliens alatt látja a szervert és a megosztásokat azonban XP alól a hálózatnál csak a netbios nevet írja ki. A home directoryt mountolja de pl. egy közös mappát nem tud elérni. Ha IP vagy gépnevet írok jó
\\fileserver\kozos
192.168.1.2\kozos
Egyébként nem.
De az se tudom merre keresgéljek?

Bye Totonyas

p.s. XP-ben ki kell kapcsolni a tűzfalat...de ez nem hiszem hogy a végleges megoldás.

Lehet kettőről beszélünk.
Én csak annyit szeretnék, hogy minden egyes bejelentkezésnél a kliens lekérdezze a szervertől az időt és ha az eltér attól akkor hozzá igazítsa.
Ezt anno a pattintott bitkorban volt, amikor kb utoljára winszervereket installáltam. A login scriptben kb így adtam meg:
net time \\servername /yes /set
Bye Totonyás

Régen nem tudom hogy ment, de most erre valszeg nincs szükséged, mert a win alapból domainbe léptetés után szinkronizálja a DCtők, fentebb van egy link, ott bővebben olvashatsz róla. Az a lényeg, hogy egy win time service elintézi helyetted a melót. Ki is próbálhatod, hogy adminnal elállítod az időt egy kliensen majd újeaindítod.

De ha user-nek jogot adsz akkor esélyt adsz arra, hogy elbarmolja az időt.
Ha már minden áron akarsz ilyen szkriptet akkor szerintem login script helyett csinálj startup scriptet, az a system vagy a computer nevébe fut(whoami-vel megnézheted) és annak alapból lesz joga, ha mégsem, akkor adsz neki.

Ez esetben a helyi rendszergazda fiók csak egyetlen speciális esetben használható (AD helyreállítása).
Azon túl a helyi SAM nem hozzáférhető, de nem is kell: minden feladatát a domain admin tudja elvégezni.
Amíg DC-ként működik, nincs FS\ login.

Üdv,
Marci