Sziasztok!
Nem tudok rájönni, hogy ha beteszem a szervert domainben akkor miért nem tudok bejelentkezni local adminként?
Domain: FS.DOMAIN.LAN
Local: FS
Login a domainbe DOMAIN\Rendszergazda
Login a localba FS\Rendszergazda
Utóbbira írja helytelen felhasználónév vagy jelszó. Azért is kellene pl. mert csak local adminként tudom állitani a local policyt. Vagy itt már ezt máshogy kell elérni?
Minden segítséget előre is köszönök.
Bye Totonyás
- 8218 megtekintés
Hozzászólások
FS\administrator
Local GPO-t a következő tartományi csoportok szerkeszthetik alapértelmezetten:
Domain Administrators, Enterprise Administrators, Group Policy Creator Owners
De inkább tartományi GPO-t használok mindenhol, a policy-t delegálhatod csak az adott gépre.
- A hozzászóláshoz be kell jelentkezni
Thx a választ. Ez egy magyar Windows 2012 R2, és a legfőbb kínom az, ha pl a local policyben be van állítva a passwords complexity de a főnökség meggondolja magát akkor azt már nem tudom állítani ha nem tudok belogolni local adminként. Elég rég installáltam Windowst szerver ez a 2012 elég sok meglepetést okozott, pillanatnyilag virtualizált környezetben próbálkozom.
- A hozzászóláshoz be kell jelentkezni
Azt, hogy miért akarod módosítottai, nem igazán értem, de domain adminként nem tudod megtenni?
Ezzel ki tudod ütni a lokális jelszavakat (igaz, csak kliens Windows-okon próbáltam):
http://pogostick.net/~pnh/ntpasswd/
- A hozzászóláshoz be kell jelentkezni
Tartományba léptetéskor nincs többé lokális fiók.
--
The Community ENTerprise Operating System
- A hozzászóláshoz be kell jelentkezni
Hogy érted ezt? Miről beszélsz: DC-vé promotálásról vagy member server-ré tételről?
Tudtommal mindkét esetben megmarad a lokális rendszergazda fiók (igaz, egyikben kicsit kacifántos értelmezéssel...)
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
DC-ként. Én is így jártam két hete, igaz ott a helyi userek hiányoztak nekem a servicek és ütemezett taskok miatt.
Most biztos ami biztos megpróbáltam erre a gépre belépni helyi adminként, és nekem se sikerült.
--
The Community ENTerprise Operating System
- A hozzászóláshoz be kell jelentkezni
Nem teljesen.
Az első DC telepítésénél a lokális felhasználók tartományi felhasználókká konvertálódnak, a következő DC-knél a lokális felhasználók nem konvertálódnak, de csak safe mode-ban érhetőek el, a 'net user' kiadásakor látod, hogy nem a lokális, hanem a tartományi usereket fogja listázni.
Domain member esetén semmi nem változik a beléptetésnél.
Lehet, hogy a kérdéses szerver DC, ezt elfelejtettem megkérdezni. :)
- A hozzászóláshoz be kell jelentkezni
Ezt neveztem kacifántos értelmezésnek, hogy DCnél csak Recovery esetén használható.
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
Hello,
nem pontosan értem a helyzetet, légyszi segíts tisztázni:
-hogy érted, hogy a domain az FS.DOMAIN.LAN? Létezik DOMAIN.LAN nevű AD domain, aminek az FS.DOMAIN.LAN egy AD aldomainje? Vagy ha nem ilyen, milyen az AD hierarchia?
-vagy inkább FS a host neve, FS.DOMAIN.LAN az FQDN-je és a gép a DOMAIN.LAN domain tagja?
-login a domainbe: ezek szerint a domain-es rendszergazda fiók a DOMAIN.LAN domainben taláható?
-melyik domain tagja a FS gép?
-az FS gép domain member vagy domain controller?
Ha az FS sima domain member, akkor továbbra is simán hozzáférhető kell legyen a helyi felhasználói adatbázis.
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
Délutánra pontosan leírom milyen lépéseket követtem el, milyen eredménnyel. A FS.DOMAIN.LAN a gép FQDN-je, DC lenne, és azt szeretném ha a lokál gépre akarok bejelentkezni akkor is menjen ha a domainba akkor is.
Domain login DOMAIN\Rendszergazda
Lokal gép login FS\Rendszergazda
Utóbbi nem megy.
Ha a domainbe új juzert akarok felvenni bizonyos esetekben kiírja, hogy nem lehet a jelszóházirend beállítása miatt. Emlékeim szerint a GPO-ban ok minden, a Helyi házirend Fiók/Jelszóbeállítások inaktívak.
- A hozzászóláshoz be kell jelentkezni
Az a tartományi group policy miatt van.
--
The Community ENTerprise Operating System
- A hozzászóláshoz be kell jelentkezni
Mindenkinek köszönöm a választ valószínű én tolhattam el valami. Vagy nem futtatam a gpupdate-et vagy nem léptettem életbe a DDP-t vagy valami más lehetett. Pár apróbb beállítás kel majd még, pl. a login scripnél a net time \\szervernev /set /yes
miért nem fut le illetve jó lenne hamar megtalálni hogy a klasszikus login screen legyen minden usernél.
De ezekkel egy későbbi topicban kérek tőletek segítséget.
Kellemes Hétvégét Mindenkinek :)
Bye Totonyás
- A hozzászóláshoz be kell jelentkezni
"a login scripnél a net time \\szervernev /set /yes miért nem fut"
Ugye ezt a klienseken akarod?
Argumentumok nélkül simán a "net time" megtalálja a DC-t és szinkronizálja az időt?
- A hozzászóláshoz be kell jelentkezni
Hozzáférés megtagadva
- A hozzászóláshoz be kell jelentkezni
RPC át van engedve a tűzfalon?
Local admin vagy az adott gépen, amin kiadod? Elevated shellbol adod ki?
Egyáltalán minek ez a logon scriptbe?
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
'Egyáltalán minek ez a logon scriptbe?'
Erre mondjuk én is kíváncsi vagyok.
- A hozzászóláshoz be kell jelentkezni
Meglesem a tűzfalat.
Vmware-en próbálom a szerver/kliens felállásban. A DHCP-t úgy konfigoltam hogy legyen időszinkron.
Szerintem biztos ami biztos loginkor legyen időszinkron
Bye Totonyas
- A hozzászóláshoz be kell jelentkezni
Meglesem a tűzfalat.
Vmware-en próbálom a szerver/kliens felállásban a háló host only. A DHCP-t úgy konfigoltam hogy legyen időszinkron.
Szerintem biztos ami biztos loginkor legyen időszinkron
Emlékeim szerint ezt anno ide tettem, de lehet ez is változott az idők folyamán?
Ha nem ide akkor hová kell tenni, hogy a kliens órája a szervertől kérdezze le állítsa be a pontos időt.
Bye Totonyas
- A hozzászóláshoz be kell jelentkezni
Biztos hogy kell ez?
Alapból a dc-vel szinkronizálnak a kliensek.
- A hozzászóláshoz be kell jelentkezni
+1
"Every computer that is running the Windows Time service uses the service to maintain the most accurate time. In most cases, it is not necessary to configure the Windows Time service. Computers that are members of a domain act as a time client by default. "
http://technet.microsoft.com/en-us/library/cc773013(v=WS.10).aspx
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
Mondjuk, ha net time-ra permission denied-ot kap, az aggodalomra adhat okot.
- A hozzászóláshoz be kell jelentkezni
Ez az időbeállítás nálam nem nagyon megy juzerként :) de ezzel később is elszórakozom. A nagyobb kérdés az, hogy W7 kliens alatt látja a szervert és a megosztásokat azonban XP alól a hálózatnál csak a netbios nevet írja ki. A home directoryt mountolja de pl. egy közös mappát nem tud elérni. Ha IP vagy gépnevet írok jó
\\fileserver\kozos
192.168.1.2\kozos
Egyébként nem.
De az se tudom merre keresgéljek?
Bye Totonyas
p.s. XP-ben ki kell kapcsolni a tűzfalat...de ez nem hiszem hogy a végleges megoldás.
- A hozzászóláshoz be kell jelentkezni
A rendszeridő módosítását gpo szabályozza, ide hozzá adhatod a felhasználód vagy csoportot, de még mindig nem értem minek.
- A hozzászóláshoz be kell jelentkezni
Lehet kettőről beszélünk.
Én csak annyit szeretnék, hogy minden egyes bejelentkezésnél a kliens lekérdezze a szervertől az időt és ha az eltér attól akkor hozzá igazítsa.
Ezt anno a pattintott bitkorban volt, amikor kb utoljára winszervereket installáltam. A login scriptben kb így adtam meg:
net time \\servername /yes /set
Bye Totonyás
- A hozzászóláshoz be kell jelentkezni
Régen nem tudom hogy ment, de most erre valszeg nincs szükséged, mert a win alapból domainbe léptetés után szinkronizálja a DCtők, fentebb van egy link, ott bővebben olvashatsz róla. Az a lényeg, hogy egy win time service elintézi helyetted a melót. Ki is próbálhatod, hogy adminnal elállítod az időt egy kliensen majd újeaindítod.
- A hozzászóláshoz be kell jelentkezni
Kipróbáltam. Adminnál ok volt, juzerként nem. Gondolom a GPO-ban kell majd állítgatni valami. Csak meló mellett kicsit lassabban megy. De köszi a választ
Bye Totonyás
- A hozzászóláshoz be kell jelentkezni
De ha user-nek jogot adsz akkor esélyt adsz arra, hogy elbarmolja az időt.
Ha már minden áron akarsz ilyen szkriptet akkor szerintem login script helyett csinálj startup scriptet, az a system vagy a computer nevébe fut(whoami-vel megnézheted) és annak alapból lesz joga, ha mégsem, akkor adsz neki.
- A hozzászóláshoz be kell jelentkezni
Domain tagokon nem kell időt állítani.
Beállítják maguknak, de nem azonnal.
Tanulmányozd a w32time Service lélektanát.
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
Igazad van, kell neki egy kis idő.
Bye Totonyás
- A hozzászóláshoz be kell jelentkezni
Lehet hogy azért mert nem elevated shelből indítja.
- A hozzászóláshoz be kell jelentkezni
Elkapkodtam az írást de egy kicsit fáradt vagyok :)
Engedélyezni kell a tűzfalon a file sharing portokat UDP TCP.
- A hozzászóláshoz be kell jelentkezni
Net time és w32time olvasnivaló: http://blogs.msdn.com/b/w32time/archive/2009/08/07/net-time-and-w32time…
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Ez esetben a helyi rendszergazda fiók csak egyetlen speciális esetben használható (AD helyreállítása).
Azon túl a helyi SAM nem hozzáférhető, de nem is kell: minden feladatát a domain admin tudja elvégezni.
Amíg DC-ként működik, nincs FS\ login.
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
A local policy-t group policy váltja fel, amikor DC-vé válik.
Ajánlott olvasmány: http://technet.microsoft.com/en-us/library/dd378987(v=WS.10).aspx
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni