W2003 Коннект к Контроллеру Домена

VasilyKushnir · Вт май 23, 2006 3:45 pm

Ситуация: есть два сервера под 2003, один из них контроллер домена (КД), на втором БД 1С, рабочая станция под 2003 (не в домене, а в группе, название которой совпадает с именем домена - не хотелось, чтобы в домене он тянул одеяло на себя). Все пользователи прописаны на КД в АктивеДиректории, на втором сервере с БД не прописано ни одного юзверя. Так вот, на сервер с БД вхожу без базара, а КД не пущает ни к одному расшаренному ресурсу, хотя прав себе понадавал немеряно. Да, в терминальную сессию пущает, хотя и прописал себя в User а не в Terminal_User, а вот по сети никак... Может кто подскажет где я наступил на грабли, или тормозную жидкость хватанул заместо пива? И еще, может это и ни при чем, эта хрень появилась, когда на своем компе поднял СЕрвер Терминалов И ЛицензированиеСервераТерминалов.

Сообщение **aka** » Вт май 23, 2006 8:16 pm

На контроллер домера пускает только администраторов. И по-моему правильно делает

Чтобы от этого ограничения избавиться - надо исправлять политики.

Ejean · Вт май 23, 2006 11:08 pm

нужно включить БД в домен

VasilyKushnir · Ср май 24, 2006 8:17 am

aka писал(а):На контроллер домера пускает только администраторов. И по-моему правильно делает
Чтобы от этого ограничения избавиться - надо исправлять политики.

В том-то и дело, что ни под каким соусом не пускает, хотя на второй сервер - под любым ником.

Ejean писал(а):нужно включить БД в домен

Сервер с 1С вдомене, мой комп - в раб. группе с именем как и у домена.

alexps70 · Чт май 25, 2006 10:09 am

VasilyKushnir

Так вот, на сервер с БД вхожу без базара, а КД не пущает ни к одному расшаренному ресурсу, хотя прав себе понадавал немеряно

КД пускает только тех(к ресурсам), кто авторизовался в домене - т.е. разрешения на ресурс "ВСЕ" равнозначно "Пользователи домена" . Можно конечно поробовать на КД разрешить учетную "Гость", но сам я на это не решился (на ресурсы ставлю "ВСЕ", а все пользователи работают с паролями и гостей мне не надо!!!)

мой комп - в раб. группе с именем как и у домена

это только в сетевом окружении группирует компьютеры - на права роли не играет. Разрешения часто записываются в виде "Домен\Имя пользователя" для учетных из АД или "Компьютер\Имя пользователя" для рабочих групп.

Чтобы приконнектиться к ресурсу на КД из рабочей группы, когда КД запросит имя-пароль, надо ввести "домен\имя пользователя" и пароль, прописанные в АД

VasilyKushnir · Чт май 25, 2006 10:50 am

alexps70 писал(а): Чтобы приконнектиться к ресурсу на КД из рабочей группы, когда КД запросит имя-пароль, надо ввести "домен\имя пользователя" и пароль, прописанные в АД

Да уже как только не коннектился... Ни под одной учетной записью не пускает.

alexps70 · Чт май 25, 2006 1:28 pm

VasilyKushnir

Ни под одной учетной записью не пускает

Учетная запись должна быть прописана на КД, для ее использования обязательно указывать имя домена - два варианта:
1. Имя домена\Имя пользователя
2. имя пользователя@имя домена - этот вариант, кстати, показывается на свойствах пользователя в АД для пред-2000 машин

Проверь на самом КД - в сетевом окружении на себя заходишь?
Кроме прав на сетевой ресурс (кому доступен по сети), надо проверить права на вкладке "Безопасность" - бывает здесь прав нету, в итоге ресурс виден, а доступа нет

VasilyKushnir · Чт май 25, 2006 2:35 pm

alexps70 писал(а): Учетная запись должна быть прописана на КД, для ее использования обязательно указывать имя домена - два варианта:
1. Имя домена\Имя пользователя
2. имя пользователя@имя домена - этот вариант, кстати, показывается на свойствах пользователя в АД для пред-2000 машин

Перепробовал все ники с правами админов - голяк...

alexps70 писал(а): Проверь на самом КД - в сетевом окружении на себя заходишь?
Кроме прав на сетевой ресурс (кому доступен по сети), надо проверить права на вкладке "Безопасность" - бывает здесь прав нету, в итоге ресурс виден, а доступа нет

С КД на себя захожу. В терминальной сессии на КД тоже, а вот простым Проводником - дудки!

Biz© · Чт май 25, 2006 2:37 pm

alexps70 писал(а):КД пускает только тех(к ресурсам), кто авторизовался в домене

спокойно автоматом цепляюсь к ресурсам на КД с недоменного компутера из одноимённой раб. группы ... главное чтобы имя и пароль узера совпадали с имеющимся в домене и у доменного узера было на это право ... в этом случае КД автоматом авторизует в домене ...
а вот к ресурсам компутера, который просто член домена, автоматом уже не прицепишься ...

VasilyKushnir · Чт май 25, 2006 3:47 pm

Biz© писал(а): спокойно автоматом цепляюсь к ресурсам на КД с недоменного компутера из одноимённой раб. группы ... главное чтобы имя и пароль узера совпадали с имеющимся в домене и у доменного узера было на это право ... в этом случае КД автоматом авторизует в домене ...
а вот к ресурсам компутера, который просто член домена, автоматом уже не прицепишься ...

В том и фишка, что все эти условия соблюдены, но ведь же гад не пускает... А на сервер, который просто файловый сервер в составе домена и на котором не прописано ни одного пользователя (вся эта муть на КД), пускает без балды.

Biz© · Чт май 25, 2006 5:49 pm

пробуйте напрямую через <буква_диска>$ прицепиться ... если пустит - проблема в пермиссиях шар ... т.е. чот типа \\кд\c$\папка_шары

на шары другого сервера пускает из-за разрешения на everyone ...

как выглядит ошибка непускания на ресурсы КД ? запрос пароля, нет доступа, шара не найдена, чото другое ?

alexps70 · Пт май 26, 2006 8:05 am

VasilyKushnir

Перепробовал все ники с правами админов - голяк...

Админы доменные или локальные?Должны быть доменные. По крайней мере, под той учеткой, под которой заходишь на КД, должен и к дискам пускать. А если пароль не спрашивает, значит експлорер его сохранил и возможно не тот - сбрось в проводнике все сохраненные пароли - начнешь цепляться - должон пароля спросить

VasilyKushnir · Пт май 26, 2006 12:39 pm

alexps70 писал(а): Админы доменные или локальные?Должны быть доменные. По крайней мере, под той учеткой, под которой заходишь на КД, должен и к дискам пускать. А если пароль не спрашивает, значит експлорер его сохранил и возможно не тот - сбрось в проводнике все сохраненные пароли - начнешь цепляться - должон пароля спросить

Админы доменные. Есть еще один интересный момент: в диспетчере служб терминалов открывает терминальные подключения моего компа и файлового сервера (с 1С), а при попытке окрыть сервер КД выдает "Вы не смогли пройти проверку подлинности на этом сервере".

Да, и еще: при попытке приконектится в любом виде и к любой шаре к серверу КД ВСЕГДА спрашивает пароль.

Ejean · Пт май 26, 2006 7:30 pm

Не пойму зачем такие проблемы...
1) добавить свой комп в домен
2) При входе на СВОЙ комп выбрать авторизацию в ДОМЕНЕ и зайти под админом ДОМЕНА
3) все сетевые ресурсы прописанные в домене будут доступны!!!

p.s. брэндмауэр пробовал выключать?

VasilyKushnir · Ср май 31, 2006 1:51 pm

Ejean писал(а):Не пойму зачем такие проблемы...
1) добавить свой комп в домен
2) При входе на СВОЙ комп выбрать авторизацию в ДОМЕНЕ и зайти под админом ДОМЕНА
3) все сетевые ресурсы прописанные в домене будут доступны!!!

p.s. брэндмауэр пробовал выключать?

Добавить в домен - не проходит. А вот отключить брэндмауэр - это как: после вчерашнего котел не варит совсем...

Ejean · Чт июн 01, 2006 12:51 am

VasilyKushnir писал(а):Добавить в домен - не проходит.

Это как? Что пишет? Кажется мы близки к разгадке...
1) Всё тот же брэндмауэр
2) NetBios разрешон?

VasilyKushnir писал(а): А вот отключить брэндмауэр - это как: после вчерашнего котел не варит совсем...

Пуск / панель управления / Брэндмауэр Windows

VasilyKushnir · Чт июн 01, 2006 8:22 am

Ejean писал(а):
VasilyKushnir писал(а):Добавить в домен - не проходит.
Это как? Что пишет? Кажется мы близки к разгадке...
1) Всё тот же брэндмауэр
2) NetBios разрешон?

VasilyKushnir писал(а): А вот отключить брэндмауэр - это как: после вчерашнего котел не варит совсем...
Пуск / панель управления / Брэндмауэр Windows

НЕ помогло. Неверное буду переставлять ось... Подозрение, что криво стала.

VasilyKushnir · Пн окт 16, 2006 3:05 pm

Переставил ось - все ОК.