Помогите разобраться с пользователями в Win 2000 Server.

[Sventus]

Помогите разобраться с Win 2000 Server.
Хочу сделать так чтоб при отключении пользователя на сервере на клиентском компе под этим пользователем нельзя было зайти.

с Win 2000 Pro все работает отлично таким образом:
Создаю на сервере пользователя "Games" обязательного(перемещаемого) типа и указываю ему путь профиля \\server\profile$\games
Далее на клиентской тачке создаю пользователя "Games" обязательного(перемещаемого) типа и указываю ему путь профиля \\server\profile$\games
И в груповой политике включаю параметр "Удалять кешированные копии перемещаемых профилей"
После отключения пользователя "Games" на серваке (win200Prof), на клиентском компе под этим пользователем зайти невозможно.

????? А вот с Win 2000 Server почему-то такая фича не проходит ?????
После отключения на сервере пользователя на клиентской тачке все равно доступ возможен.
Чё делать? Помогите.

[ZEUS]

может быть стОит зарезать локальный вход? этого самого games-a? на клиентской машине. нет доступа к домену - нет входа

[Sventus]

так я так и делаю сношу его из папки Documents and Settings, но все равно заходит ваще беда

[ZEUS]

Sventus сносите???? да ЧТО Вы делаете? My Computer -> Manage... -> LOcal Users and Settings - -> User "GAMES" - LOCK account
ВСЕ!

[Sventus]

Так я потом вообще под Games не зайду!, если его отключу.
В идеале при загрузке с сервера я с ним работаю а по завершению он удаляет кешированные файлы, если же не удалять уз док и сеттинг (один раз вначале), то всегда не зависимо от сервера можно будет зайти под Games.

[ZEUS]

Sventus господи... нормально по-моему так: делаем домен, заводим там нужные доменные аккаунты, которые работают лишь при работающем PDC /BDC...
локальные аккаунты на станциях режем )за исключением локального админа, доступ к которому строго контролируем(. или я что-то недопонимаю?

[Sventus]

Я начинающий Админ можно пожалуйста по подробнее про PDC /BDC...

[ZEUS]

как начинающему Админу во исключение многих недоразумений настойчиво рекомендую зайти на:
http://www.networkdoc.ru/
http://winfaq.com.ru/
Успехов!

[sumjohn]

Цитата:

Sventus сносите???? да ЧТО Вы делаете? My Computer -> Manage... -> LOcal Users and Settings - -> User "GAMES" - LOCK account

Не много не согласен - если юзверь клиент домена, тогда всё вышеописанное необходимо проделать в Active Directory. Причем там присутствует такая интересная фишка, как Logon Hours...

[ZEUS]

Перемещаемые профили пользователей.
Перемещаемые профили пользователя могут быть созданы 3-мя способами:
1. Каждой учетной записи назначается путь к профилю пользователя. В этом случае на сервере происходит автоматическое создание пустой папки профиля пользователя. Затем пользователь может сам создать свой профиль.
2. Каждой учетной записи назначается путь к профилю пользователя. Затем в папку, указанную в пути, копируется приготовленный заранее профиль пользователя.
3. Каждой учетной записи назначается путь к профилю пользователя. Затем в папку, указанную в пути, копируется приготовленный заранее профиль пользователя. После этого файл NTuser.dat, путь к которому указан в каждой учетной записи, переименовывается в NTuser.man. В этом случае создается обязательный профиль пользователя.
Внимание: в перемещаемый профиль НЕ входит подпапка Local Settings, где, в частности, хранятся архивы программы Outlook Express, папки Temporary Internet Files и History и временные файлы!
Имя сервера )это может быть любой сервер в сети(, на котором будут находиться перемещаемые профили пользователей, указывается с помощью оснастки Локальные пользователи и группы и вкладки Профиль )Profile( окна свойств пользователя. В результате при завершении работы пользователя его профиль сохраняется как на локальном компьютере, так и в папке на сервере, в соответствии с путем профиля. При следующей УСПЕШНОЙ регистрации пользователя в сети дата копии профиля, находящегося на сервере, сравнивается с копией, расположенной локально на компьютере. Если они отличаются, информация берется из более свежей копии . Перемещаемый профиль находится в централизованном хранилище пользователей в масштабах домена. Он может быть доступен только при условии работоспособности хранящего его сервера. В обратном случае используется кэшированная копия профиля пользователя . Если пользователь первый раз зарегстрировался в компьютере, создается новый профиль. В любом случае, если хранящийся централизовано профиль пользователя недоступен, он не обновляется при завершении работы. При следубщей регистрации в компьютере пользователя придется напрямую указать копию профиля = более новую локальную или старую копию, находящуюся на сервере.
Примечание:
настройка перемещаемых профилей пользователей, я вляющихся членами домена win2000, выполняется, как верно заметилsumjohn, при помощи оснастки Active Directory - пользователи и компьютеры )Active Directory Users and Computers(, поскольку основная информация о пользователях домена хранится в Каталоге. В остальном логика управления остается неизменной: перемещаемый профиль хранится в указанной папке на некотором общем сетевом ресурсе, а в случае его недоступности используется кэшированная копия с локального компьютера.
С помощью оснастки Локальные пользователи и группы можно указать имя сервера, где будет храниться заранее созданный перемещаемый профиль пользователя. Затем в окне "СИСТЕМА" )System(, вызываемого из панели управления, перейдите на вкладку "Профили пользователей" )Users Profiles(, нажмите "копировать" )copy to( и скопируйте профиль созданного профиля на сервер. При первой пегистрации вместо профиля, установленного по умолчанию, пользователь получит копию заранее сконфигурированного профиля с сервера. В дальнейшем этот профиль функционирует так же, как любой стандартный профиль пользователя. Каждый раз, когда пользователь завершает работу, его профиль сохраняется локально и одновременно копируется на сервер.
Примечание: Для копирования профиля пользователя следует перейти на вкладку "Профили пользователей" окна "Система". Нельзя для этой цели использовать проводник или какой-либо другой инструмент управления файлами!
Обязательный профиль представляет собой сконфигурированный заранее перемещаемый профиль, который недоступен пользователю для модификации. Пользователь может изменять настройки рабочего стола, но при завершении работы на компьютере изменения не заносятся в профиль. При следующей регистрации на компьютере загружается обязательный профиль пользователя, в котором не произошло никаких изменений. Профиль пользователя становится обязательным, когда вы переименуете файл NTuser.dat в файл NTuser.man. В этом случае файл становится доступен только для чтения. Один обязательный профиль может быть использован большим количеством пользователей.

[sumjohn]

Цитата:

настройка перемещаемых профилей пользователей, я вляющихся членами домена win2000, выполняется, как верно заметилsumjohn, при помощи оснастки Active Directory - пользователи и компьютеры )Active Directory Users and Computers(, поскольку основная информация о пользователях домена хранится в Каталоге. В остальном логика управления остается неизменной: перемещаемый профиль хранится в указанной папке на некотором общем сетевом ресурсе, а в случае его недоступности используется кэшированная копия с локального компьютера.

Согласен насчет общего ресурса, только вот локальную копию можно и нужно не создавать... Для надежности... Чтобы не возникало неприятных ситуаций, "начинающему" сисадмину необходимо, как минимум, разобраться как именно

Цитата:

Обязательный профиль представляет собой сконфигурированный заранее перемещаемый профиль, который недоступен пользователю для модификации.

[ZEUS]

sumjohn хех, локаьная копия создается не зависимо от нашего желания. Просто создается при регистрации на этой тачке!

[sumjohn]

Цитата:

Просто создается при регистрации на этой тачке!

Установить определенные права доступа.

[zic]

Установить определенные права доступа.
хм хм

[ZEUS]

zic вот и я о том же

[Sventus]

Zeus, я создал домен на win2000server: shkola.local
пароль оставил как у админа
в "пользователи и компьютеры" службы Active Directory во вкладку computers добавляю num6, когда начинаю его подсоединять к домену , домен находит но регестрировать не хочет - ошибка при существующих и введенных учетных данных
Какой DNS прописывать?(ip server'а?)

[ZEUS]

Sventus конфликт полномочий? Sventus предлагаю все-таки дать более детальное описание своих действий. Как именно увязываются DNS и комп в AD?
Добавить комп в домен можно 2 вариантами: первый = это на контроллере домена зайти в оснастку
Active Directory Users and computers. И через нее добавить все необходимое. Второй вариант = добавление в домен произвести непосредственно с той машины, которая добавляется. Для этого необходимо знать имя учеtной записи/пароль с правами админа схемы.

[ZEUS]

Судя по описанию твоей учетной записи не хватает прав. Проверь, в какие именно группы входит учетная запись твоего админа вот примерчик )

ZEUS добавил [date]1086631770[/date]:
DNS? у тебя служба такая запущена? если Да - то идем в оснастку управления DNS-сервером и прописываем нужные компы. Так? или ты о другом?

[ZEUS]

Sventus если ты про DNS у клиента, то ДА, прописывается IP-адрес того сетевого интерфейса DNS-сервера, который доступен данному клиенту. Обычно в той же подсетке.
скажем так: пусть DNS-сервер имеет интерфейс с 192.168.100.45
тогда у клиента указывается preferred DNS = 192.168.100.45
Secondary DNS нужОн, если сновной DNS завалится /тьфу-тьфу, чтоб не сглазить ))/
ЗЫЫ:

Цитата:

пароль оставил как у админа

не понял этого - даже если на другой машине сделать одноименный бюджет с аналогичным паролем, то ЭТА ШТУКА работает НЕ так, как ты себе представляешь!!! Каждому бюджету присваивается определенный SID - проще говоря метка, по которой тебя будут идентифицировать и право владения которой ты должен подтвердить путем авторизации /вводом пароля/. SID всегда уникален, это довольно большая последовательность цифирек Если удалить бюджет OLEG, например, и создать снова бдюжет OLEG, то вновь созданный бюджет будет имет ДРУГОЙ SID, ок??? Далее, бюджет, принадлежащий одной машине, отнюдь не имеет прямого отношения к другой. Если я захожу на машине pups под именем vasya_pupkin, то это вовсе не означает, что на машине sealot, располагающей похожим бюджетом я смогу войти с использованием бюджета PUPS\VASYA_PUPKIN
на той, второй машине нужОн бюджет SEALOT\VASYA_PUPKIN. Разницу чуешь?
Так же и с твоим доменом и клиентскими машинами.

[Bambarbia]

еще, еще скриншотов и копи-паста!!!

[Sventus]

Zeus Большое спасибо все получилось.
Единственное не пойму для чего в Active Directory Users & Computers во вкладке Computers можно создавать пользователей, когда я там прописал только компы,
а в Users уже непосредственно пользователей?

И еще. Как выделить место на Serer'e какому-нибудь Пользователю?

А делал так - подключить сетевой диск \\serv\...
Правильно?

[ZEUS]

Bambarbia ха-ха-ха, ты уж прости пожалуйста, после твоего посты я долго и мучительно смеялся. Какого тебе нафЕk копи-паста? Или ты наивно полагаешь, что я сижу вот, обложивШись книжками и пишу с них? или с сасайта какого-то сливаю? хех, и впрямь наивный ))) А скриншоты со своих тачек и правда сам делаю, что дурачиться? Если знаешь как помочь человеку - так помоги же!!! В чем вопрос-то? Работал я с такими вот, которые не в обиду тебе будь сказано, сидели на моей шее и ждали, когда я за них все сделаю. А потом они по итогам работы начинали все мелодично и "с достоинством" так обСИРАТь, пардон, вынюхивая, к чему бы придраться. Так вот Они и сейчас сидят, но уже в Ж... Ничего лишнего и лиЧного = каков спрос, такое и предложение. Звыняй (с)!
Sventus я рад за тебя Что еще говоришь?
выделить место? ты про квотирование? или предоставление ресурсов /зашаривание, от Sharing/. - На сервере даже если он уже сервер должна быть запущена служба Server /зайди в консоль services.msc или через Мой компьютер -> Управление/manage/ -> службы/services/. Служба server должна иметь статус started. Далее кликаем пр.кн. "крысы" на той папке, которую будем выделять в совместное пользование. Выбираем пунктИК sharing.../доступ.../ и во вкалдке permissions проверяем, входит ли наш пользователь число тех, кто сможет получить доступ? и какой именно доступ ему нужно предоставить. Вкладка Sharing/permissions управляет доступом через сеть. Если же воспользоваться вкладкой Security/permissions - это доступ на уровне спиков управления доступом ACE. К доступу "через сеть" такие ограничения никакого отношения не имеют, а управляют доступом на уровне файловой системы для пользователя, который будет логиниться непосредственно на консоли сервера.
Или ты имеешь в виду операцию, которая именуется "маппинг", от MAP = отображение?. Т.е. на неком сервере есть некий ресурс, который доступен по своему URI. Чтобы удобнее было работать, такие ресурсы мапят, т.е. присваивают им буквы дисков. Как?
NET USE * \\имя сервера\имя ресурса
NET USE * \\имя сервера\имя ресурса /USEROMAIN\имя пользователя
Здесь NET = команда,
USE ее параметр,
* = означает, что будет взято первое доступное имя диска по алфавиту,
\\имя сервера = NETBIOS _имя сервера. Не путай с именем DNS, что может быть у машины, Обычно такие имена совпадают, но могут и различаться.
\\имя ресурса = это тот самое название, которое мы указываем, когда настраиваем доступ. Т.е. имя, под которым ресурс будет виден в сетевом окружении
Например, на сервере MONSTER есть диск C, на котором создана папка PUBLIC, видимая в сетевом окружении под именем TanyA_PUB. На нашей машине-клиенте заняты имена дисков с С по R, и мы хотим подсоединиться к этой самой папке + присвоить подключению букву S.
NET USE S: \\MONSTER\TanyA_PUB
тут есть тонкость: если подключение осуществляется с машины-клиента семейства MS Windows 9x /WIn 95,98,Me/, то при установлении будет использовано имя пользователя, под которым мы вошллив систему. Если на сервере во вкладке Sharing -> Permissions мы указали, что доступ к серверу может иметь пользоатель \\MONSTER\VASYA. И если на машине-клиенте мы логинимся под именем OLEG, то при попытке подключения нас ждет обломинго
Придется создать профиль именно с именем \\VASYA. На машинах семейства MS Windows NT все упрощается - есть параметр /USER, в котором без пробелов указывается имя домена /или того самого сервера, ресурсы которого мы маппим/, затем через обратный слЭш указывется имя пользователя, в нашем примере это будет VASYA. После подтверждения команды, нам будет выдан запрос на ввод пароля пользователя VASYA, под которым мы может залогиниться к ресурсам сервера.
Т.О.:
NET USE S: \\MONSTER\TanyA_PUB /USER:MONSTER\VASYA
вместо зубоскального смайла написано двоеточие и буква D
Есть вариант попроще: если и на сервере, и на машине-кленте используется протокол NetBIOS поверх IP, то мы сможем увидеть машину-сервер в папке "сетевое окружение". Если на машине-клиенте задействована возможность доступа к ресурсам машины-клиента /доступ к файлам/, то в сетевом окружении видно будет также и машину -клиента ))
ЗЫ: про вкладку юзвери/компы = с консоли контроллера домена ты можешь теперь управлять всеми компами семейства win2000, входящими в твой домен/лес/схему. Если утебя права есть на то соответствующие. Рекомендую прогу такую рульную = Hyena - удобно, найти ее и утку-кряку можно в гугле )) Успехов!

[zic]

ZEUS
Веришь . нет . это скоро пройдет .

[Sventus]

NET USE * \\имя сервера\имя ресурса /USEROMAIN\имя пользователя.

Понял, только где это прописывать? В сценариях?

Sventus добавил [date]1086882339[/date]:
Подключил тачку к домену а у нее теперь часы синхронизированы непойму с чем (но не server'ом), т.к на сервере 16.32 а у клиента 1.03.
Время меняешь - бестолку.

Как избавиться от этого?

[ZEUS]

Sventus можно ручками, а можно и в сценарии = все зависит от частоты использования данной команды.
NET TIME /? - попробуй ЭТО )
можно запустить интерпретатор команд CMD или "командную строку" и в ней все набирать.
набери просто NET TIME /DOMAIN:MONSTERS /SET /y
~здесь MONStERS = вместо этих монстриков впиши название своего домена;
~/SET = установить
~/y = не задавать "глупых вопросов"
вот и все ))
а если попробовать NET /? - увидишь МНОГО чего интересного, потом набирай NET парамеtр /? и будет тебе Щастье
если еще вопросы есть пиши!

ZEUS добавил [date]1086900739[/date]:
zic пока не прошло

[Sventus]

Хотел еще спросить как сделать чтобы при простое сеанс сам завершался почемуто = не хочет , вот

[ZEUS]

Sventus это о том, что если юзверь превысил отведенное ему время работы - то отрезать его? ТАк режутся только неактивные соединения А если юзверь открыл файлы, то его только принудительно можно выкинуть. Сам в этом не заморачивался особо, потому как не стОит оно того. Если аврал случится и не смогут нормальные юзвери войти из-за твоих временных ограничений - от босса тебе нехило обломится. Так что подумай пока, стоит ли гайки так закручивать?

[Koozya]

ненавижу вас, админов, вы мне своими непусканиями литры крови попили!

зы. да, так!

[zic]

Сегодня своими глазами видел как тип тыкал в кнопку закрыть системного меню окна , и звал сисадмина , только вот окно это было картинкой в паинте. Затем он также пытался работать с демкой приложения играющей в медиаплеере , что в прочем после первого не особо удивительно .

[Sventus]

Я же написал при бездействии сеанса ,

например:
юзверь забыл завершить сеанс, а комп через минут 5 бездействия завершил его сам.
:confused: