Sette opp Active Directory i Windows Server 2003

[kjhanken]

En kan godt sette rettighetene på domain users til all, på sharet.

 

Dette fordi de rettighetene en setter på ntfs'en (altså filene) overstyrer share rettighetene. Altså har de rettigheter til alt på sharet, men støter på noe på filsystemet som de ikke har rettigheter til, så sier det stopp.

 

Men det er sikkert satt opp som standard med lavest mulig rettigheter i Windows 2003, takket være at Microsoft har snudd tankegangen sin til at en må åpne opp rettigheter, isteden for å stenge de i etterkant.

 

En av grunnen til at du må installere saker og ting i Windows 2003, som en slapp i Windows 2000.

[ob1]

Av det du lister opp så ser det ikke ut osm at brukerene har tillatelser til å opprette kataloger under home og profiler.

 

De har bare read på share, ERGO: De kan aldri få mer rettigheter enn read uansett vha NTFS-sier. Når brukerne bare har read så kan de ikke opprette eller skrive til home og profiler.

 

Mitt forslag:

 

På sharet til C:\users\home så setter du "authenticated users" - full control og fjerner alle andre i den listen.

 

Så på selve mappen fjerner du alt fra listen og legger til:

System - Full control

domain admin - Full Control

domain users - Read & Execute, List Folders, Read, Write

 

Når brukerne logger seg på og de oppretter sin egen mappe under home så skal det automatisk gis rettigheter slik at bare den aktuelle brukeren får tilgang.

 

Prøv dette og skriv hvordan det går.

[jocke]

Tror dette ser ut til å fungere. Har ikke sett så mye mer innpå det. Skal sjekke opp seinere i kveld.

Uansett, en win98-maskin var LITE villig til å komme i nettverk me xp&2003server.. jaja

Endret 24. april 2004 av jallakim

[ob1]

win95/98/Me/NT4 er ikke designet for bruk av AD og du må derfor installere en Active Directory Client på de for å utnytte AD fullt ut på de. Du finner den på microsoft.com/downloads.

 

Mener du at du ikke fikk meldt den inn i domenet? Det skal gå helt fint, hvis du velger ( på win98) at den skal logge seg på et NT-domene og oppgir netbios-navnet på AD-domenet ditt.

Endret 24. april 2004 av ob1

[jocke]

win95/98/Me/NT4 er ikke designet for bruk av AD og du må derfor installere en Active Directory Client på de for å utnytte AD fullt ut på de. Du finner den på microsoft.com/downloads.

 

Mener du at du ikke fikk meldt den inn i domenet? Det skal gå helt fint, hvis du velger ( på win98) at den skal logge seg på et NT-domene og oppgir netbios-navnet på AD-domenet ditt.

Jeg kom aldri så langt som å få meldt den inn i domenet. Maskinen ville ikke motta IP-adresse fra server'n engang (testet med 2 nettverkkort).

 

Men det sykeste som skjedde under hele prosessen, var at servern fucka et eller annet opp.

Når jeg prøvde å oppnå kontakt med win98-maskinen, brukte jeg PING-kommandoen (på min egen maskin - som er innmeldt i domenet, men logget på med lokal bruker). Hvis eg skrev "ping test", kom hostname opp som "test.hjemme.asparges.net", og IP-adressen ble 62.et.eller.annet.

Hvis eg skrev "ping jallatest", kom hostname opp som "jallatest.hjemme.asparges.net", og IP-adressen ble 62.et.eller.annet.

 

Hva kan ha skjedd her? Kan det ha en sammenheng med WINS-servern? Uansett er servern inne i bildet her, da den fikk hostname hjemme.asparges.net..

 

edit; og så kan jeg nevne at det ikke skjer slikt nå, da jeg installerte xp på den tidligere win98-maskinen.

Endret 24. april 2004 av jallakim

[jocke]

Tror dette ser ut til å fungere. Har ikke sett så mye mer innpå det. Skal sjekke opp seinere i kveld.

Har nå testet ut dette med 2 datamaskiner. Rettighetene ser ut til å fungere - med ett unntak; brukerne kan lese hverandres home-mapper (men har ikke skrivetilgang). Jeg vil ikke at brukerne skal kunne lese hverandres mapper. What to do?

 

edit; testet litt mer med roaming profiles også. systemet oppretter som sagt ingen mappe med navn %USERNAME% under C:\Users\Profiles ved registrering av bruker. Jeg regner med at det ikke skjer noe, før den aktuelle brukeren logger på/av.

Jeg testet så å gjøre noen forandringer i henhold til standard windows-profil, og logget så av igjen. Alt vel så langt...bortsett fra at det fremdeles ikke befinner seg noen mappe med navn %USERNAME% under C:\Home\Profiles\ (på servern).

Jeg prøver så å logge på, men får da plutselig feilmelding om at systemet ikke finner angitt profil på servern (noe som er et bevis på at klienten FAKTISK får informasjon om hvor profilen skal befinne seg på servern). Windows prøver så å finne en profil lokalt på maskinen, noe den heller ikke gjør. Altså ble profilen hverken lagret på klienten, eller servern. (den skal jo lagres på begge).

Hva er galt?

 

edit2; når jeg browser nettverket (alle maskinene er tilknyttet domenet), går det SYKT tregt. den bruker kanskje ett minutt (nå underdriver jeg). dette gjelder samtlige maskiner, selv om jeg browser den raskeste (XP1800+) fra dem andre maskinene. Så det er ikke et hardwareproblem. Har noe med servern, men HVA?

 

(høres sikkert ut som en despo-unge, men det får bare være. kan jo være jeg er det )

Endret 24. april 2004 av jallakim

[ob1]

Når jeg prøvde å oppnå kontakt med win98-maskinen, brukte jeg PING-kommandoen (på min egen maskin - som er innmeldt i domenet, men logget på med lokal bruker). Hvis eg skrev "ping test", kom hostname opp som "test.hjemme.asparges.net", og IP-adressen ble 62.et.eller.annet.

Hvis eg skrev "ping jallatest", kom hostname opp som "jallatest.hjemme.asparges.net", og IP-adressen ble 62.et.eller.annet.

 

Dette har ingenting med WINS å gjøre. Det er jo DNS. Med mindre hjemme.asparges.net er domenet ditt så er det noe feil med nettverksstrukturen din. Sjekk ip oog preferred dns på alle maskinene dine. Du skrev ikke om du fikk pinget 98-maskinen din på IP da. Siden du installerte over den så får jeg ikke feilsøkt så mye.

 

brukerne kan lese hverandres home-mapper

 

Ble home-mappene opprettet da brukerne logget seg på, eller opprettet du de manuelt først? Førstnevnte skal sette rettigheter riktig slik at man ikke får tilgang. Sjekk også NTFS-rettighetene om home-mappene arver rettigheter eller ikke.

 

Ang. profiler så sjekk igjen rettighetene (både share og NTFS) at de faktisk har mskrivetilgang så de kan opprette profil-mapper. Det stemmer også at de mappene opprettes IKKE når du lager brukeren, men fnår de logger seg på domenet for første gang.

 

Browsing av nettverket så er det mest sannsynlig noe som timer ut. Prøv å disable netbios på serveren og prøv så igjen. CPU-kraft påvirker ikke nettverks browsing.

[ob1]

Du får unnskylde teflon-hukommelsen min, jeg blingset helt jeg!

 

På c:\users\home setter du følgende NTFS-rettigheter:

 

Administrators: FC (FC=Full control)

System: FC

Creator Owner: FC (men sett "subfolder and files only")

Users: read & execute (men sett "this folder only")

 

De to siste må settes ved at du klikker på advanced-knappen først. Bruk så det nye vinduet til å stille rettighetene til Creator Owner og Users.

 

Hvis home-mappene er allerede opprettet så må du justere arv og rettigheter på disse eller slette de. Hvis du sletter de så gå inn på brukerne i AD og definer home-folder på nytt for at de skal opprettes igjen.

 

Det er jammen kjekt med en 2003 server i en virtuell maskin for å sjekke ting med!

[jocke]

Dette har ingenting med WINS å gjøre. Det er jo DNS. Med mindre hjemme.asparges.net er domenet ditt så er det noe feil med nettverksstrukturen din. Sjekk ip oog preferred dns på alle maskinene dine. Du skrev ikke om du fikk pinget 98-maskinen din på IP da. Siden du installerte over den så får jeg ikke feilsøkt så mye. 

98-maskinen fikk ingen IP-adresse fra servern i det hele tatt. 98-maskinen kunne heller ikke pinge servern/min maskin - selv om jeg skrev inn IP-adressen manuellt. Kan sikkert installere 98 igjen hvis du har lyst å feilsøke?

 

Ble home-mappene opprettet da brukerne logget seg på, eller opprettet du de manuelt først? Førstnevnte skal sette rettigheter riktig slik at man ikke får tilgang. Sjekk også NTFS-rettighetene om home-mappene arver rettigheter eller ikke.

Home-mappene ble/blir opprettet når jeg lager brukeren, og skriver \\home\home\%USERNAME% som home-mappe.

 

Ang. profiler så sjekk igjen rettighetene (både share og NTFS) at de faktisk har mskrivetilgang så de kan opprette profil-mapper. Det stemmer også at de mappene opprettes IKKE når du lager brukeren, men fnår de logger seg på domenet for første gang.

Mappen har følgende rettigheter på sharen:

"Authenticated Users" -> FC

og følgende rettigheter på securityen:

"Domain Admins" -> FC

"Domain Users" -> Read only

"SYSTEM" -> FC

Så det burde jo *egentlig* fungere? Kanskje jeg kan prøve å sette samme rettigheter på denne mappen, som på home-mappen (slik du beskrev i den siste posten?)

 

Browsing av nettverket så er det mest sannsynlig noe som timer ut. Prøv å disable netbios på serveren og prøv så igjen. CPU-kraft påvirker ikke nettverks browsing.

NetBIOS = WINS? Finner ikke ut hvor jeg kan slå av dette jeg...

 

Skal forøvrig teste den home-tingen.

[jocke]

Home-rettighetene fungerer nå slik dem skal - hurra!

Dette med at det tok utrolig lang tid å browse nettverket, var at jeg hadde installert WINS. Hva er det egentlig WINS gjør, siden den klarer å slowe ned browsinga?

 

Men det er fremdeles 2 ting som ikke fungerer slik det skal;

 

1. Roaming profiles funker fremdeles ikke, selv om jeg har satt samme rettigheter som på home-mappa. Når jeg logger meg på, får jeg bare beskjed om at den ikke finner profilen på servern, og noen sekunder seinere får jeg også beskjed om at den ikke finner profilen lokalt. Dermed bruker den bare en TEMP-profile.

 

2. Når jeg logger på, bruker den EKSTREMT lang tid. Dette har vel kanskje en sammenheng med profil-problemet?

[ob1]

Dobbelsjekk at det ikke er noen stavefeil e.l. på profil-settingen til brukeren.

Logg inn som den brukeren som har problemer og prøv å nå profil-mappen manuelt. Sjekk om du har lese og skriverettigheter der mappen skal ligge.

 

WINS er jo for navneoppslag av Netbios-navn på nettverket på samme måte som DNS er for hostname, men netbios er bare nødvendig på 95/98/Me/nt4. Hvis du ikke har slike maskiner på nett så fjern wins og gjerne netbios. Wins avinstallerer du på serveren via add/remove windows components. Netbios disables manuelt på maskinene ved å gå på properties på nettverkskortet - tcp/ip properties - advanced - disable netbios over TCP/IP. Dette kan også gjøres ved en setting på DHCP-serveren slik at netbios deaktiveres på klienter som mottar IP fra den. Hvordan det gjøres har jeg ikke i hodet.

 

Hvis du har bare win2003 og winxp så kunen du gitt f*** i alt av home-foldere og bare redirecte my documents til å peke på serveren?

 

\\home\home\%USERNAME%

 

Heter serveren din også "home"? Ikke bruk samme navn på flere objekter som folderem shares, servere og brukere for det er et sant hæl***** å feilsøke i. At en folder shares med samme navn er helt greit, men ikke ha to foldere med samme navn, eller samme navn som en maskin på nettverket.

 

Den korrekte syntaksen er \\(servernavn)\(sharenavn)\(evt. foldernavn)\%username%

 

Ekspempel 1:

Server heter "server01", folder d:\users shares som "users". Under d:\users er det to mapper som heter "profiles" og "home". Du skjønner vel hva som skal hvor. Da skal du skrive inn "\\server01\users\profiles\%username%" og "\\server01\users\home\%username%".

 

Ekspempel 2:

Server heter "server01", folder d:\home shares som "home" og skal ha hjemmeområder. Da skriver du inn "\\server01\home\%username%".

 

Er du med så langt?

[jocke]

Dobbelsjekk at det ikke er noen stavefeil e.l. på profil-settingen til brukeren.

Logg inn som den brukeren som har problemer og prøv å nå profil-mappen manuelt. Sjekk om du har lese og skriverettigheter der mappen skal ligge.

Da jeg gikk inn med en bruker manuellt, kunne jeg ikke opprette mappe nei.

 

WINS er jo for navneoppslag av Netbios-navn på nettverket på samme måte som DNS er for hostname, men netbios er bare nødvendig på 95/98/Me/nt4. Hvis du ikke har slike maskiner på nett så fjern wins og gjerne netbios. Wins avinstallerer du på serveren via add/remove windows components. Netbios disables manuelt på maskinene ved å gå på properties på nettverkskortet - tcp/ip properties - advanced - disable netbios over TCP/IP. Dette kan også gjøres ved en setting på DHCP-serveren slik at netbios deaktiveres på klienter som mottar IP fra den. Hvordan det gjøres har jeg ikke i hodet.

Det med deaktivering av netbios over DHCP må jeg finne ut mer av. Uansett forsvant nettverksbrowsing-problemet etter jeg fjernet WINS.

 

Hvis du har bare win2003 og winxp så kunen du gitt f*** i alt av home-foldere og bare redirecte my documents til å peke på serveren?

Hvor gjør jeg dette da? Fant noe engang tilbake i tid, men husker ikke hvor.

 

Heter serveren din også "home"? Ikke bruk samme navn på flere objekter som folderem shares, servere og brukere for det er et sant hæl***** å feilsøke i. At en folder shares med samme navn er helt greit, men ikke ha to foldere med samme navn, eller samme navn som en maskin på nettverket.

Da har jeg endret den delte mappestrukturen til \\home\Users\Profiles\ og \\home\Users\Home\.

 

Er du med så langt?

Jeg har vært med på denne delen hele veien

 

Har nå gitt følgende settings på mappestrukturen;

C:\Users\

Sharing;

Authenticated Users -> Read

Domain Admins -> FC

System -> FC

 

Security;

Domain Admins -> FC

System -> FC

Users -> Read & Execute (this folder only)

C:\Users\Home\

Security;

Creator Owner -> FC (Subfolders and files only)

Domain Admins -> FC

System -> FC

Users -> Read & Execute  (this folder only)

C:\Users\Profiles\

Security;

Creator Owner -> FC (Subfolders and files only)

Domain Admins -> FC

System -> FC

Users -> Read & Execute  (this folder only)

Home-tingen fungerer fint nå, eneste er at profilen ikke funker. Tror kanskje security-settingen jeg nevnte over ikke fungerer, da mappen (som da Creator Owner får FC over) ikke lages fra SYSTEM, men fra klientmaskinen - derfor må det settes en spesiell rettighet som tilsier at Authenticated Users får tilgang til å lage mappe, men ikke mer. Dette igjen åpner for at hvemsomhelst (som er logget på domenet) kan lage mapper her - noe som er uønskelig. Derfor må det lages en meget spesiell rettighet... Hvordan?

[jocke]

Prøvde litt til ang. dette med roaming profile. Laget en mappe som het C:\Users\Profiles\Surfemaskin, og ga brukeren "Surfemaskin" fulle rettigheter til denne mappen. Logget så på. Får fremdeles samme problemet (klientmaskinen finner ikke serverside profil, eller lokal profil).

[ob1]

Prøvde litt til ang. dette med roaming profile. Laget en mappe som het C:\Users\Profiles\Surfemaskin, og ga brukeren "Surfemaskin" fulle rettigheter til denne mappen. Logget så på. Får fremdeles samme problemet (klientmaskinen finner ikke serverside profil, eller lokal profil).

Hvorfor det? Jeg har testet dette på 2 forksjellige servere i dag og det virket helt fint begge gangene. Brukerene har "create folder" rettighet og creator owner får FC på alle underkataloger. Works like a charm. (hint: kan det være fordi sharet ditt har read til auth.users mens mitt har everyone FC?)

 

Hvor gjør jeg dette da? Fant noe engang tilbake i tid, men husker ikke hvor.

I policy på domenet eller en OU: user conf -> windows settings -> folder redirection -> h.klikk - properties, velg basic så default og punch inn UNC-stien.

 

Det med deaktivering av netbios over DHCP må jeg finne ut mer av. Uansett forsvant nettverksbrowsing-problemet etter jeg fjernet WINS

Sjekk "help and support" på start-menyen eller gå på microsoft.com/technet og søk.

 

 

Jeg har vært med på denne delen hele veien

Nåja......du har ikke fått med deg at share-rettigheter bare skal stå på everyone FC (eller auth.users FC) Siden sharet fremdeles har read på auth.users så vil brukerene bare ha read uansett hva du stiller på NTFS! Det er den MEST RESTRIKTIVE som gjelder, derfor setter man share-rettigheter helt åpnet og bruker NTFS til å styre tilgangen. Sett derfor sharet til everyone FC, eller auth.users FC.

[jocke]

Hvorfor det? Jeg har testet dette på 2 forksjellige servere i dag og det virket helt fint begge gangene. Brukerene har "create folder" rettighet og creator owner får FC på alle underkataloger. Works like a charm. (hint: kan det være fordi sharet ditt har read til auth.users mens mitt har everyone FC?)

Greit. Satte nå Sharen til everyone -> FC.

Mappen C:\Users\Profiles\ har følgende security permissions;

Creator Owner -> FC (Subfolders and files only)

Domain Admins -> FC

System -> FC

Users -> Read & Execute + Create folder (this folder only)

...Men det funker fremdeles ikke. Hverken når jeg logger på, eller om jeg forsøker å lage en mappe manuellt via nettverket.

 

Nåja......du har ikke fått med deg at share-rettigheter bare skal stå på everyone FC (eller auth.users FC) Siden sharet fremdeles har read på auth.users så vil brukerene bare ha read uansett hva du stiller på NTFS! Det er den MEST RESTRIKTIVE som gjelder, derfor setter man share-rettigheter helt åpnet og bruker NTFS til å styre tilgangen. Sett derfor sharet til everyone FC, eller auth.users FC.

Joda, har forstått dette. Men faktum at det *fremdeles* ikke fungerer, gjorde at jeg måtte prøve andre alternativer.

 

edit; når jeg leser "Security"-fanen fra klientmaskinen, står det også der at "Users" kan create folders - men får jeg det til? NEI! Får bare "ingen tilgang"...

Endret 25. april 2004 av jallakim

[ob1]

Da er det noe som er feil. Du arver ikek andre rettigheter eller satt deny på noe?

 

Jeg har følgende huket av for brukeren på Security - advanced - edit:

 

Traverse Folder

List folder

Read attrib.

Read Exrended attrib

Create Folders

Read Permissions

 

Når du er på serveren som administrator. Gå på security - advanced og se på arkfanen "effective permissions", hent frem den aktuelle brukeren og la den analysere hvilke faktiske rettigheter brukeren har.

[jocke]

Fikk det til nå. Vet ikke helt hva jeg gjorde.

 

Uansett, hvordan får jeg Group Policy'en til å gjelde kun gruppen "Users"?

 

edit; når mappen C:\User\Profiles\%username% lages, får ikke admin@domene tilgang til den. Jeg må dermed manuellt gå inn og sette meg selv til owner.

 

edit; av en eller annen grunn, klarer ikke klientmaskinen å finne profilen på servern når jeg logger på andre gangen. heller ikke den lokale.

 

WTF is happening?

Endret 25. april 2004 av jallakim

[ob1]

Uansett, hvordan får jeg Group Policy'en til å gjelde kun gruppen "Users"?

hehehehehe...dette har du ikke gjort før hører jeg. En policy vil som default gjelde alle brukere som har sine brukerkontoen liggende der policy'en er linket i AD (eller i en OU under). Dvs at legger du en slik policy på domenenivå så vil den automatisk gjelde alle brukerene i domenet.

[jocke]

Uansett, hvordan får jeg Group Policy'en til å gjelde kun gruppen "Users"?

hehehehehe...dette har du ikke gjort før hører jeg. En policy vil som default gjelde alle brukere som har sine brukerkontoen liggende der policy'en er linket i AD (eller i en OU under). Dvs at legger du en slik policy på domenenivå så vil den automatisk gjelde alle brukerene i domenet.

Hmm.. hvordan får jeg da satt Group Policy'er på kun gruppen "Users" da? Uansett får blir ikke "My Documents" redirecta til home-mappen, selv om det er angitt slik i Group Policy'en på domenenivå.

 

edit; tok noen edits i min forrige post før du fikk svart...

[jocke]

edit; når mappen C:\User\Profiles\%username% lages, får ikke admin@domene tilgang til den. Jeg må dermed manuellt gå inn og sette meg selv til owner.

 

edit; av en eller annen grunn, klarer ikke klientmaskinen å finne profilen på servern når jeg logger på andre gangen. heller ikke den lokale.

Grunnen til at den ikke klarer å finne mappen, er at den ikke får tilgang elns. Hvis jeg ikke rører mappen (ved å gjøre admin til owner) går det helt fint å logge på.

 

Men det har oppstått et nytt problem; når jeg logger på, står den i en *evighet* på "Aktiverer personlie instillinger".. kan dette ha en sammenheng med instillinger jeg har satt i Group Policy'en på domenenivå?