Может кто нибудь подсказать ответы на несколько вопросов по AD?

Question

[Дмитрий Волхонцев]

Всем доброго времени суток.
Есть несколько вопросов по AD, подскажите ответы на них:
1. Нужно ли при переустановки Windows на клиентском компьютере выводить его из домена, если dns имя клиента в итоге не изменится?
2. Нужно ли выводить клиентский компьютер из домена, при его переименовании?
3. Есть такая структура - головной офис с главным DC и несколько дополнительных офисов в пределах одного города, в которых стоят дополнительные DC. Как лучше настроить репликации, все DC поместить в один сайт или для каждого офиса создать отдельный сайт? В данный момент каждый DC на своем сайте, и между каждым доп. DC и главным настроена отдельная связь. Стоит ли так оставлять или лучше настроить одну связь между всеми DC?
4. Существует ли какой-либо способ скажем так привязать OU к группе безопасности? Чтобы все пользователи попадающие в конкретную OU автоматически помещались в нужную группу безопасности?

Answer 1

[athacker]

3. Сайт -- он для того и сайт, чтобы давать AD понимание структуры вашей сети. От этого будут зависеть параметры репликации, и, например, такие вещи, как выбор контроллера для авторизации. Если вы сделаете один сайт, то у вас пользователи из филиала могут авторизоваться на "головном" контроллере, или на любом контроллере из другого филиала. Т.е. авторизация пойдёт по WAN-каналам, и будет занимать соответствующее время.

Поэтому по фэншую нужно делать так, как сейчас у вас сделано -- каждый филиал со своим контроллером -- это отдельный сайт.

Да, и "главность" DC в нынешней структуре AD -- понятие достаточно условное, сейчас все контроллеры равноправны. Разница может быть только в наличии/отсутствии ролей или глобального каталога на конкретном DC, а в остальном все равны.

Answer 2

[Андрей Хомлюк]

1. Нужно ли при переустановки Windows на клиентском компьютере выводить его из домена, если dns имя клиента в итоге не изменится?
Желательно, сначала выводишь из домена, после вводишь, тогда проблем никаких не возникнет.

2. Нужно ли выводить клиентский компьютер из домена, при его переименовании?
Не обязательно, но я тогда ДНСы чищу обычно, чтобы проблем не было.

3. 1 сайт для всех

UPD. Можно на ПоШе сделать.

Нужен будет модуль Active-directory
Import-Module ActiveDirectory

$OU="OU=TheOUName,DC=yourdomain,DC=com"

$ShadowGroup="CN=ShadowGroupName,OU=TheOUName,DC=yourdomain,DC=com"

Get-ADGroupMember –Identity $ShadowGroup | Where-Object {$_.distinguishedName –NotMatch $OU} | ForEach-Object {Remove-ADPrincipalGroupMembership –Identity $_ –MemberOf $ShadowGroup –Confirm:$false}

Get-ADUser –SearchBase $OU –SearchScope OneLevel –LDAPFilter "(!memberOf=$ShadowGroup)" | ForEach-Object {Add-ADPrincipalGroupMembership –Identity $_ –MemberOf $ShadowGroup}

Answer 3

[nApoBo3]

1. Выводить не нужно, но в домене надо удалить, новая установка, это другой компьютер для AD.
2. Нет. Есть скрип который позволяет сделать это удаленно с DC. Возможно придется почистить DNS.
3. Каждый офис где есть свой DC в отдельном сайте. Желательно в слабо контролируемых зонах ставить не полноценный DC, а RODC, для RODC можно будет назначить локального админа, который будет решать проблемы данного филиала.
Сайты крайне важны для работы на медленных каналах, в частности с помощью сайтов можно определять ближайший файловый ресурс и давать пользователю файлы не с центрального сервера, а с реплики.
4. ИМХО нет, делается несколько иначе, в каждом OU создается эталонный отключенный пользователь со всеми настройками, новые пользователи создаются через копирование эталонного.

Answer 4

[Евгений]

1. Нужно ли при переустановки Windows на клиентском компьютере выводить его из домена, если dns имя клиента в итоге не изменится?

Необязательно. Переустанавливаете систему на компьютере, используя тот же хостнейм.
Перед вводом в домен - учетную запись данного компьютера в AD необходимо резетнуть. гуглите "переустановка учетной записи компьютера в домене" - или в оснастке или netdom-ом.

2. Нужно ли выводить клиентский компьютер из домена, при его переименовании?

нет, выводить не нужно. хостнейм - хостнеймом, sid - sid-ом.

3.
Логичнее выглядит схема, где есть один главный DC, с которым синхронизируются все остальные.
Разделять на сайты или нет - выбирать вам. Прочитайте зачем нужны сайты AD (ну не пересказывать же здесь всё) и принимайте решение.
Если у вас широкие и стабильные интернет каналы то вам будет все равно, делать сайты или жить в одном сайте.
4. Здесь у вас богатый выбор.
Можете просматривать скриптом OU и добавлять всем учетным записям необходимые группы.
Можете полностью все это контролировать скриптом еще при создании учетной записи.
Но самый адекватный ответ уже был дан nApoBo3 : копируйте эталонную учетную запись.

Answer 5

[kolupalkin]

1 нет
2 да
3 отдельный сайт? и реплика со всеми дс

Comments

[ldv]

2. зачем?