Domain Admins and permission problem [آرشيو] - P30World Forums - انجمن های تخصصی پی سی ورلد

مشاهده نسخه کامل : Domain Admins and permission problem

rootnt

05-01-2009, 18:09

سلام بر دوستان عزیز
جستجو کردم و چیزی پیدا نکردم
مشکلم اینه که ...
بابا این ویندوز شما چرا اینجوریه؟:13:
این خروجی رو ببینید:

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

همونطور که ملاحظه می کنید دو یوزر root و domadm در داخل گروه آشنای domain admins هستند
و من هم با یوزر domadm لوگین کردم
در نتیجه باید دسترسی کامل داشته باشم به سیستم
ولی نداره
با این یوزر نه می تونم تنظمات شبکه رو تغییر بدم ، نه برنامه نصب کنم و نه هیچ کار مدیریتی دیگه
به نظر شما چرا اینطوریه؟

rozbeh85

06-01-2009, 12:05

Domain Admin تا اونجایی که یادم میاد فقط میتواند به یوزر ها و اعمال آنها و اضافه کردن آنها دسترسی داشته باشه
نه چیز دیگر
مطمئن نیستم باید ببینم
اگه ضروری بود پ.خ بده نگاه کنم

paranoid_android

06-01-2009, 13:30

domain admin نسبت به دومین خودش دسترسی full control داره و میتونه همه کار انجام بده. حالا ممکنه شما دو تا دومین متفاوت داری یعنی میخوای از دومینت به یه سیستم دیگه در دومین دیگه دسترسی داشته باشی که اون موقع با domain admin نمیشه و باید enterprise admin باشی. اگه امکان داره با خود Administrators یا enterprise admins لاگین کنید بینید باز هم محدودیت دارید یا خیر.
البته در مورد ارتباط سیستم های مایکروسافتی با غیر مایکروسافتی اطلاعات زیادی اطلاع ندارم!

rootnt

06-01-2009, 19:14

Domain Admin تا اونجایی که یادم میاد فقط میتواند به یوزر ها و اعمال آنها و اضافه کردن آنها دسترسی داشته باشه
نه چیز دیگر
مطمئن نیستم باید ببینم
اگه ضروری بود پ.خ بده نگاه کنم
در این مورد مطلب زیاد خوندم
تو کتاب سامبا گفته دسترسی کامل داری

domain admin نسبت به دومین خودش دسترسی full control داره و میتونه همه کار انجام بده. حالا ممکنه شما دو تا دومین متفاوت داری یعنی میخوای از دومینت به یه سیستم دیگه در دومین دیگه دسترسی داشته باشی که اون موقع با domain admin نمیشه و باید enterprise admin باشی. اگه امکان داره با خود Administrators یا enterprise admins لاگین کنید بینید باز هم محدودیت دارید یا خیر.
البته در مورد ارتباط سیستم های مایکروسافتی با غیر مایکروسافتی اطلاعات زیادی اطلاع ندارم!

نه یه دامین بیشتر نیست
یه سروره که سرویس ldap رو با سرویس دهنده سامبا روش راه اندازی کردم
همه چیز هم درست و همونطور که انتظار داشتم و باید باشه هست
خیلی راحت کلاینتها به سرور جوین می شن و گروهها و یوزر نیم ها همه درسته
فقط نمی دونم چرا اعضای گروه domain admins دسترسی ندارن
انگار که گروه دامین ادمینز جزء گروه administrators نیست

فعلا جرات نکردم همه کلاینتها رو ببرم رو دامین
هر چقدر تنظیمات رو نگاه کردم اشتباهی ندیدم
اگر کمک کنید ممنون می شم

paranoid_android

06-01-2009, 20:53

من اینجا یه چیزایی پیدا کردم که کاربران دیگه samba به مشکلات مشابه شما با گروه domain admins اشاره کردن. در مورد یک باگ از طرف OpenLDAP صحبت شده:

:(samba group rights problem (Domain Admins not working

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدامیدوارم به درد بخور باشه.

اگه باز هم با مشکل مواجه شدید از خود گروه Enterprise Admins یا Administrators استفاده کنید.

rootnt

07-01-2009, 17:17

خیلی ممنون
انشاالله یکشنبه برم چند تا چیزو چک کنم ببینم چی می شه بهت خبر می دم

ولی منظورتو از اینکه از خود گروه enterprise Admins یا Administrators استفاده کنید رو نفهمیدم
یعنی چطوری؟

paranoid_android

07-01-2009, 18:48

خیلی ممنون
انشاالله یکشنبه برم چند تا چیزو چک کنم ببینم چی می شه بهت خبر می دم

ولی منظورتو از اینکه از خود گروه enterprise Admins یا Administrators استفاده کنید رو نفهمیدم
یعنی چطوری؟

خواهش می کنم.
ببینید، ما توی سرویس Active Directory که روی ویندوز سرور نصب میشه گروه ها و یوزرهای مختلفی رو داریم که گروه enterprise admin یکی از اینهاست و فرقش با domain admins در اینه که گروه DA فقط در محدوده یه دومین دسترسی کامل داره و enterprise admins به کل forest میتونه دسترسی کامل داشته باشه (forest مجموع تمامی دومین ها و domain tree هایی هستن که بطور منطقی باهم در ارتباط هستن).
وقتی شما فقط یک domain داری در عمل تفاوتی بین گروه domain admins و enterprise admins وجود نداره چون در واقع یک forest با یک tree ی تک دومینی داری! این گروه ها به سه دسته: Built-in groups و Predefined groups و special groups تقسیم میشن که گروه های مرتبط با دومین یعنی Domain Admins و Enterprise Admins جزو Predefined هستن. گروه Administrators هم یه گروه Built-in ه که همه گروه هایی که اسم بردم + کلی گروه تعریف شده دیگه زیر مجموعه اون هستن و وجود همین گروه ها هستش که باعث شده به یه غول تبدیل بشه!

سرویسی به اسم LDAP که شما ازش استفاده میکنید در واقع قلب همین Active Directory ه و به عنوان یه پروتکل برای ما عمل میکنه. AD در واقع چیزی نیس جز همین LDAP + پروتکلی به اسم Kerberous که در مورد authentication ای که توسط دستگاه Domain Controller (منظور کامپیوتری که روش سرویس Active Directory نصبه) صورت میگیره حکم میکنه.

تو این لینک همه چیز در مورد گروه ها نوشته شده:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدموفق باشی استاد:46:

rootnt

09-01-2009, 01:53

خوب می دونی خوشبختانه یا متاسفانه اکتیو دایرکتوری با این سیستم دامینی که من راه انداختم و البته استاندارده و زیاد هم استفاده می شه فرق می کنه و چون من هم تا حالا موقعیتی برام پیش نیومده که ۲ دامین در یک شبکه داشته باشم از اون Enterprise Admin چیزی نمی دونم
حدس می زنم مشکل در مپ کردن گروهها باشه و در rid و gid ها یه اشتباهی کرده باشم
به هر حال ممنون از لینک
برم ببینم چی نوشته

rootnt

12-01-2009, 13:37

سلام
ممنون دوست عزیز
مشکل از همون map کردن گروه ها بین لینوکس و ویندوز بود
من زدم اتومات rid و GIDها رو بده ولی یا ویندوز یا لینوکس خنگ تر از این صبحبتاست و درست نبود
خودم دستی درستش کردم و همه چیز درست شد

paranoid_android

12-01-2009, 16:26

سلام
ممنون دوست عزیز
مشکل از همون map کردن گروه ها بین لینوکس و ویندوز بود
من زدم اتومات rid و gidها رو بده ولی یا ویندوز یا لینوکس خنگ تر از این صبحبتاست و درست نبود
خودم دستی درستش کردم و همه چیز درست شد

سلام.
خوشحالم:46:
موفق باشی.