[Windows Server 2012 basics] Урок 8 - Доверие и группы безопасности в Active Directory
Вставка
- Опубліковано 2 чер 2024
- 0:00 - Доверие в Active Directory
16:01 - Типы групп безопасности в
21:40 - Universal groups caching
23:11 - Членство и разрешения различных типов групп
27:57 - Стратегии использования групп безопасности
34:38 - Практика
Сайт - trainithard.ru/
Группа ВК: trainithard
Донат WMR R968467889622
Смотрю ваши видео в 2021 году, Александр, они очень помогают мне. Хотелось бы какого-то продолжения от вас, возможно в каком-то другом направлении
Поздравляю с повышением!
Спасибо!
Александр, большое спасибо за то, что вы делаете. Очень полезное видео! Не останавливайтесь!
Транзитивные доверительные отношения, это как поговорка "друг моего друга, мой друг!".
Урок очень полезен. Спасибо!
Большое спасибо за видео, информация подана хорошо и доступно!)
Мне нравится как Вы рассказываете, многое пригодилось на работе.
Сделайте пожалуйсто видео про DFS и Windows PowerShell )))
Из всех видео, это наверное самое непонятное. Но за труды спасибо.
Поздравляю!
Спасибо!
Просто взрыв мозга
лучший!
Александр, спасибо Вам за отличный курс, такой вопрос: планируете ли в будущем выпуск видео по использованию PowerShell в системном администрировании Windows Server 2012? Нигде не нашел нормальных примеров его применения в реальных условиях, и на реальных проблемах, иными словами - в чем выгода его использования для решения административных задач.
Здравствуйте, в ближайшем будущем такого не планирую
Для начала, спасибо автору, большое!!! Все очень доходчиво и актуально. Есть такой вопрос, решил я в целях тренировки и дальнейшего развития создать Траст сразу двунаправленный (доверие друг другу ) и обнаружил, что появляется возможность осуществить по разному (в зависимости от направления) последний пункт настройки, при установке. Там где про Forest и Selective авторизацию. Ну и поставил по разному, с мыслью мол, как удобно. Но в пропертис обнаружил, что и исходящий и входящий установлен одинаково. И когда меняешь его после установки (создания Траста) в одном направлении, он меняется и в другом. Вот хочу спросить, может я что-то не правильно понял, или не так делаю?
не очень понял вопрос, но если меняете тип траста думаю логично что он меняется для обоих концов
Подскажите, как можно организовать доверительные отношения между двумя доменами в одном лесу: например it.inet и it.internet?
Вроде бы в видео рассказал все
Чего то я немного запутался, а зачем делать forest trust между лесами если изначально цель леса отделить домены друг от друга, что бы они никак не пересекались, не проще добавить второй лес в первый или такое невозможно?
Такое невозможно. Пример задачи - слияние двух организация с раздельными лесами, или покупка филиала
понял, спасибо большое
Александр, у вас нет в планах записать видео по WSUS?
Есть, сначала - база
Вопрос такой : когда делали доверительные отношения, то указывали учетные данные администратора второго домена, а если пароль на него сменится?что будет с трастом?
У траста автоматически создается свой пароль, он меняется и реплицируется между обоими доменами. Так что ничего не будет.
Похоже с повышением отношение к каналу изменилось, ну или это так чувствуется усталость... местами слишком быстро, местами скомкано. Но в целом полезно.
Спасибо!
2/3 в разницы между группами Global, Domain local и Universal не понятна, настолько быстро эту базовую серъёзную тему объяснил. Пересмoтрел уже по пятому разу. и всё равно какая-то вода на киселе...Это самая-самая основа, которая в случае проблем с правами доступа групп должна быть постоянно в голове. Пришлось искать другие видео, где это более понятным языком объяснялось. После этого уже всё здесь стало понятно :)
А есть ссылка на другие видео?
@@w1ftel458 есть. Самое лучшее объяснение в древнем видео: ua-cam.com/video/uaHjtZzLddQ/v-deo.html
@@timofejzivoderoff7682 спасибо
Большое спасибо! Действительно, это старое видео понятно с первого раза:)
@@timofejzivoderoff7682 о да, kraulf лучший. Никто не переплюнул его ролики. Жаль что исчез.
Александр, у меня вопрос по практике, как настроить доверительные отношения между нашими доменами trainithard.local и kolo.bok, что бы возможно было под учеткой administrator@trainithard.local войти на сервер домена kolo.bok?
Траст уже настроен, нужно включить доступ по рдп к серверу домена kolo.bok, а также разрешить вход на домен контроллер, если конечно на него нужно зайти (это политика "Allow log on through Remote Desktop Services", урок про политики все никак не запишу)
мне интересно, возможно ли так настроить 2 контролера домена, что бы сотрудники 2-х организаций, владельцев этих доменов, грубо говоря могли ходить друг к другу в гости, сесть там за чужой пк и войти под своей учеткой и работать?
Вполне. Нужно группами поиграться,выдать права на вход локальный и вуаля!
Получает domain local и global это одна и тоже? что то не особо понял разницу
не одно и тоже, я же специально табличку в видео вставлял и объяснял все различия
Здравствуйте , машина X подключина к той же сети что и DC?
Да, но леса разные
в данном уроке на практике не показана функциональность agdlp
Еще сделайте плейлист пожалуйста из видеозаписей
Плейлисты давно есть. Ну функциональность agdlp вы уже и сами должны сообразить как прикрутить, если смотрели все уроки до этого :)
Привет.есть вопрос )может ли доменный админ одного домена с полными доверительными транзитивными двусторонними отношениями с другим доменом заходить на контроллер домена другого домена ( то есть не своего ) под своим доменным админом при условии что в локальной политике безопасности контроллера другого домена ему разрешен локальный вход в систему под его учеткой доменного админа..у меня не получилось так сделать) не пустил
Думаю, что может если выдать разрешения правильно, хотя не проверял )
TrainIT Hard проверьте ради интереса) если получится сообщите)))
@@TrainITHard нет, не может!
у меня проблема в лес два дерева добавилось нормально, а третье криво как-то. как правильно настроить DNS и репликацию политик по деревьям из основного домена (оно же дерево) есть ссылка на нормальное описание этого процесса
Настрой транзитивное доверие по цепочке, должно помочь
Добрый день! Вот что я не догнал, почему на одном DNS stub зона, а на другом просто форвард, почему допусти в обоих не сделать stub?
Чтобы показать оба варианта) на продуктиве делают обычно однотипно все
это самый популярный вопрос , непонятно почему
@@sashashad Ну потому что новичку не совсем ясно почему на одной стороне одно, на другой другое)) Я к примеру не знаю всех тонкостей AD и какие подводные камни у MS в этом деле, хотя делал такое на Bind
На мой взгляд, Александр, слишком много непонятной воды налили.
Можно все проще объяснить:
"Локальные группы создаются для дачи полномочий к ресурсу. Они действуют только в пределах домена.
Глобальные группы, объединяют по смыслу пользователей (сисадмины, отдел продаж…) Глобальные группы засовываются в локальные, если группе пользователей нужно дать доступ к ресурсу. Действуют в пределах forest'а.
Universal - может все (в пределах фореста).
Классификация: для порядка. Довольно устаревшая классификация, в принципе, можно применять universal"
я правильно понимаю, что вас была еще одна виртуальная машина с ip 192.168.100.254 и на нее добавлены роли?
Да, второй лес
когда про GP планируешь?
Следующий урок :)
отлично, ждем! ))
Александр смотрю ваше видео и начинаю немного плыть, не могли бы вы подсказать еще источников по серверам
В свое время смотрел англоязычные курсы CBT nuggets/ trainsignal (сейчас уже pluralsight). Из книг ничего толкового не читал по винде, но читал серию Inside Out по Exchange - книга была очень годная, есть такая же и по винде, возможно стоит глянуть ее.
@@TrainITHard спасибо, к сожалению английский не особо знаю
Книг по 12 винде навалом в сети и на русском
7:02 оговорка. Автор имеет ввиду не "Лес", а "Дерево" доменов.
Не понимаю, а зачем мы на одном сервере создаем stub зону, а на другом делаем пересылку? Зачем это нужно? Почему мы на обоих серверах не делаем conditional forwarding или ту же stub зону?
Чтобы показать, как настраивать обе эти вещи и чем они отличаются. В продуктиве как правило все идентично настраивается.
Ага, так и подумал. Спасибо тебе добрый человек.
А какая должность сейчас? В 2022? Если проджект менеджер то что вы там делаете, не понятно из названия
проджект менеджер - управлял проектами, но сейчас я уже 4 месяца как Java-разработчик ))
@@TrainITHard а почему если не секрет? финансовые перпективы? релокейт?
А где kolo.bok создаётся? Помогите плез
на второй тачке
С последнего повышения прошло 4 года. Интересно, какую должность занимает сейчас Александр)
Проджект-менеджер :)
@@TrainITHard новые видео ожидаются?
Простите. Не смог осознать какн и старался. ЗАЧЕМ? на одном контроллере домена надо в DNS в Forward Lookup Zones добавлять STUD , а на другом в Conditionals Forwarders ? почему на обоих нельзя Forward Lookup Zones добавлять STUD и все?
Это было сделано, чтобы показать пример использования и того и того.
Так а как правльно или тогда в чем отличия. Они по любому есть. Просто так сразу не видны.
форвардер тупо пересылает запрос на IP, который укажем. STUB смотрит NS записи зоны и пересылает запрос на эти записи
+