Windows 2k server - change owner to ...

[Cain]

Am facut un file server vai de mama lui ... printre setari (are si Active Directory), pe directorul fiecarui user am debifat "Allow inheritable permission...", si am adaugat userul din AD. Numai userul... Am avut surpriza ca eu, ca admin de balta ce ma aflu, sa nu mai am acces in folderul respectiv... de tot rasul... ma rog, am luat ownerul, si am reusit sa le accesez (facusem treaba asta pe vreo 20 de foldere... ). Am instalat pe un computer mai bunicel serverul din nou, si vreau sa dau ownerul inapoi la user, ca am si quotas-ul activat (nu vreau sa ma trezesc cu 20 filme pe hard, si sa vad ca nu mai am spatiu). Cum fac asta? La "Change owner to.." nu am decat contul de admin...


PS. Acum am debifat din nou "allow inheritable..", am adaugat userul SI adminul; sper ca dupa ce userul va creea file si foldere pe acolo, sa le pot accesa, sau le citeste/modifica numai cine le-a creeat ?

[Raven]

N-am mai lucrat cu win2k as de ceva vreme, dar eu zic ca nu-i nevoie sa-i dai ownership la loc... Ii dai doar drepturi de scriere si ce mai vrei, eventual full access (daca zici ca esti protejat de quota), ca stiam ca odata ce-ai dat "take ownership", al administratorului ramane...

[Cain]

Hmm.. deci datele le copiez de pe old hdd pe new hdd. O data cu copierea lor, fiind sub logarea de admin, automat ownerul sint eu. Deci nu e vorba ca le-am luat ownerul acum, ci pur si simplu daca eu le fac, eu sint proprietarul . Deci nu se poate? Off.. atunci tre sa copiez niste filme "undercover", sub numele userilor ...

Nu merge o jmecherie, sa-i declar admini, si sa-mi apara la optiunea de "change owner" ? Nu a facut nimeni asta?

[[mx]n0b0dy]

Adaugi user-ul respectiv la security -> advanced si ii dai allow la take ownership.

[Cain]

Security->Advanced:
- permissions
- auditing
- owner
la permission exista userul respectiv, alaturi de admin si de gupul din care face parte; dar la tabul owner este numai adminul...

[raziel]

pai dupa ce le dai dreptul "take ownership" (user-ul sa aiba pt folderul lui) ai 2 variante:
1. ori intruiesti userii sa faca ei take ownership (fiecare sa faca pt folderul lui)
2. te loghezi pe rand cu user/pass respectiv si faci tu "take ownership" (cu mentiunea ca respectivii useri TREBUIE sa aiba log on locally pe computerul respectiv - daca e server (DC) sigur n-au). Daca nu le sti parolele, ori ii rogi sa ti le dea, ori "reset password" si dupa ce faci operatiunea respectiva" ii pui sa isi schimbe parolele la urmatorul logon


mentiune: e corect ce ti s-a intamplat. ei au permisiunea sa "preia ei" dar cum n-au facut-o, adminul (ultimul care a luat acest drept) e owner

[Cain]

Esti sigur de ce spui ? Cum sa ma loghez pe un server cu Active Directory ca user, nu ca admin? Cum face ala ownership de pe un win98, de ex?

PS. Stiu arolele, ca eu le dau

mentiune: nu am zis ca nu ar fi corect ... si un user pe AD nu prea are el multe drepturi ... Mai mult obligatii, ca un prapadit de platitor de impozite...

[raziel]

n-ai pe acolo o statie cu W2k Pro sau XP Pro care sa fie in domeniu? Leaga-te de pe statia respectiva, acceseaza share-ul in care sunt folderele respective.

operatiunea se poate face si pe retea

Te legi ca user gogu te duci la directorul (shared) de pe server Folder_gogu, security, advanced, take ownership. Logout

Next user, please

nu uita inainte sa faci asta, sa le dai de pe server dreptul de a face take ownership


mentiune: serverul de AD se numeste DOMAIN CONTROLER (DC). Pe DC, se pot lega si userii chiori daca modifici Group Policy (Default Domain Controllers Policy) si pui la Security/ Log on locally si grupul USERS sau daca ai mai multe OU-uri si ti-e lene sa le dai pe toate, potzi baga EVERYONE. Totul e ca dupa ce termini sa nu uiti sa scotzi ce ai facut.

[Slider]

Mah, daca tot e vorba de AD, vin si eu cu o intrebare, ca sa nu mai pun thread nou.
Fac pe DC un OU in care bag niste Useri si la care definesc un policy care pe deasupra are si "No Override" setat. Problema e ca Policy-ul nu se aplica la userii din OU-ul respectiv. Care poate fi problema?

[raziel]

Politicile se aplica in urmatorul fel (fiind vorba de domeniu):
1. politica locala (Local Security Policy) prima
2. Site (politica site-ul din care face parte respectivul computer)
3. politica domeniului unde exista userul/computerul
4. politice setate la nivel de OU. Aici sunt ordonate (pt ca pot fi mai multe pe un OU si mai multe OU-uri). Deci se aplica in ordinea OU parinte - OU child.

E posibil ca sa existe o politica la nivel superior care sa aiba NO OVERIDE, deci unele setari din politicile de mai jos sa nu fie aplicate (fiind blocate). de ex daca la nivel de domeniu ai o politica no overide, setarile de acolo nu pot fi suprascrise de politicile de OU, chiar daca cele de la nivelul OU-rilor au setat BLOCK POLICY INHERITANCE.

Incearca mai intai sa setezi la politica ta de OU, BLOCK POLICY INHERITANCE. Daca nu tot nu merge, cauta deci la nivel superior daca nu cumva ai NO OVERIDE. Daca exista scoatel

O alta chestie ar fi urmatoarea. Ai link-uit politica de OU? Adica daca dai click dreapta pe OU, la Group Policy apare politica ta "My_OU_Policy"? verifica incarcand-o intr-un mmc daca setarile sunt salvate (start-run-mmc-add snap_in-group_policy-My_OU_Policy)

[Slider]

Stiu ordinea in care se aplica. Ca politici de nivel superior nu am decat Default Domain Policy, care nu are No Override, iar OU-uri nu am decat unul singur, in sensul ca nu am alte OU in OU-ul meu. Cand dau click dreapta pe OU apare policy-ul meu, deci si aici pare in ordine.

Ideea e ca userii pe care vreau sa-i bag in OU-ul meu sunt membri ai Domain Users pe care l-a facut Windozu la instalare (nu am reusit inca sa ma prind daca asta are vreo importanta sau daca trebuie sa creez un nou Security Group in care sa bag userii mei). As fi putut sa configurez pur si simplu Default Domain Policy, dar nu trebuie sa aplic restrictiile la toti userii. Unii trebuie sa beneficieze de restrictii mai relaxate din motive de Visual Studio .Net...

[raziel]

Din ce zici tu, inteleg ca n-ai decat un site, un domeniu, un OU?

Nu trebuie sa faci nici un grup. Ei trebuie sa fie in OU-ul tau. La tine e simpla intr-adevar treaba. Incearca sa ii dai pe langa No Overide si Block Policy Inheritance. Forteaza apoi propagarea politici, sau da un restart la client

Daca nu cer prea mult, ce vrei sa setezi mai exact? Unde e situata setarea (user sau computer configuration)? Conturile computerelor pe care le folosesc userii tai din OU sunt tot in OU respectiv sau nu?

Verifica pe DC ce zice in Event Viewer. Ce zice de politici? Exista vre-un mesaj de eroare?

Clientii ce sistem de operare au?

[Slider]

Da, un site, un domeniu. Conturile computerelor sunt intr-un OU separat (Computers) iar serverele in alt OU (Domain Servers), dar fara nici o utilitate practica, doar ca la fie organizate mai frumos.
Cat despre setari, sunt si setari la computer configuration si la user configuration. Adminul de dinaintea mea a incercat mai demult sa forteze propagarea policy-ului cu o comanda (nu-mi mai aduc aminte exact care) si a reusit sa buleasca AD-ul de s-a trezit cu un cont de admin de domeniu care nu area acces la MMC pentru ca nu ii premite policy-ul... Asa ca nu m-am mai bagat sa fortez nimic.

Oricum, am rezolvat problema dupa ce am sters OU-ul si am facut altul pe care am definit iar policy. Acum merge bine. Eventual mai incolo oa sa fac si niste optimizari de genul dezactivat Local Policy, dar asta cand o sa am timp.
Mersi mult!

[raziel]

nu trebuie sa te sperii de "fortarea propagarii"
se fece de pe client in 2000 cu "secedit /refreshpolicy" sau in xp cu "gpupdate". daca politica contine chesti "naspa" care fac intr-un fel sau altul computerul inutilizabil, scoti politica OU-ului de pe server, dai din nou la client secedit/gpupdate si gata.

adminul de dinaintea ta daca nu fortza politica, s-ar fi replicat ea, si acelasi efect l-ar fi creat. In mod normal la 90 de min +/- 30 min, asta e termenul la care se reaplica politicile (daca imi aduc aminte exact). Greseala a fost in setarile facute nu in fortarea aplicarii lor.

Group policy necesita mare atentie si testare inainte de aplicare. Io ma intreb ce ar fi facut adminul daca seta de ex la politica domeniului urmatoarea chestie "Deny logon localy - Everyone"? Iti spun eu ca am testat-o: nimeni nu facea logon, pe nici o statie sau server din domeniu! Adica nu puteai sa folosesti nici un computer
Bye

[Slider]

Da, 90 de minute e timpul de refresh si secedit era comanda, dar a facut asta direct de pe DC.
Acu' vin cu alta intrebare: ai reusit vreodata sa folosesti cu succes ntdsutil si/sau DC Directory Restore mode ca sa repari un DC? Eu nu am reusit, si m-am chinuit ore intregi. Mi-a crapat hardul de pe serverul pe care tineam DC si de atunci, desi de cand am formatat low level hardul din bios-ul controllerului SCSI (n-am avut alta solutie, am incercat tot ce se putea incerca) nu a mai dat nici o eroare de paritate, nu mai am incredere in el. Acum (de vreo 2 saptamani) tin DC pe un workstation...

[raziel]

nu n-am facut-o practic. dar eu zic ca merge daca ai un backup la Active Directory. (bineinteles recent)
fi atent insa ca ntdsutil e un tool foarte bun insa daca faci ce nu trebuie poate fi si extrem de periculos. Documenteaza problema foarte serios inainte sa treci la treaba. informeaza-te atent iar daca ai cum fa si teste, simuleaza treaba pe ce ai la indemana, iar daca reuseste, inseamna ca asta-i calea ce tb urmata. Nu aplica tot ce scrie pe net sau prin alte surse direct in treaba reala pt ca nu iese de fiecare data.

ca o paranteza, pot sa-ti spun ca cunosc pe cineva care din gresala a promovat un server ca DC, serverul respectiv avand acelasi nume cu un altul. Desi teoretic n-ar fi trebuit sa te lase (pt ca operatiile de genul asta ar trebui sa necesite confirmarea Domain Naming Master-ului) acest lucru a fost posibil! (bug Microsoft major). Iti dai seama ce s-a intamplat prin tot AD pt ca depromovarea sau redenumirea a fost simulata si facea ca in AD sa nu mai apara nici macar serverul vechi cu numele respectiv, amandoua fiind depromovate! Treaba s-a rezolvat cu ntdsutil insa a necesitat zile intregi de munca.

potzi sa faci temporar workstation-ul ca DC, nu e nici o problema atat timp cat e in HCL . pe bune, potzi eventual sa mai faci un workstation DC , pt load balancing si fault tolerance. pana la urma se rezuma la performantza, daca ai multi useri care se logon-eaza si multe servicii instalate pe DC-ul respectiv e urat. dar pt cateva sute de useri si fara sa mai ai si altceva pornit (dns, iis, printserver sau fileserver) e ok si un p3-500, 256ram.

[Slider]

Despre paranteza: Spooky! Am incercat mai demult faza cu promovat DC pe un comp cu acelasi nume ca DC-ul curent (ii pusesem din greseala acelasi nume. Vroiam sa fac un DC de Backup), dar cand am dat dcpromo a tzipat urat de tot ca nu se poate si nu m-a lasat sa continui sub nici o forma! E adevarat, eram cu update-urile la zi.

Useri... mai mult de 10 simultan nu am (sunt doar 10 compuri in lab), deci aici nu e problema.
Cat despre DC-ul meu actual (PIII@666, 256MB SDRAM), nu-mi fac griji decat in privinta hardului. E un Maxtor 31024H2, de 10G, UATA66, pana a cum nu a crapat nici unul in laborator. Sunt fiabile. Dar totusi e IDE si nu e facut sa mearga non stop ca un SCSI. Pe langa DC, compul asta mai tine si DNS Server.