Problem s opravnenim na SBS 2008
Lidi zacinam byt celkem nestastny z jedne veci ktere zaboha nemuzu prijit na kloub.
Ve firme mam nasazenej SB server 2008 kterej funguje jako domain controler .. problem se tyka pristupu nekterych uzivatelu do sitovejch disku. Sitove disky se uzivatelum mapuji pomoci login skriptu kde je klasciky net use .. a cesta ... na serveru mam vytvoreny grupy ktere definuji pristupy do jednotlivych slozek (ktere jsou mapovany jako disky). A ted k problemu.
Uzivatel xy se nahlasi do domeny namapuje se mu disk s do ktereho ma diky grupe ktere je clenem pravo .. ovsem toto funguje pouze nekdy obcas se stane ze disk zahlasi ze uzivatel nema dostatecna opravneni .. kdyby to nefungovalo nikdy tak to jeste chapu ale interval ze jeden den to jede druhy ne nebo dva dny jo a den ne mi fakt nedava spat .. Dalsi zahadou je ze pokud si rozjedu virtualni stroj ktery pripojim do domeny a prihlasim se pod stejnym uzivatelem vse funguje jak ma .. rikal sem si ze to bude nejaky problem s tou stanici tak sem ji projistotu reinstaloval znovu pridal do domeny ale problem pretrvava ..
Nejaky napady kde hledat jadro pudla?
Ve firme mam nasazenej SB server 2008 kterej funguje jako domain controler .. problem se tyka pristupu nekterych uzivatelu do sitovejch disku. Sitove disky se uzivatelum mapuji pomoci login skriptu kde je klasciky net use .. a cesta ... na serveru mam vytvoreny grupy ktere definuji pristupy do jednotlivych slozek (ktere jsou mapovany jako disky). A ted k problemu.
Uzivatel xy se nahlasi do domeny namapuje se mu disk s do ktereho ma diky grupe ktere je clenem pravo .. ovsem toto funguje pouze nekdy obcas se stane ze disk zahlasi ze uzivatel nema dostatecna opravneni .. kdyby to nefungovalo nikdy tak to jeste chapu ale interval ze jeden den to jede druhy ne nebo dva dny jo a den ne mi fakt nedava spat .. Dalsi zahadou je ze pokud si rozjedu virtualni stroj ktery pripojim do domeny a prihlasim se pod stejnym uzivatelem vse funguje jak ma .. rikal sem si ze to bude nejaky problem s tou stanici tak sem ji projistotu reinstaloval znovu pridal do domeny ale problem pretrvava ..
Nejaky napady kde hledat jadro pudla?
A to nejde třeba třeba nějakej den vůbec anebo to nejde, po dalším restartu už třeba jo a pak zase ne?
Na vině by taky mohlo být, že se (na klientským počítači) ještě nestačila rozběhnout nějaká služba, která je potřeba k tomu, aby se šlo přihlásit - pokud jsou to teda XP - tam jsem totiž zjistil, že (zřejmě kvůli urychlení nabíhání) naběhne přihlašovací obrazovka dřív, než jsou naběhlý všechny služby, který se ještě donačítají postupně, takže pokud se uživatel přihlásí "moc rychle", může se stát, že se přihlásí dřív, než jsou rozběhlý všechny služby (řešil jsem to u jedný svojí služby, kterou používám na startování procesů se zvýšeným oprávněním, že se uživatel přihlásil ale služba ještě neběžela a rozběhla se až za chvíli, takže jsem do startovního skriptu musel dát zpoždění, a docela velký, 10s bylo málo tak tam mám 20 u uživatele kterej se přihlašuje automaticky po spuštění PC; stejně tak jsem to vypozoroval na MediaPortalu, protože při automatickým přihlášení uživatele ještě čeká cca 15s než se mu spustí služba TVservice).
Tady by to mohlo bejt taky tak, že ještě neběží nějaká služba, kterou potřebuje aby moh úspěšně natáhnout profil. Zkus třeba po spuštění přihlašovací obrazovky se nepřihlásit hned, ale chvíli počkat (třeba minutu - nebo sledovat operace disku, po chvilce po spuštění přihlašovací obrazovky začne znova šrotovat, to se načítají služby, a počkat, až šrotovat přestane - trvá to tak 20-30s odhadem). Pokud by se pak šlo přihlašovat pokaždý ok, tak by to ukazovalo na tenhle problém. Btw. u Win2k to bylo jinak, tam by se mělo všechno rozběhnout předtím, než je umožněno se přihlásit, proto taky "nabíhání" 2k trvá tak dlouho oproti XP. - co je na těch klientských PC, na kterých to blbne, za verze Windows?
Na vině by taky mohlo být, že se (na klientským počítači) ještě nestačila rozběhnout nějaká služba, která je potřeba k tomu, aby se šlo přihlásit - pokud jsou to teda XP - tam jsem totiž zjistil, že (zřejmě kvůli urychlení nabíhání) naběhne přihlašovací obrazovka dřív, než jsou naběhlý všechny služby, který se ještě donačítají postupně, takže pokud se uživatel přihlásí "moc rychle", může se stát, že se přihlásí dřív, než jsou rozběhlý všechny služby (řešil jsem to u jedný svojí služby, kterou používám na startování procesů se zvýšeným oprávněním, že se uživatel přihlásil ale služba ještě neběžela a rozběhla se až za chvíli, takže jsem do startovního skriptu musel dát zpoždění, a docela velký, 10s bylo málo tak tam mám 20 u uživatele kterej se přihlašuje automaticky po spuštění PC; stejně tak jsem to vypozoroval na MediaPortalu, protože při automatickým přihlášení uživatele ještě čeká cca 15s než se mu spustí služba TVservice).
Tady by to mohlo bejt taky tak, že ještě neběží nějaká služba, kterou potřebuje aby moh úspěšně natáhnout profil. Zkus třeba po spuštění přihlašovací obrazovky se nepřihlásit hned, ale chvíli počkat (třeba minutu - nebo sledovat operace disku, po chvilce po spuštění přihlašovací obrazovky začne znova šrotovat, to se načítají služby, a počkat, až šrotovat přestane - trvá to tak 20-30s odhadem). Pokud by se pak šlo přihlašovat pokaždý ok, tak by to ukazovalo na tenhle problém. Btw. u Win2k to bylo jinak, tam by se mělo všechno rozběhnout předtím, než je umožněno se přihlásit, proto taky "nabíhání" 2k trvá tak dlouho oproti XP. - co je na těch klientských PC, na kterých to blbne, za verze Windows?
Zdravím,
Tohle může být problém nastavené profilů tj. skupin a práv, které uživatelé připojující se nedostanou či se jim nepřiřadí korektně. Z toho vycházím, že v Win2k3 jsem měl podobný problém, ale vyřešil jsem ho tak, že uživatele, kteří měli problémy jsem zavedl do systému AD znovu a všechno bylo OK. Otázka je jestli tento postup bude korektně pracovat i v win2k8.
Howk.
Tohle může být problém nastavené profilů tj. skupin a práv, které uživatelé připojující se nedostanou či se jim nepřiřadí korektně. Z toho vycházím, že v Win2k3 jsem měl podobný problém, ale vyřešil jsem ho tak, že uživatele, kteří měli problémy jsem zavedl do systému AD znovu a všechno bylo OK. Otázka je jestli tento postup bude korektně pracovat i v win2k8.
Howk.
No mi tohle začíná semtam dělat i na dc s windows 2000 server. Navíc náhodně z 400 pc to udělají sem tam některé a ještě jak kdy. Taky jsem na to čučel jak blb, ale byla dovolená a tak se na to budu dívat tenhle týden. Ale kdyby jsi na to přišel, tak dej vědět, zrovna připravujeme nový dc na 2008, ale nasazení bude asi za chodu celkem maras.
Ještě jsem udělal trochu research ohledně toho urychlenýho spouštění v XP. Lze to na XP dokonce zapnout tak, aby se to chovalo jako u Win 2000 (synchronní start). Pak ovšem bude nabíhání XP trvat zhruba tak dlouho jako trvalo u Win 2000, ovšem bude jistý, že už se nastartovala síť, a taky, že se použijou aktuální oprávnění, a ne starý nacachovaný na klientským PC - viz zde: http://support.microsoft.com/kb/305293
Lze to nastavit pomocí GPedit - "Computer Configuration\Administrative Templates\System\Logon\ Always wait for the network at computer startup and logon". Chtělo by to vyzkoušet na nějakým PC, kde se to stává nejčastějc (pokud se to teda stává pouze u XP a ne u Win 2000 - pokud se to stává i u w2k tak bude asi chyba někde jinde).
Lze to nějak nastavit i globálně pro všechny PC na úrovni domény:
http://www.itnewsgroups.net/group/microsoft.public.windows.server.general/topic16733.aspx
(ale to bych nejdřív nedělal, dokud se nezkusí na nějakým klientským PC, že to pomůže)
Pokud by to pomohlo, startovaly by sice všechny PC "pomalu" (stejně dlouho jako Win 2k), ale bylo by jistý, že po spuštění všechno poběží.
Lze to nastavit pomocí GPedit - "Computer Configuration\Administrative Templates\System\Logon\ Always wait for the network at computer startup and logon". Chtělo by to vyzkoušet na nějakým PC, kde se to stává nejčastějc (pokud se to teda stává pouze u XP a ne u Win 2000 - pokud se to stává i u w2k tak bude asi chyba někde jinde).
Lze to nějak nastavit i globálně pro všechny PC na úrovni domény:
http://www.itnewsgroups.net/group/microsoft.public.windows.server.general/topic16733.aspx
(ale to bych nejdřív nedělal, dokud se nezkusí na nějakým klientským PC, že to pomůže)
Pokud by to pomohlo, startovaly by sice všechny PC "pomalu" (stejně dlouho jako Win 2k), ale bylo by jistý, že po spuštění všechno poběží.
Sorry ze sem se tak dlouho neozval (dovolena) Nicmene problem pretrvava. Cekaci pauza nezabrala. Dnes jsem zkusil nasledujici .. nekde jsem vygooglil ze u 2008 byl problem s tim ze se mapovani disku chovalo divne pokud logonscript neprobihal v ramci gp. Tak jsem udelal novej naprosto jednoduchej logon kterej uzivateli mapuje 4 disky O,S,V,X. Skript vypada takto:
@Echo Off
Title Logon script CAD
cls
net use O: \\server01\data_old
net use V: \\server01\data_vyroba
net use X: \\server01\data_dokumenty
net use S: \\server01\data_sdileni
:end
start "%ProgramFiles%\Internet Explorer\iexplore" http://server03:4080
Taskkill /F /IM Iexplore.exe
Taskkill /F /IM Maxthon.exe
exit
V gp jsem udelal grupu CAD do ktere jsem pridal uzivatele kterym to blbne a v novem linku udelal pravidlo ktere vede k tomuto logonscriptu.
Vysledek je stejny zajimave je ze kdyz se uzivatel pripojil poprve fungoval mu disk s a na disku v mu to hodilo ze nema pristup tak jsem ho odhlasil a prihlasil a nopak mel zase pristupny disk v a s byl nepristupny .. coz uz mi fakt hlava nebere .. chystam se kompletne prekopat pristupovy prava k tem sdilenym slozkam jestli se tam neco nekope ale moc na to nesazim kurna pristup bud ma nebo nema nic mezi ne?
@Echo Off
Title Logon script CAD
cls
net use O: \\server01\data_old
net use V: \\server01\data_vyroba
net use X: \\server01\data_dokumenty
net use S: \\server01\data_sdileni
:end
start "%ProgramFiles%\Internet Explorer\iexplore" http://server03:4080
Taskkill /F /IM Iexplore.exe
Taskkill /F /IM Maxthon.exe
exit
V gp jsem udelal grupu CAD do ktere jsem pridal uzivatele kterym to blbne a v novem linku udelal pravidlo ktere vede k tomuto logonscriptu.
Vysledek je stejny zajimave je ze kdyz se uzivatel pripojil poprve fungoval mu disk s a na disku v mu to hodilo ze nema pristup tak jsem ho odhlasil a prihlasil a nopak mel zase pristupny disk v a s byl nepristupny .. coz uz mi fakt hlava nebere .. chystam se kompletne prekopat pristupovy prava k tem sdilenym slozkam jestli se tam neco nekope ale moc na to nesazim kurna pristup bud ma nebo nema nic mezi ne?
Já u net use používám při mapování disků v práci ještě parametry "/persistent:no /user:domena\username", zkus je tam přidat jestli to třeba nepomůže.
Konkrétně jak mám udělanou přihlašovací dávku (volá se s parametrama " "):
[code]
@echo off
if x%3==x goto CallErr
set MapNetworkError=No
set MapNetworkEnvironmentError=%MapNetworkError%
:Start
for %%P in (H T U) do if exist %%P:\. net use %%P: /delete
echo.
echo Mapping network devices ...
echo.
rem Detect if the server exists on the network.
if not exist \\%3\Temp\. goto End
echo - mapping Network Home Drive (H:)
net use H: \\%3\Users\%2 /persistent:no /user:%1\%2
if errorlevel 1 set MapNetworkError=
echo - mapping Network Temporary Drive (T:)
net use T: \\%3\Temp /persistent:no /user:%1\%2
if errorlevel 1 set MapNetworkError=
echo - mapping Network Users Drive (U:)
net use U: \\%3\Users /persistent:no /user:%1\%2
if errorlevel 1 set MapNetworkError=
echo.
if x%MapNetworkError%==x goto MapErr
echo ... network device mapping successfully done.
goto End
:MapErr
if not x%MapNetworkEnvironmentError%==x goto MapErr2
echo.
echo %~nx0: Environment variable set error!
echo.
echo The environment variable could not be set. Try to reserve some bigger place to
echo store environment variables.
echo.
:MapErr2
echo.
echo ... errors passed!
echo.
echo.
%~dp0\..\Utils\choice /C:YN /N Re-try the network device mapping operation? [Y,N]:
if errorlevel 2 goto End
echo.
rem Retry the network mapping.
goto Start
:CallErr
echo.
echo.
echo %~nx0: Call error!
echo.
echo Usage: %~nx0 ^ ^ ^
goto EndPause
:EndPause
echo.
echo.
echo [ OK - press any key ]
pause>NUL
:End
if x%MapNetworkError%==x exit 1
[/code]
Konkrétně jak mám udělanou přihlašovací dávku (volá se s parametrama "
[code]
@echo off
if x%3==x goto CallErr
set MapNetworkError=No
set MapNetworkEnvironmentError=%MapNetworkError%
:Start
for %%P in (H T U) do if exist %%P:\. net use %%P: /delete
echo.
echo Mapping network devices ...
echo.
rem Detect if the server exists on the network.
if not exist \\%3\Temp\. goto End
echo - mapping Network Home Drive (H:)
net use H: \\%3\Users\%2 /persistent:no /user:%1\%2
if errorlevel 1 set MapNetworkError=
echo - mapping Network Temporary Drive (T:)
net use T: \\%3\Temp /persistent:no /user:%1\%2
if errorlevel 1 set MapNetworkError=
echo - mapping Network Users Drive (U:)
net use U: \\%3\Users /persistent:no /user:%1\%2
if errorlevel 1 set MapNetworkError=
echo.
if x%MapNetworkError%==x goto MapErr
echo ... network device mapping successfully done.
goto End
:MapErr
if not x%MapNetworkEnvironmentError%==x goto MapErr2
echo.
echo %~nx0: Environment variable set error!
echo.
echo The environment variable could not be set. Try to reserve some bigger place to
echo store environment variables.
echo.
:MapErr2
echo.
echo ... errors passed!
echo.
echo.
%~dp0\..\Utils\choice /C:YN /N Re-try the network device mapping operation? [Y,N]:
if errorlevel 2 goto End
echo.
rem Retry the network mapping.
goto Start
:CallErr
echo.
echo.
echo %~nx0: Call error!
echo.
echo Usage: %~nx0 ^
goto EndPause
:EndPause
echo.
echo.
echo [ OK - press any key ]
pause>NUL
:End
if x%MapNetworkError%==x exit 1
[/code]
Ja se rano nastval cely to smaznul a delam komplet novou organizaci skupin a gp .. uz se stim se** par hodin .. . Predstava je takovato ..
Mapovani disku:
Uplne jsem to odmazal z logonscriptu. O mapovani jednotek se budou starat gp kde mam udelane organizacni jednotky dle jednotlivejch potreb kancelari kde je nastaveny mapovani.
Loginscript:
Bude resit pouze nahozeni epxloreru pro prihlaseni do keria a zalogovani uzivatele aby mu naskocil pristup na weby dle toho co ma v keriu povoleny.
Security grupy:
Kompletne delam nove a nastavujo znovu prava do slozek.
Pak dam vedet jak sem dopadl.
Mapovani disku:
Uplne jsem to odmazal z logonscriptu. O mapovani jednotek se budou starat gp kde mam udelane organizacni jednotky dle jednotlivejch potreb kancelari kde je nastaveny mapovani.
Loginscript:
Bude resit pouze nahozeni epxloreru pro prihlaseni do keria a zalogovani uzivatele aby mu naskocil pristup na weby dle toho co ma v keriu povoleny.
Security grupy:
Kompletne delam nove a nastavujo znovu prava do slozek.
Pak dam vedet jak sem dopadl.
Takze vcera po tom nastaveni pres gp to jelo vsude az na jednu stanici nicmene rano prijdu do prace a nemapuje se nikomu ani jeden z disku fakt nechapu .. nyni je stav takovy ze i kdyz uzivatele pridam do skupiny ktere dam na adresar plna prava stejne nahlasi ze slozka neni pristupna .. :( Jdu laborovat
Zkoušel jsi ten postup s GPedit - "Computer Configuration\Administrative Templates\System\Logon\ Always wait for the network at computer startup and logon" ? Třeba na tom PC, kde to "nejvíc" nejde...
Jinak by byla možnost mít i v logon skriptu něco ve smyslu
[code]
:Old
if exist O:\. net use O: /delete
net use O: \\server01\data_old
if errorlevel 1 goto Old
:Vyroba
if exist V:\. net use V: /delete
net use V: \\server01\data_vyroba
if errorlevel 1 goto Vyroba
...
[/code]
takže by to cyklilo dokud by se ten disk nepoved namapovat. Ovšem pokud by to pořád psalo "nedostatečný oprávnění", tak by to asi cyklilo nafurt :o - šlo by tam teda dát nějakej hlídač na n pokusů, třeba
[code]
set Counter=10
:Vyroba
if exist V:\. net use V: /delete
net use V: \\server01\data_vyroba
set /a Counter=%Counter% - 1
if errorlevel 1 if not %Counter%==0 goto Vyroba
[/code]
Btw. a dostane se uživatel do tý složky přímo přes jméno serveru? Např. v exploreru když se zadá do adresního řádku "\\server01\data_vyroba" apod.?
Jinak by byla možnost mít i v logon skriptu něco ve smyslu
[code]
:Old
if exist O:\. net use O: /delete
net use O: \\server01\data_old
if errorlevel 1 goto Old
:Vyroba
if exist V:\. net use V: /delete
net use V: \\server01\data_vyroba
if errorlevel 1 goto Vyroba
...
[/code]
takže by to cyklilo dokud by se ten disk nepoved namapovat. Ovšem pokud by to pořád psalo "nedostatečný oprávnění", tak by to asi cyklilo nafurt :o - šlo by tam teda dát nějakej hlídač na n pokusů, třeba
[code]
set Counter=10
:Vyroba
if exist V:\. net use V: /delete
net use V: \\server01\data_vyroba
set /a Counter=%Counter% - 1
if errorlevel 1 if not %Counter%==0 goto Vyroba
[/code]
Btw. a dostane se uživatel do tý složky přímo přes jméno serveru? Např. v exploreru když se zadá do adresního řádku "\\server01\data_vyroba" apod.?
Problem vyresen. Zakopany pes byl jidne .. ale jsem blbec ze me nenapadlo se podivat driv do managmentu sdileni kde je videt jake pc pod jakym uctem se do slozky snazi pojit. Cela ta anabaze spocivala v tom ze useri kterym to blblo se pomoci uctu obchod poji do exchange .. a wokna si tento pristup hodili do spravce hesel jako pripojeni k server01. jak presne je tato sparva hesel aktualizovana a jak presne funguje zatim nevim budu muset zjistit vic informaci kazdopadne tyto stanice se k tem namapovanym diskum poji jako obchod a ne jako dany uzivatel to je cely problem protoze obhod zadna prava do tech slozek nema .. Uff no reknu vam jsem celkem rad ze uz vim cim to je .. reseni bude jednoduche proste v exchangi pridelim tem userum ktery ten obchod pouzivaji prava a budou se do toho outlooku hlasit pod vlastnim uctem..
Jo a diky vsem hlavne dojigiri za snahu a spoustu uzitecnych myslenek ..
Jo a diky vsem hlavne dojigiri za snahu a spoustu uzitecnych myslenek ..
No, případně použít u net use ten parametr "/user:domena\username" tím se explicitně řekne pod jakým účtem se tam má připojovat (poprvý je většinou potřeba zadat heslo a pak si ho už Windows uloží).
jj tohle by to asi taky resilo mapovani uz mam ale poreseny v gp a kazdej disk ma jedno pravidlo ktery pak jen linkuju do jednotlivejch unitu podle toho co kdo potrebuje za disk ale kdyz nad tim tak premyslim ten logon skript s userama mozna bude lepsi .. predelam to jeste tak aby si cekoval nejaky soubory na tech ulozistich a pokud na nej nesahne }tz nema do nej pristup se mu dany disk vubec nenamapuje ..
