Создание лесов доменов

[d00b]

Суть такова на одном домене должно быть разделение на группы
Есть домен: ххx.local
неужно разделить юзеров на несколько групп но чтобы они все входили в домен ххх.local
как можно это организовать а то вс пользователи входящие в домен сидят в группе ххх

[FantomIL]

d00b
Я не очень понял для чего леса? Скажи чего ты добиться хочешь. Если разным пользователям определить какие-то общие права и т.д., то разведи пользователей по группам и каждой группе дай свои права.

[d00b]

Цитата:

Сообщение от FantomIL

d00b
Я не очень понял для чего леса? Скажи чего ты добиться хочешь. Если разным пользователям определить какие-то общие права и т.д., то разведи пользователей по группам и каждой группе дай свои права.

суть такая у меня около 150 юзеров каждый работает в какой то группе
и надо чтобы при входе в сетевое окружение видили: группа1, группа2 итд
а при входе в домен все содятся в 1 группу

[KomatoZo]

Ээээ... Нет, я все понимаю, есть необходимость и все такое. Но хотелось бы знать, какая именно необходимость ? =) Дело в том, что заводить несколько доменов на 150 пользователей это... Это даже не из пушки по воробьям, это скорее ядреной бомбой по вирусу гриппа =) Сложность повышается, а ощутимых бонусов не видно. В чем задача такого распределения ?

[FantomIL]

d00b
Если тебе это нужно лишь для упорядочивания структуры и улучшения ориентации пользователей в сетевом окружении, то, ИМХО, проще назвать компьютеры по именам подразделений и добавить персональное имя/номер.
Например:
1-я группа - service1, service2, service3,... (service_ivan, service_dmitry,...)
2-я группа - accountant1, accountant2,...
и так далее.

Если ты хочешь добиться других целей, то постарайся описать их подробнее, поскольку заводить несколько доменов на 150 пользователей - читай пост выше .

[d00b]

я же говорю необходимо упорядачить юзеров по группам
цель: там абсолютно разные конторы которые к друг другу отношения не имеют и соответственно чтобы они сидели в своей группе и так каждая группа в отдельности а файловый сервер 1(щас новел, собераюсь всех перевезти в домен и убить новела) для всех, купили серв поднял 2к3 серв и домен на нем
т.е. хочется чтобы каждая контора сидела в своей группе как допустим сейчас: каждая контора в своей группе сидит но не в домене и просто конектятся к файловому серваку
вот что мне и хочется сделать на базе доменной системы
я еще нуб по доменам но стараюсь понять

Цитата:

Сообщение от FantomIL

d00b
1-я группа - service1, service2, service3,... (service_ivan, service_dmitry,...)
2-я группа - accountant1, accountant2,...

так мне кажется получится
но я хочу узнать возможено ли то что я хочу см. выше

[KomatoZo]

Значит тогда по порядку.
1) способ разделить их по группам визуально, кроме как присвоить им названия соответствующие и чтобы при этом они в домене были мне неизвестен. Можно только в рабочих группах.
2) для каждого нового домена, неважно, в том же дереве или лесу или в соседнем тебе придется поднимать минимум один контроллер домена.
3) если между этими организациями нужен обмен данными какими-то, то неизбежно в схеме с многими доменами получаешь преотличнейший гемор в виде настройки трастов. В принципе инструмент отличный, но трудозатраты в перерасчете на твои 150 человек совершенно невменяемые, увы.
Отсюда варианты:
1) один домен на всех: в плюсе - имеешь контроль над всеми, проще в управлении и контроле разрешений. В минусе - никакого тебе красивого распределения по группам в сетевом окружении, кроме как по начальным словам в названиях рабочих станций.
2) рабочие группы: в плюсе - проблема с красивым отображением этих организаций в сетевом окружении не существует. В минусе - куча других проблем. Трудности с регулированием прав доступа к файловому серверу (либо придется каждому создавать локальную учетную запись на нем, либо невозможно будет понять кто именно накосячил в случае чего), регуировать доступ к клиентским машинам вообще кроме как файрволлом не сможешь никак (если не собираешься постоянно бегать ножками по ним =) ). И вообще неудобно это.
Короче, я бы выбрал один домен с четким именованием рабочих станций.

[oldgoat]

Цитата:

d00b:
там абсолютно разные конторы которые к друг другу отношения не имеют

Мне кажется можно решить эту проблему, физически разделив разные конторы по разным подсетям и, развернув сервер маршрутизации.
После разворачивания сервера, если специально не прописывать дополнительные маршруты, каждая контора будет видеть только свою сеть и, соответственно, сервер. Домен останется один на всех.
Правда, для этого могут понадобиться многопортовые сетевые адаптеры, если контор больше чем свободных слотов в сервере

[KomatoZo]

Это вряд ли. Если не настроить маршрутизацию, то они не дойдут до контроллера домена. Так что игра не стоит свеч, ИМХО =)

[oldgoat]

Цитата:

KomatoZo:
Это вряд ли. Если не настроить маршрутизацию, то они не дойдут до контроллера домена.

Я имел в виду, что контроллер домена = он же файловый сервер = он же сервер маршрутизации.

[KomatoZo]

Хммм... ну если разделить домен на сайты... Может выгореть. Потому что, если не разделить, то видеть они будут всех при наличии ДНС, просто доступа не получат, но это не то, что нужно было.

[oldgoat]

Ну, не буду упираться рогом, но на всякий случай: вот тема, где в том числе обсуждалась обратная задача, - чтобы две сети видели друг друга и, заметь, ни о каком разделении на сайты там речи не идет.

[KomatoZo]

Ну МБ... Я не MCSE, я только учусь =) В любом случае, задача, имхо чисто декоративная, и стоит ли ломать копья ? =)

[d00b]

Решил сделать так:
1 кортору сделать со входом в домен
2 а остальным просто подключить сетевой диск
т.е. все остаются в рабочих группах кроме одной конторы
думаю это самый оптимальный способ

[KomatoZo]

Ну если тебе не нужно их администрить, то да.