Управление IE10 через групповые политики

Как всегда большой брат Microsoft добавил работы доменным администраторам, выпустив обновление internet explorer до версии 10. Оказалось, что после его установки, перестают применяться политики проски-сервера и все что с ними связано. Так же в консоли управления политиками пропадает ветка  User Configuration > Windows Settings > Internet Explorer Maintenance , то есть редактировать настройки «ишака» становится не возможно, особенно если у вас контроллеры домен Windows 2003 и ниже. Теперь для управления настройками IE необходимо применять новый метод: Предпочтения групповой политики» или IEAK, как утверждает Microsoft, он более гибче и удобнее.

1. Создадим новую политику обычным для нас способом
2. Заходим в редактирование политики
3. Конфигурация пользователя\Настройка\Параметры панели управления\Параметры обозревателя
4. Создаем правило для IE8 (Оно работает и для 9 версии)
5. Если строка подчёркивается красным цветом, то необходимо нажать F5 после чего подчеркивание станет зеленым, если же надо отключить опцию то нажимаем F7 либо F8 (отключить все)
6. Для настройки прокси-сервера и исключений необходимо перейти на вкладку Подключения\Настройка локальной сети
7. После всех настроек у вас должно получиться примерно так:
8. Это правило работает только для Internet Explorer 8 и Internet Explorer 9, для более ранних версий нужно просто создать отдельные правила
9. Для того чтобы политика подействовала на IE10 необходимо немного подкорректировать xml-файл
10. Заходим Конфигурация пользователя\политики\конфигурация Windows\сценарии\Вход в систему
11. Нажимаем на кнопку «Показать файлы» и попадаем примерно \\DOAMIN\SysVol\main\Policies\{6D482F1D-8FEA-4F7D-813E-9B72B1B0F795}\User\Scripts\Logon
12. Переходим в каталог \\DOAMIN\SysVol\main\Policies\{6D482F1D-8FEA-4F7D-813E-9B72B1B0F795}\User\Preferences\InternetSettings
13. Открываем любым текстовым редактором файл InternetSettings.xml
14. И правим строку max= «10.5.0.0″ , сохраняем изменения и проверяем работу политики.
15. Ах да, для удаления старых значений IE, необходимо поставить Windows 7 с браузером 8-9, после ввести ее в домен и установить RSAT.

 оригинал http://lemiro.ru/archives/1419.html
P.S. пункты 9-15 справедливы до 2008R2 включительно

Автоматический вход без ввода пароля (autologon)

.:Решение:.

Способ 1

1. Пуск --> Выполнить -->; в поле Открыть напишите команду control userpasswords2 и нажмите OK
2. Установите курсор на том имени пользователя для которого вы хотите настроить автоматический вход в Windows (это избавит от написания имени пользователя в следующем окне - оно будет подставлено автоматически) и снимите птичку с параметра Требовать ввод имени пользователя и пароля, затем введите пароль учетной записи (если используется) и нажмите OK.

---

Способ 2

1. Пуск -> Выполнить -> введите коману regedit и нажмите ОК.
2. Найдите следующую ветвь реестра:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

3. Дважды щелкните параметр DefaultUserName (если такого параметра нет, то создайте Строковый параметр с этим именем), введите свое имя пользователя и нажмите кнопку OK.
4. Дважды щелкните параметр DefaultPassword, введите в поле «Значение» свой пароль и нажмите кнопку OK.
5. Дважды щелкните параметр AutoAdminLogon, введите в поле Значение число 1 и нажмите кнопку OK.

Примечание. В случае если компьютер является членом домена перечисленные выше способы не будут работать, необходимо немного модифицировать второй способ прописав значения входа в домен:
В реестре в ветви

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• параметру AutoAdminLogon установите значение 1
• параметру DefaultUserName установите значение равное имени пользователя для которого настраиваете автоматический вход в систему
• параметру DefaultDomainName установите значение равное имени домена для входа
• параметру DefaultPassword установите значение равное паролю пользователя для которого настраиваете автоматический вход в систему

Если какого либо параметра нет, то его нужно создать, для всех параметров тип Строковый (REG_SZ)

---

Способ 3
Если компьютер до какого-то времени автоматически входил в систему, а затем перестал, проверьте следующие варианты:
1) Система останавливается на экране приветствия, ожидая выбора пользователя либо ввода пароля для имеющегося:

Автологин происходит при наличии ОДНОГО БЕЗПАРОЛЬНОГО пользователя. Попробуйте привести систему в соответствие с данным условием.

2) Система выводит диалоговое окно для ввода имени пользователя и пароля, хотя пароля нет (по нажатию Enter загрузка продолжается):

Возможно, вы отключили приветствие системы. Включается здесь:

Код:

панель управления\ учетные записи пользователей\ изменить способ входа в систему\ использовать экран приветствия

---

Совет. Чтобы обойти процедуру автоматического входа или войти в систему от имени другого пользователя, удерживайте клавишу SHIFT после завершения сеанса или перезапуска Windows XP. Это приводит к изменению только процедуры первого входа в систему. Для применения измененной процедуры в дальнейшем вы должны настроить следующий параметр реестра:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Параметр:ForceAutoLogon
Тип: REG_SZ
Значение: 1 

http://forum.oszone.net/thread-46324.html

Скрипт очистки логов IIS сервера

Заметка на память. Удаляем старые логи IIS Server. Пишем в notepad.exe

get-childitem -Path C:\inetpub\logs\LogFiles -recurse |
where-object {$_.lastwritetime -lt (get-date).addDays(-90)} |
Foreach-Object { del $_.FullName }

 Данная конструкция рекурсивно  проверяет файлы старше 90 дней вниз по дереву и удаляет их.
Сохраняем del_old_logs.ps1

Можно запустить .\del_old_logs.ps1. Можно поместить в назначенные задания
         powershell.exe c:\scripts\del_old_logs.ps1  -noprofile -Noninteractive

Делегирование административных задач в Active Directory

Более чем очевидно, что практически в каждой организации ИТ-подразделение включает в себя нескольких администраторов, и различные административные задачи должны быть распределены среди администраторов, либо, скажем, среди членов службы поддержки. Например, как в данном примере, скажем сотрудники подразделения поддержки должны вносить компьютеры в домен. Однако такая группа пользователей не должна иметь возможности выполнять остальные операции, помимо тех, которые вы хотите им разрешить.
А вот те разрешения, которые можно назначать пользователям, группам или компьютерам, иначе говоря принципалам безопасности, называются записями контроля доступа (Access Control Entry, ACE). Следовательно, с помощью ACL модифицируются разрешения доступа для объекта. Списки ACL вы можете просматривать непосредственно при помощи таких оснасток как «Active Directory – пользователи и компьютеры», «Центр администрирования Active Directory», а также в таких оснастках и средствах как «Active Directory – Сайты и службы», «Редактор ADSI», а также «LDP» (некоторые средства будут подробнее рассмотрены далее в данной статье). Если же говорить о разрешениях контроля доступа к объектам AD, то сразу следует отметить, что они разделены на стандартные разрешения и на особые разрешения. Особые разрешения представляют собой гранулированные опции, которые применяются к конкретному объекту, а стандартные разрешения доступа уже составляются из набора особых разрешений, которые разрешают, либо, наоборот, запрещают определенную функцию. Исключительно в качестве примера можно выделить такое стандартное разрешение как чтение, ведь на самом деле оно включает в себя записи таких особых разрешений как чтение разрешений, список содержимого, а также прочитать все свойства. Но это уже совсем другая тема.
Собственно, все записи ACE располагаются в дискреционном списке контроля доступа, иначе говоря, в оригинале это звучит как Discretionary Access Control List, или же, проще говоря, в списке DACL. Это список записей управления доступом, определяющий разрешения доступа для каждого принципала безопасности к объекту. В свою очередь, каждый принципал безопасности, который добавляется в объект, получает список разрешений, в котором указано, что конкретный пользователь либо группа пользователей может выполнять конкретные операции с самим объектом. Здесь всегда следует помнить то, что записи ACE, которые были назначены явным образом, всегда будут оцениваться перед унаследованными записями ACE. А также всегда следует учитывать то, что запрещающие записи всегда будут превалировать над разрешающими.
Сам по себе список DACL является составляющей списка ACL самого объекта, который еще содержит системный список контроля доступа, другими словами System Access Control List, SACL. Этот список определяет параметры аудита для объекта, включая все принципалы безопасности и операции, для которых должен выполняться аудит.
Таким образом, возвращаясь к самой теме данного раздела, делегированием административных задач называется наследование разрешений родительского объекта для принципала безопасности, созданного в Active Directory.

Пример делегирование административных полномочий

Одна из задач, которую необходимо было выполнить, представляла собой следующее: нужно было предоставить возможность определенной группе пользователей, скажем, некоему техническому персоналу, вносить компьютеры в домен и распределять эти компьютеры по различным подразделениям. В принципе, эту задачу можно назвать тривиальной, но мы незначительно изменим условия, чтобы было интересней. Что будет сделано: поскольку, по умолчанию каждый пользователь может присоединить компьютер к домену, исправим эту ситуацию таким образом, чтобы присоединять компьютеры к домену могли только лишь те пользователи, которые входят в группу безопасности «Поддержка». Следовательно, нужно выполнить следующие действия:

1. Для начала следует на контроллере домена открыть оснастку «Active Directory – пользователи и компьютеры». Здесь необходимо создать глобальную группу безопасности, члены которой смогут присоединять компьютеры пользователей к домену. Другими словами, эта группа будет выглядеть следующим образом:
   
   
   Рис. 1. Свойства группы, отвечающей за присоединение компьютеров к домену
2. Следующим делом необходимо указать, что компьютеры присоединять к домену могут только лишь пользователи, входящие в созданную на предыдущем этапе глобальную группу безопасности. Для этого следует открыть оснастку «Управление групповой политикой» и перейти к редактору GPME для созданного по умолчанию объекта GPO «Default Domain Controllers Policy», который располагается в подразделении «Domain Controllers».
   В отобразившейся оснастке следует перейти к узлу «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователей» и локализовать параметр политики, который называется «Добавление рабочих станций к домену». Открыв диалоговое окно данного параметра политики, вы сразу сможете обнаружить, что по умолчанию там указана группа «Прошедшие проверку», благодаря которой присоединять компьютеры к домену может каждый пользователь. Теперь, для того, чтобы разрешить присоединять к домену компьютеры только пользователям из группы безопасности «Поддержка», следует удалить группу, указанную в этом параметре политики по умолчанию, а затем при помощи кнопки «Добавить пользователя или группу» и диалога поиска объектов Active Directory, следует добавить созданную ранее глобальную группу безопасности. Процесс добавления такой группы изображен на следующей иллюстрации:
   
   
   Рис. 2. Изменение группы, отвечающей за присоединение компьютеров к домену
3. Теперь несмотря на то, что немного ранее было описано, в каких сценариях выполняется делегирование, и что в большинстве случаев делегирование выполняется на уровне подразделений, в данном случае для предоставления возможности присоединения компьютеров к домену, нам следует в оснастке «Active Directory – пользователи и компьютеры» вызвать мастер делегирования непосредственно для уровня всего домена. Следовательно, в оснастке «Active Directory – пользователи и компьютеры» необходимо в области дерева самой оснастки вызвать контекстное меню для домена и выбрать опцию «Делегирование управления», как показано ниже:
   
   
   Рис. 3. Вызов мастера делегирования управления
4. На первой странице мастера можно просто ознакомиться с основной задачей данного средства и, ввиду того, что на первой странице нельзя выполнять какие-либо действия, следует просто нажать на кнопку «Далее». На второй странице мастера, странице «Пользователи и группы», нужно локализовать группу, для которой необходимо делегировать управление. В данном примере следует нажать на кнопку «Добавить» и при помощи соответствующего диалога выбрать группу «Поддержка», как показано на следующей иллюстрации:
   
   
   Рис. 4. Добавление группы, для которой выполняется делегирование управления
   После того, как группа будет добавлена, для перехода к следующей странице мастера следует нажать на кнопку «Далее».
5. Страница «Делегируемые задачи» позволяет вам определить конкретные операции, которые должны выполнять в доменных службах Active Directory пользователи или группы пользователей, которые были добавлены на предыдущей странице мастера. Так как в данном примере делегируется задача присоединения компьютеров к домену и такую задачу можно найти в предоставленном списке распространенных задач, следует напротив задачи «Присоединение компьютера к домену» установить флажок и нажать на кнопку «Далее». Стоит обратить внимание на то, что данный мастер позволяет делегировать не только те задачи, которые фигурируют в данном списке, и в том случае, если вы не смогли здесь сразу найти конкретную задачу, нужно будет создавать особую задачу для делегирования. Создание особой задачи будет показано далее в этой статье, а делегирование задачи присоединения компьютера к домену изображено на следующей иллюстрации:
   
   
   Рис. 5. Делегирование задачи присоединения компьютеров к домену для членов группы «Поддержка»
6. На последней странице мастер повторно проинформирует о том, что работа мастера была успешно выполнена и определенной группе пользователей было передано управление для присоединения компьютеров к домену, что, собственно, и являлось поставленной перед нами задачей:
   
   
   Рис. 6. Завершение процесса делегирования управления

Теперь, после того как были выполнены все эти действия, присоединять компьютеры к домену смогут только лишь те пользователи, которые являются членами созданной ранее глобальной группы безопасности «Поддержка».

Определение задач, для которых было предоставлено делегирование

Сразу после того, как была предоставлена возможность присоединения компьютеров к домену определенной группе безопасности, возник вопрос такого характера: «Можно ли как-то просмотреть делегированные ранее задачи»? Здесь ответ простой: просмотреть можно, причем далеко не единственным методом. Все возможные варианты просмотра задач, для которых было передано делегирование, в рамках одной статьи рассматривать просто бессмысленно, поэтому далее в данной статье будут представлены несколько основных вариантов:

1. Первый метод – это использование оснастки «Active Directory – пользователи и компьютеры». Прежде всего, для того чтобы просмотреть задачи, которые были делегированы, следует в меню «Вид» включить для самой оснастки отображение дополнительных компонентов. После этого необходимо перейти к диалоговому окну свойств подразделения, для которого выполнялось делегирование. Так как в предыдущем разделе выполнялось делегирование для уровня всего домена, в данном примере открывается диалоговое окно свойств домена.
   В отобразившемся диалоговом окне следует перейти на вкладку «Безопасность», а затем оттуда вызвать диалоговое окно дополнительных параметров безопасности. Здесь, в отобразившемся диалоговом окне, вы можете обнаружить все записи ACE, которые были заданы как по умолчанию, так и при помощи мастера делегирования. Например, на следующей иллюстрации видно, что для группы «Поддержка» было добавлено разрешение, позволяющее создавать объекты «Компьютер»:
   
   
   Рис. 7. Просмотр делегированных задач для группы «Поддержка»
   При желании вы можете как изменить разрешения для текущей группы, так и, при необходимости, удалить его полностью.
2. Теперь рассмотрим более изощренный метод, а именно использование LDP.exe. На этот раз следует выполнить следующие действия:
   Откройте инструмент LDP и при помощи меню «Подключение» подключитесь к контроллеру домена по порту 389, как показано на следующей иллюстрации:
   
   
   Рис. 8. Подключение к контроллеру домена
   После этого следует выполнить привязку, используя одноименную команду из меню «Подключение». Так как в данный момент я выполнил вход в систему от учетной записи администратора, я могу не вводить учетные данные, а сразу в отобразившемся диалоговом окне «Привязка» нажать на кнопку «ОК», как показано ниже:
   
   
   Рис. 9. Выполнение привязки
   Теперь можно подключиться к необходимому подразделению или же сразу ко всему домену, выбрав команду «Дерево» из меню «Вид». В том случае, если следует просмотреть весь домен, можно оставить поле пустым, однако если вы планируете просматривать конкретное подразделение, следует указывать различающееся имя в следующем формате: «OU=имя OU, DN=domain…».
   Затем для того, чтобы увидеть, кому было предоставлено делегирование, следует просмотреть всю структуру в древовидном представлении. Другими словами, из меню «Вид» выбираем команду «Дерево» и в отобразившемся диалоговом окне «Дерево» указываем базовое расширяемое имя (либо, так как в приведенном примере необходимо просмотреть весь домен, можно оставить данное текстовое поле пустым).
   Уже находясь в привычной области дерева, необходимо выбрать подразделение, предоставление прав к которому следует проверить, а затем из контекстного меню выбрать команду «Дополнительно» и «Дескриптор безопасности». В отобразившемся диалоговом окне обязательно удостоверьтесь в том, что у вас выбран правильный DN, а также в том, что установлен флажок на опции «Список ACL», как показано на следующей иллюстрации:
   
   
   Рис. 10. Открытие диалогового окна дескрипторов безопасности
   Теперь в отобразившемся диалоговом окне вы можете просмотреть все группы и пользователей, которым были предоставлены определенные разрешения. При необходимости вы также можете отредактировать либо удалить делегируемые разрешения, воспользовавшись соответствующими кнопками. Диалоговое окно дескрипторов безопасности, как и окно редактирования делегируемых разрешений, отображены на следующей иллюстрации:
   
   
   Рис. 11. Просмотр и изменение делегируемых разрешений для группы поддержки
3. Третий вариант в какой-то степени можно назвать более модернистическим, так как сейчас мы определим, какие разрешения были назначены этой же группе поддержки, но уже при помощи оснастки «Центр администрирования Active Directory». Для этого следует открыть данное средство, выбрать в дереве оснастки подразделение, для которого следует просмотреть, кому было предоставлено делегирование, а затем перейти к свойствам выбранного объекта, например, как показано на следующей иллюстрации, непосредственно из контекстного меню:
   
   
   Рис. 12. Переход к свойствам выбранного объекта
   После работы с оснасткой «Active Directory – пользователи и компьютеры» вы сможете сразу определиться, что нужно сделать. В отобразившемся диалоговом окне следует перейти к группе «Разрешения», и просто останется лишь выбрать требуемую группу и перейти к диалогу дополнительных параметров безопасности. Группа разрешений отображена ниже:
   
   
   Рис. 13. Разрешения группы безопасности поддержки
4. Если вы любитель командной строки, то вас никто не ограничивает. Для просмотра разрешений, позволяющих контролировать действия пользователей в Active Directory, предусмотрена такая утилита командной строки как DSACLS. Зачастую данная команда выполняется с отличительным именем объекта. Например, для того, чтобы узнать, у кого есть разрешения ко всему домену, следует выполнить команду:
   DSACLS DC=331zone,DC=com
   Результат выполнения команды виден на следующей иллюстрации:
   
   
   Рис. 14. Проверка разрешений для группы поддержки средствами командной строки

По большому счету, еще можно выделить по меньшей мере 6 способов просмотра делегирования административных полномочий, но их попросту бессмысленно описывать в одной статье, и в том случае, если эта тема вас заинтересует, я могу показать большинство таких методов в отдельном вебкасте.
Однако, помимо разрешения присоединения компьютеров к домену и просмотра настроенных разрешений, у нас осталась еще одна небольшая задача, которая будет рассмотрена в следующем небольшом разделе.

Разрешения перемещения объектов между подразделениями

Последняя задача, которая будет рассмотрена в данной статье, представляет собой реализацию разрешения перемещения объектов компьютеров между подразделениями для группы безопасности «Поддержка». Так как в предыдущий раз разрешения для присоединения компьютеров к домену мы реализовывали средствами делегирования управления, следует и в этот раз попробовать поискать средства решения этой задачи в данном мастере. Для решения этой задачи нужно будет отредактировать некоторые разрешения для контейнера «Computers», так как известно, что объекты групповой политики невозможно связывать с данным контейнером, а сотрудникам подразделения поддержки необходимо распределять компьютеры по различным подразделениям.
После открытия мастера делегирования управления и добавления целевой группы вы обнаружите, что среди обычных задач невозможно выполнить подобные действия. В этом случае следует попробовать воспользоваться списком особых задач для делегирования. В отобразившемся диалоговом окне вам предоставляется возможность делегирования всех объектов в выбранном вами контейнере (в этом случае вам следует установить переключатель на опцию «этой папкой, существующими в ней объектами и созданием новых объектов в этой папке»), а также возможность передачи управления только выбранным объектам, которые можно найти в соответствующем списке (опция «только следующим объектам в этой папке»).
Среди доступных объектов следует установить флажок на опции «Компьютер объектов», а затем под данным списком установить флажок на опции «Удалить из этой папки выбранные объекты».
Диалоговое окно данной страницы мастера делегирования изображено на следующей иллюстрации:


Рис. 15. Страница создания особой задачи для делегирования
После этого, на следующей странице мастера, странице «Разрешения» — следует указать, что делегируется разрешение «Запись», и этого будет достаточно.
Так как задачу по перемещению можно разделить на две части – удаление объекта из контейнера «Computers» и последующее создание объекта в другом подразделении – исключительно в качестве примера, создание объектов в специально созданном подразделении для учетных записей компьютеров будет продемонстрировано средствами изменения дополнительных параметров безопасности для требуемого подразделения (подобные действия были рассмотрены в предыдущем разделе).
Сейчас, в том случае, если вы закрывали оснастку «Active Directory – пользователи и компьютеры», нужно включить для нее отображение дополнительных компонентов, а затем перейти к диалоговому окну свойств подразделения, в которое должны перемещаться учетные записи компьютеров. В моем случае это подразделение «Клиенты».
В диалоговом окне свойств данного подразделения следует перейти ко вкладке «Безопасность», а затем открыть диалоговое окно дополнительных параметров безопасности. В отобразившемся диалоговом окне следует локализовать добавленную ранее группу и удостовериться, что сотрудникам группы поддержки разрешается присоединять компьютеры к домену, но разрешения, связанные с удалением объектов, здесь отсутствуют, а затем перейти к диалогу изменения разрешений посредством нажатия на кнопку «Добавить».
В отобразившемся диалоговом окне «Элемент разрешения для Computers» необходимо добавить группу, которой будут применяться разрешения. Другими словами, нажмите на ссылку «Выберите субъект» и при помощи соответствующего диалогового окна локализуйте группу «Поддержка». Так как внутри созданного ранее подразделения могут находиться дочерние подразделения с различной разбивкой (например, компьютеров по отделам), из раскрывающегося списка «Применяется к» следует выбрать опцию «Этот объект и все дочерние объекты», что и установлено по умолчанию.
Осталось только выбрать требуемое разрешение. Так как нам нужно разрешить перемещать компьютеры, а это означает, что объекты будут создаваться внутри данного и всех вложенных контейнеров, следует установить флажок напротив разрешения «Создание объектов: Компьютер», после чего сохранить все внесенные изменения. Диалоговое окно «Элемент разрешения для «Клиенты»» показано ниже:


Рис. 16. Добавление разрешений для создания объектов компьютеров

Вместо заключения

По большому счету, можно придумать еще множество примеров, связанных с делегированием полномочий и назначением нестандартных разрешений различным группам безопасности, и практически каждый пример можно по-своему назвать уникальным и интересным. Запомните то, что вместо того, чтобы назначать всех администраторами, намного выгоднее будет, если вы будете просто назначать конкретной группе пользователей разрешения на выполнение определенных задач. Напишите, пожалуйста, в комментариях к этой статье, использовали ли вы у себя делегирование и с какими примерами вы сталкивались и испытывали трудности.

http://habrahabr.ru/post/174437/

Квота на присоединение компьютеров к домену

По умолчанию право на присоединение компьютеров к домену предоставляется группе пользователей Прошедшие проверку (Autentificated Users). Другими словами, любой пользователь, имеющий доменную учетную запись, может добавить свой компьютер в домен. Однако чтобы избежать злоупотреблений, максимальное количество машин, которое может присоединить рядовой пользователь, ограничено 10.

Если превысить эту квоту, то при добавлении компьютера в домен пользователь получит сообщение о ошибке :

Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.

За размер квоты отвечает атрибут пользователя ms-DS-MachineAccountQuota. Считается квота следующим образом: в учетной записи компьютера (а не пользователя) есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя, заводившего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер в домен, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то компьютер подключается к домену, иначе появляется приведенная выше ошибка. Квота носит относительный характер, т.е. считаются не все учетные записи компьютеров, когда либо заведенные пользователем,  а только существующие в домене на данный момент.
Есть несколько способов обойти квоту.

Предварительное создание учетной записи компьютера

1. Открываем оснастку «Active Directory — пользователи и компьютеры».
2.  Щелкаем правой кнопкой мыши на контейнере, в котором планируется создавать учетную запись и выбираем пункт Создать — Компьютер.
3.  В открывшемся окне вводим имя компьютера, который необходимо добавить в домен.
4. Жмем на кнопку Изменить и выбираем пользователя или группу, от имени которого производится присоединение к домену. При выборе имейте ввиду, что квота не распространяется только на членов группы Администраторы домена (Domain admins) и тех пользователей, которым делегированы права на управление данным контейнером.
5.  Далее жмем OK и учетная запись компьютера создана, а в значении атрибута ms-DS-CreatorSID будет указан SID того пользователя, от имени которого заводилась учетная запись в AD, а не того кто физически подключал компьютер к домену.

Достоинство этого способа в том, что мы сразу создаем учетную запись в нужном нам контейнере, а не в контейнере Computers (контейнер для компьютеров по умолчанию). Однако он более трудоемок, чем остальные, ведь таким образом придется создавать учетку для каждого нового компьютера.

Делегирование прав на создание и удаление учетных записей компьютеров

•  Открываем оснастку «Active Directory — пользователи и компьютеры».
• Щелкаем правой кнопкой мыши на контейнере Computers и выбираем пункт «Делегирование управления».
• В мастере делегирования управления выбираем пользователя или группу, которой доверим создавать учетные записи компьютеров. Правильным решением, на мой взгляд, будет создать для этой цели отдельную группу.

• В следующем окне отмечаем пункт «Создать особую задачу для делегирования», т.к. в стандартных задачах нет возможности выбрать создание и удаление учетных записей компьютеров.

•  Отмечаем пункт «Разрешения для создания и удаления дочерних объектов» и выбираем из списка пункты «Создание объекта компьютер» и «Удаление объекта компьютер».

• Жмем кнопку Далее, затем Готово. Делегирование создано, и теперь на выбранных пользователей квота не распространяется.

По моему, наиболее оптимальный способ, достаточно один раз создать группу и делегировать ей полномочия, а затем при необходимости просто добавлять в нее пользователей.

Изменение установленной по умолчанию квоты

• Заходим в меню Пуск — Администрирование и выбираем пункт «Редактирование ADSI» (ADSIEdit).

• Подключаемся к контесту именования домена по умолчанию.

• Подключившись, щелкаем правой кнопкой мыши на нашем домене и в контекстном меню выбираем пункт «Свойства».

• Находим в свойствах атрибут ms-DS-MachineAccountQuota и изменяем его значение на нужное нам.

• Сохраняем значение и закрываем оснастку. Квота на добавление компьютеров изменена, причем изменения будут действовать на всех пользователей, прошедших проверку (группа Autentificated Users).

Способ довольно экстремальный, ведь ADSIEdit - инструмент очень мощный, и его неправильное применение может привести к серьезным последствиям.  Хотя, если четко понимать свои действия, то этот пособ ничем не хуже остальных. В любом случае выбирать вам.

http://windowsnotes.ru/activedirectory/kvota-na-prisoedinenie-kompyuterov-k-domenu/

CentOS 6.x 64 и Squid с авторизацией из Win2008AD

Установка Squid на CentOS 6.x 64 с авторизацией из Win2008AD, групповое распределение, привязка по mac адресам, фильтр расширений файлов и запрещенных сайтов.

Не будем описывать саму установку Win2008AD. Подразумеваем, что контроллер уже установлен и настроен. Наша первая задача создать структуру групп для распределения в них пользователей, которые в дальнейшем будут иметь определенные права.

Создаем пользователя squid, он будет отвечать за получение списка пользователей их паролей и групповую принадлежность. Назначаем ему делегирование на эти возможности.

Жмем правой клавишей мыши на корне нашего домена, выбираем Делегирование управления. Появляется мастер настройки. Жмем Далее. Жмем Добавить. Пишем нашего пользователя squid, который будет иметь права чтения из домена. Жмем ОК. Добавился наш пользователь. Жмем Далее. Включаем Чтение информации о всех пользователях и Чтение всей информации для intOrgPerson. Жмем Далее. Жмем Готово.

Создаем в корне дерева домена Подразделение proxy. Жмем правой клавишей мыши на корне нашего домена, выбираем Создать, выбираем Подразделение. Пишем имя proxy. Жмем ОК. В корне домена появится так называемый Организационный юнит с именем proxy.

В этом подразделении создаем структуру групп для распределения пользователей на получение разных прав доступа через Squid. Создаем группу admins-proxy и users-proxy.

Жмем правой клавишей мыши на proxy, выбираем Создать, выбираем Группа. Пишем имя группы admins-proxy. Жмем ОК. Повторяем для группы users-proxy.

Первая группа будет иметь полный доступ, вторая будет иметь ограничения. В каждую группу добавляем уже имеющихся пользователей. Пусть в группе admins-proxy будет находиться пользователь padmins, а в группе users-proxy будет находиться пользователь pusers, которые были созданы ранее и мы их сейчас добавили. Два раза жмем на имени группы. Выбираем закладку Члены группы. Жмем Добавить. Пишем нужного пользователя. Жмем ОК. Повторяем для остальных пользователей и групп.

Устанавливаем пакет Squid:

yum install squid

После успешной установки прописываем автозапуск squid:

chkconfig squid on

Авторизацию в squid будем использовать на основе LDAP. Для этого сначала необходимо проверить соединение с Win2008AD механизмом LDAP, который заложен в Squid.

Проверяем связку логина padmins и пароля VzRGI5xS пользователя из домена.

Выполняем:

echo «padmins VzRGI5xS» | /usr/lib64/squid/squid_ldap_auth -R -D squid@developer.com -w 3zdjK2H9 -b «dc=developer,dc=com» -f «sAMAccountName=%s» -h 192.168.151.2

padmins # /пользователь домена/
VzRGI5xS # /пароль пользователя padmins в домене/
squid@developer.com # /пользователь домена имеющий права просмотра списка пользователей их паролей и всех данных о них/
3zdjK2H9 # /пароль делегированного пользователя squid/
dc=developer,dc=com # /контроллер домена/
192.168.151.2 # /IP адрес домена/

И так, если это выполнено правильно, мы получим ответ OK. Это означает, что наш пользователь padmins найден в домене и он сверен с паролем VzRGI5xS. Если соответствия нет, то получим ответ ERR Success.

Теперь проверяем связку логина padmins и группы admins-proxy из домена в которую входит пользователь.

Выполняем:

echo «padmins admins-proxy» | /usr/lib64/squid/squid_ldap_group -R -D squid@developer.com -w 3zdjK2H9 -b «dc=developer,dc=com» -f "(&(objectclass=person) (sAMAccountName=%v)(memberof=cn=%a,ou=proxy,dc=developer,dc=com))" -h 192.168.151.2

И так, если это выполнено правильно, мы получим ответ OK. Это означает, что наш пользователь padmins найден в группе admins-proxy нашего домена. Если соответствия нет, то получим ответ ERR Success.

Принимаемся за настройку Squid.

Создаем каталог /etc/squid/rules:

mkdir /etc/squid/rules

В каталоге /etc/squid/rules создаем файлы для правил:

touch block-extension.txt

touch inet-mac.txt

touch url-block.txt

Содержимое файла block-extension.txt (фильтр расширений файлов):

\.exe$
\.mp3$
\.mpg$
\.mp4$
\.mpeg$
\.flv$
\.avi$
\.wmv$
\.swf$
\.mov$
\.mkv$
\.wav$
\.rar$
\.msi$
\.zip$
\.tar$
\.iso$
\.nrg$

Содержимое файла inet-mac.txt (фильтр mac адресов, разрешенные):

04:00:27:3a:45:13
10:6e:87:c4:8c
00:1f:d0:b5:c4:65

Содержимое файла url-block.txt (фильтр url):

odnoklassniki\.ru
vk\.com
facebook\.com

Открываем на редактирование файл конфиг /etc/squid/squid.conf и приводим его к виду:

squid.conf

################################################################################

# Squid normally listens to port 3128
http_port 3128

visible_hostname router-int.developer.com

#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on «localhost» is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

################################################################################
### AD команды для подключения к AD2008R2 ###
################################################################################
auth_param basic program /usr/lib64/squid/squid_ldap_auth -R -D squid@developer.com -w 3zdjK2H9 -b «dc=developer,dc=com» -f «sAMAccountName=%s» -h 192.168.151.2
auth_param basic children 5
auth_param basic realm Please insert your Windows credentials to navigate
auth_param basic credentialsttl 1 hour
################################################################################

################################################################################
### AD команды для подключения к группам AD2008R2 ###
################################################################################
external_acl_type ldap_group %LOGIN /usr/lib64/squid/squid_ldap_group -R -D squid@developer.com -w 3zdjK2H9 -b «dc=developer,dc=com» -f "(&(objectclass=person) (sAMAccountName=%v)(memberof=cn=%a,ou=proxy,dc=developer,dc=com))" -h 192.168.151.2
################################################################################

################################################################################
### Листы доступа и блокировок по группам из AD2008R2 ###
################################################################################

# (лист доступа пользователей из группы admins-proxy находящаяся в AD2008R2)
acl admins-proxy external ldap_group admins-proxy

# (лист доступа пользователей из группы users-proxy находящаяся в AD2008R2)
acl users-proxy external ldap_group users-proxy

# (лист доступа пользователей по MAС-адресу)
acl inet-mac arp "/etc/squid/rules/inet-mac.txt"

# (лист блокировки по списку URL)
acl url-block url_regex "/etc/squid/rules/url-block.txt"

# (лист блокировки по списку расширений файлов)
acl block-extension url_regex -i "/etc/squid/rules/block-extension.txt"

# (блокировка стрим потоков)
acl media rep_mime_type -i ^audio/.*$
acl media rep_mime_type -i ^video/.*$
acl media rep_mime_type -i ^video/x-flv$
acl media rep_mime_type -i ^application/x-shockwave-flash$
acl media rep_mime_type -i ^application/octet-stream$

# (разрешаем все для группы admins-proxy с привязкой по mac адресу)
http_access allow admins-proxy inet-mac
# (запрещаем группе users-proxy список url-block)
http_access deny users-proxy url-block

# (запрещаем группе users-proxy список block-extension)
http_access deny users-proxy block-extension

# (запрещаем группе users-proxy список media)
http_reply_access deny users-proxy media

# (разрешаем группе users-proxy все, что осталось)
http_access allow users-proxy

################################################################################

# And finally deny all other access to this proxy
http_access deny all

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern. 0 20% 4320

################################################################################

Приведенный конфиг 100% рабочий.

Стартуем Squid:

service squid start

Как это работает.

В настройках браузера прописываем адрес и порт 3128 нашего прокси сервера. Заходим на страницу сайта, получаем приглашение ввести логин и пароль.

Если наш пользователь padmins правильно ввел пароль, squid его пропускает и к нему применяются правила заданной группы. Из конфига видно, что для группы admins-proxy ограничений нет. Есть только привязка к mac адресам из списка.

Теперь если наш пользователь pusers правильно ввел пароль, squid его пропускает и к нему применяются правила заданной группы. Из конфига видно, что для группы users-proxy применяются фильтры url-block (список блокировки url), block-extension (список блокировки расширений) и media (списк блокировки стрим потоков).

И не забываем открыть порт, если он закрыт:

iptables -A INPUT -p tcp -m state -m tcp -s 192.168.0.0/16 --dport 3128 --state NEW -j ACCEPT

Оригинал статьи http://habrahabr.ru/post/197154/