Доброго дня!
При недоступности DC невозможно получить доступ к сетевому диску. Можно ли настроить политики такоим образом, чтобы при недоступности DC сетевой диск оставался бы доступным для работы какое то время?
Смотрел политику
"
Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
"
поставил = 25
непомогло..


Пробовал создать на файловом сервере локальную группу, куда поместил нужных мне пользователей и их компьютеры. тоже не помогло = если обрываю связь с доменом и логинюсь доменным пользователем, войти удается, но сетевой диск недоступен.

Как помочь моему горю?

Как помочь моему горю?
Установить второй DC.

Действие разворачивается в удаленном филиале, не хотелось бы, чтобы там имелось представление о всех наших пользователях, группах, и т.п.,.. ограничение канала, необходимость контроля прав, лишние неудобства.

Есть ли ещё вариант?

sinq, лишние неудобства - это то, чем вы сейчас пытаетесь заняться. А контроллер домена в филиале - отработанный годами метод построения инфраструктуры предприятия. И с чего бы кто-то там в филиале узнает о пользователях/группах? Или у вас везде у всех администраторские права и пароль администратора предприятия/домена на обоях написан? ;)

Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
поставил = 25 »
Эта опция вообще не имеет отношения к теме вопроса

Если охота сделать свое решение в ущерб безопасности, делаем так: включаем учетную запись гостя на том сервере, где лежит сетевая папка, на вкладке ДОСТУП на нужную сетевую папку даем разрешение группе Все или Гости, на вкладке БЕЗОПАСНОСТЬ даем разрешение группе Все. В таком случае будет вообще наплевать на права и контроллер, был бы сетевой доступ к серверу.

Но это такой костыль, какой и во сне не приснится нормальному айтишнику.

Т.е. даже не дочерний домен, я правильно понял вашу мысль, а именно второй КД ? А какие роли правильно разместить на второй, филиальный, КД?

Delirium, соглашусь с вами, что открывать доступ гостевой учетной записи это крайняя мера..

я правильно понял вашу мысль, а именно второй КД ? »
Именно второй КД. Можете использовать контроллер домена Read-Only (RODC) (http://winitpro.ru/index.php/2010/11/21/rabota-s-kontrollerami-domena-read-only-rodc-chast-1/).

И с чего бы кто-то там в филиале узнает о пользователях/группах? Или у вас везде у всех администраторские права » Подскажите пож-та, нет опыта, сейчас на виртуалке попробую, но может зря я в эту сторону думаю: Если филиальному администратору делегировать права на администрирование только конкретной OU, сможет ли он просматривать объекты других OU, имея ввиду оснастку "пользователи и компьютеры", примененные "групповые политики"?

sinq, просматривать структуру AD сможет любой администратор, но при правильном делегировании на этом его права и закончатся. Ничего криминального в том, что он увидит учетки, нет.

Коллеги!

на филиальный файловый сервер, где расположен общий ресурс, я повесил RODC + DNS. (настройки по умолчанию, GC+RODC+DNS) На клиентской машине в кач-ве днс его и указал. nslookup на клиенте если смотреть domain.ru не показывает этого нового днс, хотя он указан в св-вах подключения. Так и должно быть?
Если оборвать связь между основным DC и связкой <филиальный RODC> - <филиальный клиент> то общие ресурсы не работают...

куда копать?

везде 2008 r2

а клиентской машине в кач-ве днс его и указал. nslookup на клиенте если смотреть domain.ru не показывает этого нового днс, хотя он указан в св-вах подключения. Так и должно быть? »
Вывод nslookup domain.ru и ipconfig /all с клиента покажите.

Telepuzik , пожалуйста:

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\User03_02>nslookup
╤хЁтхЁ яю єьюыўрэш■: UnKnown
Address: 192.168.161.10

> domain.ru
╤хЁтхЁ: UnKnown
Address: 192.168.161.10

╚ь*: domain.ru
Addresses: 192.168.240.7
192.168.240.8

> exit

C:\Users\User03_02>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : USER03-02
Основной DNS-суффикс . . . . . . : domain.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain.ru

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 3C-D9-2B-6D-C2-9D
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.161.52(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.161.1
DNS-серверы. . . . . . . . . . . : 192.168.161.10
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{ED62AEF2-DD1E-433F-8ACC-08959FD173C5}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

C:\Users\User03_02>

192.168.161.10
Это чей адрес?

sinq,
Покажите еще вывод ipconfig /all с контроллера RODC и вывод nslookup <имя файлового сервера> с клиента.

Это чей адрес? »
это адрес как раз того файл сервера на котором я поднял роли RODC и DNS. Не понимаю почему его нет в nslookup domain.ru..

Не понимаю почему его нет в nslookup domain.ru..
Как это "нет"?
Address: 192.168.161.10

Как это "нет"?
Цитата sinq:
Address: 192.168.161.10 »

появился, не было, сорри, обновился чтоли..

привожу ipconfig c контроллера RODC

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\User>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : 03-fs-01
Основной DNS-суффикс . . . . . . : domain.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain.ru

Ethernet adapter Подключение по локальной сети 1:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : HP NC107i PCIe Gigabit Server Adapter
Физический адрес. . . . . . . . . : 9C-8E-99-08-D8-1A
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.161.10(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.161.1
DNS-серверы. . . . . . . . . . . : 127.0.0.1
192.168.240.7
NetBios через TCP/IP. . . . . . . . : Включен

DNS-серверы. . . . . . . . . . . : 127.0.0.1
Не хорошо так. Укажите его сетевой адрес: 192.168.161.10

sinq,
А вывод nslookup с клиента так и не показали.