Права доступа на каталоги через GPO в AD

amel27 · Отправлено: **07:30, 06-05-2008** | #2

Цитата toro:

Писать батник - добавить ДОМЕН.ЮЗЕР в ЛОКАЛ.ЮЗЕР, потом через cacls изменить ACL на каталог как-то громоздко..... »

почему громоздко?

Код:

Net LocalGroup "ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ" /ADD "Domain\ДОМЕННЫЕ ПОЛЬЗОВАТЕЛИ"
Echo Y|CACLS "C:\TANGO" /E /T /G "ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ":C

toro · Отправлено: **10:20, 06-05-2008** | #3

Ну... не громоздко

Спасибо.
Но хотелось бы знать - путь через батник единственно возможный?

amel27 · Отправлено: **10:34, 06-05-2008** | #4

Цитата toro:

хотелось бы знать - путь через батник единственно возможный? »

включить в группы можно попытаться через политику "Restricted Groups", хотя там свои особенности - все члены явно не указанные в списке будут удалены из группы... а насчет прав ИМХО через политики не выйдет - политики отрабатывают по SID, а они у каждого компьютера будут свои

GreenIce · Отправлено: **17:27, 06-05-2008** | #5

Права на каталоги прекрассно настраивиются через груповые политики, у всех встроенных групп сиды одинаковые. Если встроенных мало, можно добавить любые доменные группы (глобальные, универсальные).

amel27 · Отправлено: **03:08, 07-05-2008** | #6

Цитата GreenIce:

у всех встроенных групп сиды одинаковые »

не спорю, но на станции и сервере список встроенных групп различный

Цитата GreenIce:

Если встроенных мало, можно добавить любые доменные группы »

но они не будут соответствовать локальным по SID (даже совпадая по имени) и на права локальных групп это не повлияет

H.I.M. · Отправлено: **10:47, 07-05-2008** | #7

Гм... у меня что-то не идёт батник:

net localgroup Пользователи "SHAH\Пользователи домена" /add -- здесь всё нормально

net localgroup Администраторы в "SHAH\Администраторы домена" /add ---- А ВОТ НА ЭТО РУГАЕТСЯ НА НЕПРАВИЛЬНЫЙ СИНТАКСИС. Ерунда какая-то - если оставить "SHAH\Администраторы" то ругается что нет такой группы (что правильно, т.е. с синтаксисом всё ОК). Но стоит дописать "..... домена" получаю неправильный синтаксис.

amel27 · Отправлено: **11:21, 07-05-2008** | #8

Цитата H.I.M.:

Но стоит дописать "..... домена" получаю неправильный синтаксис »

да-а... косяк однако, получается для длинных имен только через VBS:

NET.EXE /ADD command does not support names longer than 20 characters

GreenIce · Отправлено: **12:53, 07-05-2008** | #9

amel27
1. Группы "администраторы", "пользователи" и "system" совпадают, чего обычно вполне хватает.
2. Я и имел в виду использование доменных групп вместо локальных. Т.е. не использование локальных груп компьютера как класса.

toro · Отправлено: **13:21, 07-05-2008** | #10

Спасибо. У меня тоже не идёт длинный путь в имени. Похоже придётся изучать VBS.
К сожалению надо использовать именно ЛОКАЛЬНЫЕ группы. Соответственно включать в них доменные.

А как понять

Цитата GreenIce:

Группы "администраторы", "пользователи" и "system" совпадают, чего обычно вполне хватает. »