Права амдинистратора на вспомогательном контроллере домена...

germka · Отправлено: **14:44, 18-02-2009** | #2

создайте локального пользователя на дополнительном КД и добавьте в необходимую группу

Dimas_83 · Отправлено: **14:53, 18-02-2009** | #3

Попробуйте пойти другим путем: какими именно правами должен обладать этот "локальный админ КД"?

artem_ · Отправлено: **14:57, 18-02-2009** | #4

Цитата germka:

оздайте локального пользователя на дополнительном КД »

на контроллерах домена нету локальных пользователей.

Если вам нужно, чтобы он только мог перезагружать и т.д. контроллер домена есть группа Server operators. Достаточно внести этого малчыка в это группу.
Если же вы ему хотите разрешить добавлять пользователей только в каком то определенном подразделении или еще что то править а AD читайте про делегирование.

podbot · Отправлено: **15:14, 18-02-2009** | #5

Цитата artem_:

на контроллерах домена нету локальных пользователей. »

+1

Цитата artem_:

Если вам нужно, чтобы он только мог перезагружать и т.д. контроллер домена есть группа Server operators. Достаточно внести этого малчыка в это группу.
Если же вы ему хотите разрешить добавлять пользователей только в каком то определенном подразделении или еще что то править а AD читайте про делегирование. »

Вопрос с AD не стоит.
Нужно что бы человек мог ставить/сносить софт, менять какие то локальные настройки, управлять шарами, ну короче всё, что может локальный админ на обычной машине.
И опять же Server operators распространяется на весь домен, как я уже написал. Не хочется пускать человека на основной DC.

germka · Отправлено: **17:19, 18-02-2009** | #6

Цитата podbot:

на контроллерах домена нету локальных пользователей »

что то я по КД пропустил

Delirium · Отправлено: **01:51, 19-02-2009** | #7

podbot, есть группы Domain Admins, Schema Admins - в них указывают администраторов домена и прочего.
Внесение в группу "Администраторы" сделает человека просто админом компа, но не домена.

podbot · Отправлено: **09:24, 19-02-2009** | #8

Цитата Delirium:

Внесение в группу "Администраторы" сделает человека просто админом компа, но не домена. »

Если вы говорите про Built-In группу, то вот такой там комент - "Administrators have complete and unrestricted access to the computer/domain", т.е. права действуют на весь домен, и пользователь получет возможность управления всей АД, что и было проверено на практике пол часа назад.

В моём случае права должны распространяться только на один из контроллеров, и не распространяться на АД.

artem_ · Отправлено: **10:52, 19-02-2009** | #9

В этом случаи вам придется создать отдельную групповую политику, привязанную к контроллеру домена. И в этой групповой политике изменить параметр Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Группы с ограниченным доступом, т.е. туда добавить вашего супер пользователя.

Рекомендую к прочтению - http://technet.microsoft.com/ru-ru/l.../cc785631.aspx.

Советую тренироваться на виртуальных машинах т.к. есть нюансы.

luginf · Отправлено: **11:01, 19-02-2009** | #10

Просто добавь его в группу "Администраторы домена"!