[leonty]

Цитата vaistor:

Хочу пользователю в AD в ходящему в группу domain users дать права на установку программ »

очень хреновая идея. оттветтье объективно на вопрос "зачем?"

Цитата vaistor:

ввод компьютера в домен »

По умолчанию, любой пользователь домена может в него добавить до 10 компьютеров включительно. После превышения этого значения пользователь получит предупреждение «Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased» после попытки добавить компьютер в домен. Компьютер, конечно же, в домен не добавится.

[vaistor]

Почему хреновая идея?
У меня есть пользователь занимающийся поддержкой лотуса бывает такое что ему надо переустановить лотус.
Приходится пользователю давать права локального администратора на этот компьютер что не удобно.
А так у данного пользователя уже изначально есть право на установку программ.

[leonty]

виноват. подумалось, что права выдаются всем пользователям сети.

[vaistor]

Ты лучше подскажи как правильно сделать задуманное ?
Буду очень благодарен а то в google что то не нашёл нужной информации.

Как понял можно через OU правой кнопкой и в мастере делегирования выбрать нужное. Но что нужное мне а что нет, непонятно.
К примеру создание,удаление и управление учётными записями inetOrgPerson что это такое?
Может лучше создать особую задачу для делегирования и там выбрать разрешения?

[ratibor79]

vaistor, прошу прощение

Хотелось бы сделать несколько уточнений вашего вопроса. Правильно ли я понял?

У вас есть рабочие станции пользователей (компьютеры), на которых установлен Lotus и пользователь с правами Domain Users, который администрирует Lotus. Так?
Вам необходимо предоставить этому пользователю административные привилегии для установки программ, а также ввода рабочей станции в домен и удаленный рабочий стол на рабочие станции. Так я вас понял?

Если так то
Делегирование прав в AD не решит этой проблемы, так как это операция позволяет данному пользователю лишь управлять объектами AD в том Подразделении (OU), к которому вы предоставили ему права.
Для того чтобы пользователь смог выполнять функции по переустановке программ на рабочих станциях пользователей ему необходимо предоставить права Локального Администратора на эти компьютеры. Это можно решить двумя способами: 1) Вручную добавить пользователя в группу Локальных Администраторов на каждой рабочей станции. или 2) создать групповую политику, привязать её к подразделению (OU) Active Directory, в котором размещены учетные записи рабочих станций, и соответственно настроить в этой групповой политики политику "Группы с ограниченным доступом" (Restricted Groups). Этим также можно воспользоваться для добавление пользователя в группу "Пользователи удаленного рабочего стола".

Если я что-то не так понял прошу пояснить.

[snark]

Чтобы пользователь мог вводить в домен больше десяти компьютеров, выполните рекомендации из статьи:

Цитата:

Метод 5 - предоставьте соответствующие разрешения учетной записи mdt_join для создания и обновления учетных записей в Active Directory. Этот подход позволяет вам оставлять учетную запись mdt_join в качестве учетной записи простого пользователя домена, что решает нашу проблему безопасности, но требует внимательной работы для применения. Вкратце, нужно выполнить следующие шаги: 1. Откройте консоль Active Directory Users and Computers. 2. Выберите меню Вид (View), затем перейдите к дополнительным функциям (Advanced Features). 3. Создайте организационное подразделение (organizational unit – например, DeployedComputers) которое будет содержать учетные записи компьютеров для новых устанавливаемых машин (в этом случае вам не придется изменять разрешения в контейнере Computers.) 4. Откройте свойства организационного подразделения DeployedComputers OU и выберите закладку Безопасность (Security). 5. Нажмите Дополнительно (Advanced), чтобы отрыть диалог дополнительных параметров безопасности (Advanced Security Settings) для OU. 6. Нажмите Добавить (Add) и добавьте ACE для вашей учетной записи mdt_join в ACLs для этого OU. 7. В диалоге записи разрешений (Permission Entry) задайте разрешения Allow (с границей установленной на значение Этот объект и все дочерние объекты (This Object And All Descendant Objects)) следующим образом: ' Создавать объекты компьютера (Create computer objects) ' Удалять объекты компьютера (Delete computer objects) 8. Нажмите OK, затем снова нажмите Добавить и добавьте второй ACE для вашей учетной записи mdt_join, который назначает разрешения Allow (с границей установленной на значение Все дочерние объекты компьютера (Descendant Computer Objects)) следующим образом: ' Чтение всех свойства (Read all properties) ' Запись всех свойств (Write all properties) ' Разрешения чтения (Read permissions) ' Разрешения записи (Write permissions) ' Смена пароля (Change password) ' Восстановление пароля (Reset password) ' Удостоверенная запись на узел с DNS-именем (Validated write to DNS host name) ' Удостоверенная запись на узел с именем участника службы 9. Несколько раз нажмите OK, чтобы закрыть все открытые диалоги. Теперь ваша учетная запись mdt_join должна иметь возможность создания новых учетных записей компьютеров и обновления этих учетных записей при необходимости даже несмотря на то, что mdt_join не является членом группы администраторов домена.

[vaistor]

Цитата ratibor79:

2) создать групповую политику, привязать её к подразделению (OU) Active Directory, в котором размещены учетные записи рабочих станций, и соответственно настроить в этой групповой политики политику "Группы с ограниченным доступом" (Restricted Groups). Этим также можно воспользоваться для добавление пользователя в группу "Пользователи удаленного рабочего стола". »

Ratibor79 Можно по подробнее?
Как я понял захожу в объекты групповой политики=> создаю новую политику далее конфигурация компьютера => политики => конфигурация windows=>параметры безопасности=> локальные политики=>назначения прав пользователя?

[ratibor79]

vaistor

конфигурация компьютера => политики => конфигурация windows=>параметры безопасности=>Группы с ограниченным доступом
Правой кнопкой мыши => Добавить группу.
Выбираем группу (заранее созданную), куда входит пользователь, которому необходимы права Локального администратора на клиентских компьютерах.
В появившемся окне в секцию "Эта группа входит в:" (или This Group is Member) жмем добавить и пишем Администраторы (или Administrators). Снова Добавить и пишем Пользователи удаленного стола (или Remote Decktop Users). Всё
Перезагружаем клиентские компьютеры или применяем команду ipconfig /force на клиентских компьютерах.

[vaistor]

Сделал так в OU users куда входит пользователь, создал там же группу глобальная тип группы безопасность.
Пользователю указал что он в этой группе.
Указал эту группу в группе с ограниченным доступом. Дальше эта группа входит: добавил administrators и remote desctop users.
И члены этой группы: туда добавил пользователя.
Применил политику к OU users.
gpupdate /force и перезагрузка не помогла у пользователя не появились разрешения на установку удаление программ.