2008 R2 - [решено] Делегирование прав или как предоставить пользователю определённые права

ratibor79 · Отправлено: **14:26, 13-04-2012** | #11

vaistor

А вот этого не нужно было делать

Цитата vaistor:

члены этой группы: туда добавил пользователя »

Давай так
1. Добавить группу - выбираем группу, в которую входит пользователь, кому предоставляются права локального администратора (тип ввода должен быть - Domain\Group)
2. Только в секции "эта группа входит" - добавляем Administrators (если английская) и/или Администраторы (если русская) или и то и другое по очереди, если используются клиентские компьютеры обоих языков. Тип ввода такой (Group - без указания домена или имени компьютера). Это важно!
Эти действия позволят добавить твою группу в группы локальных администраторов на клиентских компьютерах.
По поводу remote desctop users - я погорячился, так как у членов группы администраторы и так есть права на удоленый доступ.
3. Ну теперь gpupdate /force или перезагрузка клиентского ПК

Что касается секции "члены этой группы", то это функция авторитарное управления группами. Сюда тебе ничего добавлять не нужно.

Пробуй.

ratibor79 · Отправлено: **14:48, 13-04-2012** | #12

vaistor, вот здесь наглядно http://www.frickelsoft.net/blog/?p=13
Посмотри

vaistor · Отправлено: **16:09, 13-04-2012** | #13

Спасибо сейчас посмотрю.

vaistor · Отправлено: **07:58, 18-04-2012** | #14

Сделал другим способом.
С помощью скрипта.
Создал группу и поместил туда пользователя.
В скрипте прописал созданную группу и эта группа имеет права локального администратора.
Сам скрипт применил к пользователям в нужной OU через политики.
Выкладываю скрипт может пригодится кому либо.

On Error Resume Next
Set ws = WScript.CreateObject ( "WScript.Shell" )
compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )
Set adGrp = GetObject ( "WinNT://" & compname & "/Администраторы,group" )
adGrp.Add ( "WinNT://domen/User Admins,group" )
Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" )
adGrp.Add ( "WinNT://domen/User Admins,group" )

Crag Hack · Отправлено: **10:30, 23-10-2012** | #15

Не получается делегировать права на управление пользовательскими аккаунтами.

Исходные данные:
Есть домен domain1.ru
В нем контроллер домена dc1.domain1.ru под управлением ОС Windows Server 2008 R2 (пока единственный)
Создана OU UserAccounts, в которой будут находиться все учетные записи пользователей домена
Есть группа UserAccountsAdms, членами которой будут некоторые пользователи домена, не обладающие правами Администратор домена и т.п.

Хочется:
Дать возможность членам группы UserAccountsAdms администрировать учетные записи пользователей, расположенные в OU
UserAccounts

Воспользовавшись мастером делегирования (Правой кнопкой на OU UserAccounts - Delegate Control - Next - Add - UserAccountsAdms - даем права Create, Delete and Manage user accounts) получаем что ПОКА члены группы UserAccountsAdms могут создать/редактировать/отключить/удалить учетную запись вновь созданного пользователя User1.
Но через какое-то время (5-15 минут) эта возможность пропадает.
Смотрю права на OU UserAccounts - UserAccountsAdms имеет все необходимые разрешения
Смотрю права на пользователя User1 - UserAccountsAdms там УЖЕ нет

Подскажите, пжл, в какую сторону смотреть.
Спасибо!

WindowsNT · Отправлено: **11:40, 23-10-2012** | #16

Если User1 — привилегированный пользователь, администрировать подобным образом его не получится. (Т.е., получится, но не стоит.) Система распознаёт его в качестве привилегированного и не даёт разрешения не-администраторам.

Crag Hack · Отправлено: **15:00, 23-10-2012** | #17

нет, User1 - это обычный рядовой пользователь домена.

Crag Hack · Отправлено: **10:36, 29-10-2012** | #18

Решение найдено
В моем случае у пользователей атрибут adminCount был установален в 1 (почему то).
Соответственно, AdminSDHolder отрабатывал и выданные разрешения пропадали.
Очень помогла http://support.microsoft.com/default...b;EN-US;817433

WindowsNT · Отправлено: **12:48, 29-10-2012** | #19

Он до этого побывал в одной из административной групп, а система не зачищает атрибут adminCount после удаления из группы.

Crag Hack · Отправлено: **20:38, 29-10-2012** | #20

Цитата WindowsNT:

Он до этого побывал в одной из административной групп, а система не зачищает атрибут adminCount после удаления из группы. »

1. атрибут adminCount был выставлен в 0

2. не было его ни в какой привилегированной группе на 200%

Вот написал, что решение найдено, ан нет... Не выходит каменный цветок.
Скрипт, который приведен в http://support.microsoft.com/default...b;EN-US;817433 отработал. По результатам его работы adminCount=0 у User1, наследование включилось, UserAccountsAdms имеет все необходимые разрешения ...
И все равно в течение часа все слетает

. И adminCount=1 у User1.
Проверил членство User1 в группах - никуда, кроме Domain Users он не входит.
Получается, что Domain Users привилегированная группа...

Хотя MS утверждает, что защищаемые группы в Windows Server 2008 R2 это:
Account Operators,
Administrator,
Administrators,
Backup Operators,
Domain Admins,
Domain Controllers,
Enterprise Admins,
Krbgt,
Print Operators,
Read-only Domain Controllers,
Replicator,
Schema Admins,
Server Operators

Что еще проверить?

Crag Hack Сообщения: 29 Благодарности: 1	Профиль \| Отправить PM \| Цитировать нет, User1 - это обычный рядовой пользователь домена.
	Отправлено: 15:00, 23-10-2012 \| #17