|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Делегирование прав или как предоставить пользователю определённые права |
|
|||||
|
|
2008 R2 - [решено] Делегирование прав или как предоставить пользователю определённые права
|
|
Пользователь Сообщения: 78 |
Хочу пользователю в AD в ходящему в группу domain users дать права на установку программ, ввод компьютера в домен а также право на удалённый рабочий стол.
Делаю так управление групповой политикой=> выбираю OU в которой находится данный пользователь => вкладка делегирование. Далее выбираю пользователя и разрешение для этого контейнера и всех дочерних контейнеров. Далее жму дополнительно (управление групповой политикой) выбираю нужного пользователя по умолчанию у него стоит галочка особые разрешения, нужно ли в этом окне давать ещё какие либо разрешения? И ещё в этом окне жму дополнительно там есть вкладка Разрешения. Выбираю своего пользователя жму изменить а дальше какие выбрать разрешения? |
|
|
Отправлено: 08:20, 12-04-2012 |
|
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать Тогда не скажу.
|
|
------- Отправлено: 21:14, 29-10-2012 | #21 |
|
Сообщения: 29
|
Профиль | Отправить PM | Цитировать Копаю дальше...
Решил посмотреть, какие группы привилегированные Выполняю get-adgroup -ldapfilter "(objectcategory=group) (admincount=1)" и в результате прочего получаю ... DistinguishedName : CN=Domain Users,CN=Users,DC=domain1,DC=ru GroupCategory : Security GroupScope : Global Name : Domain Users ObjectClass : group ObjectGUID : 79f8eb80-4b2c-4f33-8eea-a756c4762eb8 SamAccountName : Domain Users SID : S-1-5-21-3276496243-159508281-4038852760-513 ... Разве так должно быть? |
|
Отправлено: 08:10, 30-10-2012 | #22 |
|
Сообщения: 29
|
Профиль | Отправить PM | Цитировать Пока решение такое
1. Проверяем какие группы защищены AdminSDHolder открываем PowerShell и выполняем Код:
 get-adgroup -ldapfilter "(objectcategory=group) (admincount=1)" Account Operators, Administrator, Administrators, Backup Operators, Domain Admins, Domain Controllers, Enterprise Admins, Krbgt, Print Operators, Read-only Domain Controllers, Replicator, Schema Admins, Server Operators 2. Если Domain Users в защищенных группах, то сбрасываем admincount в ноль у группы 3. Проверяем какие пользователи защищены AdminSDHolder В PowerShell и выполняем Код:
get-aduser -ldapfilter "(objectcategory=person) (admincount=1)" 5. Проверяем, что наследование разрешений у пользователей включено 6. Проверяем, атрибут dsHeuristics. (Выполнить adsiedit - Configuration - Services - Windows NT - Directory Service - Properties). Для вывода всех операторов из под защиты ввести 000000000100000f. У меня был <not set>. 7. Принудительно запускаем SDProp (или ждем 1 час): LDP - Bind, Browse - Modify - Edit Entry Attribute=FixUpInheritance, Values=Yes - Run |
|
Отправлено: 11:10, 30-10-2012 | #23 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| 2008 R2 - Делегирование прав | AntiZero | Windows Server 2008/2008 R2 | 4 | 25-01-2011 11:26 | |
| [решено] Делегирование прав в АД на перемещение объектов. | minion | Microsoft Windows NT/2000/2003 | 4 | 12-08-2009 08:24 | |
| делегирование прав доступа | Kobzar | Microsoft Windows NT/2000/2003 | 3 | 10-11-2008 10:35 | |
| Делегирование прав на добавление компьютеров в домен. Непонятная проблема. | menpavel | Microsoft Windows NT/2000/2003 | 4 | 03-09-2008 04:48 | |
| Делегирование полномочий пользователю | Neon | Microsoft Windows NT/2000/2003 | 12 | 21-03-2008 09:55 | |
|
|
Время: 02:02. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
