[SkyF]

Цитата:

Права не применяются к группам пользователей. Они применяются к OU.

как это? можете пояснить?
мне кажется вы ошибаетесь...
права даются на учетные записи пользователей, компьютеров или группы. причем права могут быть им даны и на какое-либо OU (organizational unit - организационное подразделение в Службе Каталогов)

Цитата:

но почему то при смене логина у него нет доступа

смене логина? как это просиходит? что значит смпенить логин пользователю?

Цитата:

хотя в политиках безопастности домена он праписан там же где и я

если вы учетную запись добавили в группу локальных администраторов, то она уже имеет все права на локальной машине. и права безопасности для не настраивать не требуется.

Цитата:

мне кажеться что система администрирования больших сетей выбранная компанией microsoft не совсем удачна, и занимает слишком много времени при наличии многого числа юзиров, и ещё может кто нибудь мне подскажет альтернативу программе  trusteeman,

не совсем удачен выбор вами этой программы trusteeman..
AD способна поддерживать ( и поддерживает) каталоги с сотнями тысяч объектов и вполне работоспособна.
изучите немного рекомендации по развертыванию систем MS.

Guest

Цитата:

полный доступ ко всему

Это тебе не *nix - здесь никто не имеет полный доступ ко всему. Даже EnterpriseAdmins.

SkyF

Цитата:

изучите немного рекомендации по развертыванию систем MS

Абсолютно согласен.

Andrik

Цитата:

А что такое OU???

OrganizationUnit. А вообще для таких вещей можно и F1 нажать.

[Sadok]

SkyF

Цитата:

мне кажется вы ошибаетесь... права даются на учетные записи пользователей

.... входящих в определенную OU Изначально все пользователи (со своими группами) входят в одну OU - корневой домен. К этой OU применяется по умолчанию Default Domain Policy. Вот тут и путаница: права применяются не к группе, скажем, "опытные пользователи", а к OU, в которую эти пользователи входят. Выведем половину "опытных" в другую OU  и им можно дать другие права, чем таким же "опытным" в первой группе. Допустим, все "опытным" можно устнавливать программы, а менять системное время только тем, кто во второй OU

Цитата:

компьютеров или группы

Кратко: объектами групповой политики являются сайты, домены, подразделения. Т.е. эти пресловутые OU

[SkyF]

Цитата:

Выведем половину "опытных" в другую OU

вот-тут то у вас и путаница возникает..

через групповые политики безопасности права даются на объект "компьютер" - так что перемещая пользователей по ОП,  на которые настроены разные политики безопасности ( а следовательно и разные права пользователям .
права -на компьютеры.
а поскольку (как я понял) вы компьютеры не перемещали, то и права остались прежние. Таким образом компьютеры все равно из какого ОП на нем регистрируется пользователь.

воспользуйтесь локальными (они также показывают результирующие права) политиками безопасности на компьютерах и проверьте.

[Guest]

хм всё это интересно я немного разобрался ( было трудно пресаживаться на окна с линукса)
ещё один вопрос, при установки актив директори в локальной политике пишеться что она перекрываеться политикой домена, мне интересно что имеет больший приоритет (перекрывает всё остальное) политика домена или политика контроллера домена?

[Sadok]

Цитата:

вот-тут то у вас и путаница возникает..

как-то все путано написно можно "тщятельнее", а то я не понял фразы...
Guest

Цитата:

что имеет больший приоритет (перекрывает всё остальное) политика домена или политика контроллера домена?

политика домена распостраняется на лес
политика контроллера домена распостраняется только на контроллер и соответственно на нем перекрывает политику всего домена

[SkyF]

Цитата:

что имеет больший приоритет (перекрывает всё остальное) политика домена или политика контроллера домена?

политики применяются в следующем порядке:
- локальные
- доменные
- организационных подразделений (последними применяются те политики, которые находятся ближе к самому объекту в дереве домена)

в случае конфликта параметров применяются последние (те те, которые находятся ближе к самому объекту - компьютер или пользователь)

исключением являются политики учетных записей, которые указаны в политике  на уровне домена. Они не переопределяются настройками полтик из организационных подразделений.

Те. свойства паролей и блокировок - единые для всего домена и не могут быть переопеделены по разномы для членов домена..

[Andrik]

Братва, вы, по-моему, не туда завернули! Вопрос в начале стоял вроди бы так: Как на ОТДЕЛЬНО ВЗЯТОМ КОМПУТЕРЕ нае подключенном ни к домену, ни к чему другому, кроме 220В (шутка), крутить разрешениями для пользователей! В конце концов, почему "Системные администраторы" - боги, а "Система" - естче круче и как сделать к примеру "пользователя" с админовскими полномочиями, но не им самим (это из разряда взлома), а админом? И, наконец, чем и где можно посмотреть, что же все-таки разрешено/запрещено каждому пользователю или группе???
Думаю, надо смотреть глубже в систему - "ЗРИ  В КОРЕНЬ!"

[Sadok]

Andrik

Цитата:

почему "Системные администраторы" - боги, а "Система" - естче круче

Не факт SYSTEM по умолчанию не имеет доступа к сетевым ресурсам

Цитата:

как сделать к примеру "пользователя" с админовскими полномочиями

Панель управления - Администрирование - Управление компьютером - Локальные группы и пользователи. Создаешь юзера, включаешь его в нужную группу

Цитата:

И, наконец, чем и где можно посмотреть, что же все-таки разрешено/запрещено каждому пользователю или группе???

В твоей ситуации не знаю, а для AD глядеть сюда


[s]Исправлено: Sadok, 18:07 13-11-2003[/s]

[Andrik]

Цитата:

Панель управления - Администрирование - Управление компьютером - Локальные группы и пользователи. Создаешь юзера, включаешь его в нужную группу Цитата:

Ну это давно ясно, но как сделать, к примеру, группу или пользователя, что б был во всем админ, но запретить ему устанавливать драйвера или запускать службы, хотя может возникнуть "дыра" в защите (если ему много дать он себе может и недостающее взять), но не факт, что этого в принципе невозможно сделать! Или к примеру: Примочка к Nero, которая позволяет записывать диски как всем, так и группе, которую она же и создала, так и только админам (кажись NeroRightsInstaller называется) создает новую группу и дает ей право на запись дисков, но както она это делает, а как???