[egg1971]

Спасибо все заработало

[SkyF]

еще один вариант (по мне более удобный):

Почти тоже пожно делать через ГП, но сценариями на автозагрузку
Через АД пользователи и компьютеры в требуемом ОП создать новый ОГП, зайти в его настройки, далее параметры компьютера, параметры безопасности, сценарии - автозагрузка.

через Обзор выйти на каталог для сценириев (он будет примерно такого вида):
\\dc_server\sysvol\<youdomain.local>\policy\{GUID_ОГП}\machine\startup

и сначала скопировать в него файлик такого вида: add2admin.bat (и только потом выбрать его название):
net localgroup Administrators "domain\My group" /add *

или тут нужно написать Администраторы , если ОС локализована, к тому же нужно понимать, что возможно произойдет конфликт кодировок, тк у ОС 1251, а в командной строке - не всегда такая же (поэтому сценарии могут не отрабатывать правильно), поэтому можно создать этот файл из досовского редактора , подойдет встроенный edit.com или сделать, например так в командной строке:
echo net localgroup Администраторы "domain\моя группа" /add > d:\new.bat
* * где new.bat - будущий сценарий для загрузки в ОГП


при этом к лок администраторам на тех станциях ,на которые данный скрипт будет распространяться - будет добавлена новая группа
(без изменений в текущем списке этой группе- что важно и отлично от *способа работы с группам иограниченного членства - в котором кто-бы ни был в лок админах - после работы ГП с ограничением членства в группе - ОСТАНЕТСЯ только указанные в ее свойствах учетки - те трудно объединить несколько таких ГП в иерархии уровней ОП)

Те создавая разные ОУ и делая на них разные ГП ( с разными значениями групп в сценариях - domain\моя группа1, domain\моя группа2, *и тп) - можно задать разным группам разные права на компьютеры ( станции и сервера) - Администраторов, Опытных пользователей и тп.


Добавлено:

вот тут вспомнил, что подобная тему уже обсуждалась ( многие вопросы дублируются, но мы объединим только лучшее)

[SkyF]

еще, вдогонку:

Цитата:

Вопрос такого плана: Подскажите, пожалуйста, как сделать, чтобы кроме группы Domain Admins при вводе компа в домен, автоматически добавлялась в группу Администраторы еще одна некая доменная созданная группа пользователей??? Ну, т.е. чтобы эти пользователи получили права администратора на компах и, тем не менее, не входили в Доменные Админы. Короче говоря, мне нужно чтобы на машинах в группе Администраторов были следующие учетные записи: 1. Пользователь или пользователи данной машины. 2. Группа Доменных админов. (по умолчанию она есть) 3. Группа людей которых я определю в группе безопасности. (чтобы они могли входить на любую машину) Вот как эту 3 группу запихнуть в Админов, чтобы не обходить все машины и не делать этого в ручную? А то Порядка 100 машин обходить это не шутка

1Й ПУНКТ ПОНЯТНО КАК СДЕЛАТЬ.
НАПРИМЕР СОЗДАТЬ ОГП И ПРИВЯЗАТЬ ЕГО К ОУ В ДОМЕНЕ. Настроить политику для группы с гграниченным членством (добавить группу Administrators или еще Администраторы (если есть локализоавнные ОС)). НО ПРИ ЭТОМ БОЛЬШЕ ВЫ НЕ СМОЖЕТЕ РЕГУЛИРОВАТЬ ЧЛЕНСТВО В ДОМЕНЕ ТАКИМ СПОСОБОМ, тк любая другая политика будет перекрывать ваши предыдущие настройки.
ЭТО НЕ УДОБНО, ДА И К ТОМУ ЖЕ НАСТРОЙКА ЧЕРЕЗ ГП (ГРУППЫ С ОГРАНИЧЕННЫМ ДОСТУПОМ) - ВСЕ ЖЕ ПРИМЕНЯТЕСЯ ДЛЯ ОГРАНИЧЕНИЯ ЧЛЕНСТВА (например для группы Domain\Администраторы домена), А НЕ РАСШИРЕНИЯ.

ПОЭТОМУ ОПТИМАЛЬНЫМ СРЕДСТВОМ БУДЕТ ИСПОЛЬЗОВАНИЕ СЦЕНАРИЕВ. ПРИМЕР ДЛЯ  П.1
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\ПОЛЬЗОВАТЕЛИ /ADD
(ИЛИ ДЛЯ НЕ ЛОКАЛИЗОВАННЫХ СИСТЕМ - NET LOCALGROUP ADMINISTRATORS DOMAIN\USERS /ADD)

2. NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD

PS НЕ ЗАБЫВАЙТЕ ЧТО ВОЗМОЖНА ПРОБЛЕМЕ А КОДИРОВКОЙ СЦЕНАРИЯ.. (СМ. СООБЩЕНИЕ ВЫШЕ)

3. ТО ЖЕ САМОЕ, ЧЕРЕЗ СЦЕНАРИИ ( НА АВТОЗАГРУЗКУ КОМПЬЮТЕРА В гп ПРОПИСАТЬ).
СДЕЛАТЬ НЕСКОЛЬКО ОГП ( С РАЗНЫМИ СЦЕНАРИЯМИ, ПРИМЕР НИЖЕ) И НАСТРАИВАЕМ ИХ СООТВЕТСТВЕННО ТОЛЬКО НА ТЕ КОМПЫ, КОТОРЫМ МЫ ДОЛЖНЫ ПРИМЕНИТЬ СЦЕНАРИИ.
ЭТО МОЖНО СДЕЛАТЬ ЧЕРЕЗ ОУ, ИЛИ ФИЛЬТРАЦИЕЙ, ЧЕРЕЗ ГРУППЫ, ЕСЛИ РАЗДЕЛИТЬ КОМПЬЮТЕРЫ НА РАЗНЫЕ ОУ НЕВОЗМОЖНО..

NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\MY_GROUP1 /ADD
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\MY_GROUP2 /ADD

[SkyF]

в догонку по теме:

кстати, есть шаблон безопасности, compatws.inf - который выставляет разрешения на реестр и на системные каталоги.

из встроееной справки: Совместимый (Compatws.inf) шаблон.
Разрешения по умолчанию для рабочих станций и серверов сначала создаются для их локальных групп: «Администраторы», «Опытные пользователи» и «Пользователи». Члены группы «Администраторы» обладают наибольшими правами, тогда как члены группы «Пользователи» — наименьшими. По этой причине можно значительно повысить безопасность, надежность и снизить общую стоимость владения системой, если придерживаться следующих правил:

убедиться, что конечные пользователи являются членами группы «Пользователи»;
внедрить приложения, которые могут успешно запускаться и выполняться членами группы «Пользователи».
Лица, обладающие правами группы «Пользователи» могут работать с приложениями, принимающими участие в программе размещения эмблемы Windows для программного обеспечения. Однако члены группы «Пользователи» могут испытывать проблемы при запуске приложений, не отвечающих требованиям программы. Если необходимо обеспечить поддержку таких приложений, существуют две возможности.

Все члены группы «Пользователи» должны также являться членами группы «Опытные пользователи».
Использовать дополнительные разрешения разрешения по умолчанию, созданные для группы «Пользователи».
Поскольку члены группы «Опытные пользователи» обладают наследуемыми возможностями, такими как создание пользователей, групп, принтеров и общих ресурсов, некоторые администраторы предпочитают предоставить дополнительные разрешения группе «Пользователи», вместо зачисления конечных пользователей в группу «Опытные пользователи». Для этих целей служит «Совместимый» шаблон. При помощи шаблона «Совместимый» можно изменить разрешения для файлов и реестра, используемые по умолчанию для группы «Пользователи», и соответствующие требованиям большинства приложений, не входящих в программу размещения эмблемы Windows для программного обеспечения. Кроме того, поскольку после применения совместимого шаблона пользователи не должны присоединяться к группе «Опытные пользователи», все члены группы «Опытные пользователи» удаляются. Дополнительные сведения см. в разделе Параметры безопасности по умолчанию.

Совместимый шаблон не следует применять к компьютерам, которые являются контроллерами домена. Например, не следует импортировать совместимый шаблон в стандартный домен или в объект групповой политики стандартного контролера домена.


доступ к нему из mmc.exe там добавить оснастку Шаблоны безопасности (для просмотра изменений из этого шаблона) и Анализ и настрока безопасности (для изменения локальной политики при отсутствии домена).

в принципе можно сделать свой ОГП в домене и импортировать в раздел Конфигурация Windows - параметры Безопасности этот шабон. он позволяет пользователям запускать (и устанавливать думается) те программы, которые требуют больших разрешений, чем обычный пользователь.

это удобнее, чем пользователя в группу опытных пользователей добавлять. системные права при этом же ему не даются..

Так немного непонятно
можно на пальцах для чайников объяснить как что и куда?
а то на принтере под обычным юзером не печатается

[billybons]

получается, что юзеры становятся членами груммы домена Опытные пользователи, а уровень доступа к этой группе будет браться исходя из разрешений раб. станций? Т.е. в домене создаю группу "Опытные пользователи", и т.к. она совпадает по названию с локальной группой "Опытные пользователи" на каждой раб. станции, то юзеры смогут ставить проги? А если на компе Васи Пупкина эта группа (Опыт. поль.) отключена, то права будут просто юзера?

[babki]

Ситуация такая. Поставил на локальный компьютер winXP с программу АCAD2002 с учетной записью администратора. Далее с этого компьютера подключаюсь к домену win2003 с другой учетной записью, имеющей в домене права пользователя. Запускаю программу, она начинает настраиваться под этот профиль, после этого выдает сообщение, что не может установиться, так как необходимы права администратора. Предоставить права администратора этому пользователю я не имею возможности. Как быть?

И такие проблемы со всеми программами , использующими профили пользователей ( они записывают в них какую-то информацию)

[monkkey]

Можно дать права "Опытного пользователя" или доступ на запись в каталоги, используемые программой и соответствующие ветки реестра. Определиться помогут rgemon.exe и filemon.exe c sysinternals.com

[babki]

Оснастка на win2003 server : Active Domain and users - computers - правой кнопкой мыши нажимаю по нужному компу- manage - local user and groups - groups.

В группе администраторы на локальной машине была запись администратора домена. Я ее случайно удалил. После этого добавить эту запись в группу я не могу . Пишет не доступа. То есть я потерял доступ к удаленной машине.

Как исправить эту ситуацию, не прибегая к перерегистрации рабочей станции в домене?

[SkyF]

Цитата:

Как исправить эту ситуацию, не прибегая к перерегистрации рабочей станции в домене?

сообщение 23 и 22


те использованием сценария и команды net localgroup ..