Права группы пользователей АД

winder · Отправлено: **00:46, 19-07-2007** | #11

Цитата:

это если 1-2 компа.. иначе все делается через групповые политики
Группы с ограниченным доступом (ветвь Конфигурация компьютера\Конфигурация Windows\Пapaмeтpы безопасности).
Членами такой группы являются только те учетные записи и группы, которые вы явно укажете.

Имеется ввиду конфигурация домена а не компьтера??? Ну добавлю я туда допустим группу "пользователи домена". Что изменится?? Если дать пользователю "администратора" оттуда же, то по сути ничего не меняется, пока не дашь админку на домен. Пожалуйста, поподробнее

winder · Отправлено: **09:53, 19-07-2007** | #12

Назревает ещё 1 вопрос, как оставаясь "локал админом", админом только своего компа, НЕ иметь доступа к сетевым настройкам(к смене IP хотябы, но имея права открывать шары)?? От моих "лучших собаководов" хоть стой, хоть падай

Сегодня книгу докачаю(за ночь стянул метров 30

), и её на досуге почитаю

madmax24 · Отправлено: **12:01, 19-07-2007** | #13

Насчет обратной зоны - неплохо бы ее сделать

Там все по дефолту, лишнего ниче не пиши.
Насчет последнего вопроса - групповыми политиками можно это дело все закрыть(но я не помню распространятся ли это на локального админа). Я думаю, что если любопытный юзер-локальный админ захочет себе поменять настройки, то это его проблемы - ну не получит он сервисов твоей сети и все равно придет к тебе и будет плакаться. Мне нравятся пользователи, которые соображают в компах - но слишком умных надо наказывать. Каждый должен своим ремеслом занимаца.
П,С, еще в помощь могу посоветовать на свою рабочую машину поставить AdminPack и GMPC, чтобы админить удобнее было. А GMPC тебе покажет все твои политики удобно и читабельно.

Цитата winder:

Имеется ввиду конфигурация домена а не компьтера??? Ну добавлю я туда допустим группу "пользователи домена". Что изменится?? Если дать пользователю "администратора" оттуда же, то по сути ничего не меняется, пока не дашь админку на домен. Пожалуйста, поподробнее

Вот выдержка из хелпа по этому вопросу

Цитата:

Политика групп с ограниченным доступомПолитика «Группы с ограниченным доступом» может быть использована для управления членством в группах. При помощи этой политики можно определить, кто является членом группы. Члены, не определенные в политике, удаляются во время настройки или обновления. Кроме того, вариант обратной настройки членства гарантирует, что каждая группа с ограниченным доступом является членом только групп, присутствующих в столбце Входит в состав.

Внимание!
Если политика групп с ограниченным доступом определена и объект «Групповая политика» обновлен, любой текущий член, не указанный в списке членов политики групп с ограниченным доступом будет удален. Может также произойти удаление членов по умолчанию, таких как администраторы.

Важно!
Группы с ограниченным доступом должны применяться главным образом для настройки членства в локальных группах на рабочих станциях и серверах.

winder · Отправлено: **01:02, 21-07-2007** | #14

хоть убейте, но понять не могу как связаны политика групп с ограниченным доступом и локал_админ? Я так понял, добавление пользователя в группу "администраторы" не даёт ему необходимых прав, пока не сядешь за юзерский комп и ручками не добавишь с учётки домен_админа его запись с добавлением в группу "администраторы_локально". Я только понял, что если пользователь не добавлен в такую группу, то он решается незаслуженных прав, кстати это тоже пригодится в проектировании сети.

Ещё 2 оччень животрепещущих вопроса, если на них найду ответ то моя душа обретёт покой: как ограничить(запретить!) любое общение компьютера(члена домена) с компом, не явлющимся членом домена, но находящимся в одной физической сети. Где копать??

И 2й:

Цитата:

ACDSee is unable to connect to the database and will now close. Please make sure the following database is accessible from this computer, and then restart ACDSee:
C:\Documents and Settings\Администратор.FRIENDS\Application Data\ACD Systems\Catalogs\80\Default

Это появляется при открытии картинок через ACDSee, думаю это НЕ единичная проблемма, как починить?? Есть рекомендации??

Strange_V · Конфигурация компьютера

Вы читали вышеупомянутую книгу? цитата оттуда:

Цитата:

- В новом объекте групповой политики раскройте ветвь Конфигурация компьютера\Конфигурация Windows\Пapaмeтpы безопасности.
- Щелкните правой кнопкой мыши по политике Группы с ограниченным доступом и из контекстного меню выберите команду Добавить группу.
- В диалоговом окне Добавить группу введите (без опечаток) название Administrators и нажмите ОК.
- В диалоговом окне свойств группы, в верхней части, нажмите кнопку Добавить и введите регистрационное имя Administrator. Потом нажмите кнопку Обзор и выберите группу STUDY\Domain Admins и доменную учетную запись STUDY\Other1.

Other1 - пользователь которому так же хотите дать права админа.

Все же книгу советую прочитать, чтобы правильно применить данную политику (ст. 336).

На счет ACDSee:

Цитата:

Подскажите как решить вот такую проблему:
ACDSee is unable to connect to database, and now will close.
Please make sure the following database is accessible from this computer, and then restart ACDSee:
C:\Documents and Settings\XXX\Localsettings\Application Data\ACD System\Catalogs\90\Default

Вопрос решил вот этим способом:
Нужно после этого запустить диспетчер задач, убить процесс ACDSee9.exe, который там наверняка останется не выгруженным, после чего удалить папку (c:/Documents and settings/[user]/Application Data/ACD Systems/90/Default) со всем содержимым. При последующем запуске ACDSee эта папка и база в ней будут созданы заново и программа запустится.

(с) forum.ru-board

winder · Отправлено: **13:12, 21-07-2007** | #16

Хм.... сначала идею не уловил, но когда сделал - понял как это реализуется. Весьма интересный меанизм, хоть и имеет свои минусы. Ну чтож, пасиб что разъяснил.
(кстати книгу я прочёл/пролистал в первую ночь, просто я не понял суть механизма сперва)

И последний вопрос: как же мне реализовать ограничение доступа к компьтерам_членам_домена от компьтеров_таковыми_не_являющимися??? Настраивать через групповые политики?? Требовать использование кернбероса?? У меня планируется ~200 компов к осени, не знаю, хватит ли сервера на обработку запросов, да и механизм пока только смутно где-то в области головы крутится... Может быть IPSec?? Есть идеи/предложения??

madmax24 · Отправлено: **10:04, 23-07-2007** | #17

Так компы, которые не в домене, при обращении к компам из домена увидят перед собой окошко с вводом логина и пароля. И собственно если они их не знают, то доступ не получат.
Или тебе требуется, чтобы они вообще даже не видели компы твоего домена?

winder · Отправлено: **13:37, 23-07-2007** | #18

думаю защиты расшаренных ресурсов мне хватит, подумал на досуге что впринципе шифрование траффика и политики IPSec мне не нужны... Ты имеешь ввиду, что компьютеры при обращении к ресурсам доменных компов будут получать окошко для ввода пароля?? как реализовать??

madmax24 · Отправлено: **15:00, 23-07-2007** | #19

да, ты правильно понял мою мысль - левый комп пишет в адресной строке \\domaincomp или \\ip или нечто подобное, в ответ он получает окно с вводом логина и пароля для доступа к ресурсам domaincomp. Соответсвенно если он их знает, то войдет на комп, иначе прости-прощай.

winder · Отправлено: **12:17, 24-07-2007** | #20

ну это я понял, где в политиках галочку поставить то?

)))
кк парметр называется ну или через что реализуется??