|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Групповые политики на контроллере домена и внутри домена |
|
[решено] Групповые политики на контроллере домена и внутри домена
|
Ветеран Сообщения: 812 |
Профиль | Сайт | Отправить PM | Цитировать
Добрый день, Друзья
Есть домен 2003 r2 sp2. Там есть 5 администраторов домена, было создано подразделение и внутри все пользователи тоже являются администраторами домена, но на OU прикручена политика, где запрещены те права, которые им не нужны. Сейчас появилась такая необходимость. Все пользователи остаются администраторами домена, необходимо сделать их пользователями домена, но при этом на своем собственном компьютере они должны делать то, что им захочется, то есть стать локальными администраторами. Были мысли вручную добавлять всех пользователей на каждый компьютер в локальные администраторы, но это как-то не так... Может как-то можно сделать так, чтобы через GPO это осуществить? Спасибо |
|
Отправлено: 11:03, 03-07-2008 |
Ветеран Сообщения: 812
|
Профиль | Сайт | Отправить PM | Цитировать GreenIce, я немного не понимаю механизм Restricted Groups...
Сделать Администраторами еще и группу в GPO localadmins Domain Admins? |
Отправлено: 23:17, 04-07-2008 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Старожил Сообщения: 371
|
Профиль | Отправить PM | Цитировать Механиз прост, всех кого вы указали в группе ограниченного доступа, пропишутся в данной группе.
Т.е. вы создаете делаете Restricted Group для группы Администраторы и прописываете в ней определенные пользователи, группы. И в итоге на компьютере к которому будет применена эта политика в групе Администраторы сотрутся все записи которые там были и пропишутся те которые вы указали в политике. В вашей ситуации насколько я понял вы создали restict для группы Администраторы и прописали в ней только одну группу localadmin. Соответственно на компьютере test в группе Администраторы прописалась только одна группа localadmin (можете проверить, локально зайти кем нибудь и посмотреть членов группы), так как администратор домена не входит в эту группу, соответственно удаленное администрирование стало недоступным, ну и соответственно локальный пользователь Администратор и иже с ними тоже потеряли такую привелегию. |
------- Отправлено: 22:13, 05-07-2008 | #12 |
Ветеран Сообщения: 788
|
Профиль | Отправить PM | Цитировать Цитата HellFire_MZ:
Все остальные - удалятся из указанной группы. Предвидя вопросы, скажу: через restricted groups НЕЛЬЗЯ добавить членов группы - можно только указать её полное членство. Для добавления кого-то в имеющуюся группы - используйте net localgroup ... /add |
|
------- Отправлено: 08:57, 07-07-2008 | #13 |
Ветеран Сообщения: 812
|
Профиль | Сайт | Отправить PM | Цитировать Подводя итог:
мне нужно проделать то что я описывал выше и добавить в Администраторы Domain Admins? |
Отправлено: 18:23, 07-07-2008 | #14 |
Старожил Сообщения: 371
|
Профиль | Отправить PM | Цитировать Нет, нужно добавить в restricted group Администраторы, группу Domain Admins и пользователя Администратор.
Итого там должно получится три записи LocalAdmin, Domain Admins и Администратор. |
------- Отправлено: 22:29, 07-07-2008 | #15 |
Ветеран Сообщения: 812
|
Профиль | Сайт | Отправить PM | Цитировать Странно, но почему-то те пользователи домена, что были там ранее администраторами на машине(они администраторы домена), перестали быть администраторами.
Прилагаю скриншот - (может я все не так понял). Уж простите, первый раз с этим работаю, не все понимаю. Комментарии по скриншоту: Test - OU. В нем localadmins - группа, созданная мной - в ней пока только один пользователь user.(он имеет primary group: Domain Users, вторая группа Localadmins) -------------------------------- Localadmins - член этой группы - user, а сама группа должна входить в какую то группу? Остальное думаю понятно Спасибо заранее |
Последний раз редактировалось HellFire_MZ, 12-03-2010 в 18:32. Отправлено: 19:20, 08-07-2008 | #16 |
Ветеран Сообщения: 788
|
Профиль | Отправить PM | Цитировать Цитата HellFire_MZ:
Цитата HLT:
Если человек является членом любой из приведенных на скриншоте групп, то он будет иметь права локального администратора. Правда, возможно, после применения политики ему придется перелогиниться: членство в группах и соответствующие права "просчитываются" во время логона, и если он залогинился перед первым применением политики - то никаких прав у него до перелогинивания не будет. |
||
------- Отправлено: 09:11, 09-07-2008 | #17 |
Ветеран Сообщения: 812
|
Профиль | Сайт | Отправить PM | Цитировать HLT, получается, на скриншоте я все сделал верно и все те, кто входит в группу Администраторы Домена будут и локальными администраторами?
|
Отправлено: 18:00, 09-07-2008 | #18 |
Сообщения: 53456
|
Профиль | Отправить PM | Цитировать Цитата HellFire_MZ:
|
|
Отправлено: 18:49, 09-07-2008 | #19 |
Ветеран Сообщения: 788
|
Профиль | Отправить PM | Цитировать Цитата Petya V4sechkin:
|
|
------- Отправлено: 08:33, 10-07-2008 | #20 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Групповые политики на пользователей домена для IE | Seven | Microsoft Windows NT/2000/2003 | 7 | 28-01-2010 13:02 | |
Групповые политики домена | sashok60 | Microsoft Windows NT/2000/2003 | 1 | 15-01-2010 11:48 | |
[решено] О дополнительном контроллере домена | Igor_Beruk | Microsoft Windows NT/2000/2003 | 33 | 14-09-2009 18:07 | |
Различные политики безопасности на контроллере домена - какая переопределяет какую | __sa__nya | Microsoft Windows NT/2000/2003 | 8 | 29-12-2008 09:48 | |
[решено] Win2003, не обновляется DNS на контроллере домена | greycrow | Microsoft Windows NT/2000/2003 | 22 | 09-12-2008 16:55 |
|