Права амдинистратора на вспомогательном контроллере домена...
Есть контроллер домена и вспомогалтельный кд, который расположен в филиале. Появилась необходимость дать права как бы локального администратора на вспомогательный котроллер, но не права доменного админа. Есть встроенная группа - Server Operators, но опять же, права будут распространяться и на основной контроллер. У кого есть идеи как сделать "локального админа" на втором DC?
|
создайте локального пользователя на дополнительном КД и добавьте в необходимую группу
|
Попробуйте пойти другим путем: какими именно правами должен обладать этот "локальный админ КД"?
|
Цитата:
Цитата germka
оздайте локального пользователя на дополнительном КД »
|
на контроллерах домена нету локальных пользователей.
Если вам нужно, чтобы он только мог перезагружать и т.д. контроллер домена есть группа Server operators. Достаточно внести этого малчыка в это группу.
Если же вы ему хотите разрешить добавлять пользователей только в каком то определенном подразделении или еще что то править а AD читайте про делегирование. |
Цитата:
Цитата artem_
на контроллерах домена нету локальных пользователей. »
|
+1 :)
Цитата:
Цитата artem_
Если вам нужно, чтобы он только мог перезагружать и т.д. контроллер домена есть группа Server operators. Достаточно внести этого малчыка в это группу.
Если же вы ему хотите разрешить добавлять пользователей только в каком то определенном подразделении или еще что то править а AD читайте про делегирование. »
|
Вопрос с AD не стоит.
Нужно что бы человек мог ставить/сносить софт, менять какие то локальные настройки, управлять шарами, ну короче всё, что может локальный админ на обычной машине.
И опять же Server operators распространяется на весь домен, как я уже написал. Не хочется пускать человека на основной DC. |
Цитата:
Цитата podbot
на контроллерах домена нету локальных пользователей »
|
что то я по КД пропустил :read: |
podbot, есть группы Domain Admins, Schema Admins - в них указывают администраторов домена и прочего.
Внесение в группу "Администраторы" сделает человека просто админом компа, но не домена.
|
Цитата:
Цитата Delirium
Внесение в группу "Администраторы" сделает человека просто админом компа, но не домена. »
|
Если вы говорите про Built-In группу, то вот такой там комент - "Administrators have complete and unrestricted access to the computer/domain", т.е. права действуют на весь домен, и пользователь получет возможность управления всей АД, что и было проверено на практике пол часа назад. :( В моём случае права должны распространяться только на один из контроллеров, и не распространяться на АД. |
В этом случаи вам придется создать отдельную групповую политику, привязанную к контроллеру домена. И в этой групповой политике изменить параметр Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Группы с ограниченным доступом, т.е. туда добавить вашего супер пользователя.
Рекомендую к прочтению - http://technet.microsoft.com/ru-ru/l.../cc785631.aspx.
Советую тренироваться на виртуальных машинах т.к. есть нюансы. |
Просто добавь его в группу "Администраторы домена"!
|
Цитата:
Цитата artem_
В этом случаи вам придется создать отдельную групповую политику, привязанную к контроллеру домена. »
|
спасибо, так и думал, что надо копать в этом направлении, кстати, что нибудь ужасное произойдёт, если переметсить один из DC в отдельную OU? ну соответственно привязать к ней свою доменную ГП №2? |
Не переносите домен контроллер из подразделения Domain controllers на это подразделение завязана политика Default domain controllers polisy. Создайте внутри этого подразделения свое и перетащите туда контроллер домена. И я уже писал - тренируйтесь на "кошках".
|
Время: 02:31.
© OSzone.net 2001-
