Права доступа на каталоги через GPO в AD
 

Есть домен под 2000. Хочу дать определённые права на некоторые каталоги на ПК пользователей. Смысл такой в группу ЛОКАЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ на всех комп. домена будет включаться группа (например) ДОМЕННЫХ ПОЛЬЗОВАТЕЛЕЙ. После чего на каталог C:\TANGO даются разрешения на чтение\запись группе ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ. Хотел сделать данную процедуру через GPO в AD, но вкладка КОМПЬЮТЕРЫ -> ..... -> Файловая система оперирует насколько я понял только доменными учётками\группами. Как тогда можно реализовать такую схему? Писать батник - добавить ДОМЕН.ЮЗЕР в ЛОКАЛ.ЮЗЕР, потом через cacls изменить ACL на каталог как-то громоздко.....

почему громоздко?

Ну... не громоздко :) Спасибо.
Но хотелось бы знать - путь через батник единственно возможный?

включить в группы можно попытаться через политику "Restricted Groups", хотя там свои особенности - все члены явно не указанные в списке будут удалены из группы... а насчет прав ИМХО через политики не выйдет - политики отрабатывают по SID, а они у каждого компьютера будут свои

Права на каталоги прекрассно настраивиются через груповые политики, у всех встроенных групп сиды одинаковые. Если встроенных мало, можно добавить любые доменные группы (глобальные, универсальные).

не спорю, но на станции и сервере список встроенных групп различный

но они не будут соответствовать локальным по SID (даже совпадая по имени) и на права локальных групп это не повлияет

Гм... у меня что-то не идёт батник:

net localgroup Пользователи "SHAH\Пользователи домена" /add -- здесь всё нормально

net localgroup Администраторы в "SHAH\Администраторы домена" /add ---- А ВОТ НА ЭТО РУГАЕТСЯ НА НЕПРАВИЛЬНЫЙ СИНТАКСИС. Ерунда какая-то - если оставить "SHAH\Администраторы" то ругается что нет такой группы (что правильно, т.е. с синтаксисом всё ОК). Но стоит дописать "..... домена" получаю неправильный синтаксис.

да-а... косяк однако, получается для длинных имен только через VBS:

NET.EXE /ADD command does not support names longer than 20 characters

amel27
1. Группы "администраторы", "пользователи" и "system" совпадают, чего обычно вполне хватает.
2. Я и имел в виду использование доменных групп вместо локальных. Т.е. не использование локальных груп компьютера как класса.

Спасибо. У меня тоже не идёт длинный путь в имени. Похоже придётся изучать VBS.
К сожалению надо использовать именно ЛОКАЛЬНЫЕ группы. Соответственно включать в них доменные.

А как понять

Так и понимать, если в политике п описать что доступ должен быть Администраторы full, System full, а Пользователи read, то политика нормально применится на всех компьютерах без исключений.
А, еще "creater owner" и "все" совпадает.

toro
Изучать необязательно... Во-первых, в указанной статье предложена альтернативная CMD-команда - CUSRMGR, одно неудобство - она не является штатной, т.е. ее либо придется копировать на станции (к примеру, через те же политики), либо размещать на сетевом ресурсе. Во-вторых, в сети хватает готовых вариантов, к примеру, вот слегка подредактированный вариант ЭТОГО скрипта:выглядит это одинаково для политик "Restricted Groups" и "File System":

- регистрируетесь на консоли контроллера;
- открываете редактор политики, находите параметр (к примеру, File System);
- в режиме добавления учетных записей включите отображение ТОЛЬКО встроенных (Builtin) учеток (пимпа типы объектов);
- дополнительно / поиск покажет список встроенных учетных записей
- политики будут отрабатывать только для тех встроенных учеток, которые имеются как на сервере, так и на станциях.

один момент - на 2003-м эта фича работает, насчет 2000-го не уверен

Проверю. За совет спасибо.

Скажите в чём может быть проблема при выполнении такого cmd:
net localgroup Пользователи "SEC\Пользователи домена" /add - успешно работает если запускаю локально на ПК (под админом), но если запихиваю его на сервер (Компьютеры->.....->сценарии входа) в GPO через AD то не срабатывает. Сервер под 2000.
echo Y|cacls...... - а вот это проходит в обоих случаях.

перенаправьте вывод в файл и смотрите результат: