AD: поменял название рабочей станции = проблема.
 

Сеть на основе AD serv2003.
Пользователи входят в группу "Пользователи домена" - все могут менять локальное время/дату на своих компах.
Когда меняю у пользователя - название его машины и перегружаюсь, и логинюсь под этим пользователем, то у пользователя становятся какимито ограниченные права, например пользователь уже не может поменять дату/время на своём компе.

Вопрос: как не вводя пользователя в группу "Администраторы домена", вновь вернуть ему исходные права на комп, нормальные пользовательские?
(пробовал на сервере2003 выбрать пользовательский комп и во вкладке безопасность - добавит его и разрешить все права - толку никакого)

qwerty123123, в том то и дело, что мне не нужно делать из них Администраторов, они не дложны иметь право устанавливать какойлибо софт у себя на компах

В настройках группвовой политики есть пункт " локальные политики -> назначения прав пользователя -> изменение системного времени". Добавь в этот список пользователей домена и будет тебе счастье.

дело не во времени.
до переименовки пользовательского компа, у пользователей вайфай ловил сеть, после переименовки то ловит, и через 5 сек срывает, и так бесконечно, пока пользователя не добавишь в группу Администраторы домена, тогда видимо настройки вайфай кудато прописываются и вайфай пашет без срывов, так что помимо времени другие права пропадают. Некоторые программы перестают запускаться, пока пользователю права админа не дашь.

Все это происходит только после переименования рабочей станции (в домене) на нейже через св-ва мой компутер, т.е. пользователь теряет свои обычные права

тогда я тебя не правильно понял.
Т.е. получается что раньше пользователи имели прав больше чем сейчас, но меньше чем администратор, так? Могу предположить, что раньше они у тебя были членами группы "Опытные пользователи" (обычный доступ), а теперь стали членами группы "Пользователи" (ограниченный доступ). Если да, то меняется это здесь - "Пуск -> Настройка -> Панель управления -> Учетные записи пользователей".

Да! Именно так!

Нет, они как принадлежали группе - Пользователи домена, так и оставались ей принадлежать, но прав стало меньше

Djedai, ты немного путаешь - есть группы и пользователи доменные, а есть локальные. На уровне простого пользователя они не пересекаются. Ты можешь сделать пользователя локальным администратором (т.е. разрешить ему все на локальном компе), но при этом настроить доменные права так, что дальше своей папки на файловой шаре он не сунется (лапки коротковаты чтобы доменные права переступить ;)). Права, которые слетели при изменении имени компьютера - это локальные права. Права, которые можно поменять в "Пуск -> Настройка -> Панель управления -> Учетные записи пользователей" - также локальные. Их можешь смело менять - в домене они тебе ничего не натворят. А доменные права меняются в оснастке Active Directory: пользователи и компьютеры.

Т.е. получается локальная политика пользователей была на их рабочих станциях была "опытные пользователи", т.е время могли менять, а устанавливать софт и запускать некоторые проги и вайфай не могли.

Хотя я точно смотрел Пуск -> Настройка -> Панель управления -> Учетные записи пользователей, эти пользователи локально даже прописанны небыли. Вы предлагаете их прописывать локально?

Устанавливать софт они могли, если он не влияет на системные файлы. Запуск программ зависит от самих программ - некоторые требуют только административных прав (а именно хотят полный доступ к системным папкам и веткам реестра).
Если доменные пользователи не прописаны на локальном компе - значит они состоят в локальной группе "Пользователи" (ограниченный доступ). По умолчанию доменные пользователи входят именно в эту локальную группу. Попробуй нескольких пользователей прописать в локальную группу "Опыные пользователи" (обычный доступ) и посмотри на результат.

т.е. на локальном компе (не используя сервер) завести пользователя и добавить его в группу Опытные пользователя?

Djedai, да, на локальном компе, но не не завести, а дать пользователю из домена права локальной группы "Опыные пользователи" - надо просто указать имя пользователя в домене, сам домен, и права этого пользователя в данной локальной системе

Пользователи не имеют права менять системное время (грозит вылетом из домена).

1) monkkey, а если служба времени отключена на локальной машине?

2) а можно ли както сделать это удаленно, чтобы не бегать по всем пользователям и при этом не используя RDP, чтобы не мешать работать пользователям?

Вариантов несколько:
1. Пуск -> Настройка -> Панель управления -> Администрирование -> Управление компьютером -> Действие -> Подключиться к другому компьютеру. Указываешь имя целевого компа, затем Служебные программы -> Локальные пользователи -> Группы. Здесь довавляешь в нужные группы нужных тебе людей
2.создаешь cmd файл с таким содержимым:
Здесь вместо DOMAIN_NAME подставляешь свое имя домена. "Опытные пользователи" необходимо забить в DOS-кодировке, (при обычном просмотре должно получиться что-то вроде "ЋЇлв*лҐ Ї®«м§®ў*⥫Ё" только вместо * - неотображаемые здесь символы). %username% не меняй - это возврат имени текущего пользователя.
Затем этот файлик либо в автозагрузку для всех пользователей (через ГП) либо бросить его в шару \\server_name\share и отправить письмо с сообщением о том, что всем срочно необходимо запустить файл такой-то, находящийся по адресу \\server_name\share, либо отправить сообщение через командную строку типа

http://technet.microsoft.com/en-us/s.../bb896649.aspx

вам нужен psexec - запуск

ну к примеру:

psexec.exe \\comp1 cmd - запускает cmd на комьютере comp1
net start w32time запустит службу времени
а через sc можно будет настроить службу (автозапуска от какого пользователя и т.д.)