ДК : пользователь с ограниченными правами.
 

Добрый день, коллеги.
Ни для кого ни новость, что Майкрософт настоятельно рекомендует для повседневных задач, не требующих администраторских прав использовать учетную запись с ограниченными правами. А все операции выполнять через runas. Ну это все для домен-контроллера (ДК). Особенно, если приходится еще и через РДП с ним работать.
Ну вот я решил создать учетную запись с ограниченными правами. И тут же столкнулся с проблемами.
Учетная запись с правами Пользователь домена, и Оператор Сервера - с ней невозможно работать. При запуске программ - выскакивает ошибка, что недостаточно прав (аттач). Команды командной строки не работают (аттач2). Эту учетную запись убивал, и создавал такую же - тоже самое.
Создавал другую учетку с такими же правами - тоже самое.
В итоге - взял учетку Администратор - скопировал ее, назвал Администратор2. Все ОК. Только забираю у Администратор2 права Администраторы - все - тоже самое начинается.

Ребята, кто какие права дает для повседневной работы на ДК своей учетке? или как мне выйти из моей ситуации?
ЗЫ: Антивирусом (разными) прогонял - вирусов нет.

симантек антивирус попробуйте удалить

Пробовал - не помогает! (

вам достаточно учётки, которая входит в группы:
Domain Users
+
Power User на локальном компьютере.
Для больших прав группа локального администратора. Через GPO можно это автоматизировать.

по второму скрину, а CMD у вас от кого запущена? минимум лок админ.
Смотрите логи.

Я напомню, вопрос касатеся домен-контролера. И тут нет Power Users.

Для ПК пользователей уже так сделал.

cmd запущена от пользователя с правами - Пользователь домена, Оператор сервера. Локальных групп на ДК нет.

а как же run as? запускаете смд от имени админа домена.

Так, по очереди!
Администратор2. Права: Пользователь домена, Оператор сервера.
Логинюсь, запускаю cmd - никакая из операций не выполняется. Тут же в cmd делаю runas... cmd (от Администратора) и все выполняется.

По мне, так хоть какие-то операции должны выполнятся под Администратор2. А выходит, что ничего не выполняется. То доступа нет, то ошибка. Смысл тогда запускаться под этой учеткой, и все операции все равно делать через run as?

ошибка в том что доступа нет. т.е. в данном случае одно и тоже.
вот вы зашли под учёткой, и какой-то вирь и ПО в автозагрузке пытается запустится... а прав то не хватает.

у меня был подобный опыт, с разделением прав.
Но на ДК по RDP я всегда заходил тока админом домена.
А на локальных компе работал под простым юзверем.

Т.е. выходит данное положение вещей вполне нормальное?
Такая же ошибка у всех на ДК при работе на учетке с такими правами?
Я конечно понимаю, что ограничения должны быть - но хотя бы ИЕ должен же запуститься???

ЗЫ: Вот доменный пользователь, с ограниченными правами на своей машине(!) входит в группу Users - у него есть право использовать тот же самый ping tracert ipconfig nslookup

думаю, да. Другого не встречал.
У ДК безопасность выше чем у рядового компьютера.