[решено] Права пользователя для установки программ
 

Какие права надо дать простому юзеру чтобы он мог просматривать и инсталлировать с СД?

Win2000Server и права пользователя
 

Guest
если программа сертифицирована под WIndows, то опытных пользователей достаточно (Power users)
если проги с закидонами (доступ к страшно системным каталогам и разделам реестра) - то только уже локальные администраторы.

Win2000Server и права пользователя
 

можно задать политики доступа на СД.

Win2000Server и права пользователя
 

Yustus

у обычного пользователя уже есть права все просматривать, тем более CD.
автору же не нужно блокировать доступ в приводу, а как раз наоборот.

Win2000Server и права пользователя
 

не могу я дать праB  опытных пользователей , у меня Active Directory

Win2000Server и права пользователя
 

Guest
а при чем тут AD?

Win2000Server и права пользователя
 

а при том , что я не могу и не хочу ходить от машины к машине и доп. выдавать праваопытных пользователей  , а нужно чтобы при старте юзеры получили ети права автоматом, а для етого в   Active Directory есть Default Domain Policy которые надо изменить. но все из изменения пока ни к чему  не привели

Win2000Server и права пользователя
 

Guest
Вообще-то ходить от машины к машине не обязательно. :LOL:
Как тебе должно быть известно, управлять машинами можно из оснастки AD. (для непонятливых - это там, где Domain computers and users)...

Win2000Server и права пользователя
 

это мне понятно и известно только нет там такого понятия как опытный пользователь или локал.админ.


------------------------------
я не волшебник ,я только учусь
:)

Win2000Server и права пользователя
 

Guest
не советую вам я их менять... откатиться назад можно будет только из резервной копии ( или по памяти, а она иногда отказывает и это называется.. как его.. ну, в общем поняли)

так вот. создайте новый Объкет групповой политики  и настройте в нем режим Группы с ограниченным членством.
Добавьте группу Опытные пользователи (если у вас локализованные ОС на клиентах, или Power Users - если нет. группу придется руками прописать, тк по умолчанию на предлагается выбрать из групп домена, а на контроллере группы Опытных пользователей попросту нет) и укажите в ее свойствах что членами ее должна быть группа Domain\Пользователи домена (или Domain\Domain users).

как результат - на всех компьютерах,которые подпадут под действие этой политики будет изменено членство в локальной группе Опытные пользователи.

Win2000Server и права пользователя
 

Domain computers and users - computers - правой кнопкой мыши по нужному компу - manage - local user and groups - groups - и добавляй куда надо.

Win2000Server и права пользователя
 

а прав какой группы будет достаточно? а то слишком много ето тоже плохо
------------------------------
я не волшебник ,я только учусь

Win2000Server и права пользователя
 

Power Users, имхо, нормально.

Win2000Server и права пользователя
 

что-то у меня все равно не получается. Мои действия:
проделано все что описано выше, но все равнопоявляется надпись " нет прав". если на РС ввести юзера в группу повыше, то все о.к.,а через сеть никак.
Группу опытных я создаю сам.может им нужны какието особые права?

---------------------------
я не волшебник ,я только учусь

Win2000Server и права пользователя
 

Guest
выше много чего написано..
вы что-то не так делаете, однозначно.
это еще как? не надо ее создавать, тк она встроенная и права ее только из-за этого получаются, а что с того что вы создали новую группу- прав у нее нет совсем. и никаких.


опишите подробно, что куда, и как проверяли.. сейчас разберемся..

Win2000Server и права пользователя
 

встроена она только на локальных машинах, а не в АД

задача простая: eсть учебный центр, а в нем преподаватели, которые получают по почте всякие СД для учебных целей. СД делятся на две группы:одни для просмотра необходимо инсталлировать, а другие нет, т.е. 2 раза Щелкнул мышкой и появилась флеШ картинка и далее.если на локальной машине ввести юзера в группу "особых" пользователь, то все без проблем, а хочется всего етого достигнуть по сети, т.е. для всех или для группы.

Win2000Server и права пользователя
 

egg1971 = Guest 217.229.225.* ???

я же указал, как этого достугнуть через домен:
создайте новый Объкет групповой политики  и настройте в нем режим Группы с ограниченным членством.
Добавьте группу Опытные пользователи (если у вас локализованные ОС на клиентах, или Power Users - если нет. группу придется руками прописать, тк по умолчанию на предлагается выбрать из групп домена, а на контроллере группы Опытных пользователей попросту нет) и укажите в ее свойствах что членами ее должна быть группа Domain\Пользователи домена (или Domain\Domain users).

как результат - на всех компьютерах,которые подпадут под действие этой политики будет изменено членство в локальной группе Опытные пользователи.


что не получается?

Win2000Server и права пользователя
 

egg1971
дак, "введите" не юзера, а группу :)

Win2000Server и права пользователя
 

egg1971 = Guest 217.229.225.* ???

da :)

Win2000Server и права пользователя
 

или любую другую группу  из домена, которой вы хотите дать права Опытных пользователей на локальных станциях

Win2000Server и права пользователя
 

Спасибо все заработало

Win2000Server и права пользователя
 

еще один вариант (по мне более удобный):

Почти тоже пожно делать через ГП, но сценариями на автозагрузку
Через АД пользователи и компьютеры в требуемом ОП создать новый ОГП, зайти в его настройки, далее параметры компьютера, параметры безопасности, сценарии - автозагрузка.

через Обзор выйти на каталог для сценириев (он будет примерно такого вида):
\\dc_server\sysvol\<youdomain.local>\policy\{GUID_ОГП}\machine\startup

и сначала скопировать в него файлик такого вида: add2admin.bat (и только потом выбрать его название):
net localgroup Administrators "domain\My group" /add *

или тут нужно написать Администраторы , если ОС локализована, к тому же нужно понимать, что возможно произойдет конфликт кодировок, тк у ОС 1251, а в командной строке - не всегда такая же (поэтому сценарии могут не отрабатывать правильно), поэтому можно создать этот файл из досовского редактора , подойдет встроенный edit.com или сделать, например так в командной строке:
echo net localgroup Администраторы "domain\моя группа" /add > d:\new.bat
* * где new.bat - будущий сценарий для загрузки в ОГП


при этом к лок администраторам на тех станциях ,на которые данный скрипт будет распространяться - будет добавлена новая группа
(без изменений в текущем списке этой группе- что важно и отлично от *способа работы с группам иограниченного членства - в котором кто-бы ни был в лок админах - после работы ГП с ограничением членства в группе - ОСТАНЕТСЯ только указанные в ее свойствах учетки - те трудно объединить несколько таких ГП в иерархии уровней ОП)

Те создавая разные ОУ и делая на них разные ГП ( с разными значениями групп в сценариях - domain\моя группа1, domain\моя группа2, *и тп) - можно задать разным группам разные права на компьютеры ( станции и сервера) - Администраторов, Опытных пользователей и тп.


Добавлено:

вот тут вспомнил, что подобная тему уже обсуждалась ( многие вопросы дублируются, но мы объединим только лучшее)

еще, вдогонку:

1Й ПУНКТ ПОНЯТНО КАК СДЕЛАТЬ.
НАПРИМЕР СОЗДАТЬ ОГП И ПРИВЯЗАТЬ ЕГО К ОУ В ДОМЕНЕ. Настроить политику для группы с гграниченным членством (добавить группу Administrators или еще Администраторы (если есть локализоавнные ОС)). НО ПРИ ЭТОМ БОЛЬШЕ ВЫ НЕ СМОЖЕТЕ РЕГУЛИРОВАТЬ ЧЛЕНСТВО В ДОМЕНЕ ТАКИМ СПОСОБОМ, тк любая другая политика будет перекрывать ваши предыдущие настройки.
ЭТО НЕ УДОБНО, ДА И К ТОМУ ЖЕ НАСТРОЙКА ЧЕРЕЗ ГП (ГРУППЫ С ОГРАНИЧЕННЫМ ДОСТУПОМ) - ВСЕ ЖЕ ПРИМЕНЯТЕСЯ ДЛЯ ОГРАНИЧЕНИЯ ЧЛЕНСТВА (например для группы Domain\Администраторы домена), А НЕ РАСШИРЕНИЯ.

ПОЭТОМУ ОПТИМАЛЬНЫМ СРЕДСТВОМ БУДЕТ ИСПОЛЬЗОВАНИЕ СЦЕНАРИЕВ. ПРИМЕР ДЛЯ  П.1
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\ПОЛЬЗОВАТЕЛИ /ADD
(ИЛИ ДЛЯ НЕ ЛОКАЛИЗОВАННЫХ СИСТЕМ - NET LOCALGROUP ADMINISTRATORS DOMAIN\USERS /ADD)

2. NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD

PS НЕ ЗАБЫВАЙТЕ ЧТО ВОЗМОЖНА ПРОБЛЕМЕ А КОДИРОВКОЙ СЦЕНАРИЯ.. (СМ. СООБЩЕНИЕ ВЫШЕ)

3. ТО ЖЕ САМОЕ, ЧЕРЕЗ СЦЕНАРИИ ( НА АВТОЗАГРУЗКУ КОМПЬЮТЕРА В гп ПРОПИСАТЬ).
СДЕЛАТЬ НЕСКОЛЬКО ОГП ( С РАЗНЫМИ СЦЕНАРИЯМИ, ПРИМЕР НИЖЕ) И НАСТРАИВАЕМ ИХ СООТВЕТСТВЕННО ТОЛЬКО НА ТЕ КОМПЫ, КОТОРЫМ МЫ ДОЛЖНЫ ПРИМЕНИТЬ СЦЕНАРИИ.
ЭТО МОЖНО СДЕЛАТЬ ЧЕРЕЗ ОУ, ИЛИ ФИЛЬТРАЦИЕЙ, ЧЕРЕЗ ГРУППЫ, ЕСЛИ РАЗДЕЛИТЬ КОМПЬЮТЕРЫ НА РАЗНЫЕ ОУ НЕВОЗМОЖНО..

NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\MY_GROUP1 /ADD
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\MY_GROUP2 /ADD

в догонку по теме:

кстати, есть шаблон безопасности, compatws.inf - который выставляет разрешения на реестр и на системные каталоги.

из встроееной справки: Совместимый (Compatws.inf) шаблон.
Разрешения по умолчанию для рабочих станций и серверов сначала создаются для их локальных групп: «Администраторы», «Опытные пользователи» и «Пользователи». Члены группы «Администраторы» обладают наибольшими правами, тогда как члены группы «Пользователи» — наименьшими. По этой причине можно значительно повысить безопасность, надежность и снизить общую стоимость владения системой, если придерживаться следующих правил:

убедиться, что конечные пользователи являются членами группы «Пользователи»;
внедрить приложения, которые могут успешно запускаться и выполняться членами группы «Пользователи».
Лица, обладающие правами группы «Пользователи» могут работать с приложениями, принимающими участие в программе размещения эмблемы Windows для программного обеспечения. Однако члены группы «Пользователи» могут испытывать проблемы при запуске приложений, не отвечающих требованиям программы. Если необходимо обеспечить поддержку таких приложений, существуют две возможности.

Все члены группы «Пользователи» должны также являться членами группы «Опытные пользователи».
Использовать дополнительные разрешения разрешения по умолчанию, созданные для группы «Пользователи».
Поскольку члены группы «Опытные пользователи» обладают наследуемыми возможностями, такими как создание пользователей, групп, принтеров и общих ресурсов, некоторые администраторы предпочитают предоставить дополнительные разрешения группе «Пользователи», вместо зачисления конечных пользователей в группу «Опытные пользователи». Для этих целей служит «Совместимый» шаблон. При помощи шаблона «Совместимый» можно изменить разрешения для файлов и реестра, используемые по умолчанию для группы «Пользователи», и соответствующие требованиям большинства приложений, не входящих в программу размещения эмблемы Windows для программного обеспечения. Кроме того, поскольку после применения совместимого шаблона пользователи не должны присоединяться к группе «Опытные пользователи», все члены группы «Опытные пользователи» удаляются. Дополнительные сведения см. в разделе Параметры безопасности по умолчанию.

Совместимый шаблон не следует применять к компьютерам, которые являются контроллерами домена. Например, не следует импортировать совместимый шаблон в стандартный домен или в объект групповой политики стандартного контролера домена.


доступ к нему из mmc.exe там добавить оснастку Шаблоны безопасности (для просмотра изменений из этого шаблона) и Анализ и настрока безопасности (для изменения локальной политики при отсутствии домена).

в принципе можно сделать свой ОГП в домене и импортировать в раздел Конфигурация Windows - параметры Безопасности этот шабон. он позволяет пользователям запускать (и устанавливать думается) те программы, которые требуют больших разрешений, чем обычный пользователь.

это удобнее, чем пользователя в группу опытных пользователей добавлять. системные права при этом же ему не даются..

Так немного непонятно
можно на пальцах для чайников объяснить как что и куда?
а то на принтере под обычным юзером не печатается

получается, что юзеры становятся членами груммы домена Опытные пользователи, а уровень доступа к этой группе будет браться исходя из разрешений раб. станций? Т.е. в домене создаю группу "Опытные пользователи", и т.к. она совпадает по названию с локальной группой "Опытные пользователи" на каждой раб. станции, то юзеры смогут ставить проги? А если на компе Васи Пупкина эта группа (Опыт. поль.) отключена, то права будут просто юзера?

Не хватает прав для установки программ для пользователя домена.
 

Ситуация такая. Поставил на локальный компьютер winXP с программу АCAD2002 с учетной записью администратора. Далее с этого компьютера подключаюсь к домену win2003 с другой учетной записью, имеющей в домене права пользователя. Запускаю программу, она начинает настраиваться под этот профиль, после этого выдает сообщение, что не может установиться, так как необходимы права администратора. Предоставить права администратора этому пользователю я не имею возможности. Как быть?

И такие проблемы со всеми программами , использующими профили пользователей ( они записывают в них какую-то информацию)

Можно дать права "Опытного пользователя" или доступ на запись в каталоги, используемые программой и соответствующие ветки реестра. Определиться помогут rgemon.exe и filemon.exe c sysinternals.com

Потерял контроль над рабочей станцией
 

Оснастка на win2003 server : Active Domain and users - computers - правой кнопкой мыши нажимаю по нужному компу- manage - local user and groups - groups.

В группе администраторы на локальной машине была запись администратора домена. Я ее случайно удалил. После этого добавить эту запись в группу я не могу . Пишет не доступа. То есть я потерял доступ к удаленной машине.

Как исправить эту ситуацию, не прибегая к перерегистрации рабочей станции в домене?

сообщение 23 и 22


те использованием сценария и команды net localgroup ..

Объясните пожалуйста в чем моя ошибка.
Создал файл сценария add.bat со следующим текстом:
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\ПОЛЬЗОВАТЕЛИ /ADD
Кодировка строки - DOS

Открываю на своем домене на сервере групповую политику, нажимаю изменить default Domain Policy . Вкладка Конфигурация компьютера -> конфигурация Windows-> Сценарии запуск, завершение-> Конфигурация компьютера -> автозагрузка . Двойной щелчок на автозагрузке открывает окошко. Нажимаю Кнопку добавить в поле Имя сценария добавляю путь к созданному файлу add.bat . Нажимаю кнопку «применить» - пишет сообщение :«Компоненту «Сценарии» не удалось сохранить изменения из- за ошибки 1385»

Пробовал данную строку добавлять в файл загрузки для профиля пользователя. Пишет что нет доступа ошибка №5.

Аналогичные проблемы и с этими строчками.
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD

NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\USERS /ADD

Странно, должна быть windows.

Ох, сколько раз на форуме про это писали. Не трогайте политики по умолчанию. Не надо проблемы себе плодить. Создается контейнер, к нему создаеться новая политика, туде кладутся пользователи и компьютеры. Ее и закручивайте.

Если посмотрите стандартный help в windows, то найдете что запускать сценарии можно whs, vbs, js... Про cmd или bat ничего не сказано.
Потом, где размещаеться сам файл сценария? Рекомендуется его разместит там же, где предлагает сама политика, что-то типа \\DOMAIN\SysVol\DOMAIN\Policies\{XXXXXXXXXX}\Machine\Scripts\Startup. Тогда и справами доступа к файлу проблем не будет.

Что вы имееете ввиду? Где вы увидели группу ПОЛЬЗОВАТЕЛИ в домене?
Я так понимаю вы хотите сделать пользователя домена локальным администратором? А смысл есть давать всем пользователям такие права?
Если уж приспичело - в политике домена (для вашего контейнера), конф.комп./конф.винд/пар.без./группы с ограниченым доступом. Там раздаются такие права.

Вообще-то если копьютер в домене, администратор домена всегда имеет права локального администратора, если конечно ручками кто-нибудь не покрутит.

По поводу цитаты:
"Ох, сколько раз на форуме про это писали. Не трогайте политики по умолчанию. Не надо проблемы себе плодить. Создается контейнер, к нему создаеться новая политика, туде кладутся пользователи и компьютеры. Ее и закручивайте."
А можно эту запись расшифровать поподробнее : Как создать контейнер (ткнуть мышкой туда то и туда то), создать для него новую политику (ткнуть мышкой туда то и туда то) как поместить нужные компьютеры и пользователей в контейнер.
Здесь же на форуме не рекомендуют поступать таким образом, а настаивают как раз на добавлении в автозагрузку этих строк NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD
В принципе со строкой NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD я разобрался она работает у меня в бат файле, который запускается при входе пользователя в домен, НО-О-О проблема заключается в том что команда NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD воспринимает вместо двух операторов АДМИНИСТРАТОРЫ и DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА их как три оператора АДМИНИСТРАТОРЫ, DOMAIN\АДМИНИСТРАТОРЫ, ДОМЕНА . то есть этой команде как то надо сообщить что строка DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА единое целое. Как ни бился с этим ничего не получается. Делал так

NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ_ДОМЕНА /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ_ДОМЕНА" /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ 'DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА' /ADD

ничего не получается. Кто знает подскажите как решить эту проблему.

И еще где можно взять примеры сккриптов whs, vbs, js?

babki

создавать нужно не контейнер, а подразделение (пр кнопкой на названии объекта в консоле "Active Directory Полльзователи и Компьютеры" (другом подразделении или на самом домене). На подразделение можно подключить (слинковать, связать) ОГП с вашими настройками.

И действительно, в ОГП, созданные системой, лучше не вносить изменений без особой необходимости.
А содавать новые объекты групповой политики (ОГП).

Вернуть доменной группе Domain\Администраторы домена - возможность управления локальной системой можно двумя вариантами:
а. через настройку режима Ограниченных групп в политике для компьютера - см сообщение 10
б. использовать сценарии (bat, whs, vbs - для современых клиентских ОС не важно, bat - более универсален, но сильно ограничен командами системы) - см сообщение 22

при этом - вар. А. - заменяет сущ список указанной грппы - своим, поэтому важно для начала просмотреть кто же уже входит в группы на действующих системах, прежде чем вносить изменения. А вар. Б - всегда добавляет, не влияя на сущ объекты в группе. Оба они завязаны на локализацию в названии встроенных групп.

у вашей ситуации, тк вы просто потеряли группу Администраторы домена во встроенной группе Администраторы на локальной системе.
удобнее попробовать вариант А (указав в ограничении группы Админитраторы имена объектов - Администратор и Domain\Администраторы домена

Но можно и закончить со сценариями.
рабочим вариантов должна быть строка (из того же 22го ообщения п.2):
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD

в соответвующей локальной кодировке DOS (можно попробовать использовать встроенный DOSовский редактор edit.com)

По поводу сценариев:
строка
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD у меня не работает а
строка
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОР" /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОР /ADD

без пробем выплоняется правильно.

Посмотрите внимательно на объекты AD. Есть запись АДМИНИСТРАТОР, или Administrator, в зависимости от версии, а вот группы АДМИНИСТРАТОРЫ ДОМЕНА может и не быть. Попробуйте "Domain Admins".

SkyF спасибо, что поправили, действительно не контейнер, а подразделение.

Создал новое подразделение «Ограниченные пользователи» Active Directory Пользователи и Компьютеры -> создать , подключил рабочую станцию к домену, далее из папки Computers перенес получившийся компьютер в подразделение «Ограниченные пользователи» учетную запись также из группы Users перенес в это же подразделение
Далее
Active Directory Пользователи и Компьютеры -> свойства -> групповая политика –> создать «Ограниченные пользователи»
подразделение «Ограниченные пользователи» -> свойства Групповая политика создать выбираю ранее созданную политику «Ограниченные пользователи».
Далее пытаюсь в групповой политике в ветке конф.комп./конф.винд/пар.без./группы с ограниченным доступом добавить группу Опытных пользователей пишет ошибку «Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf» Ошибка с такой же надписью появляется когда пытаюсь добавить параметр в локальную политику.

То есть у меня не получается выполнить по добавлению пользователей домена в локальную группу Опытных пользователей

И еще один из "умных пользователей" внес на рабочей стации некие изменения. после этого пытаюсь подключиться к с доменной учетной записью к домену. Пишется ошибка "У вас нет прав на интерактивный вход в систему". С локальной учетной записью этого копмьютера со входом с вистему проблем нет. Подскажите пожалуйста где рыть ответ на этот вопрос?

всегда почти помогает поиск по форуму:

fix! Запрет локального входа, ошибка- интерактивный вход запрещен политикой безопасности

может это поможет:
Не удалось открыть базу данных локальной политики

ЗЫ а что там со сценариями для администраторов домена (domain admins)?

В локальной политике контроллера домена я отключил удаленный вход в систему администраторам.
Может быть при изменении групповой политики идет обращение через сеть с записью администратора и система не может изменить файл «Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf» Кто что может сказать по этомк поводу? Когда меняю удаляю из группы "удаленный вход в систему" группу администраторов идет та же ошибка «Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf». Короче не записываются в нужный файл груповой политики сделанные мной изменения. Как решить эту проблему?

Пока не пробовал не знаю. Но все записи групп на сервере и локальных машинах написаны по русски.

Проблему с ошибкой «Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf» кажется решил. Просто был закрыт доступ к серверу из сети администратору.

Но другие по прежнему остались:
Создал новое подразделение «Ограниченные пользователи» Active Directory Пользователи и Компьютеры -> создать , подключил рабочую станцию к домену, далее из папки Computers перенес получившийся компьютер в подразделение «Ограниченные пользователи» учетную запись также из группы Users перенес в это же подразделение
Далее «Cвойства» подразделения «Ограниченные пользователи» -> Групповая политика -> создать. Создаю новую групповую политику «Ограниченные пользователи».

Далее пытаюсь добавить на локальные машины в папку «Опытные пользователи» группу «PROEKT\Пользователи домена» различными способами:

1. В групповой политике «Ограниченные пользователи» в ветке
конф.комп./конф.винд/пар.без./группы с ограниченным доступом добавляю группу «Опытные пользователи» . В появившееся окно «члены этой группы» добавляю группу «PROEKT\Пользователи домена». Результат Данная политика не применяется к машине , входящей в подразделение «Ограниченные пользователи». По моему вообще не применяется данная групповая политики к объектам входящим в подразделение «Опытные пользователи» Почему? Может ее перекрывает политика по умолчанию примененная ко всему домену?


2.способ
В групповой политике конф.комп./конф.винд/сценарии/автозагрузка добавил файл start.bat со следующим содержимым

«NET LOCALGROUP "Опытные пользователи" "PROEKT\Пользователи домена" /ADD
Pause»

При выполнении входа в домен на локальной машине этот файл не выполняется, а когда я его напрямую запускаю на выполнение выдается ошибка №5 отказано в доступе. Запись, с которой вхожу в систему, входит в группу PROEKT\Пользователи домена. Если в домен вхожу с учетной записью принадлежащей «PROEKT\Администраторы домена», команды выполняются успешно.
3. Аналогичные действия происходят, если этот файл добавляю в профиль учетной записи в строку «Сценарий входа».

Здесь на этом форуме описаны именно эти способы решения моей проблемы, но у меня ни один из них не проходит.
Получается только через консоль «Active Directory Пользователи и Компьютеры» правой кнопкой на нужном компьютере «Управление» и добавляю пользователей в нужную локальную группу и то не всегда.

На некоторых машинах при попытке из управления выдается ошибка «Управление компьютером \\имя.домен невозможно. Не найден сетевой путь». В чем здесь может быть проблема. Локальная машина точно входит в домен с одной из учетных записей домена.

SkyF: насчет - он дает пользователям много возможностей, в т.ч. и право на установку программ.
1) Изъезженная тема - он даст возможность члену группы Пользователь использовать ту же ICQ Pro без ограничений?
2) Можно ли непосредственно в нем УБРАТЬ возможность УСТАНОВКИ ПРОГРАММ, не меняя остальные направления воздействия?

Запрет установки/удаления программ в Win2K3 Serv.
 

Есть:
Win2K3 serv, SP1
поднят Домен

В свойствах ГП "Default Domain Policy",
в дереве:
"Конфигурация пользователя/административные шаблоны/Панель управления/Установка и удаление программ"
раньше (по крайней мере в 2Кserv) имелась оснастка что-то типа "запрет установки/удаления программ", но сейчас её нет и не только её...
картина сейчас вот такая:
подскажите плз хотя бы где рыть :о/
http://hottler.ho.com.ua/AD.gif

Hottler
возможно в групповой политике Windows 2000 server что-то и имелось из указанных вами параметров, но я такого не помню (да и вообще количество настроек шаблонов не вдохновляет их учить)

однако все равно этот параметр не запретит пользователям запускать exe программы - этот ваш параметр ограничивал бы только вид компонента - Установка/удаление программ (которым и так редко кто пользуется - слишком велик соблазн просто запустить setup.exe)

Запрет пользователям на установку и инсталляцию приложений (программ) обсуждался ранее на форуме.
fix! права пользователя для установки программ

темы склеиваю.

ЗЫ прочитайте правила и рекомендации по работе в разделе.

ShaddyRподдерживаются только корректная установка и работа приложений - разработанных в совместимом с Windows режиме. если разработчики не позаботились об этом - то распространению их программ может способствовать только freware составляющая и бешеная популярность.. если чего-то из этого нет, то такой программе трудно ужиться в компаниях, использующих системное ПО Microsoft Windows

думаю возможно будет что-то сделать - если выполнить модификацию настроек в самом файле шаблона (резервную копию только его перед этим сделать) или создать через mmc- securty templates новый шаблон (my_comp) - перейти в директорию и скопировать файл compatws.inf в файл my_comp.inf

те вы получите копию оригинального шаблона - открывайте его текстовым редактором и редактируйте)

Запрет на установку программ в реестре
 

Добрый день!
Прошу прощения, но у меня медленный интернет, поэтому не могу поискать ответ в сети. Администрирую класс в школе. Одноранговая сеть, вин 2000проф. Все пользователи с правами администратора. Не могу изменить права, т.к. некоторые эл.учебники (у меня 30) требуют администратора. "Детишки" шалят понемногу. Поставил Запрет на доступ к содержимому некоторых дисков, поставил запрет на запуск regedit. Но еще надосделать запреты с только помощью реестра:
1. ввод и удаление учетных записей, изменение пароля.
2. запуск панели управления.
3. установку любых программ.
4. отключение подключения к локальной сети.
Может еще посоветуете что сделать с реестром. Буду очень благодарен.

Спасибо.
Денис.

Настраивай политики безопасности.
А вообчето что за прогульки такие, которые тока под админом идут? Старые небось, иль писаные кривыми ручками! Или ты сам что-то намудрил. Но если твои детишки будут помудрее, то админ на то и адмим, чтоб мочь делать все, сами разберуться, сами и поправят. Как идея: настрой аудит, чтоб никто не подозревал про его существование, и потом карально-премиальными методами детишек отучай шалить.

Спасибо за ответ!
Это учебники от КиМ для разных предметов Virtual School. Учебник от того же КиМ Химия, Физика и т.д. Устанавливается только под админом. Меняешь на ограниченный или пользователя - кричит "программа не установлена". И так всегда. Многое делал: и ярлыки таскал, и права менял всяко разно - все равно требует админа. А ногами топать и кричать... Короче начал давить, они давай мне пароли да доступ на диски закрывать...

Вам помогут regmon & filemon from sysinternals.com. Даете разрешения пользователям на соответствующие ветки реестра и каталоги в Program Files.

YDen
будьте внимательнее.. ваш вопрос легко ищется поиском по слову установк*
ваш вопрос уже поднимался - fix! права пользователя для установки программ
топики склееены

Политика безопасности Windows 2003
 

У меня сервер на основе Win2003, как разрешить в групповой политике установку программ на клиентских машинах только определенной группе пользователей?

MSD
Внести нужных пользователей на клиентских компьютерах в локальные группы Опытные пользователи. Через ГП делается через Restricted Groups.

Стоит домен, который управляется Админом (не хороший человек) из далека (москвы) у нас права доступа только на создание пользователей, но тут принесли програмульку ПУ 5 (эта лажа из ПФР) попытка установить из под пользователя ясно что закончилась безуспешно, как и под нашей учёткой (по которой мы только заводим пользователей без права подключения определённых групп) как быть и как установить эту мыльную программу если одним сверху "елозит" мол вы там "кали**" всё просто делается! Просветите пожайлуста как???? Если в курсе, спасибо!

Через runas (уж права локального администратора у Вас должны быть).