Не применяется GPO для restricted groups в AD - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - Не применяется GPO для restricted groups в AD (http://forum.oszone.net/showthread.php?t=238250)

Не применяется GPO для restricted groups в AD

Учётная запись dom\Luda на локальном компьютере является лок. администратором.Через restricted groups в AD сделал её standard user, затем обновил gpo на клиенте и сервере. На клиенте в пользователях в группе Standard user в свойствах есть запись dom\Local users (так назвал группу в которую будут входить standard user).Вопрос почему это gpo не приминяется на локальном компьютере? Идея сделать доменных пользователей просто пользователями на лок. компьютерах.

В доменной политике следует переопределить группу BUILT-IN\Administrators, а не ту группу, что вы делаете. Внесите в неё только тех, кто должны быть администраторами (например, встроенный Administrator + DOMAIN\Domain Admins).

Цитата:

Цитата wrxassa

Идея сделать доменных пользователей просто пользователями на лок. компьютерах »

Хм.. То есть ты хочешь сделать пользователя в АД и чтобы он стал локальным пользователем компьютера?
Смысл тогда делать домен если в принципе у тебя будет однорранговая сеть?
Я думаю не получится. Тебе надо будет создавать локальных пользователей.

Цитата:

Цитата Molchune

Dear Molchune,
У wrxassa в настоящий момент имеет место грубейшее нарушение норм безопасности при работе с компьютерной техникой, а именно: пользователи обладают административными привилегиями на своих рабочих станциях. Что делает ему честь, человек решил ликвидировать этот криминал, ограничив пользователей только привилегиями стандартного пользователя, никаких административных прав. К рабочим группам эта ситуация отношения не имеет никакого, речь идёт о конфигурации доменной среды. Нет ни малейших причин, почему бы вдруг что-то не получилось. В следующий раз старайтесь отвечать на вопросы, в которых вы действительно компетентны.

WindowsNT, Спасибо большое, это работает, подходил не стой стороны.Можно задать вопрос по этой же теме, а если мне надо допустим дать права пользователю Luda скажем как power user.
Что мне надо сделать для этого? по Вашему ответу получается я просто определил админов на компе #1 и Luda не входила в эту группу соответственно автоматически логинется под standard user а допустим power user? Спасибо

Создайте групповую политику, в которой опишите всех Power Users (в данном случае, DOMAIN\Luda). Пристыкуйте эту политику к нужному Organizational Unit в Active Directory. Все компьютеры внутри этого OU применят данную политику.

*** Естественно, я бы не стал так поступать. Права членов группы Power Users практически равнозначны Администраторским, что с точки зрения безопасности является жутким криминалом. Ежедневная работа пользователя с необоснованно повышенными привилегиями неизбежно и безальтернативно приведёт к сбоям и вирусному поражению системы.