Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] nologin users или как создать доменного пользователя без права логина. (http://forum.oszone.net/showthread.php?t=281733)

Elven 02-05-2014 14:21 2346011
nologin users или как создать доменного пользователя без права логина.
 
Собственно интрига раскрыта еще в названии.
Есть домен под управлением 2008 R2, есть желание создать пользователя/пользователей которые будут иметь право на доступ к некоторым шарам, но при этом не смогут логиниться на компьютерах домена.

Iska 02-05-2014 16:59 2346050
И в чём проблема? Создаёте. Затем запрещаете. В итоге он у Вас висит мёртвым грузом. ;)

В чём глобальная цель, и почему указана такая странная взаимоисключающая реализация?

Elven 02-05-2014 19:10 2346092
Цитата:
Цитата Iska
В чём глобальная цель, и почему указана такая странная взаимоисключающая реализация? »
Некоторому софту ни к черту не нужен вход в систему, достаточно логина и пароля для произведения некоторых работ и выкладывания на определенные шары всякого барахла от логов до бэкапов. Или, к примеру, через GPO создаем в шедулере задание которое должно выполняться исключительно от имени админа, зачем при этом нужно чтобы некий таинственный Mr. Кто-то мог под этим админом зайти?
Цитата:
Цитата Iska
И в чём проблема? Создаёте. Затем запрещаете. В итоге он у Вас висит мёртвым грузом »
А вот с этого момента поподробнее. В линуксе это как-то попроще реализовано, дописал в свойствах пользователя "nologin" и от имени пользователя могут и службы запускаться, и скрипты выполняться, но залогиниться он уже не может, как сие сделано под виндами я несколько не догоняю. Да и зачем мертвым грузом? Нужно чтобы пользователь работать смог, но без входа в систему.

nokogerra 03-05-2014 16:44 2346502
суть в том, что чтобы что-то запустить от имени пользователя, у него должно быть право логона. Пример: создал групповую политику, которая рядового доменного пользователя сделала членом группы локальных администраторов для машин в определенном OU. Все отлично, он администратор, но имеет право входа только на одну рабочую станцию (скажем свою), он не сможет установить/удалить программы, или выполнить вообще какие-либо действия на остальных машинах (введя свои логин и пароль при запросе на повышение прав), несмотря на то, что он администратор.

cameron 03-05-2014 20:17 2346629
Elven,
явно такого права, как вы описали, нет.
вам нужно создать группу в AD, например "no_local_logon", через ГПО запретить этой группе локальный логон и добавить туда нужные служебные записи.

James Marsh 03-05-2014 22:24 2346682
Цитата:
Цитата cameron
через ГПО запретить этой группе локальный логон и добавить туда нужные служебные записи »
А те учетки смогут, к примеру, писать в сетевую шару? Для сетевых МФУ очень-но актуально.

sea707 05-05-2014 06:08 2347109
В параметрах учетной записи - разрешить только вход на компьютеры, т.е. добавить только файловый сервер и всё...

cameron 05-05-2014 09:32 2347150
Цитата:
Цитата James Marsh
А те учетки смогут, к примеру, писать в сетевую шару? Для сетевых МФУ очень-но актуально. »
смогут.
Цитата:
Цитата sea707
В параметрах учетной записи - разрешить только вход на компьютеры, т.е. добавить только файловый сервер и всё... »
этот параметр отвечает за logon locally

Elven 05-05-2014 15:25 2347312
cameron, спасибо. Стало несколько понятнее куда копать и в результате все весьма нормально получилось (в GPO Параметры безопасности\Локальные политики\Назначение прав пользователя\Запретить локалный вход и Запретить вход в систему через службу удаленных рабочих столов). Не все конечно, но покуда что хватит.


Время: 15:04.

Время: 15:04.
© OSzone.net 2001-