я создаю обычного пользователя и добавляю его к группе "юзеры" например, ( с определённым набором прав у этой группы), где мне можно увидеть весь список (и изменить) прав у ГРУППЫ USER (или там например BACKUP ADMIN итд).  или если можно ответте как создать свою группу с нужным набором прав для того чтобы быстро восить только в неё пользователей, очень прошу ответте на мыло с указанием аськи Публикация адреса почтового ящика - Нарушение правил раздела форума п. 7 п. 5, зарание благодарен.

какие именно права требуются - ситемные, разрешения ФС ....?

Я так понял, что требуются все разрешения или запрещения чего либо (т.е. от установки дров до файловой системы) Ведь "Администраторы" и "Опытные пользователи" это всего лишь названия групп пользователей, но как то система назначает им права- этому можно то, этому все, этому другое! Так же само видать и с музыкой, но как???
НАДО УЗНАТЬ КАК ЭТО ДЕЛАЕТСЯ ИМЕННО СИСТЕМОЙ!!!!!!!!

например
локальные политики->назначение прав пользователям

чтобы получить конкретный ответ - нужно задать конкретный вопрос:)

НАДО УЗНАТЬ КАК ЭТО ДЕЛАЕТСЯ ИМЕННО СИСТЕМОЙ!!!!!!!! -  вот именно это и нужно, и нужно составить группу со своими правами поскольку существующие группы в актив деректори меня не устраивают по набору прав, вопрос в том как это сделать.

Да я и сам не знаю как, но очень интересно и вопрос классный! Вот подсказал бы кто???

например
локальные политики->назначение прав пользователям

не проще ли назначить необходимые права существующим группам?

тогда вопрос как узнать список прав у встроенных групп безопастности, например я создаю свою учётку и мне надо дать себе полный доступ ко всему, мои действия: я добавляю себя к группе Enterprise admin, Administrators, итд тоже самое я делаю другому прользователь через программу trusteeman ( даю теже права, и добавляю его к администраторам), но почему то при смене логина у него нет доступа к установке/удалению программ, хотя в политиках безопастности домена он праписан там же где и я. мне кажеться что система администрирования больших сетей выбранная компанией microsoft не совсем удачна, и занимает слишком много времени при наличии многого числа юзиров, и ещё может кто нибудь мне подскажет альтернативу программе  trusteeman, для более удобного назначения ВСЕХ прав как одному пользователю так и группе.

Права не применяются к группам пользователей. Они применяются к OU.

А что такое OU???

как это? можете пояснить?
мне кажется вы ошибаетесь...
права даются на учетные записи пользователей, компьютеров или группы. причем права могут быть им даны и на какое-либо OU (organizational unit - организационное подразделение в Службе Каталогов)


смене логина? как это просиходит? что значит смпенить логин пользователю?

если вы учетную запись добавили в группу локальных администраторов, то она уже имеет все права на локальной машине. и права безопасности для не настраивать не требуется.


не совсем удачен выбор вами этой программы trusteeman..
AD способна поддерживать ( и поддерживает) каталоги с сотнями тысяч объектов и вполне работоспособна.
изучите немного рекомендации по развертыванию систем MS.

Guest
Это тебе не *nix - здесь никто не имеет полный доступ ко всему. Даже EnterpriseAdmins.

SkyF
Абсолютно согласен.

Andrik
OrganizationUnit. А вообще для таких вещей можно и F1 нажать.

SkyF
.... входящих в определенную OU :) Изначально все пользователи (со своими группами) входят в одну OU - корневой домен. К этой OU применяется по умолчанию Default Domain Policy. Вот тут и путаница: права применяются не к группе, скажем, "опытные пользователи", а к OU, в которую эти пользователи входят. Выведем половину "опытных" в другую OU  и им можно дать другие права, чем таким же "опытным" в первой группе. Допустим, все "опытным" можно устнавливать программы, а менять системное время только тем, кто во второй OU
Кратко: объектами групповой политики являются сайты, домены, подразделения. Т.е. эти пресловутые OU :)

вот-тут то у вас и путаница возникает..

через групповые политики безопасности права даются на объект "компьютер" - так что перемещая пользователей по ОП,  на которые настроены разные политики безопасности ( а следовательно и разные права пользователям .
права -на компьютеры.
а поскольку (как я понял) вы компьютеры не перемещали, то и права остались прежние. Таким образом компьютеры все равно из какого ОП на нем регистрируется пользователь.

воспользуйтесь локальными (они также показывают результирующие права) политиками безопасности на компьютерах и проверьте.

хм всё это интересно я немного разобрался ( было трудно пресаживаться на окна с линукса)
ещё один вопрос, при установки актив директори в локальной политике пишеться что она перекрываеться политикой домена, мне интересно что имеет больший приоритет (перекрывает всё остальное) политика домена или политика контроллера домена?

как-то все путано написно :) можно "тщятельнее", а то я не понял фразы...:)
Guest
политика домена распостраняется на лес
политика контроллера домена распостраняется только на контроллер и соответственно на нем перекрывает политику всего домена

политики применяются в следующем порядке:
- локальные
- доменные
- организационных подразделений (последними применяются те политики, которые находятся ближе к самому объекту в дереве домена)

в случае конфликта параметров применяются последние (те те, которые находятся ближе к самому объекту - компьютер или пользователь)

исключением являются политики учетных записей, которые указаны в политике  на уровне домена. Они не переопределяются настройками полтик из организационных подразделений.

Те. свойства паролей и блокировок - единые для всего домена и не могут быть переопеделены по разномы для членов домена..

Братва, вы, по-моему, не туда завернули! Вопрос в начале стоял вроди бы так: Как на ОТДЕЛЬНО ВЗЯТОМ КОМПУТЕРЕ нае подключенном ни к домену, ни к чему другому, кроме 220В (шутка), крутить разрешениями для пользователей! В конце концов, почему "Системные администраторы" - боги, а "Система" - естче круче и как сделать к примеру "пользователя" с админовскими полномочиями, но не им самим (это из разряда взлома), а админом? И, наконец, чем и где можно посмотреть, что же все-таки разрешено/запрещено каждому пользователю или группе???
Думаю, надо смотреть глубже в систему - "ЗРИ  В КОРЕНЬ!"

Andrik
Не факт :) SYSTEM по умолчанию не имеет доступа к сетевым ресурсам :)
Панель управления - Администрирование - Управление компьютером - Локальные группы и пользователи. Создаешь юзера, включаешь его в нужную группу
В твоей ситуации не знаю, а для AD глядеть сюда


[s]Исправлено: Sadok, 18:07 13-11-2003[/s]

Ну это давно ясно, но как сделать, к примеру, группу или пользователя, что б был во всем админ, но запретить ему устанавливать драйвера или запускать службы, хотя может возникнуть "дыра" в защите (если ему много дать он себе может и недостающее взять), но не факт, что этого в принципе невозможно сделать! Или к примеру: Примочка к Nero, которая позволяет записывать диски как всем, так и группе, которую она же и создала, так и только админам (кажись NeroRightsInstaller называется) создает новую группу и дает ей право на запись дисков, но както она это делает, а как???

политика домена распостраняется на лес
политика контроллера домена распостраняется только на контроллер и соответственно на нем перекрывает политику всего домена - тоесть если я правильно понял если политика контроллера домена определена то она перекрывает политику домена на контроллере а соответственно на всём домене (тк контроллер диктует права всему домену)
Второе в этой ветке много реплик но на основной вопрос так и не ответили - как посмотреть кто что может (например System  не прописан нигде в разрешениях пользователей или лок безопастности, но всётаки у неё есть набор прав по умолчанию ктоторые хз где смотреть и редактировать%)

Господа, извините конечно, вы сказали много но я так и не услышал ответа на свой вопрос: попробую обьяснить всё очень подробно.
1 я устанавливаю новый домен в новом лесу
2 я хочу сделать себя пользователем (администратором) с неограниченными правами
3 я нехочу вносить себя в встроенную группу администраторы, а вместо этого создаю новую группу и вношу её туда же где и прописанна встроенная группа  группа администраторы.
4 перелогиниваюсь под своей созданной учёткой, но набор прав у меня значительно меньше чем у администраторов ( например я немогу менять политики безопастности домена и контроллера, итд)
5 зачем мне это нужно: во первых я хочу создать ещё одного админи с немного меньшими правами чем у меня, во вторых я хочу чтоб права пользователям назначал я , по своему усматрению а не встроенная учётка юзезы или др., втретих для пользователей я (в качестве примера) хочу дать право менять на контроллере домена политики безопастности (нигде нет такой функции чтоб позволить это определённому пользователь) и наконец самое главное я хочу иметь возможность по пунктам назначить что тому или иному пользователю можно а что нельзя , не добавляя его в группу USER, ADMINISTRATORS итд (или изменяя права этой группы по своему).
6 интересно где все остальные права для пользователя группы (например изменение политик домена не под учёткой администратора ), которых нет в политике безопастности и правах пользователя.
Во блин наваял, я надеюсь это послание будет понятно не только мне.
                              С уважением Дмитрий

Guest
Нет. Только на контроллере. Политика DC не влияет на политику домена на рабочих станциях.
Это:
1. Система . Было бы удивительно, если бы  она сама с собой не работала по умолчанию :)
2. Права на доступ, выполнение, чтение и т.п.  Системе можно поменять/посмотреть через Проводник (свойства- безопасность).
Guest
Вряд ли :) Что я лично могу сказать... Создать группу и потом до-о-о-лго и тщательно ползать по всевозможным настройкам прав, безопасности и т.п. их устанавливая. ИМХО, "в лоб" такая проблема не решается. ИМХО2 - проблема надуманная. ИМХО(три) - ты занимаешься м-м-м.... ненужными вещами :)