Как сделать: чтобы юзер стал администратором только на своем компе?
 

Здраствуйте.
Заранее извините, если написал ощибками.
У меня Вин2003. Пользователи в домене много.
Они все Domain Users. И они не могут установить программы, настроить компа и т.д.
Многие хотят сидя на домене установить программы, не переходя на локальный администратор.
Если я им даю права админа(Domain Admins, Administrators), они могут входит в любой компьютер и установить, удалить программы(и еще через \\compname\disk$ ом могут сделать все).
Как я могу сделать юзеры администратором только на своим компе? Или какие-нибудь прога нужна?

Group Policy - Restricted Groups

Можно подробнее(я как новичок)?

Без использования Group Policy:
Active Directory пользователи и компьютеры -> выбираем учетную запись необходимого компьютера -> Управление -> Локальные пользователи и группы -> Группы -> Администраторы -> Свойства -> Добавить -> Искать в ставим свой домен и выбираем необходимого пользователя которого хотим добавить в группу локальных администрторов.

включить этого юзера в группу локальных администраторов net localgroup Администраторы /add user@domain

Позвольте вмешаться и дополнить вопрос. Тоже давно интересует аналогичный, но немного отличающийся вопрос: Как включить группу пользователей домена Win2000 в локальную группу Администраторы на каждом компьютере домена? Через учетные записи компьютеров - трудоемко - копьютеров уже более 60 шт. Я предполагаю что в этом случае надо как-то заставить все компьютеры домена выполнить командный файл с net localgroup Администраторы /add user@domain. Что в принципе возможно знаю, а на практике... - может кто на мысль натолкнет?

Onmike5
Необходимо использовать Group Policy - Restricted Groups (Групповая политика-> Конфигурация компьютера -> Параметры безопасности -> Группы с ограниченным доступом).

О, получилось! Это то, о чем я мечтал многие годы! :)
Опишу процедуру более подробно: На контроллере домена открываем Active Directort-пользователи и компьютеры - правой клавишей на mydomain.ru(если для всего домена) - свойства - групповая политика - выбираем политику (обычно domain) - изменить - конфигурация компьютера - конфигурация Windows - параметры безопасности - группы с ограниченным доступом - правой клавишей в правой части окна - Добавить группу... (выбираете группу, которую ва желаете включить в локальную группу) - правой клавишей на добавленной группе - Свойства... - Эта группа является членом в (выбираем локальную группу, в которую будет входить группа домена (напр. Администраторы)) - О.К.
ВСЕ!

Спасибо всем огромное!
Получилось.

Как это у вас заработало? Вы определили пользователя в доменную группу администраторы, а не в локальную группу.

pavel_p,

Я пробовал сделать так как здесь описано,только не на весь домен, а на OU ,но права администратора не появились.
По идее, если такая политика может распространяться на весь домен (на компьютеры и пользователей), то все пользователи становятся администраторами не только на компьютерах, но и на серверах.