|
Делегирование полномочий пользователю
Расли, расли и доросли до того, что необходимо делегировать полномочия другим пользователям.
Есть два вопроса по делегации: 1. Необходимо разрешить определенным пользователям менеджить Терминальный сервер (сбрасывать подвисшие сессии... и т.д.) Где копать, в политиках контролера домена? т.к. на терминальном сервере дал админские права. 2. Делегировать полномочия с правами reset password (с этим разобрался) и снимать галочку Account is Lock Out, но вот беда забыл я расширенные права... Кто помнит какие разрешения необходимо поставить ? |
1. А написать что за сервер и какие роли он выполняет слабо? Контроллер домена + терминальный сервер или просто терминальный сервер? Да и давать админские права просто так мне кажется нецелесообразным.
2. Зачем мучаться - создай левого пользователя, делегируй ему права через мастер делегирования и посмотри. P.S. Кстати не совсем понял, что ты имел ввиду под расширенными правами. |
Свойства RDP соединения - безопасность.
AD Users & Computers - View - Advanced - правой кнопкой на контейнере (или домене) - делегирование. |
1. есть вариант что терминальный сервер стоит и на контроллере домена. А в свойствах безопасности RDP добавил пользователя и дал админские права, но сбрасывать пользователя всеравно прав нет, как нет и логоф делать.
2. какая разница пользователь левый или настоящий? Я всеравно полномочия делегирую!!! Мне нужно найти политику по разблокировке учетной записи (по сбрасыванию пароля в визарде есть пункт, заметь сколько он включает разных политик см. в advanced) на курсах это проходил... забыл блин... |
Делегирование - account objects
|
:biggrin: А дальше ???
|
Здравтсвуйте. У меня возникла следующая проблема: возникла необходимость дать возможность человеку присоединять компьютеры к домену. В корне домена нажал делегирование, выбрал пользователя и поставил галочку напротив присоединения компьютера к домену. В папке \computers и в одной из OU (допустим \mycomputers) выбрал делегирование и поставил ему все птички. Ситуация получилась следующая: если компьютера небыло в домене, то он присоединяется нормально, но переместить его из \computers в \mycomputers не дает, пишет "Не удалось переместить обьект. Отказано в доступе". Если компьютер в отключенном состоянии лежит в \mycomputers, то подсоединить его к домену тоже не дает.
Кто нибудь знает как решить эту проблему? И еще, что то я не могу понять, есть ли возможность после создания функций делегирования посмотреть кому что делегировано? И как в случае необходимости отбирать делегированные права? |
nghst,
Правой кнопой по контейнеру - свойства - безопасность - дополнительно - все права у делегата будут отображены, можно ставить и убирать необходимые галки. |
Может я что то не понимаю, но у контейнера в свойствах только 4 вкладки: "Общие", "Управляется", "COM+", "Group policy" (
|
nghst,
View - Advanced Features (Вид - Дополнительно) |
Ладно, со вторым вопросом разобрались, а кто нибудь знает как решить основную проблему?
Некоторые дополнения: на папку \computers в разрешениях дал пользователю все права, но вновь вводимым этим пользователем компьютерам в домен в разрешениях не ставятся права "Запись", соответсвтенно при попытки перенести компьютер в папку \mycomputers вылазит таже ошибка. Если право на "Запись" дать вручную, то компьютер нормально переносится. Как сделать так, чтобы вводимым в домен компьютерам автоматически проставлялось разрешение на "Запись" данному пользователю. Пункта "Наследовать разрешения от этого обьекта всем дочерним обьектам" в свойствах папки \computers нету, есть только "...От родительского обьекта к этому обьекту...". |
nghst,
Включите нужных пользователей в "Операторов сервера" |
Добавил в "Операторы учета" все заработало.
|
| Время: 05:54. |
Время: 05:54.
© OSzone.net 2001-