|
Права группы пользователей АД
У себя недавно поставил АД, сходу столкнулся со следующими пробеммами(не пинайте плиз, я юниксоид, винда мне в новинку):
1) Как мне выдать компу/юзеру полный доступ на его комп(для установки программ требующих прав администратора), НО не давая админку на домен. 2) Как мне сделать чтобы пользователь одновременно был в домене и мог сидеть по диал-апу в инете. При подключении он пишет как я понял что не может найти инетовские адресса в домене. Что загвозка в использовании DNS (эт я так подозреваю:) 3) Вопрос по DNS: В сервере 3 сетевушки, на каждую повешано по сегменту, как сделать так чтобы все компьтеры сети были в одном списке в файловых менеджерах?? 4) Как мне ОГРАНИЧИТЬ использование моего контролера домена(он у меня маршрутизатор/ирк_сервер/веб_сервер) компьютерами НЕ регистрированными в домене(рабочие группы). Мне нужно чтобы сервер не обрабатывал запросы и не общался с этими компьютерами до их авторизации в домене, пусть даже он им выдаст DHCP. Уважаемые коллеги-сисадмины!! Буду оччень благодарен за предоставленную помощь и советы!! Нужно поднять систему в кротчайшие сроки, без вас справиться не получится!! |
1. Включить пользователя(ей) в группу локальных администраторов нужного компьютера.
3. Включить все компьютеры в один домен. 4. Лезь в групповую политику контроллеров домена - "Конфигурация компьютера" - "Конфигурация Windows" - "Параметры безопасности" и там уже делай что и как тебе будет угодно. Справочная система Windows тебе расскажет многое. А вообще я бы советовал сначала зайти СЮДА и прочитать как можно больше оттуда. |
to_xoxmodav:
1. Можно добавить домен_юзеру админку на конкретный комп, я правильно понял?? если да то резонный вопрос как и через какие инструменты это сделать, желательно с нубскими пояснениями. 3. хм... само сабой включил... но ток как виден был только свой сегмент, так он и остался... может заморочка глубже?? 4. А за это сенкс А то куда ты меня послал, по сути я там ничего интересного не обнаружил... Но всё равно спасиб |
назрел ещё 1 вопрос по 3) пункту: у меня сегменты типа: 192.198.х.0, всего 3 сегмента. Если мне объединить их в 1 диапазон это может мне помочь?? Или же можно реализовать и по 3м сегментам?? Днс это по идее позволяет, но в чём трабла я понять не могу, голова уже пухнет.
|
насчет п. 1 Заходишь на комп, правой клавишей по "мой компьютер"->"управление". Далее откроется окно, в нем ищем "локальные пользователи и группы", там открываем "группы", находим "администраторы", открываем ее и добавляем нужного юзера туда. Результат - он админ на этой машине.
Насчет п. 3 Так наверно сначала надо было создать подсеть класса С, а в ней создавать сегменты х1 х2 х3, ну и компы пехать по нужным сегментам. Либо я чего то недопонял |
2. Как вариант - в свойствах DNS-сервера поставить редирект чужих адресов на сервер прова.
|
Цитата:
Группы с ограниченным доступом (ветвь Конфигурация компьютера\Конфигурация Windows\Пapaмeтpы безопасности). Членами такой группы являются только те учетные записи и группы, которые вы явно укажете. Кстати, рекомендую к прочтению - Шетка Петр Microsoft Windows Server 2003 Практическое руководство по настройке сети |
to Strange_V тоже верно, но если чел юниксоид, то надо ево с азов администрирования учить :) (не в обиду автору темы)
|
2_madmax24: опечатка, сегменты у меня вида 192.168.х.0. Я немного не понял, ты эту опечатку имел ввиду или что то другое хочешь предложить?? Мне главное что - руководство требует все компы в 1 списке, раньше всё работало через мою линуху(рабочая группа). Обстоятельства заставили перейти на вин, но подобные решения делаются на основе домена, так что осваиваю... Идеи есть??
2_amel27: свойства сервера - наблюдение рекурсивный запрос к другим днс серверам?? это?? иначе - сцылку в студию :))) to_Strange_V: за книгу пасиб, не сразу понял про что мад макс выразился )))) ...кароч ща дойду до компа и отпишусь |
хочу добавить что домен ставился как и всё в винде: по окошкам и менюшкам. Есть подозрение... Ирк-сервер не может определить пользовательский ДНС и использует обычный ип... Может обратная зона настроенна неправильно? В окошке ДНС сервера в обратной зоне вообще пусто, ниодной записи.
Особое спасибо madmax24 & Strange_V ибо помогли. Увидел кнопочку, ща потыкаю:))) |
Цитата:
|
Назревает ещё 1 вопрос, как оставаясь "локал админом", админом только своего компа, НЕ иметь доступа к сетевым настройкам(к смене IP хотябы, но имея права открывать шары)?? От моих "лучших собаководов" хоть стой, хоть падай:)
Сегодня книгу докачаю(за ночь стянул метров 30:)), и её на досуге почитаю:) |
Насчет обратной зоны - неплохо бы ее сделать :) Там все по дефолту, лишнего ниче не пиши.
Насчет последнего вопроса - групповыми политиками можно это дело все закрыть(но я не помню распространятся ли это на локального админа). Я думаю, что если любопытный юзер-локальный админ захочет себе поменять настройки, то это его проблемы - ну не получит он сервисов твоей сети и все равно придет к тебе и будет плакаться. Мне нравятся пользователи, которые соображают в компах - но слишком умных надо наказывать. Каждый должен своим ремеслом занимаца. П,С, еще в помощь могу посоветовать на свою рабочую машину поставить AdminPack и GMPC, чтобы админить удобнее было. А GMPC тебе покажет все твои политики удобно и читабельно. Цитата:
Цитата:
|
хоть убейте, но понять не могу как связаны политика групп с ограниченным доступом и локал_админ? Я так понял, добавление пользователя в группу "администраторы" не даёт ему необходимых прав, пока не сядешь за юзерский комп и ручками не добавишь с учётки домен_админа его запись с добавлением в группу "администраторы_локально". Я только понял, что если пользователь не добавлен в такую группу, то он решается незаслуженных прав, кстати это тоже пригодится в проектировании сети.
Ещё 2 оччень животрепещущих вопроса, если на них найду ответ то моя душа обретёт покой: как ограничить(запретить!) любое общение компьютера(члена домена) с компом, не явлющимся членом домена, но находящимся в одной физической сети. Где копать?? И 2й: Цитата:
|
Вы читали вышеупомянутую книгу? цитата оттуда:
Цитата:
Все же книгу советую прочитать, чтобы правильно применить данную политику (ст. 336). На счет ACDSee: Цитата:
|
Хм.... сначала идею не уловил, но когда сделал - понял как это реализуется. Весьма интересный меанизм, хоть и имеет свои минусы. Ну чтож, пасиб что разъяснил.
(кстати книгу я прочёл/пролистал в первую ночь, просто я не понял суть механизма сперва) И последний вопрос: как же мне реализовать ограничение доступа к компьтерам_членам_домена от компьтеров_таковыми_не_являющимися??? Настраивать через групповые политики?? Требовать использование кернбероса?? У меня планируется ~200 компов к осени, не знаю, хватит ли сервера на обработку запросов, да и механизм пока только смутно где-то в области головы крутится... Может быть IPSec?? Есть идеи/предложения?? |
Так компы, которые не в домене, при обращении к компам из домена увидят перед собой окошко с вводом логина и пароля. И собственно если они их не знают, то доступ не получат.
Или тебе требуется, чтобы они вообще даже не видели компы твоего домена? |
думаю защиты расшаренных ресурсов мне хватит, подумал на досуге что впринципе шифрование траффика и политики IPSec мне не нужны... Ты имеешь ввиду, что компьютеры при обращении к ресурсам доменных компов будут получать окошко для ввода пароля?? как реализовать??
|
да, ты правильно понял мою мысль - левый комп пишет в адресной строке \\domaincomp или \\ip или нечто подобное, в ответ он получает окно с вводом логина и пароля для доступа к ресурсам domaincomp. Соответсвенно если он их знает, то войдет на комп, иначе прости-прощай. :)
|
ну это я понял, где в политиках галочку поставить то? :))))
кк парметр называется ну или через что реализуется?? |
так галочку то не надо нигде ставить )))))) оно уже так изначально работает. Возьми левый комп и попробуй осуществить выше мною написанное, чтоб на практике это увидеть.
|
ладно, впрынцыпе уже со всем разобрался и наладил боль менее, ща новую тему создам, а эту в архив... всем спасибо...
|
| Время: 20:10. |
Время: 20:10.
© OSzone.net 2001-