Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Вопрос по доступу админов на сервера Win2k3 (http://forum.oszone.net/showthread.php?t=87513)

Stephen 24-07-2007 05:41 617739
Вопрос по доступу админов на сервера Win2k3
 
Добрый день.
Есть вопрос, на который я не могу найти ответа...
Имеется домен с несколькими сайтами. все на Win2k3
каждым сайтом в идеале должны управлять свой админы на месте.
Как разделить Админов чтобы у них был доступ только на выборочный контроллер домена как локально так и удаленно???...

Butunin Klim 24-07-2007 11:14 617844
Делегирование

Stephen 25-07-2007 10:55 618352
Что делигирование это понятно, но нюанс в том что в каждом сайте свой контроллер домена
все они территориально удалены что в каждом сайте физически находится свой человек.
И чтоб не давать ему права доменного админа чтоб он не имел то что не надо даем ему доступ
делигированием на определенный OU для управления. НО!!! Надо чтоб он еще и имел админский доступ
на этот контроллер локально! А этого сделать я не знаю как... На контроллере домена локальными группами
управлять НЕМА... как в простой ОСИ добавил любого в группа Администраторы и все красиво...
Если добавить определенного Админа в группу Доменных Администраторов они смогут заходить и рулить любым
доменным контроллером... А ЭТОГО НЕЛЬЗЯ ДОПУСКАТЬ...
Нужно.
1 чтобы человек управлял в AD своим сайтом - сделаю делегирование
2 чтобы человек заходил локально на свой контроллер домена и был на нем админом но не мог на другие - сделаю не знаю как ???

monkkey 25-07-2007 14:47 618516
Добавьте его в группу Операторы сервера (но всех проблем это не решит)

Stephen 26-07-2007 06:28 618765
Этот вариант рассматривался, но отмелся из за того что люди в этой группе смогут администь ВСЕ доменные контроллеры...
А надо определенный человек - определенный контроллер...
Тоесть получается простого и эффектного решения данной проблемы нет?...

Butunin Klim 26-07-2007 09:41 618824
ТОгда Stephen Вам нужно портатить не мало времени (но это ваша работа) и залесть в локальные и доменные политики и назначать руками что может человек а что нет.

monkkey 26-07-2007 09:41 618825
AD - Users & Computers - Domain Controllers - правой кнопой - свойства - безопасность ( Security) - разруливайте права доступа к домен - контроллерам.

Butunin Klim 26-07-2007 09:43 618827
monkkey :tongue:

Stephen 27-07-2007 04:52 619174
Да от проблем и работы никто не отлынивает, думал может я просто не знал более оптимального и простого способа...
А я так и сделал все что мне надо, половину через Security и половину через Group Policy.
Всем спасибо за советы...


Время: 08:48.

Время: 08:48.
© OSzone.net 2001-