![]() |
Вопрос по доступу админов на сервера Win2k3
Добрый день.
Есть вопрос, на который я не могу найти ответа... Имеется домен с несколькими сайтами. все на Win2k3 каждым сайтом в идеале должны управлять свой админы на месте. Как разделить Админов чтобы у них был доступ только на выборочный контроллер домена как локально так и удаленно???... |
Делегирование
|
Что делигирование это понятно, но нюанс в том что в каждом сайте свой контроллер домена
все они территориально удалены что в каждом сайте физически находится свой человек. И чтоб не давать ему права доменного админа чтоб он не имел то что не надо даем ему доступ делигированием на определенный OU для управления. НО!!! Надо чтоб он еще и имел админский доступ на этот контроллер локально! А этого сделать я не знаю как... На контроллере домена локальными группами управлять НЕМА... как в простой ОСИ добавил любого в группа Администраторы и все красиво... Если добавить определенного Админа в группу Доменных Администраторов они смогут заходить и рулить любым доменным контроллером... А ЭТОГО НЕЛЬЗЯ ДОПУСКАТЬ... Нужно. 1 чтобы человек управлял в AD своим сайтом - сделаю делегирование 2 чтобы человек заходил локально на свой контроллер домена и был на нем админом но не мог на другие - сделаю не знаю как ??? |
Добавьте его в группу Операторы сервера (но всех проблем это не решит)
|
Этот вариант рассматривался, но отмелся из за того что люди в этой группе смогут администь ВСЕ доменные контроллеры...
А надо определенный человек - определенный контроллер... Тоесть получается простого и эффектного решения данной проблемы нет?... |
ТОгда Stephen Вам нужно портатить не мало времени (но это ваша работа) и залесть в локальные и доменные политики и назначать руками что может человек а что нет.
|
AD - Users & Computers - Domain Controllers - правой кнопой - свойства - безопасность ( Security) - разруливайте права доступа к домен - контроллерам.
|
monkkey :tongue:
|
Да от проблем и работы никто не отлынивает, думал может я просто не знал более оптимального и простого способа...
А я так и сделал все что мне надо, половину через Security и половину через Group Policy. Всем спасибо за советы... |
Время: 08:48. |
Время: 08:48.
© OSzone.net 2001-