Права доступа на каталоги через GPO в AD

GreenIce · Отправлено: **15:02, 07-05-2008** | #11

Так и понимать, если в политике п описать что доступ должен быть Администраторы full, System full, а Пользователи read, то политика нормально применится на всех компьютерах без исключений.
А, еще "creater owner" и "все" совпадает.

amel27 · Отправлено: **12:56, 08-05-2008** | #12

toro

Цитата:

Похоже придётся изучать VBS »

Изучать необязательно... Во-первых, в указанной статье предложена альтернативная CMD-команда - CUSRMGR, одно неудобство - она не является штатной, т.е. ее либо придется копировать на станции (к примеру, через те же политики), либо размещать на сетевом ресурсе. Во-вторых, в сети хватает готовых вариантов, к примеру, вот слегка подредактированный вариант ЭТОГО скрипта:

Код:

On Error Resume Next

DomainName  = "DOM"
LocalGroup  = "ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ"
DomainGroup = "ДОМЕННЫЕ ПОЛЬЗОВАТЕЛИ"

Set ws = WScript.CreateObject ("WScript.Shell")
CompName = ws.ExpandEnvironmentStrings ("%COMPUTERNAME%")
Set adGrp = GetObject ("WinNT://" & CompName & "/" & LocalGroup & ",group")
adGrp.Add ("WinNT://" & DomainName & "/" & DomainGroup & ",group")

Цитата:

А как понять »

выглядит это одинаково для политик "Restricted Groups" и "File System":

- регистрируетесь на консоли контроллера;
- открываете редактор политики, находите параметр (к примеру, File System);
- в режиме добавления учетных записей включите отображение ТОЛЬКО встроенных (Builtin) учеток (пимпа типы объектов);
- дополнительно / поиск покажет список встроенных учетных записей
- политики будут отрабатывать только для тех встроенных учеток, которые имеются как на сервере, так и на станциях.

один момент - на 2003-м эта фича работает, насчет 2000-го не уверен

toro · Отправлено: **18:20, 08-05-2008** | #13

Цитата amel27:

на 2003-м эта фича работает, насчет 2000-го не уверен »

Проверю. За совет спасибо.

Скажите в чём может быть проблема при выполнении такого cmd:
net localgroup Пользователи "SEC\Пользователи домена" /add - успешно работает если запускаю локально на ПК (под админом), но если запихиваю его на сервер (Компьютеры->.....->сценарии входа) в GPO через AD то не срабатывает. Сервер под 2000.
echo Y|cacls...... - а вот это проходит в обоих случаях.

amel27 · Отправлено: **10:43, 10-05-2008** | #14

Цитата toro:

через AD то не срабатывает »

перенаправьте вывод в файл и смотрите результат:

Код:

net localgroup Пользователи "SEC\Пользователи домена" /add >C:\NET.LOG 2>&1