[Yustus]

Сделать группу.
Группу сделать членом локальной админской группы на компах.
Все.

[XXXandr]

Хочется еще уточнить одну деталь. Нельзя ли эту процедуру (Группу сделать членом локальной админской группы на компах) как-то автоматизировать централизованно? Ну чтобы не приходилось каждый раз руками добавлять

[Petya V4sechkin]

XXXandr, либо в Restricted Groups (Группы с ограниченным доступом), либо в логон-скрипте:

Код:

Net LocalGroup Администраторы "YOURDOMAIN\LocalAdmins" /Add
Net LocalGroup Administrators "YOURDOMAIN\LocalAdmins" /Add

YOURDOMAIN - ваш домен, LocalAdmins - созданная группа.
Логон-скрипт - это в политиках -> Конфигурация компьютера -> Конфигурация Windows -> Сценарии.

[sacredboy]

Цитата XXXandr:

Как пользователям принадлежащим одному OU (назовем это подразделение "Admin") разрешить установку любого софта с админскими првами (например пришел пользователь, воткнул флеху и установил то что ему надо). А также разрешить этому подразделению производить любые манипуляции с драйверами оборудования. Можно было пользователей тупо включить в группу "администраторы домена", но при этом назначается много "лишних прав". »

Если я не ошибаюсь это называется "делегирование прав"

[Petya V4sechkin]

Цитата sacredboy:

Если я не ошибаюсь это называется "делегирование прав"

"Делегирование прав" относится к администрированию AD, а здесь речь идет о локальных правах, не более того.

[sacredboy]

Прочитал внимательнее. Верно, чуток не туда копнул.

[XXXandr]

Запрещение записи на флешки через групповую политику так будет выглидить?
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "WriteProtect"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 0 DEFAULT
NAME !!Enabled VALUE NUMERIC 1
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "System\CurrentControlSet\Control\StorageDevicePolicies"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
labeltextusb="Disable USB Ports"
Enabled="Enabled"
Disabled="Disabled"

Или где-то я ошибся?
Заранее спасибо за помощь.

[Dirk Diggler]

Цитата XXXandr:

Хочется еще уточнить одну деталь. Нельзя ли эту процедуру (Группу сделать членом локальной админской группы на компах) как-то автоматизировать централизованно? Ну чтобы не приходилось каждый раз руками добавлять »

Разумеется можно, с помощью групповой политики. Почитайте механизм "restricted groups" или "ограниченного членства в группах".
Но если не в теоретическом смысле, а в практике, то предложенные вам решения не очень хороши.
Лучше а) с пом. тех же ГП наделить нужную группу на нужных компах привилегией "Загрузка и выгрузка драйверов устройств",
б) вслучае необходимости установки - рекомендую создать специального "коня"(на любом языке программирования), которому можно будет подсовывать установочные файлы, а он их - запускать от имени локального админа. или пользоваться пакетом от MS для запуска программ с проблемами совместимости.

[XXXandr]

Понятно.
Тут еще пара вопросов:
1)После подключения рабочей станции к домену пропадает закладка "время интернета" в настройках времени-это так сделать чтобы она появилась.
2)Обязательно ли настраивать NTP сервер (через групповую политику), или синхронизация времени с контролером домена будет и так идти?Если надо настраивать,тот как прописывается домен Organithation.local или просто Organithation?
3)Включение шифрования трафика сильно ли ведет к потере производительности сети?
4)В свойствах DHCP сервера-закладка "сервер-параметры". За что отвечают пункты 004 "Сервер времени" и т.д.?
Заранее спасибо