Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Разграничение прав а Active Directory

1 2 Следующая >
Ответить
Настройки темы
[решено] Разграничение прав а Active Directory

Новый участник


Сообщения: 12
Благодарности: 0

Профиль | Отправить PM | Цитировать

Добрый день.
Помогите мне пожалуйста с один вопросом.
Задача стоит такая:
1. Надо создать глобальную группу, н/р Application Admins включить ее в локальную группу Administrators (Builtin)
2. Включить пару пользователей в созданную группу, пользователи имеют права Domain Admins
3. Исключить данных пользователей из группы Domain Admins, при этом они не должны терять данные права и не должны прямо явно входить в группу Domain Admins, а должны входить в группу Domain Admins через свою группу Application Admins.

Как это реализовать?

Отправлено: 09:10, 12-07-2010

 
exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

так вы уже всё написали:
Создаёте группу Application Admins, её включаете в группы Domain Admins и Administrators.

-------
Вежливый клиент всегда прав!

Отправлено: 09:23, 12-07-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 12
Благодарности: 0

Профиль | Отправить PM | Цитировать

Дело в том, что группу Application Admins создаю, но не получается ее включить в Domain Admins, в локальную групп Administrators включаю, но при этом уч.записи которые входят в Application Admins имеют ограниченные права, а мне нужно чтобы у них были права администратора домена. (эти уч. не должны быть в списке пользователей входящих в группу Domain Admins)

Последний раз редактировалось monkkey, 12-07-2010 в 10:36.

Отправлено: 09:47, 12-07-2010 | #3


Ветеран


Сообщения: 4900
Благодарности: 496

Профиль | Сайт | Отправить PM | Цитировать

Цитата mirlan:
а мне нужно чтобы у них были права администратора домена »
А зачем такие выверты? Для того, чтобы были "скрытые" администраторы домена?

-------
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Отправлено: 10:40, 12-07-2010 | #4


Новый участник


Сообщения: 12
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вот такое вот задание у меня.
Можете подсказать так как все таки можно глобальную группу Application Admins включить в Domain Admins?
Может есть какие-то варианты?

Отправлено: 11:19, 12-07-2010 | #5

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

Цитата mirlan:
но не получается ее включить в Domain Admins, »
почему не получается ? Какая ошибка ?

-------
Вежливый клиент всегда прав!

Отправлено: 13:31, 12-07-2010 | #6


Ветеран


Сообщения: 4900
Благодарности: 496

Профиль | Сайт | Отправить PM | Цитировать

Цитата mirlan:
Можете подсказать так как все таки можно глобальную группу Application Admins включить в Domain Admins? »
Элементарно. Никаких препятствий нет.

-------
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Отправлено: 13:56, 12-07-2010 | #7

QRS QRS вне форума

Ветеран


Сообщения: 630
Благодарности: 111

Профиль | Отправить PM | Цитировать

Чтобы в одну глобальную группу можно было добавить другую глобальную группу, домен должен работать в режиме 2000-native или выше (2003 interim и 2000 mixed не подходит).

Заодно у Вас должны быть права для включения в группу Domain Admins.

Для включения указанной глобальной группы в локальную Built-in (на ПК домена) группу Администраторов можно использовать групповую политику, однако это не имеет смысла, т.к. эта группа уже будет входить в Domain Admins, которая автоматом добавляется в локальную группу Админов при включении ПК в домен... это может иметь смысл, если Вы хотите жестко контролировать вхождение в локальную группу (на случай, если местный админ попытался удалить ).

Отправлено: 20:25, 12-07-2010 | #8


Новый участник


Сообщения: 12
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата exo:
почему не получается ? Какая ошибка ? »
ошибок не выдает, просто у меня в свойствах Domain Admins при добавлении членов к ней не отображаются глобальные группы

Цитата monkkey:
Элементарно. Никаких препятствий нет. »
Вот могли бы вы мне подсказать как

Отправлено: 07:07, 13-07-2010 | #9


Ветеран


Сообщения: 4900
Благодарности: 496

Профиль | Сайт | Отправить PM | Цитировать

Изображения
Тип файла: jpg Group.JPG
(24.1 Kb, 17 просмотров)

Во-первых, проверьте, какие объекты должны добавляться

Во-вторых, проверьте журнал событий на предмет ошибок.

-------
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Отправлено: 10:51, 13-07-2010 | #10

1 2 Следующая >


Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Разграничение прав а Active Directory

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разграничение прав в AD Artem Nikitin Microsoft Windows NT/2000/2003 4 18-02-2009 06:14
как создать набор прав для не встроенной группы в Active Directory abbat_gro Microsoft Windows NT/2000/2003 8 31-07-2008 08:17
[решено] active directory, команда dsmod ... ошибка directory object not found big_foot Microsoft Windows NT/2000/2003 2 18-06-2008 17:48
Active Directory, поиск, юзеры, разграничение прав salamandra Сетевые технологии 6 25-09-2003 10:27


« Предыдущая тема | Следующая тема »


 
Переход