[ABiDeX]

Если компьютеров не много то можно под клиентом зайти в настройки пользователей и добавить пользователя домена в группу администратор, тогда он будет как админ на своей машине но в домене как пользователь... только это надо делать с локального админа...

[Denis Dyagilev]

Имея доменную структуру, делегировать права локального администратора ради смены времени?

[pavel_4523]

Тоже самое не большая конторка, в принципе дал всем права ADM DC, но знаю что не правильно.
В принципе организация не чем не ограничивает, так максимум просмотр десктопа и трафика,
сотрудников не много, задания выдаются лично, так что смысла особого не вижу если пользователи сами программки,
будут ставить... типа менеджеров сотовых или чтото подобного, ну соответственно интруктаж должен быть чтоб
из достоверных источников только ставили

[ugara]

всем пользвателям дать права DomainAdmin? смело

[Onmike5]

Вобщем не знаю точно как в 2008, но в 2003 это делалось так:
в Групповой политике домена - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Группы с ограниченным доступом.
В првом окне правой клавишей мыши - Добавить группу... (выбрать группу домена, которой надо дать права локальных админов) - правой клавишей по группе - Свойства - добавить "Администраторы" в нижнем окошке (" Эта группа является членом в:" )

И все члены этой группа будут администраторами на всех компьютерах домена, но не администраторами домена!

[McRae.]

ИЗвращенство какое то! ПОлитиками никак не судьба подстроить? Зачем тогда AD вообще?

[Kiber]

Цитата alanq:

Всем доброго времени суток. Подскажите пожалуйста, как и где можно изменить права пользователей созданных в AD? Имеется в виду что бы эти пользователи могли менять и время, и устанавливать программы и т.п, Но не сильно охота включать их в группу Администраторы домена. Заранее огромное спасибо. »

Выработай политику. Например:
1. Политика паролей локальных учетных записей.
А. Пароль локального администратора на компьютере пользователей.
Б. Пароль локального администратора на компьютере админов.
В. Пароль локального администратора на серверах.
Итак, имеем 3 пароля локальных администраторов, их знаешь только ты, и никому никогда не скажешь, кроме других админов.
Всех остальных локальных юзверов кроме дефалтных Администратор/Administrator отключаешь нафиг.
2. Политика рабочих мест пользователей.
А. Пользователь может делать что угодно за своим компом под своей учеткой, но не может делать то-же на других компах под своей учеткой.
Б. Пользователь должен использовать блокировку рабочего стола, когда находится не за компьютером. (Все пользователи на это дружно забьют).

Далее убираешь администратора домена у тех пользователей, кому успел дать.
На каждой машине делаешь следующее:
1. Логинишься под собой.
2. Пуск - Выполнить - control userpasswords2
3. Добавить - вводишь данные пользователя и домена - Далее - Администратор - Готово.
4. Пускаешь пользователя под собой.

При желании, этот процесс можно автоматизировать скриптом.
А возможно, даже выполнить удаленно для каждого компьютера.

Вариант, описанный ниже:

Цитата Onmike5:

Вобщем не знаю точно как в 2008, но в 2003 это делалось так: в Групповой политике домена - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Группы с ограниченным доступом. В првом окне правой клавишей мыши - Добавить группу... (выбрать группу домена, которой надо дать права локальных админов) - правой клавишей по группе - Свойства - добавить "Администраторы" в нижнем окошке (" Эта группа является членом в:" ) И все члены этой группа будут администраторами на всех компьютерах домена, но не администраторами домена! »

плох тем, что пользователи будут админами на всех компьютерах. Это не есть гуд.

[exo]

а за чем лок админов давать? Опытные пользователи разве не имеют прав на смену времени? программы они точно смогут ставить.

Цитата Kiber:

плох тем, что пользователи будут админами на всех компьютерах. Это не есть гуд. »

это решается в свойствах учётки - вход в... и выбираем локальную машину + сервера.

[alanq]

спасибо за возможные варианты, в понедельник попробую сделать, потом отпишусь о результатах.