[maxandr]

Через restricted groups можно включить группу Domain Users в группу локальных администраторов.
Или скриптом добавить группу Domain Users в группу локальных администраторов.

[winder]

нет, получится что на каждый компьютер ВСЕ пользовали будут являться администраторами. Получается каждому юзеру со своей учётной записи будут доступны конфиденциальные данные с других компьютеров.
Может можно реализовать посредством скрипта? Например при условии загрузки, успешной авторизации доменного юзера на компе, его доменный аккаунт добавляется в группу локальных администраторов.

[SergP75]

Цитата winder:

получится что на каждый компьютер ВСЕ пользовали будут являться администраторами

Станное у вас задание. Если пользователь получит права посредством скрипта, то он все равно будет иметь доступ к чужим данным там, где авторизовался.

Для реализации вашей задачи можно в GPO пользователям на автозагрузку и выход положить соответствующие скрипты.
Посмотрите в Res. Kit утилиты: usrtogrp.exe, whoami.exe. Надо повозиться с перенаправлением и формированием текстового файла. Можно VBS скрипт, но сдесь я не помогу. Интернет поможет :-).

Удачи.
Сергей

[babki]

Попробуй сделать так

Цитата maxandr:

Через restricted groups можно включить группу Domain Users в группу локальных администраторов. Или скриптом добавить группу Domain Users в группу локальных администраторов. >>>

а у каждой учетной записи в настройках укажи на какой компьютер она (учетная запись) может входить. И права локальных администраторов я бы не давал пользователям - им это не зачем...

[winder]

как говорится, у админа 2 проблеммы: тупые юзеры, и умные.... но это так, оффтоп, товарисчи

В данный момент сделал, как советует уважаемый babki, это скорее заплатка а не системное решение. Объясню почему: на любом локальном компьютере хранятся данные учётных записей администраторов. При этих группах членами являются ВСЕ пользователи. Открываем допустим тотал(коммандер). Пункт показать ресурсы администратора(С$ например). Во всплывшее окошко вводим ЛЮБОЙ доменный акк с паролем. Получаем доступ на данные компьютера
Я не прав?

[BigDim]

Цитата winder:

Объясню почему: на любом локальном компьютере хранятся данные учётных записей администраторов. При этих группах членами являются ВСЕ пользователи. Открываем допустим тотал(коммандер). Пункт показать ресурсы администратора(С$ например). Во всплывшее окошко вводим ЛЮБОЙ доменный акк с паролем. Получаем доступ на данные компьютера Я не прав?

Ахинея какаято.....

[babki]

Цитата winder:

В данный момент сделал, как советует уважаемый babki, это скорее заплатка а не системное решение. >>>

СОгласен. Скриптами это сделать было бы куда практичнее и удобнее. А чтобы добить решение данной проблемы , во первых пользователь не должен знать паролей других доменных пользователей, это и естественно, тогда зачем они нужны? А во вторых чтобы по сети нельзя было попасть на удаленную машину в настройках групповой политики запрети доступ к компьютеру по сети группам "пользователи домена" и другим пользователям входящим в группу администраторов на удаленной машине. поэкспериментируй..

[winder]

на то они и пароли чтобы их незнать

babki , вопрос немного всторону: а можно ли разрешить работать с расшарами доменным учёткам, и рубить недоменных (раб.группа)?? например чтобы им всплывало окошко с просьбой ввести пароль хотя бы... Буду ОЧЧЕНЬ благодарен если скажите как реализовать подобное!

BigDim , доберусь на выходных до сервака, народа не будет... Поэкспериментирую и проверю.... Если я всё же прав, то отпишусь.

[babki]

Цитата winder:

а можно ли разрешить работать с расшарами доменным учёткам, и рубить недоменных (раб.группа)?? например чтобы им всплывало окошко с просьбой ввести пароль хотя бы... >>>

В пункт "запретить доступ к компьютеру по сети" добавь локального администратора и других пользователей, которым доступ по сети хочешь запретить... Но с запросом пароля уже сделать будет невозможно