GPO. Группы с ограниченным доступом.

HLT · Отправлено: **09:58, 26-12-2007** | #2

Таких машин много?
Если немного - то на всех политику, на эти машины - исключение применения политики, и локальных админов руками прописывать.
Если на каждой из 200-500 машин человек, работающий за этим компом, должен быть локальным администратором - ПРОЩЕ ПОВЕСИТЬСЯ

fat_cat · Отправлено: **10:12, 26-12-2007** | #3

Всего машин тысячи полторы. Из них на 200 - 300 нужны будут локальные админы, притом на каждой - свой.
НУ в общем. Как я понимаю. неисполнимо оно?

HLT · Отправлено: **10:34, 26-12-2007** | #4

Исполнимо. Только придется немного позаниматься киберсексом

Делаем отдельную группу, в неё все компы, на которых нужны локальные админы
Делаем для всех политику с restricted groups, на неё запрет применения для созданной выше группы

И запускаем со станции администратора небольшой батничек (время - текущее +5мин):

Код:

at \\comp1 12:00 net localgroup administrators domain\ivanov /add
at \\comp3 12:00 net localgroup administrators domain\petrov /add
at \\comp7 12:00 net localgroup administrators domain\sidorov /add

Понятно, что заранее надо выяснить кто на каких машинах будет админом и подготовить батник.
Ну или руками

fat_cat · Отправлено: **10:47, 26-12-2007** | #5

Ага.. Покатит. Так хотелось избежать добавления руками админов, но видать, нереально оно. 8-)

Спасибо большое.

HLT · Отправлено: **11:01, 26-12-2007** | #6

Цитата fat_cat:

избежать добавления руками админов, но видать, нереально оно »

restricted groups всем,
локальных админов этой же политикой переименовать, например, в localadmin,
в логон скрипт компьютера поставить команду net user localadmin password Parol_@dmina

И нужных юзеров научить запускать админские вещи через runas

Для обычной работы с повышенными привилегиями достаточно членства в Power Users.
Поэтому сделать отдельную политику, которая засунет группу Domain Users в локальную Power Users - и применить её только на нужные компы.
Геморроя значительно меньше

Dimas_83 · Отправлено: **21:44, 26-12-2007** | #7

Может я что-то не понимаю, а что мешает сделать политику "Группы с ограниченным доступом", вписать туда юзеров из АД, кого надо сделать админами и применить к Юниту "Локальные админы"
СОбственно, как только АлехаАдм входит, на него дейтсвует эта политика, которая делает его админом на любом из компов.
Примерно таким образом можно сделать две политики для АлехаАдм и Саша Адм, которая одного делает Локальным админом на одном компе, а другого на другом...

HLT · Отправлено: **13:57, 27-12-2007** | #8

Цитата Dimas_83:

сделать политику "Группы с ограниченным доступом", »

Цитата Dimas_83:

которая делает его админом на любом из компов »

В том то и дело, что автору вопроса надо сделать не на любом из компов - а на некоторых, и причем каждом компе разных людей

Давайте все-таки читать всю тему, а не 1.5 последних поста!

Dimas_83 · Отправлено: **00:41, 28-12-2007** | #9

"Группы с ограниченным доступом" применяются для компьютеров. Вообще не вижу проблемы создания двух политик для двух админов с применением на конкретные компы!!!!!

HLT · Отправлено: **11:22, 28-12-2007** | #10

Цитата Dimas_83:

Вообще не вижу проблемы создания двух политик для двух админов с применением на конкретные компы!!!!! »

Цитата fat_cat:

Из них на 200 - 300 нужны будут локальные админы »

Цитата HLT:

Давайте все-таки читать всю тему, а не 1.5 последних поста! »

Вставить что-ли эту фразу в подись )