Групповая политика и делегирование, Win 2003
Модераторы: Trinity admin`s, Free-lance moderator`s
- acidmind
- Junior member
- Сообщения: 17
- Зарегистрирован: 12 авг 2008, 16:24
- Откуда: г.Москва, компания СДК Гарант
Групповая политика и делегирование, Win 2003
Доброго времени!
Решил на днях немного наладить безопасность сети компании.. Дело в том, что сейчас у все сотрудники ИТ имеют полномочия Domain admin, а это не есть гуд.
Domain user им не подходит по 2-м критериям:
- на скрытые общие ресурсы компьютеров сети доступ по паролю
- им нужно переодически перекидывать пользователей в пределах 2-3 контейнеров
Я перетащив эти контейнеры в отдельную OU решил настроить делегирование..
В Group Policy Management начал раздавать права, но так и не нашёл галки для доступа к скрытым ресурсам...
Подскажите пожалуйста. Или направте на мануал с описанием присутствующих там объектов, ибо день прокопавшись не на что толковое наткнуться не получилось.
Решил на днях немного наладить безопасность сети компании.. Дело в том, что сейчас у все сотрудники ИТ имеют полномочия Domain admin, а это не есть гуд.
Domain user им не подходит по 2-м критериям:
- на скрытые общие ресурсы компьютеров сети доступ по паролю
- им нужно переодически перекидывать пользователей в пределах 2-3 контейнеров
Я перетащив эти контейнеры в отдельную OU решил настроить делегирование..
В Group Policy Management начал раздавать права, но так и не нашёл галки для доступа к скрытым ресурсам...
Подскажите пожалуйста. Или направте на мануал с описанием присутствующих там объектов, ибо день прокопавшись не на что толковое наткнуться не получилось.
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Групповая политика и делегирование, Win 2003
"acidmind"
О каких скрытых ресурсах идет речь? C$? Вы в своем уме предоставляя пользователям абсолютно полный доступ к ресурсам?
О каких скрытых ресурсах идет речь? C$? Вы в своем уме предоставляя пользователям абсолютно полный доступ к ресурсам?
- acidmind
- Junior member
- Сообщения: 17
- Зарегистрирован: 12 авг 2008, 16:24
- Откуда: г.Москва, компания СДК Гарант
Re: Групповая политика и делегирование, Win 2003
Да ресурсы C$, ADMIN$ и пр. Такой доступ нужен сотрудникам нескольких секторов отдела ИТ и всё.
Тут сейчас вообще весь отдел обладает правами Domain admin... Я хочу порезать им права, оставив админами 3-х OU, где находятся подконтрольные им юзеры.
Тут сейчас вообще весь отдел обладает правами Domain admin... Я хочу порезать им права, оставив админами 3-х OU, где находятся подконтрольные им юзеры.
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Групповая политика и делегирование, Win 2003
"acidmind"
Мой вам совет, не страдайте дурью, меняйте свою политику и обучайте ваших сотрудников. Предоставление прав доменных админов для всей сети чревато многими неприятностями.
Мой вам совет, не страдайте дурью, меняйте свою политику и обучайте ваших сотрудников. Предоставление прав доменных админов для всей сети чревато многими неприятностями.
- acidmind
- Junior member
- Сообщения: 17
- Зарегистрирован: 12 авг 2008, 16:24
- Откуда: г.Москва, компания СДК Гарант
Re: Групповая политика и делегирование, Win 2003
Согласен, чревато! Именно по этому и хочу урезать права, оставив 2-х домен админов..
С распределением прав на конкретные контейнеры, разобрался это элементарно делегированием делается, а вот со скрытыми ресурсами
С распределением прав на конкретные контейнеры, разобрался это элементарно делегированием делается, а вот со скрытыми ресурсами
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Групповая политика и делегирование, Win 2003
Никак, они автоматом даются юзверам с правами домен админ, сервер админ и так далее.acidmind писал(а):а вот со скрытыми ресурсами
- acidmind
- Junior member
- Сообщения: 17
- Зарегистрирован: 12 авг 2008, 16:24
- Откуда: г.Москва, компания СДК Гарант
Re: Групповая политика и делегирование, Win 2003
Решил проблему
Всех сотрудников засунул в Domain user, делегировал им управление над одним контейнером, где находятся подконтрольные им пользователи и компы. А для решения трабла со скрытыми ресурсами полез в групповую политику в пункт "Группы с ограниченным доступом", где добавил доменные учётки сотрудников ИТ в локальную группу Администраторы.
Спасибо за участие в проблеме!
Всех сотрудников засунул в Domain user, делегировал им управление над одним контейнером, где находятся подконтрольные им пользователи и компы. А для решения трабла со скрытыми ресурсами полез в групповую политику в пункт "Группы с ограниченным доступом", где добавил доменные учётки сотрудников ИТ в локальную группу Администраторы.
Спасибо за участие в проблеме!
Re: Групповая политика и делегирование, Win 2003
Доброе время суток!
Помогите пожалуйста с решнием данной проблемы: хотелось бы ограничить IT-сотрудников своего отдела, а именно вывести их из группы "Администраторы домена", и оставить в группе "Пользователи домена", но с правами на установку софта, драйверов принтера и еще может некоторых функций на компьютерах пользователей, т.к. в их функции как раз таки не входит админство серваков, AD...
Как можно грамотно сделать делегирование прав на эти задачи? Где именно копать?
Заранее благодарен!
Помогите пожалуйста с решнием данной проблемы: хотелось бы ограничить IT-сотрудников своего отдела, а именно вывести их из группы "Администраторы домена", и оставить в группе "Пользователи домена", но с правами на установку софта, драйверов принтера и еще может некоторых функций на компьютерах пользователей, т.к. в их функции как раз таки не входит админство серваков, AD...
Как можно грамотно сделать делегирование прав на эти задачи? Где именно копать?
Заранее благодарен!
- acidmind
- Junior member
- Сообщения: 17
- Зарегистрирован: 12 авг 2008, 16:24
- Откуда: г.Москва, компания СДК Гарант
Re: Групповая политика и делегирование, Win 2003
Ну вот у меня почти такая беда и была (только ИТ-коллегам нужно было дать доступ на изменение прав/параметров/членства в группах подопечным для их секторов пользователям). Ограничиваешь права в домене до "Domain user" и делаешь их локальными админами.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 10 гостей