Групповая политика и делегирование, Win 2003

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Аватара пользователя
acidmind
Junior member
Сообщения: 17
Зарегистрирован: 12 авг 2008, 16:24
Откуда: г.Москва, компания СДК Гарант

Групповая политика и делегирование, Win 2003

Сообщение acidmind » 17 июн 2009, 17:21

Доброго времени!
Решил на днях немного наладить безопасность сети компании.. Дело в том, что сейчас у все сотрудники ИТ имеют полномочия Domain admin, а это не есть гуд.
Domain user им не подходит по 2-м критериям:
- на скрытые общие ресурсы компьютеров сети доступ по паролю
- им нужно переодически перекидывать пользователей в пределах 2-3 контейнеров

Я перетащив эти контейнеры в отдельную OU решил настроить делегирование..
В Group Policy Management начал раздавать права, но так и не нашёл галки для доступа к скрытым ресурсам...

Подскажите пожалуйста. Или направте на мануал с описанием присутствующих там объектов, ибо день прокопавшись не на что толковое наткнуться не получилось.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: Групповая политика и делегирование, Win 2003

Сообщение Stranger03 » 18 июн 2009, 10:04

"acidmind"
О каких скрытых ресурсах идет речь? C$? Вы в своем уме предоставляя пользователям абсолютно полный доступ к ресурсам?

Аватара пользователя
acidmind
Junior member
Сообщения: 17
Зарегистрирован: 12 авг 2008, 16:24
Откуда: г.Москва, компания СДК Гарант

Re: Групповая политика и делегирование, Win 2003

Сообщение acidmind » 18 июн 2009, 10:32

Да ресурсы C$, ADMIN$ и пр. Такой доступ нужен сотрудникам нескольких секторов отдела ИТ и всё.
Тут сейчас вообще весь отдел обладает правами Domain admin... Я хочу порезать им права, оставив админами 3-х OU, где находятся подконтрольные им юзеры.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: Групповая политика и делегирование, Win 2003

Сообщение Stranger03 » 18 июн 2009, 10:45

"acidmind"
Мой вам совет, не страдайте дурью, меняйте свою политику и обучайте ваших сотрудников. Предоставление прав доменных админов для всей сети чревато многими неприятностями.

Аватара пользователя
acidmind
Junior member
Сообщения: 17
Зарегистрирован: 12 авг 2008, 16:24
Откуда: г.Москва, компания СДК Гарант

Re: Групповая политика и делегирование, Win 2003

Сообщение acidmind » 18 июн 2009, 10:57

Согласен, чревато! Именно по этому и хочу урезать права, оставив 2-х домен админов..
С распределением прав на конкретные контейнеры, разобрался это элементарно делегированием делается, а вот со скрытыми ресурсами :kz:

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: Групповая политика и делегирование, Win 2003

Сообщение Stranger03 » 18 июн 2009, 11:09

acidmind писал(а):а вот со скрытыми ресурсами :kz:
Никак, они автоматом даются юзверам с правами домен админ, сервер админ и так далее.

Аватара пользователя
acidmind
Junior member
Сообщения: 17
Зарегистрирован: 12 авг 2008, 16:24
Откуда: г.Москва, компания СДК Гарант

Re: Групповая политика и делегирование, Win 2003

Сообщение acidmind » 18 июн 2009, 12:10

Решил проблему :yo:
Всех сотрудников засунул в Domain user, делегировал им управление над одним контейнером, где находятся подконтрольные им пользователи и компы. А для решения трабла со скрытыми ресурсами полез в групповую политику в пункт "Группы с ограниченным доступом", где добавил доменные учётки сотрудников ИТ в локальную группу Администраторы.

Спасибо за участие в проблеме!

ZAnuX
Junior member
Сообщения: 10
Зарегистрирован: 11 мар 2009, 15:31
Откуда: Нижнекамск

Re: Групповая политика и делегирование, Win 2003

Сообщение ZAnuX » 18 сен 2009, 21:40

Доброе время суток!
Помогите пожалуйста с решнием данной проблемы: хотелось бы ограничить IT-сотрудников своего отдела, а именно вывести их из группы "Администраторы домена", и оставить в группе "Пользователи домена", но с правами на установку софта, драйверов принтера и еще может некоторых функций на компьютерах пользователей, т.к. в их функции как раз таки не входит админство серваков, AD...
Как можно грамотно сделать делегирование прав на эти задачи? Где именно копать?
Заранее благодарен!

Аватара пользователя
acidmind
Junior member
Сообщения: 17
Зарегистрирован: 12 авг 2008, 16:24
Откуда: г.Москва, компания СДК Гарант

Re: Групповая политика и делегирование, Win 2003

Сообщение acidmind » 19 сен 2009, 00:26

Ну вот у меня почти такая беда и была (только ИТ-коллегам нужно было дать доступ на изменение прав/параметров/членства в группах подопечным для их секторов пользователям). Ограничиваешь права в домене до "Domain user" и делаешь их локальными админами.

Ответить

Вернуться в «Серверы - ПО, Windows система, приложения.»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 10 гостей