Локальные права
Модераторы: Trinity admin`s, Free-lance moderator`s
- TOPтыгин
- Advanced member
- Сообщения: 102
- Зарегистрирован: 21 янв 2004, 10:29
- Откуда: Барнаул
- Контактная информация:
Локальные права
Подскажи может кто знает ... можно ли пользователмя AD устанавливать какие ЛОКАЛЬНЫЕ права они должны иметь при входе на компьютеры сети ... т.е. проблема в том, что некоторые программы которые они используют тредуют наличия присудствия прав локального администратора на машине ... а по умолчанию для нового профиля они чуть-ли не гостевые :roll:
- ALEX_SE
- Advanced member
- Сообщения: 594
- Зарегистрирован: 17 апр 2003, 10:23
- Откуда: Saratov
- Контактная информация:
1. Да, возможность есть. В групповой политике. Почитайте в хелпе. Хинт - группы с ограниченным доступом.
2. Я мало знаю программ которые требуют таких прав... Зато знаю утилитки regmon и filemon которые позволяют видеть куда именно не получила доступ программа, а так же никто пока не отменял возможность аудита на NTFS. Все это легко исправить той же политикой, не давая администраторских прав=не приобретая себе лишнюю работу
2. Я мало знаю программ которые требуют таких прав... Зато знаю утилитки regmon и filemon которые позволяют видеть куда именно не получила доступ программа, а так же никто пока не отменял возможность аудита на NTFS. Все это легко исправить той же политикой, не давая администраторских прав=не приобретая себе лишнюю работу
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Зачем так сложно, зайдите на машину и включите пользователя в группу локальных админов, и все. Через GPO это не решается, вернее делается несколько кривовато с подключением другого шаблона.TOPтыгин писал(а):Попробую также оп пунктам
1. Полазил в политеке ... а по конкретнее раздел не помните ? А то как-то пока не вижу :shock:
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
- ALEX_SE
- Advanced member
- Сообщения: 594
- Зарегистрирован: 17 апр 2003, 10:23
- Откуда: Saratov
- Контактная информация:
Stranger03
Впрочем, справедливости ради, надо сказать про минусы - а именно. при использовании групп с ограниченным доступом (в административных шаблонах, как Вы уже говорили), данные группы на компе будут переустановлены. Иными словами, если для OU с именем "buh" дать права "power user" пользователю "user", но, до этого на компе "gl_buh" в данной группе был пользователь "glbuh" - он улетит оттуда. Что есть конечно не совсем нормально. Как исправить это - я не знаю. Не считая конечно использования разного рода скриптов в политиках OU или профилях конкретных пользователей. Ну и ессно выполнения операции ввода в группу руками
Политикой удобно когда - если в группе все равны, и есть кто-то (начальник например, или ответственный за СВТ в отделе) кто должен иметь другие права на ВСЕХ компах. Так же удобно для техподдержки, чтобы не давать им админских прав в домене как делают некоторые.
Впрочем, справедливости ради, надо сказать про минусы - а именно. при использовании групп с ограниченным доступом (в административных шаблонах, как Вы уже говорили), данные группы на компе будут переустановлены. Иными словами, если для OU с именем "buh" дать права "power user" пользователю "user", но, до этого на компе "gl_buh" в данной группе был пользователь "glbuh" - он улетит оттуда. Что есть конечно не совсем нормально. Как исправить это - я не знаю. Не считая конечно использования разного рода скриптов в политиках OU или профилях конкретных пользователей. Ну и ессно выполнения операции ввода в группу руками
Политикой удобно когда - если в группе все равны, и есть кто-то (начальник например, или ответственный за СВТ в отделе) кто должен иметь другие права на ВСЕХ компах. Так же удобно для техподдержки, чтобы не давать им админских прав в домене как делают некоторые.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 16 гостей