Локальные права

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Локальные права

Сообщение TOPтыгин » 30 окт 2004, 14:58

Подскажи может кто знает ... можно ли пользователмя AD устанавливать какие ЛОКАЛЬНЫЕ права они должны иметь при входе на компьютеры сети ... т.е. проблема в том, что некоторые программы которые они используют тредуют наличия присудствия прав локального администратора на машине ... а по умолчанию для нового профиля они чуть-ли не гостевые  :roll:

Аватара пользователя
ALEX_SE
Advanced member
Сообщения: 594
Зарегистрирован: 17 апр 2003, 10:23
Откуда: Saratov
Контактная информация:

Сообщение ALEX_SE » 30 окт 2004, 19:35

1. Да, возможность есть. В групповой политике. Почитайте в хелпе. Хинт - группы с ограниченным доступом.
2. Я мало знаю программ которые требуют таких прав... Зато знаю утилитки regmon и filemon которые позволяют видеть куда именно не получила доступ программа, а так же никто пока не отменял возможность аудита на NTFS. Все это легко исправить той же политикой, не давая администраторских прав=не приобретая себе лишнюю работу :)

Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Сообщение TOPтыгин » 31 окт 2004, 17:29

Попробую также оп пунктам ;)

1. Полазил в политеке ... а по конкретнее раздел не помните ? ;) А то как-то пока не вижу  :shock:

2. Программы там ... вобчем без ненормативной лексики никак ... и на 60 компазх разрешать какие-либо части реестра и т.п мне лень ... или это тоже можно проставить в GPO ?  8)

Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Сообщение TOPтыгин » 31 окт 2004, 17:30

Дико звиняюсь за флуд ... но что-то как-то через можем отвык наверное ;)  :oops:  :oops:
Последний раз редактировалось TOPтыгин 31 окт 2004, 17:40, всего редактировалось 1 раз.

Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Сообщение TOPтыгин » 31 окт 2004, 17:31

:oops:
Последний раз редактировалось TOPтыгин 31 окт 2004, 17:42, всего редактировалось 1 раз.

Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Сообщение TOPтыгин » 31 окт 2004, 17:33

Попробую также оп пунктам ;)

1. Полазил в политеке ... а по конкретнее раздел не помните ? ;) А то как-то пока не вижу  :shock:

2. Программы там ... вобчем без ненормативной лексики никак ... и на 60 компазх разрешать какие-либо части реестра и т.п мне лень ... или это тоже можно проставить в GPO ?  8)

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 02 ноя 2004, 13:30

TOPтыгин писал(а):Попробую также оп пунктам ;)

1. Полазил в политеке ... а по конкретнее раздел не помните ? ;) А то как-то пока не вижу  :shock:
Зачем так сложно, зайдите на машину и включите пользователя в группу локальных админов, и все. Через GPO это не решается, вернее делается несколько кривовато с подключением другого шаблона.

Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Сообщение TOPтыгин » 02 ноя 2004, 13:51

Так и было сделано ;) ... спасибо ...

Аватара пользователя
ALEX_SE
Advanced member
Сообщения: 594
Зарегистрирован: 17 апр 2003, 10:23
Откуда: Saratov
Контактная информация:

Сообщение ALEX_SE » 03 ноя 2004, 08:27

Stranger03
Вариант конечно рабочий, но если машин несколько сотен? :)
И почему это не решается через GPO? Я же говорил - добавляется новая группа с ограниченным доступом, туда вводятся юзеры, и они имеют нужные права при входе на любой компьютер, а не только на тот, куда прописали..

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 03 ноя 2004, 17:49

ALEX_SE писал(а):Вариант конечно рабочий, но если машин несколько сотен? :)
Да, не подумал, можно и так...

Аватара пользователя
ALEX_SE
Advanced member
Сообщения: 594
Зарегистрирован: 17 апр 2003, 10:23
Откуда: Saratov
Контактная информация:

Сообщение ALEX_SE » 03 ноя 2004, 19:09

Stranger03
Впрочем, справедливости ради, надо сказать про минусы - а именно. при использовании групп с ограниченным доступом (в административных шаблонах, как Вы уже говорили), данные группы на компе будут переустановлены. Иными словами, если для OU с именем "buh" дать права "power user" пользователю "user", но, до этого на компе "gl_buh" в данной группе был пользователь "glbuh" - он улетит оттуда. Что есть конечно не совсем нормально. Как исправить это - я не знаю. Не считая конечно использования разного рода скриптов в политиках OU или профилях конкретных пользователей. Ну и ессно выполнения операции ввода в группу руками :)

Политикой удобно когда - если в группе все равны, и есть кто-то (начальник например, или ответственный за СВТ в отделе) кто должен иметь другие права на ВСЕХ компах. Так же удобно для техподдержки, чтобы не давать им админских прав в домене как делают некоторые.

Ответить

Вернуться в «Серверы - ПО, Windows система, приложения.»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 8 гостей