Сейчас изучаю Active Directory. И у меня не получается две вещи.
Как пользователям принадлежащим одному OU (назовем это подразделение "Admin") разрешить установку любого софта с админскими првами (например пришел пользователь, воткнул флеху и установил то что ему надо). А также разрешить этому подразделению производить любые манипуляции с драйверами оборудования. Можно было пользователей тупо включить в группу "администраторы домена", но при этом назначается много "лишних прав".

PS Пользователь принадлежит группе "пользователи домена" и находится в OU "Admin", со своей групповой политикой. Профиль пользователя "переносной".
сервер: ОС Windows 2003 SP2 R2 Standart
рабочее место: Windows XP SP2 PRO
Все это установленно на виртуальной машине VMware 5.5.3

Заранее благодарен за любую консультацию.

Сделать группу.
Группу сделать членом локальной админской группы на компах.
Все.

Хочется еще уточнить одну деталь. Нельзя ли эту процедуру (Группу сделать членом локальной админской группы на компах) как-то автоматизировать централизованно? Ну чтобы не приходилось каждый раз руками добавлять:)

XXXandr, либо в Restricted Groups (http://technet2.microsoft.com/WindowsServer/en/library/2715d832-fe71-47f7-86fd-412f013a40cd1033.mspx?mfr=true) (Группы с ограниченным доступом (http://technet2.microsoft.com/WindowsServer/ru/Library/2715d832-fe71-47f7-86fd-412f013a40cd1049.mspx?mfr=true)), либо в логон-скрипте:
Net LocalGroup Администраторы "YOURDOMAIN\LocalAdmins" /Add
Net LocalGroup Administrators "YOURDOMAIN\LocalAdmins" /AddYOURDOMAIN - ваш домен, LocalAdmins - созданная группа.
Логон-скрипт - это в политиках -> Конфигурация компьютера -> Конфигурация Windows -> Сценарии.

Как пользователям принадлежащим одному OU (назовем это подразделение "Admin") разрешить установку любого софта с админскими првами (например пришел пользователь, воткнул флеху и установил то что ему надо). А также разрешить этому подразделению производить любые манипуляции с драйверами оборудования. Можно было пользователей тупо включить в группу "администраторы домена", но при этом назначается много "лишних прав". »
Если я не ошибаюсь это называется "делегирование прав"

Если я не ошибаюсь это называется "делегирование прав"
"Делегирование прав" относится к администрированию AD, а здесь речь идет о локальных правах, не более того.

Прочитал внимательнее. Верно, чуток не туда копнул.

Запрещение записи на флешки через групповую политику так будет выглидить?
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "WriteProtect"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 0 DEFAULT
NAME !!Enabled VALUE NUMERIC 1
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "System\CurrentControlSet\Control\StorageDevicePolicies"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
labeltextusb="Disable USB Ports"
Enabled="Enabled"
Disabled="Disabled"

Или где-то я ошибся?
Заранее спасибо за помощь.

Хочется еще уточнить одну деталь. Нельзя ли эту процедуру (Группу сделать членом локальной админской группы на компах) как-то автоматизировать централизованно? Ну чтобы не приходилось каждый раз руками добавлять »

Разумеется можно, с помощью групповой политики. Почитайте механизм "restricted groups" или "ограниченного членства в группах".
Но если не в теоретическом смысле, а в практике, то предложенные вам решения не очень хороши.
Лучше а) с пом. тех же ГП наделить нужную группу на нужных компах привилегией "Загрузка и выгрузка драйверов устройств",
б) вслучае необходимости установки - рекомендую создать специального "коня"(на любом языке программирования), которому можно будет подсовывать установочные файлы, а он их - запускать от имени локального админа. или пользоваться пакетом от MS для запуска программ с проблемами совместимости.

Понятно.
Тут еще пара вопросов:
1)После подключения рабочей станции к домену пропадает закладка "время интернета" в настройках времени-это так сделать чтобы она появилась.
2)Обязательно ли настраивать NTP сервер (через групповую политику), или синхронизация времени с контролером домена будет и так идти?Если надо настраивать,тот как прописывается домен Organithation.local или просто Organithation?
3)Включение шифрования трафика сильно ли ведет к потере производительности сети?
4)В свойствах DHCP сервера-закладка "сервер-параметры". За что отвечают пункты 004 "Сервер времени" и т.д.?
Заранее спасибо:)

К вопросу 2 присоединяюсь - почему майкрософт рекомендует в приват доменах использовать .local?

пропадает закладка "время интернета" »
Потому что машина в домене по умолчанию синхронизирует время с DC.
Обязательно ли настраивать NTP сервер »
Желательно настроить DC на синхронизацию с NTP-сервером в Инете.
Настройка основного сервера времени в Windows Server 2003 (http://support.microsoft.com/default.aspx?scid=kb;ru;816042)
3. Если имеете в виду IPSec, то на сети это не отразится, а нагрузку на сервер и клиент (если шифрование двустороннее) - на 20-30%
4. Как называется, за то и отвечает. Просто машины будут получать параметры ДО логина пользователя, при получении IP-адреса.

sacredboy,
Чтобы не было потом путаницы с DNS при использовании .com, .ru и т.п.

Чтобы не было потом путаницы с DNS при использовании .com, .ru и т.п. »
Если честно не понял какая путаница может произойти. :dont-know

sacredboy,
Вы набираете в поисковике company.ru и попадаете - на внутренний сайт (если он есть, конечно) или на внешний? Такие вопросы частенько на этом, да и других форумах встречаются. Дополнительные сложности с ручной настройкой DNS.

DNS правильно ли настроен?
Вот парочка команд:

Команда IPCONFIG /ALL

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . : organithation.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : organithation.local

Подключение к инету - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VIA VT6105 Rhine III Compatible Fast Ethe
rnet совместимый адаптер
Физический адрес. . . . . . . . . : 00-1B-11-C4-29-CE
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.101
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.254
DNS-серверы . . . . . . . . . . . : 194.84.94.150
194.84.94.149

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8168/8111 PCI-E Gigabit Ethern
et NIC
Физический адрес. . . . . . . . . : 00-1D-92-46-94-7F
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

C:\Documents and Settings\Администратор>


Команда ROUTE /PRINT

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1b 11 c4 29 ce ...... VIA VT6105 Rhine III Compatible Fast Ethernet ёю
тьхёЄшьvщ рфряЄхЁ - UserGate NAT Kernel Mode Service Miniport
0x3 ...00 1d 92 46 94 7f ...... Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC
- UserGate NAT Kernel Mode Service Miniport
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.101 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.101 192.168.0.101 30
192.168.0.101 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.0.255 255.255.255.255 192.168.0.101 192.168.0.101 30
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 10
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 10
224.0.0.0 240.0.0.0 192.168.0.101 192.168.0.101 30
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 10
255.255.255.255 255.255.255.255 192.168.0.101 192.168.0.101 1
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
Основной шлюз: 192.168.0.254
===========================================================================
Постоянные маршруты:
Отсутствует

C:\Documents and Settings\Администратор>


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Команда NSloopkup

DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
Default Server: UnKnown
Address: 192.168.1.1

>
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Обратной зоны нет.
В прямой зоне две области:
1) _msdcs.organithation.local
сервер имен NS server.organithation.local 192.168.1.1
псевдоним CNAME server.organithation.local 192.168.1.1
Начальная запись SOA 12 server.organithation.local.
2)organithation.local
узел А server 192.168.1.1
узел А как папка верхнего уровня 192.168.1.1
псевдоним CNAME server.organithation.local 192.168.1.1
Начальная запись SOA 20 server.organithation.local.

DNS правильно ли настроен? »
Предпочтительнее на внешней карте DNS оставить только шлюз, на внутренней указать внутренний DNS, а на том, в свою очередь, настроить пересылку неразрешенных запросов (forwarding) на DNS провайдера, тем самым сократите трафик с провайдером.

Вопрос следующего характера.
Настроил домен, вроде все работает (и переносные профиля и сохраняются перенаправленные папки и интернет транслируется (с помощью программы UG)). Только один косяк - если начать копирование на сервер большое количество данных начинаются дикие тормоза (долго работают или реагирую приложения локально и особенно те которые ссылаются на сервер). С чем это может быть связано? Неправильная настройка или что-то еще. Сервер исполняет следующие функции: файл сервер, принт сервер, DHCP сервер, DNS сервер, AD, сервер приложений. Между головным свичом скорость пока 100Мбит/сек, планирую заменить на гигабитку.

Мониторьте загрузку сети на сервере. Хардовая система какая?

Монитор сети на сервере показывает не полную загрузку (от0 до 50 или 70). Что странно на клиентском месте(откуда идет загрузка файлов) в мониторе сети загрузка то идет нормально, то падает до 0 на пару секунд, потом опять передает данные. Я думаю может идет какая-то проверка у сервера на "зарегистрирован ли клиент или нет"? И поэтому образуются такие паузы.
Винт пока один, но вот вот поставлю рэйд (зеркало). Винт используется обычный (SATA2 250Gb 16Mb). Системник пока обычный (двух ядерка(AMD), 2 гига памяти). Но скоро привезут настоящий сервер.

И чего Вы хотите от такого винчестера? И сетевуху надо нормальную ставить, гигабитную.