Есть домен под 2000. Хочу дать определённые права на некоторые каталоги на ПК пользователей. Смысл такой в группу ЛОКАЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ на всех комп. домена будет включаться группа (например) ДОМЕННЫХ ПОЛЬЗОВАТЕЛЕЙ. После чего на каталог C:\TANGO даются разрешения на чтение\запись группе ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ. Хотел сделать данную процедуру через GPO в AD, но вкладка КОМПЬЮТЕРЫ -> ..... -> Файловая система оперирует насколько я понял только доменными учётками\группами. Как тогда можно реализовать такую схему? Писать батник - добавить ДОМЕН.ЮЗЕР в ЛОКАЛ.ЮЗЕР, потом через cacls изменить ACL на каталог как-то громоздко.....

Писать батник - добавить ДОМЕН.ЮЗЕР в ЛОКАЛ.ЮЗЕР, потом через cacls изменить ACL на каталог как-то громоздко..... »почему громоздко?Net LocalGroup "ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ" /ADD "Domain\ДОМЕННЫЕ ПОЛЬЗОВАТЕЛИ"
Echo Y|CACLS "C:\TANGO" /E /T /G "ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ":C

Ну... не громоздко :) Спасибо.
Но хотелось бы знать - путь через батник единственно возможный?

хотелось бы знать - путь через батник единственно возможный? »
включить в группы можно попытаться через политику "Restricted Groups", хотя там свои особенности - все члены явно не указанные в списке будут удалены из группы... а насчет прав ИМХО через политики не выйдет - политики отрабатывают по SID, а они у каждого компьютера будут свои

Права на каталоги прекрассно настраивиются через груповые политики, у всех встроенных групп сиды одинаковые. Если встроенных мало, можно добавить любые доменные группы (глобальные, универсальные).

у всех встроенных групп сиды одинаковые »
не спорю, но на станции и сервере список встроенных групп различный

Если встроенных мало, можно добавить любые доменные группы »
но они не будут соответствовать локальным по SID (даже совпадая по имени) и на права локальных групп это не повлияет

Гм... у меня что-то не идёт батник:

net localgroup Пользователи "SHAH\Пользователи домена" /add -- здесь всё нормально

net localgroup Администраторы в "SHAH\Администраторы домена" /add ---- А ВОТ НА ЭТО РУГАЕТСЯ НА НЕПРАВИЛЬНЫЙ СИНТАКСИС. Ерунда какая-то - если оставить "SHAH\Администраторы" то ругается что нет такой группы (что правильно, т.е. с синтаксисом всё ОК). Но стоит дописать "..... домена" получаю неправильный синтаксис.

Но стоит дописать "..... домена" получаю неправильный синтаксис »
да-а... косяк однако, получается для длинных имен только через VBS:

NET.EXE /ADD command does not support names longer than 20 characters (http://support.microsoft.com/kb/324639)

amel27
1. Группы "администраторы", "пользователи" и "system" совпадают, чего обычно вполне хватает.
2. Я и имел в виду использование доменных групп вместо локальных. Т.е. не использование локальных груп компьютера как класса.

Спасибо. У меня тоже не идёт длинный путь в имени. Похоже придётся изучать VBS.
К сожалению надо использовать именно ЛОКАЛЬНЫЕ группы. Соответственно включать в них доменные.

А как понять Группы "администраторы", "пользователи" и "system" совпадают, чего обычно вполне хватает. »

Так и понимать, если в политике п описать что доступ должен быть Администраторы full, System full, а Пользователи read, то политика нормально применится на всех компьютерах без исключений.
А, еще "creater owner" и "все" совпадает.

toro
Похоже придётся изучать VBS »Изучать необязательно... Во-первых, в указанной статье предложена альтернативная CMD-команда - CUSRMGR, одно неудобство - она не является штатной, т.е. ее либо придется копировать на станции (к примеру, через те же политики), либо размещать на сетевом ресурсе. Во-вторых, в сети хватает готовых вариантов, к примеру, вот слегка подредактированный вариант ЭТОГО (http://support.microsoft.com/kb/555026) скрипта:On Error Resume Next

DomainName = "DOM"
LocalGroup = "ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ"
DomainGroup = "ДОМЕННЫЕ ПОЛЬЗОВАТЕЛИ"

Set ws = WScript.CreateObject ("WScript.Shell")
CompName = ws.ExpandEnvironmentStrings ("%COMPUTERNAME%")
Set adGrp = GetObject ("WinNT://" & CompName & "/" & LocalGroup & ",group")
adGrp.Add ("WinNT://" & DomainName & "/" & DomainGroup & ",group")

А как понять »
выглядит это одинаково для политик "Restricted Groups" и "File System":

- регистрируетесь на консоли контроллера;
- открываете редактор политики, находите параметр (к примеру, File System);
- в режиме добавления учетных записей включите отображение ТОЛЬКО встроенных (Builtin) учеток (пимпа типы объектов);
- дополнительно / поиск покажет список встроенных учетных записей
- политики будут отрабатывать только для тех встроенных учеток, которые имеются как на сервере, так и на станциях.

один момент - на 2003-м эта фича работает, насчет 2000-го не уверен

на 2003-м эта фича работает, насчет 2000-го не уверен » Проверю. За совет спасибо.

Скажите в чём может быть проблема при выполнении такого cmd:
net localgroup Пользователи "SEC\Пользователи домена" /add - успешно работает если запускаю локально на ПК (под админом), но если запихиваю его на сервер (Компьютеры->.....->сценарии входа) в GPO через AD то не срабатывает. Сервер под 2000.
echo Y|cacls...... - а вот это проходит в обоих случаях.

через AD то не срабатывает »
перенаправьте вывод в файл и смотрите результат:net localgroup Пользователи "SEC\Пользователи домена" /add >C:\NET.LOG 2>&1