PDA

Показать полную графическую версию : Права доступа !


Kobzar
13-02-2009, 14:02
Уважаемые коллеги !
Наведите меня на путь истинный ибо вера моя иссякла а бубен уже не тот:

Есть достаточно необычная структура:

предприятие с кучей филиалов. Все в одном домене !
Во главе всего стоит группа админов с правами "администратора домена" соответственно !
На каждом филиале - есть свой системный администратор, который должен выполнять ряд задач.
Собственно суть :

Необходимо решить следующий ребус:

Админ на регионе имеет роль "пользователь домена" и при это должен иметь возможность:
1. Открывать папки на общий доступ
2. Добавлять и управлять принтерами
3. Иметь возможность заходить на сетевые ресурсы по $ (системные шары)
4. Ну и остальные мелочи "!

В сети около 1000 машин - поэтому что либо прописывать локально - убийство !
Нужно смотреть в сторону политик !!!

Тем кто отпишет смотреть в сторону Диллегирования управления - огромное спасибо !
Без конкретных предложений и примеров можете оставить мысли при себе !

Заранее спасибо всем кто потратит свое время и укажет путь истинный !!!

artem_
13-02-2009, 14:41
Короче вам нужно сделать чувака локальным оадмином а не админом домена.
Создаете группу например Fillial Admins загоняете ее через групповые политики в Restricted Group. Ну и поределяете область действия политики. Все.

http://technet.microsoft.com/ru-ru/library/cc785631.aspx

Kobzar
13-02-2009, 15:03
это уже выполненно !
Но будучи даже локальным администратором на машине , он не может открыть папку на доступ общий и еще много чего !

Delirium
16-02-2009, 02:03
Но будучи даже локальным администратором на машине , он не может открыть папку на доступ общий и еще много чего ! »
Да не может этого быть. Я локальный админ на машине - следовательно я имею полные права, если только право на открытие шары не прикрыто групповой политикой(что вряд ли).
artem_ предложил удачный вариант, но его можно еще дополнить:
создать контейнеры в AD и в них затолкать компьютеры по отделам. На эти контейнеры создать свои групповые политики, в частности, вбить в нужные отделы в админы нужных пользователей. После применения политики и входа/выхода в систему пользователь станет админом только на указанных в контейнере AD машинах. Соответственно, он будет иметь право на указанные вами возможности.




© OSzone.net 2001-2012