Здравствуйте!
Контроллер домена на Вин 2003 сервер, клиенты на Вин 2000 и ХР. На клиентах некоторые программы требуют администраторские права (вопрос не про них). Если зайти под доменной учетной записью с правами Администратор домена, то пользователь может устанавливать программы, указанные выше программы работают. Но давать всем такие права опасно. Если даю доменному пользователю права Пользователь домена, то ничего пользователь не может установить, указанные программы не запускаются, в ХР слетает настройка рабочего стола на классическую тему.
Вопрос: можно ли под доменной учетной записью дать пользователю права локального администратора и Пользователя домена? Если есть информация или ссылки, поделитесь пожалуйста.

Спасибо

можно под доменной учетной записью дать пользователю права локального администратора »
можно под доменной учетной записью дать пользователю права опытного пользователя »

Здравствуйте!

На компьютерах пользователей установленна программа которая сама проверяет и устанавливает свои обновления, при попытке установить их выходит сообщение о том что программа не может быть установлена, не хватает прав пользователя, установка должна проводится администратором. Пакеты обновлений выкладываются на сервере в другом городе, формат *.setup.
Как при помощи GPO разрешить установку обновленний с правами администратора, для учетной записи пользователя?

Спасибо!

exo, дать пользователю права локального администратора »
Как это сделать?

Спасибо

Как это сделать? »
добавить доменного пользователя в группу локальных администраторов.

exo,
Спасибо. А если пользователей много. Например средняя школа. У каждого ученика своя доменная учетка. Всех их прописывать? Или можно включить их в группу, а уже группу прописать в группе локальных администраторов.

включить их в группу »
а уже группу прописать в группе локальных администраторов »

только учеников бы я лок админами не делал. И опытных пользователей достаточно.

только учеников бы я лок админами не делал. И опытных пользователей достаточно »

Есть эл.учебники, для работы требуют только администраторские права. Мониторил реестр, но так и не нашел ветки, куда они стучатся. Обезопасил себя настройками реестра и лок. политик.

Спасибо за пояснение.

YDen,
Restricted Groups (http://www.google.ru/search?hl=ru&q=Restricted+Groups&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=lang_ru&aq=f&oq=)

разрешения NTFS на каталоги с этими электронными учебниками на рабочих станциях выставь "Пользователи домена" - "Полный доступ" и скорее всего после этого любой пользователь домена сможет работать с ними без проблем.

Restricted Groups - перезаписывает полностью весь состав группы локальных админов. Если тебе надо просто добавить пользуйся лучше скриптом для этого можешь создать группу либо вписать каждого пользователя отдельно. Скрипт можно сделать с помощью батника выглядит примерно так:

NET LOCALGROUP Администраторы "User@domain" /ADD

А еще лучше с помощью AutoIT. Тогда не зависишь от залогиненого на данный момент пользователя (хотя это можно сделать и с батником но тогда светится пароль админа). Код выглядит примерно так:


; Установка параметров "Запуск от имени..."
RunAsSet("Admin","Domain","Pass")
$CMD1 = @ComSpec & " /c " & 'NET LOCALGROUP Администраторы "user@domain" /ADD'
$CMD2 = @ComSpec & " /c " & 'NET LOCALGROUP Администраторы Domain\User /ADD'
$PID = Run($CMD1, "", @SW_HIDE)
$PID = Run($CMD2, "", @SW_HIDE)
; Сброс параметров "Запуск от имени..."

Зайди на машине как администратор домена.
Чтобы дать доменным пользователям права локального администратора необходимо:
Правой кнопкой на мой компьютер -> управление -> локальные пользователи и группы -> группы
И там добавить того пользователя который вам нужен в группу администраторы. Скрины прикрепляю.

Спасибо всем.

Зайди на машине как администратор домена. »
а можно ещё быть простым пользователем и использовать run as, чтобы запустить управление компьютером с правами администратора.
ну и GPO никто не отменял

а можно ещё быть простым пользователем и использовать run as, чтобы запустить управление компьютером с правами администратора.
ну и GPO никто не отменял »

Согласен. Я просто объяснил самый простой способ! ;)