Войти

Показать полную графическую версию : [решено] ДК : пользователь с ограниченными правами.


zubkoff.s
11-03-2010, 15:03
Добрый день, коллеги.
Ни для кого ни новость, что Майкрософт настоятельно рекомендует для повседневных задач, не требующих администраторских прав использовать учетную запись с ограниченными правами. А все операции выполнять через runas. Ну это все для домен-контроллера (ДК). Особенно, если приходится еще и через РДП с ним работать.
Ну вот я решил создать учетную запись с ограниченными правами. И тут же столкнулся с проблемами.
Учетная запись с правами Пользователь домена, и Оператор Сервера - с ней невозможно работать. При запуске программ - выскакивает ошибка, что недостаточно прав (аттач). Команды командной строки не работают (аттач2). Эту учетную запись убивал, и создавал такую же - тоже самое.
Создавал другую учетку с такими же правами - тоже самое.
В итоге - взял учетку Администратор - скопировал ее, назвал Администратор2. Все ОК. Только забираю у Администратор2 права Администраторы - все - тоже самое начинается.

Ребята, кто какие права дает для повседневной работы на ДК своей учетке? или как мне выйти из моей ситуации?
ЗЫ: Антивирусом (разными) прогонял - вирусов нет.

Ivan Bardeen
11-03-2010, 16:57
симантек антивирус попробуйте удалить

zubkoff.s
11-03-2010, 17:03
симантек антивирус попробуйте удалить »

Пробовал - не помогает! (

exo
11-03-2010, 17:12
повседневных задач, не требующих администраторских прав использовать учетную запись с ограниченными правами. »
вам достаточно учётки, которая входит в группы:
Domain Users
+
Power User на локальном компьютере.
Для больших прав группа локального администратора. Через GPO можно это автоматизировать.

по второму скрину, а CMD у вас от кого запущена? минимум лок админ.
Смотрите логи.

zubkoff.s
11-03-2010, 17:15
Power User на локальном компьютере »

Я напомню, вопрос касатеся домен-контролера. И тут нет Power Users.

Для больших прав группа локального администратора. Через GPO можно это автоматизировать. »

Для ПК пользователей уже так сделал.

по второму скрину, а CMD у вас от кого запущена? минимум лок админ »
cmd запущена от пользователя с правами - Пользователь домена, Оператор сервера. Локальных групп на ДК нет.

exo
12-03-2010, 09:03
cmd запущена от пользователя с правами »
А все операции выполнять через runas. »
а как же run as? запускаете смд от имени админа домена.

zubkoff.s
12-03-2010, 11:12
Так, по очереди!
Администратор2. Права: Пользователь домена, Оператор сервера.
Логинюсь, запускаю cmd - никакая из операций не выполняется. Тут же в cmd делаю runas... cmd (от Администратора) и все выполняется.

По мне, так хоть какие-то операции должны выполнятся под Администратор2. А выходит, что ничего не выполняется. То доступа нет, то ошибка. Смысл тогда запускаться под этой учеткой, и все операции все равно делать через run as?

exo
12-03-2010, 11:41
То доступа нет, то ошибка. »
ошибка в том что доступа нет. т.е. в данном случае одно и тоже.
Смысл тогда запускаться под этой учеткой, и все операции все равно делать через run as? »
вот вы зашли под учёткой, и какой-то вирь и ПО в автозагрузке пытается запустится... а прав то не хватает.

у меня был подобный опыт, с разделением прав.
Но на ДК по RDP я всегда заходил тока админом домена.
А на локальных компе работал под простым юзверем.

zubkoff.s
12-03-2010, 12:39
Т.е. выходит данное положение вещей вполне нормальное?
Такая же ошибка у всех на ДК при работе на учетке с такими правами?
Я конечно понимаю, что ограничения должны быть - но хотя бы ИЕ должен же запуститься???

ЗЫ: Вот доменный пользователь, с ограниченными правами на своей машине(!) входит в группу Users - у него есть право использовать тот же самый ping tracert ipconfig nslookup

exo
12-03-2010, 13:02
Такая же ошибка у всех на ДК при работе на учетке с такими правами? »
думаю, да. Другого не встречал.
правами на своей машине(!) »
У ДК безопасность выше чем у рядового компьютера.




© OSzone.net 2001-2012