Спасибо все заработало

еще один вариант (по мне более удобный):

Почти тоже пожно делать через ГП, но сценариями на автозагрузку
Через АД пользователи и компьютеры в требуемом ОП создать новый ОГП, зайти в его настройки, далее параметры компьютера, параметры безопасности, сценарии - автозагрузка.

через Обзор выйти на каталог для сценириев (он будет примерно такого вида):
\\dc_server\sysvol\<youdomain.local>\policy\{GUID_ОГП}\machine\startup

и сначала скопировать в него файлик такого вида: add2admin.bat (и только потом выбрать его название):
net localgroup Administrators "domain\My group" /add *

или тут нужно написать Администраторы , если ОС локализована, к тому же нужно понимать, что возможно произойдет конфликт кодировок, тк у ОС 1251, а в командной строке - не всегда такая же (поэтому сценарии могут не отрабатывать правильно), поэтому можно создать этот файл из досовского редактора , подойдет встроенный edit.com или сделать, например так в командной строке:
echo net localgroup Администраторы "domain\моя группа" /add > d:\new.bat
* * где new.bat - будущий сценарий для загрузки в ОГП


при этом к лок администраторам на тех станциях ,на которые данный скрипт будет распространяться - будет добавлена новая группа
(без изменений в текущем списке этой группе- что важно и отлично от *способа работы с группам иограниченного членства - в котором кто-бы ни был в лок админах - после работы ГП с ограничением членства в группе - ОСТАНЕТСЯ только указанные в ее свойствах учетки - те трудно объединить несколько таких ГП в иерархии уровней ОП)

Те создавая разные ОУ и делая на них разные ГП ( с разными значениями групп в сценариях - domain\моя группа1, domain\моя группа2, *и тп) - можно задать разным группам разные права на компьютеры ( станции и сервера) - Администраторов, Опытных пользователей и тп.


Добавлено:

вот тут вспомнил, что подобная тему (http://www.forum.oszone.net/topic.cgi?forum=3&topic=4418) уже обсуждалась ( многие вопросы дублируются, но мы объединим только лучшее)

еще, вдогонку:
Вопрос такого плана:

Подскажите, пожалуйста, как сделать, чтобы кроме группы Domain Admins при вводе компа в домен, автоматически добавлялась в группу Администраторы еще одна некая доменная созданная группа пользователей??? Ну, т.е. чтобы эти пользователи получили права администратора на компах и, тем
не менее, не входили в Доменные Админы.

Короче говоря, мне нужно чтобы на машинах в группе Администраторов были следующие учетные записи:
1. Пользователь или пользователи данной машины.
2. Группа Доменных админов. (по умолчанию она есть)
3. Группа людей которых я определю в группе безопасности. (чтобы они могли входить на любую машину)
Вот как эту 3 группу запихнуть в Админов, чтобы не обходить все машины и не делать этого в ручную? А то Порядка 100 машин обходить это не шутка


1Й ПУНКТ ПОНЯТНО КАК СДЕЛАТЬ.
НАПРИМЕР СОЗДАТЬ ОГП И ПРИВЯЗАТЬ ЕГО К ОУ В ДОМЕНЕ. Настроить политику для группы с гграниченным членством (добавить группу Administrators или еще Администраторы (если есть локализоавнные ОС)). НО ПРИ ЭТОМ БОЛЬШЕ ВЫ НЕ СМОЖЕТЕ РЕГУЛИРОВАТЬ ЧЛЕНСТВО В ДОМЕНЕ ТАКИМ СПОСОБОМ, тк любая другая политика будет перекрывать ваши предыдущие настройки.
ЭТО НЕ УДОБНО, ДА И К ТОМУ ЖЕ НАСТРОЙКА ЧЕРЕЗ ГП (ГРУППЫ С ОГРАНИЧЕННЫМ ДОСТУПОМ) - ВСЕ ЖЕ ПРИМЕНЯТЕСЯ ДЛЯ ОГРАНИЧЕНИЯ ЧЛЕНСТВА (например для группы Domain\Администраторы домена), А НЕ РАСШИРЕНИЯ.

ПОЭТОМУ ОПТИМАЛЬНЫМ СРЕДСТВОМ БУДЕТ ИСПОЛЬЗОВАНИЕ СЦЕНАРИЕВ. ПРИМЕР ДЛЯ  П.1
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\ПОЛЬЗОВАТЕЛИ /ADD
(ИЛИ ДЛЯ НЕ ЛОКАЛИЗОВАННЫХ СИСТЕМ - NET LOCALGROUP ADMINISTRATORS DOMAIN\USERS /ADD)

2. NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD

PS НЕ ЗАБЫВАЙТЕ ЧТО ВОЗМОЖНА ПРОБЛЕМЕ А КОДИРОВКОЙ СЦЕНАРИЯ.. (СМ. СООБЩЕНИЕ ВЫШЕ)

3. ТО ЖЕ САМОЕ, ЧЕРЕЗ СЦЕНАРИИ ( НА АВТОЗАГРУЗКУ КОМПЬЮТЕРА В гп ПРОПИСАТЬ).
СДЕЛАТЬ НЕСКОЛЬКО ОГП ( С РАЗНЫМИ СЦЕНАРИЯМИ, ПРИМЕР НИЖЕ) И НАСТРАИВАЕМ ИХ СООТВЕТСТВЕННО ТОЛЬКО НА ТЕ КОМПЫ, КОТОРЫМ МЫ ДОЛЖНЫ ПРИМЕНИТЬ СЦЕНАРИИ.
ЭТО МОЖНО СДЕЛАТЬ ЧЕРЕЗ ОУ, ИЛИ ФИЛЬТРАЦИЕЙ, ЧЕРЕЗ ГРУППЫ, ЕСЛИ РАЗДЕЛИТЬ КОМПЬЮТЕРЫ НА РАЗНЫЕ ОУ НЕВОЗМОЖНО..

NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\MY_GROUP1 /ADD
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\MY_GROUP2 /ADD

в догонку по теме:

кстати, есть шаблон безопасности, compatws.inf - который выставляет разрешения на реестр и на системные каталоги.

из встроееной справки: Совместимый (Compatws.inf) шаблон.
Разрешения по умолчанию для рабочих станций и серверов сначала создаются для их локальных групп: «Администраторы», «Опытные пользователи» и «Пользователи». Члены группы «Администраторы» обладают наибольшими правами, тогда как члены группы «Пользователи» — наименьшими. По этой причине можно значительно повысить безопасность, надежность и снизить общую стоимость владения системой, если придерживаться следующих правил:

убедиться, что конечные пользователи являются членами группы «Пользователи»;
внедрить приложения, которые могут успешно запускаться и выполняться членами группы «Пользователи».
Лица, обладающие правами группы «Пользователи» могут работать с приложениями, принимающими участие в программе размещения эмблемы Windows для программного обеспечения. Однако члены группы «Пользователи» могут испытывать проблемы при запуске приложений, не отвечающих требованиям программы. Если необходимо обеспечить поддержку таких приложений, существуют две возможности.

Все члены группы «Пользователи» должны также являться членами группы «Опытные пользователи».
Использовать дополнительные разрешения разрешения по умолчанию, созданные для группы «Пользователи».
Поскольку члены группы «Опытные пользователи» обладают наследуемыми возможностями, такими как создание пользователей, групп, принтеров и общих ресурсов, некоторые администраторы предпочитают предоставить дополнительные разрешения группе «Пользователи», вместо зачисления конечных пользователей в группу «Опытные пользователи». Для этих целей служит «Совместимый» шаблон. При помощи шаблона «Совместимый» можно изменить разрешения для файлов и реестра, используемые по умолчанию для группы «Пользователи», и соответствующие требованиям большинства приложений, не входящих в программу размещения эмблемы Windows для программного обеспечения. Кроме того, поскольку после применения совместимого шаблона пользователи не должны присоединяться к группе «Опытные пользователи», все члены группы «Опытные пользователи» удаляются. Дополнительные сведения см. в разделе Параметры безопасности по умолчанию.

Совместимый шаблон не следует применять к компьютерам, которые являются контроллерами домена. Например, не следует импортировать совместимый шаблон в стандартный домен или в объект групповой политики стандартного контролера домена.


доступ к нему из mmc.exe там добавить оснастку Шаблоны безопасности (для просмотра изменений из этого шаблона) и Анализ и настрока безопасности (для изменения локальной политики при отсутствии домена).

в принципе можно сделать свой ОГП в домене и импортировать в раздел Конфигурация Windows - параметры Безопасности этот шабон. он позволяет пользователям запускать (и устанавливать думается) те программы, которые требуют больших разрешений, чем обычный пользователь.

это удобнее, чем пользователя в группу опытных пользователей добавлять. системные права при этом же ему не даются..

Так немного непонятно
можно на пальцах для чайников объяснить как что и куда?
а то на принтере под обычным юзером не печатается

получается, что юзеры становятся членами груммы домена Опытные пользователи, а уровень доступа к этой группе будет браться исходя из разрешений раб. станций? Т.е. в домене создаю группу "Опытные пользователи", и т.к. она совпадает по названию с локальной группой "Опытные пользователи" на каждой раб. станции, то юзеры смогут ставить проги? А если на компе Васи Пупкина эта группа (Опыт. поль.) отключена, то права будут просто юзера?

Ситуация такая. Поставил на локальный компьютер winXP с программу АCAD2002 с учетной записью администратора. Далее с этого компьютера подключаюсь к домену win2003 с другой учетной записью, имеющей в домене права пользователя. Запускаю программу, она начинает настраиваться под этот профиль, после этого выдает сообщение, что не может установиться, так как необходимы права администратора. Предоставить права администратора этому пользователю я не имею возможности. Как быть?

И такие проблемы со всеми программами , использующими профили пользователей ( они записывают в них какую-то информацию)

Можно дать права "Опытного пользователя" или доступ на запись в каталоги, используемые программой и соответствующие ветки реестра. Определиться помогут rgemon.exe и filemon.exe c sysinternals.com

Оснастка на win2003 server : Active Domain and users - computers - правой кнопкой мыши нажимаю по нужному компу- manage - local user and groups - groups.

В группе администраторы на локальной машине была запись администратора домена. Я ее случайно удалил. После этого добавить эту запись в группу я не могу . Пишет не доступа. То есть я потерял доступ к удаленной машине.

Как исправить эту ситуацию, не прибегая к перерегистрации рабочей станции в домене?

Как исправить эту ситуацию, не прибегая к перерегистрации рабочей станции в домене?

сообщение 23 (http://forum.oszone.net/showpost.php?p=12364&postcount=23) и 22 (http://forum.oszone.net/showpost.php?p=12364&postcount=23)


те использованием сценария и команды net localgroup ..

Объясните пожалуйста в чем моя ошибка.
Создал файл сценария add.bat со следующим текстом:
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\ПОЛЬЗОВАТЕЛИ /ADD
Кодировка строки - DOS

Открываю на своем домене на сервере групповую политику, нажимаю изменить default Domain Policy . Вкладка Конфигурация компьютера -> конфигурация Windows-> Сценарии запуск, завершение-> Конфигурация компьютера -> автозагрузка . Двойной щелчок на автозагрузке открывает окошко. Нажимаю Кнопку добавить в поле Имя сценария добавляю путь к созданному файлу add.bat . Нажимаю кнопку «применить» - пишет сообщение :«Компоненту «Сценарии» не удалось сохранить изменения из- за ошибки 1385»

Пробовал данную строку добавлять в файл загрузки для профиля пользователя. Пишет что нет доступа ошибка №5.

Аналогичные проблемы и с этими строчками.
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD

NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\USERS /ADD

Кодировка строки - DOS
Странно, должна быть windows.

изменить default Domain Policy
Ох, сколько раз на форуме про это писали. Не трогайте политики по умолчанию. Не надо проблемы себе плодить. Создается контейнер, к нему создаеться новая политика, туде кладутся пользователи и компьютеры. Ее и закручивайте.

онфигурация компьютера -> автозагрузка
Если посмотрите стандартный help в windows, то найдете что запускать сценарии можно whs, vbs, js... Про cmd или bat ничего не сказано.
Потом, где размещаеться сам файл сценария? Рекомендуется его разместит там же, где предлагает сама политика, что-то типа \\DOMAIN\SysVol\DOMAIN\Policies\{XXXXXXXXXX}\Machine\Scripts\Startup. Тогда и справами доступа к файлу проблем не будет.

NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\ПОЛЬЗОВАТЕЛИ /ADD
Что вы имееете ввиду? Где вы увидели группу ПОЛЬЗОВАТЕЛИ в домене?
Я так понимаю вы хотите сделать пользователя домена локальным администратором? А смысл есть давать всем пользователям такие права?
Если уж приспичело - в политике домена (для вашего контейнера), конф.комп./конф.винд/пар.без./группы с ограниченым доступом. Там раздаются такие права.

NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD
Вообще-то если копьютер в домене, администратор домена всегда имеет права локального администратора, если конечно ручками кто-нибудь не покрутит.

По поводу цитаты:
"Ох, сколько раз на форуме про это писали. Не трогайте политики по умолчанию. Не надо проблемы себе плодить. Создается контейнер, к нему создаеться новая политика, туде кладутся пользователи и компьютеры. Ее и закручивайте."
А можно эту запись расшифровать поподробнее : Как создать контейнер (ткнуть мышкой туда то и туда то), создать для него новую политику (ткнуть мышкой туда то и туда то) как поместить нужные компьютеры и пользователей в контейнер.
Здесь же на форуме не рекомендуют поступать таким образом, а настаивают как раз на добавлении в автозагрузку этих строк NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD
В принципе со строкой NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD я разобрался она работает у меня в бат файле, который запускается при входе пользователя в домен, НО-О-О проблема заключается в том что команда NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD воспринимает вместо двух операторов АДМИНИСТРАТОРЫ и DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА их как три оператора АДМИНИСТРАТОРЫ, DOMAIN\АДМИНИСТРАТОРЫ, ДОМЕНА . то есть этой команде как то надо сообщить что строка DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА единое целое. Как ни бился с этим ничего не получается. Делал так

NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ_ДОМЕНА /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ_ДОМЕНА" /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ 'DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА' /ADD

ничего не получается. Кто знает подскажите как решить эту проблему.

И еще где можно взять примеры сккриптов whs, vbs, js?

babki

создавать нужно не контейнер, а подразделение (пр кнопкой на названии объекта в консоле "Active Directory Полльзователи и Компьютеры" (другом подразделении или на самом домене). На подразделение можно подключить (слинковать, связать) ОГП с вашими настройками.

И действительно, в ОГП, созданные системой, лучше не вносить изменений без особой необходимости.
А содавать новые объекты групповой политики (ОГП).

Вернуть доменной группе Domain\Администраторы домена - возможность управления локальной системой можно двумя вариантами:
а. через настройку режима Ограниченных групп в политике для компьютера - см сообщение 10 (http://forum.oszone.net/showpost.php?p=12351&postcount=10)
б. использовать сценарии (bat, whs, vbs - для современых клиентских ОС не важно, bat - более универсален, но сильно ограничен командами системы) - см сообщение 22 (http://forum.oszone.net/showpost.php?p=12363&postcount=22)

при этом - вар. А. - заменяет сущ список указанной грппы - своим, поэтому важно для начала просмотреть кто же уже входит в группы на действующих системах, прежде чем вносить изменения. А вар. Б - всегда добавляет, не влияя на сущ объекты в группе. Оба они завязаны на локализацию в названии встроенных групп.

у вашей ситуации, тк вы просто потеряли группу Администраторы домена во встроенной группе Администраторы на локальной системе.
удобнее попробовать вариант А (указав в ограничении группы Админитраторы имена объектов - Администратор и Domain\Администраторы домена

Но можно и закончить со сценариями.
рабочим вариантов должна быть строка (из того же 22го ообщения п.2):
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD

в соответвующей локальной кодировке DOS (можно попробовать использовать встроенный DOSовский редактор edit.com)

По поводу сценариев:
строка
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD у меня не работает а
строка
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОР" /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОР /ADD

без пробем выплоняется правильно.

NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD у меня не работает
Посмотрите внимательно на объекты AD. Есть запись АДМИНИСТРАТОР, или Administrator, в зависимости от версии, а вот группы АДМИНИСТРАТОРЫ ДОМЕНА может и не быть. Попробуйте "Domain Admins".

SkyF спасибо, что поправили, действительно не контейнер, а подразделение.

Создал новое подразделение «Ограниченные пользователи» Active Directory Пользователи и Компьютеры -> создать , подключил рабочую станцию к домену, далее из папки Computers перенес получившийся компьютер в подразделение «Ограниченные пользователи» учетную запись также из группы Users перенес в это же подразделение
Далее
Active Directory Пользователи и Компьютеры -> свойства -> групповая политика –> создать «Ограниченные пользователи»
подразделение «Ограниченные пользователи» -> свойства Групповая политика создать выбираю ранее созданную политику «Ограниченные пользователи».
Далее пытаюсь в групповой политике в ветке конф.комп./конф.винд/пар.без./группы с ограниченным доступом добавить группу Опытных пользователей пишет ошибку «Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf» Ошибка с такой же надписью появляется когда пытаюсь добавить параметр в локальную политику.

То есть у меня не получается выполнить по добавлению пользователей домена в локальную группу Опытных пользователей

И еще один из "умных пользователей" внес на рабочей стации некие изменения. после этого пытаюсь подключиться к с доменной учетной записью к домену. Пишется ошибка "У вас нет прав на интерактивный вход в систему". С локальной учетной записью этого копмьютера со входом с вистему проблем нет. Подскажите пожалуйста где рыть ответ на этот вопрос?

ошибка "У вас нет прав на интерактивный вход в систему".
всегда почти помогает поиск по форуму:

fix! Запрет локального входа, ошибка- интерактивный вход запрещен политикой безопасности (http://forum.oszone.net/showthread.php?t=1941)

«Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf» Ошибка с такой же надписью появляется когда пытаюсь добавить параметр в локальную политику.

может это поможет:
Не удалось открыть базу данных локальной политики (http://forum.oszone.net/showthread.php?t=3348&page=0&pp=20)

ЗЫ а что там со сценариями для администраторов домена (domain admins)?

В локальной политике контроллера домена я отключил удаленный вход в систему администраторам.
Может быть при изменении групповой политики идет обращение через сеть с записью администратора и система не может изменить файл «Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf» Кто что может сказать по этомк поводу? Когда меняю удаляю из группы "удаленный вход в систему" группу администраторов идет та же ошибка «Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf». Короче не записываются в нужный файл груповой политики сделанные мной изменения. Как решить эту проблему?

ЗЫ а что там со сценариями для администраторов домена (domain admins)?
Пока не пробовал не знаю. Но все записи групп на сервере и локальных машинах написаны по русски.