ctumko
14-10-2013, 14:41
Привет! Осваиваю Active Directory, в процессе изучения возник вопрос. Смоделируем ситуацию.
Есть некоторый пользователь testuser01, находящийся в OU Test-env, к которому привязана политика "User configuration - Policies - Administrative templates - Control panel - Prohibit access to control Panel and PC settings". Соответственно, запрещает открывать контрольную панель или любую ее составляющую.
Мой вопрос идеологический. Предположим в техподдержку звонит пользователь и сообщает, что у него "Все стало большим и на экран не помещается."
Специалист быстро смекает что у пользователя слетело разрешение экрана, подключается к компютеру удаленно, пытается открыть контрольную панель и... не может.
Если технической поддержке будет необходимо изменить что-либо в контрольной панели для одного пользователя сию минуту, нужно будет писать ему индивидуальное GPO?
Или есть способ открыть контрольную панель, обойдя политику?
Можно ли сделать так, чтобы компьютер спрашивал логин-пароль привелегированной учетной записи в ответ на все запрещенные политикой действия, вместо сухого "Доступ запрещен"?
Первой мыслью было что-то вроде "Runas /user:domain\administrator control", политика учетную запись администратора, конечно же, не затрагивает.
Но сообщение о том что доступ запрещен настигло меня и тут.
Пожалуйста, разьясните правильную модель поведения в таких ситуациях, или ткните носом что прочитать, поиск успехом не увенчался.
Спасибо!
Есть некоторый пользователь testuser01, находящийся в OU Test-env, к которому привязана политика "User configuration - Policies - Administrative templates - Control panel - Prohibit access to control Panel and PC settings". Соответственно, запрещает открывать контрольную панель или любую ее составляющую.
Мой вопрос идеологический. Предположим в техподдержку звонит пользователь и сообщает, что у него "Все стало большим и на экран не помещается."
Специалист быстро смекает что у пользователя слетело разрешение экрана, подключается к компютеру удаленно, пытается открыть контрольную панель и... не может.
Если технической поддержке будет необходимо изменить что-либо в контрольной панели для одного пользователя сию минуту, нужно будет писать ему индивидуальное GPO?
Или есть способ открыть контрольную панель, обойдя политику?
Можно ли сделать так, чтобы компьютер спрашивал логин-пароль привелегированной учетной записи в ответ на все запрещенные политикой действия, вместо сухого "Доступ запрещен"?
Первой мыслью было что-то вроде "Runas /user:domain\administrator control", политика учетную запись администратора, конечно же, не затрагивает.
Но сообщение о том что доступ запрещен настигло меня и тут.
Пожалуйста, разьясните правильную модель поведения в таких ситуациях, или ткните носом что прочитать, поиск успехом не увенчался.
Спасибо!