nokogerra
21-10-2013, 14:14
Доброго времени суток.
Создал ou, поместил станции в него, создал объект gpo, restricted group "Adm" поместил в группу builtin\Администраторы, добавил в группу Adm пару пользователей, все прекрасно работает, в локальной группе Администраторы появилась группа Adm, пользователи получили требуемые права. Удалил одного пользователя, но права у него остались, 2 gpupdate, 2 ребута - не помогло, добавил 3го пользователя в группу Adm - он на ходу получил администраторские права, без gpupdate. Т.е. при добавлении пользователей права добавляются адекватно, при удалении оных, права не удаляются. Делать наоборот (группу builtin\Администраторы делать членом группы Adm) не хочется, т.к. в группе локальных администраторов есть другие группы и локальные пользователи машин. Кто-то сталкивался с подобным?
update: удалил restricted group из политики, удалил группу из локальных администраторов на тестовой машине, сделал через GPP "локальные группы" то же самое (поместил Adm в builtin\Администраторы) - ничего не изменилось пользователь2, которого уже нет в группе Adm все равно имеет права администратора, даже get-adgroupmember говорит что его в группе нет.
update2: было 2 объекта gpo, 2 ou, для каждого ou соответственно свой объект, после полного удаления объекта и создания нового, на машине в 1м ou у пользователя, который уже не в группе права наконец-то пропали, для 2го ou даже удаление объекта gpo не помогло, бред какой-то, при чем не важно было реализовано именно через restricted groups или через GPP. И еще вопрос: после удаления объектов или отвязки их от ou, как убрать доменные группы из локальной группы администраторов кроме ручного способа?
Создал ou, поместил станции в него, создал объект gpo, restricted group "Adm" поместил в группу builtin\Администраторы, добавил в группу Adm пару пользователей, все прекрасно работает, в локальной группе Администраторы появилась группа Adm, пользователи получили требуемые права. Удалил одного пользователя, но права у него остались, 2 gpupdate, 2 ребута - не помогло, добавил 3го пользователя в группу Adm - он на ходу получил администраторские права, без gpupdate. Т.е. при добавлении пользователей права добавляются адекватно, при удалении оных, права не удаляются. Делать наоборот (группу builtin\Администраторы делать членом группы Adm) не хочется, т.к. в группе локальных администраторов есть другие группы и локальные пользователи машин. Кто-то сталкивался с подобным?
update: удалил restricted group из политики, удалил группу из локальных администраторов на тестовой машине, сделал через GPP "локальные группы" то же самое (поместил Adm в builtin\Администраторы) - ничего не изменилось пользователь2, которого уже нет в группе Adm все равно имеет права администратора, даже get-adgroupmember говорит что его в группе нет.
update2: было 2 объекта gpo, 2 ou, для каждого ou соответственно свой объект, после полного удаления объекта и создания нового, на машине в 1м ou у пользователя, который уже не в группе права наконец-то пропали, для 2го ou даже удаление объекта gpo не помогло, бред какой-то, при чем не важно было реализовано именно через restricted groups или через GPP. И еще вопрос: после удаления объектов или отвязки их от ou, как убрать доменные группы из локальной группы администраторов кроме ручного способа?