Всем привет)

Начинаю разбираться только в AD и есть вопрос.

Есть действующий настроенный DC, и есть много пользователей и групп.

Задача: нужно одного пользователя ограничить в правах.
Что делаю: вижу что Пользователь член многих групп.
Вопрос: есть например группа "Full Internet Access", что само и понятно "Полный доступ в Интернет". Как узнать к чему применяется данная группа? Это ищется в "Управлении Групповой Политикой"? Руками или есть какой-то поиск?

Можно подсказать?)

скорее всего группа привязана к программе/устройству, которое служит для доступа в интернет. Там и ищи

Если какие-то разрешения на эту группу назначены на каком-то другом устройстве или компьютере, так просто найти невозможно. Нет средств.

скорее всего группа привязана к программе/устройству, которое служит для доступа в интернет. Там и ищи »

ну я также и думал логически, просто получается, если предыдущий админ ничего не объяснил, то только все вручную проверять )

Если какие-то разрешения на эту группу назначены на каком-то другом устройстве или компьютере, так просто найти невозможно. Нет средств. »

те если огромный домен передан новому админу, то получается только вручную нужно искать какая группа где имеет определенные права? и реально нет ни ссылок, ни единого учета всех этих групп? не удобно как минимум (

Неудобно, но так есть. Нет математической модели, в которой устройства сообщали бы на контроллер, какие разрешения у них локально назначены.
Ну и, конечно, что считать огромным доменом.

Вопрос: есть например группа "Full Internet Access", что само и понятно "Полный доступ в Интернет". Как узнать к чему применяется данная группа? »
спросить администратора, который эту группу создал.
как выше было сказано, эта группа может быть настроена в сторонних сервисах. Одним из которых, например, может быть прокси сервер SQUID, в котором прописано правило - выпускать в интернет без ограничений членов этой группы.
Так же эта группа может быть в ISA или TMG серверах, или аналогичных.

Доброго времени суток, у меня тоже вопрос связанный с группами, поэтому решил тут написать. Win server 2008 r2 с последними обновлениями, лицензия. Такая проблема у меня, в AD создаю пользователя например "Подразделение"->Петя по дефолту оставляю его в группе "пользователи домёна" -> GPO тоже дефолтное Defoult DP.. Иду на клиентскую станцию с чистой системой win7 максимальная, захожу в домён через учётную запись Петя, пытаюсь на чистую систему накатать драйверы и нужный софт, но не ставятся. Далее я зашел в AD и поменял в свойствах у пользователя "Петя" членство группы на "Администратор домена" и после этого я смог накатать дрова и софт, я понимаю что ошибка не в системе, и я так понял что ответ кроется в "Разрешениях". Уважаемые комрады подскажите где капать, чтобы у группы "Пользователи домёна" были ну почти те же разрешения что и у "Администратор домёна". Я не могу найти настройку групп. Строго не судите)

захожу в домён через учётную запись Петя, пытаюсь на чистую систему накатать драйверы и нужный софт, но не ставятся
Естественно, для установки программ и драйверов необходимы административные полномочия. "Выполнить от имени Администратора" - не?

чтобы у группы "Пользователи домёна" были ну почти те же разрешения что и у "Администратор домёна"
Почти - это как? Как слегка беременной быть?

"Выполнить от имени Администратора" - не? »
Не, пробовал
Почти - это как? »
так, чтобы были разрешения на установку софта для группы "пользователи домёна" так как вновь созданный пользователь по дефолту в эту группу добавляется. Вообще хотелось бы знать в каких параметрах настраивается любая группа. Ты знаешь?
Как слегка беременной быть? »
ахаха-ха-хахаха--аа. Сильно :clapping:

чтобы были разрешения на установку софта для группы "пользователи домёна"
Для этого достаточно пользователю домена быть внесённым в группу локальных администраторов станции. Но это дыра в безопасности. пользователь на то и пользователь, чтоб не иметь администраторских привилегий.

Вообще хотелось бы знать в каких параметрах настраивается любая группа
Ничего не понял. Переведите.

пользователь на то и пользователь, чтоб не иметь администраторских привилегий »
Точно, пользователям в своей организации я и хочу предоставить только права пользователей, поэтому я их и оставлял членами группы "пользователи домена", но у этой группы очень ограниченные права, что невозможно запустить установку софта. А мне как админу часто приходится устанавливать разного рода программы, и всякий раз приходится сталкиваться с этими ограничениями. Поэтому и хочу настроить группу "ПОЛЬЗОВАТЕЛИ ДОМЁНА" если это вообще возможно, а именно снять те ограничения с которыми я часто сталкиваюсь.

TimonDVD, они и не должны иметь прав «на установку софта». За редким, редким исключением.

они и не должны иметь прав «на установку софта». »
Если вы имеете ввиду пользователей моей организации-то, да не должны иметь права на установку. Но эти ограничения часто мне мешают\затрудняют мне работу, вот это я хочу понять, как через группу устанавливать и снимать ограничения, как это делать через GPO я знаю, но в данном случае у меня на это подразделение GPO не стоит, все по дефолту. Эти ограничения убираются когда я меняю группу на "Администратор домёна".

Но эти ограничения часто мне мешают\затрудняют мне работу »
Чем мешают?
Выполнять нужные программы через "Запустить от имени администратора"
Или запустить от имени администратора CMD.EXE для ввода текстовых команд?

Выполнять нужные программы через "Запустить от имени администратора" »
эти способы я пробовал, абсолютно никакой реакций, нажимаю на "Запустить от имени администратора" к примеру установку программы, или драйверов с диска, в ответ-никакой реакции. Чтобы все это проделать мне приходиться менять группу конкретной ученой записи на "Администратор домёна", я бы хотел настроить дефолтную группу "пользователи домёна"

абсолютно никакой реакций, нажимаю на "Запустить от имени администратора" к примеру установку программы, или драйверов с диска, в ответ-никакой реакции. »
Вот и проблема, которую надо решить правильным способом, а не множить нарушения правил эксплуатации вычислительной техники.

Служба "Вторичный вход в систему" активна?

Служба "Вторичный вход в систему" активна? »
Сегодня проверю, настрою GPO