я создаю обычного пользователя и добавляю его к группе "юзеры" например, ( с определённым набором прав у этой группы), где мне можно увидеть весь список (и изменить) прав у ГРУППЫ USER (или там например BACKUP ADMIN итд).  или если можно ответте как создать свою группу с нужным набором прав для того чтобы быстро восить только в неё пользователей, очень прошу ответте на мыло с указанием аськи Публикация адреса почтового ящика - Нарушение правил раздела форума п. 7 п. 5, зарание благодарен.

какие именно права требуются - ситемные, разрешения ФС ....?

Я так понял, что требуются все разрешения или запрещения чего либо (т.е. от установки дров до файловой системы) Ведь "Администраторы" и "Опытные пользователи" это всего лишь названия групп пользователей, но как то система назначает им права- этому можно то, этому все, этому другое! Так же само видать и с музыкой, но как???
НАДО УЗНАТЬ КАК ЭТО ДЕЛАЕТСЯ ИМЕННО СИСТЕМОЙ!!!!!!!!

например
локальные политики->назначение прав пользователям

чтобы получить конкретный ответ - нужно задать конкретный вопрос:)

НАДО УЗНАТЬ КАК ЭТО ДЕЛАЕТСЯ ИМЕННО СИСТЕМОЙ!!!!!!!! -  вот именно это и нужно, и нужно составить группу со своими правами поскольку существующие группы в актив деректори меня не устраивают по набору прав, вопрос в том как это сделать.

Да я и сам не знаю как, но очень интересно и вопрос классный! Вот подсказал бы кто???

например
локальные политики->назначение прав пользователям

не проще ли назначить необходимые права существующим группам?

тогда вопрос как узнать список прав у встроенных групп безопастности, например я создаю свою учётку и мне надо дать себе полный доступ ко всему, мои действия: я добавляю себя к группе Enterprise admin, Administrators, итд тоже самое я делаю другому прользователь через программу trusteeman ( даю теже права, и добавляю его к администраторам), но почему то при смене логина у него нет доступа к установке/удалению программ, хотя в политиках безопастности домена он праписан там же где и я. мне кажеться что система администрирования больших сетей выбранная компанией microsoft не совсем удачна, и занимает слишком много времени при наличии многого числа юзиров, и ещё может кто нибудь мне подскажет альтернативу программе  trusteeman, для более удобного назначения ВСЕХ прав как одному пользователю так и группе.

Права не применяются к группам пользователей. Они применяются к OU.

А что такое OU???

Права не применяются к группам пользователей. Они применяются к OU.

как это? можете пояснить?
мне кажется вы ошибаетесь...
права даются на учетные записи пользователей, компьютеров или группы. причем права могут быть им даны и на какое-либо OU (organizational unit - организационное подразделение в Службе Каталогов)


но почему то при смене логина у него нет доступа
смене логина? как это просиходит? что значит смпенить логин пользователю?

хотя в политиках безопастности домена он праписан там же где и я
если вы учетную запись добавили в группу локальных администраторов, то она уже имеет все права на локальной машине. и права безопасности для не настраивать не требуется.


мне кажеться что система администрирования больших сетей выбранная компанией microsoft не совсем удачна, и занимает слишком много времени при наличии многого числа юзиров, и ещё может кто нибудь мне подскажет альтернативу программе  trusteeman,

не совсем удачен выбор вами этой программы trusteeman..
AD способна поддерживать ( и поддерживает) каталоги с сотнями тысяч объектов и вполне работоспособна.
изучите немного рекомендации по развертыванию систем MS.

Guest
полный доступ ко всему
Это тебе не *nix - здесь никто не имеет полный доступ ко всему. Даже EnterpriseAdmins.

SkyF
изучите немного рекомендации по развертыванию систем MS
Абсолютно согласен.

Andrik
А что такое OU???
OrganizationUnit. А вообще для таких вещей можно и F1 нажать.

SkyF
мне кажется вы ошибаетесь...
права даются на учетные записи пользователей
.... входящих в определенную OU :) Изначально все пользователи (со своими группами) входят в одну OU - корневой домен. К этой OU применяется по умолчанию Default Domain Policy. Вот тут и путаница: права применяются не к группе, скажем, "опытные пользователи", а к OU, в которую эти пользователи входят. Выведем половину "опытных" в другую OU  и им можно дать другие права, чем таким же "опытным" в первой группе. Допустим, все "опытным" можно устнавливать программы, а менять системное время только тем, кто во второй OU
компьютеров или группы
Кратко: объектами групповой политики являются сайты, домены, подразделения. Т.е. эти пресловутые OU :)

Выведем половину "опытных" в другую OU  

вот-тут то у вас и путаница возникает..

через групповые политики безопасности права даются на объект "компьютер" - так что перемещая пользователей по ОП,  на которые настроены разные политики безопасности ( а следовательно и разные права пользователям .
права -на компьютеры.
а поскольку (как я понял) вы компьютеры не перемещали, то и права остались прежние. Таким образом компьютеры все равно из какого ОП на нем регистрируется пользователь.

воспользуйтесь локальными (они также показывают результирующие права) политиками безопасности на компьютерах и проверьте.

хм всё это интересно я немного разобрался ( было трудно пресаживаться на окна с линукса)
ещё один вопрос, при установки актив директори в локальной политике пишеться что она перекрываеться политикой домена, мне интересно что имеет больший приоритет (перекрывает всё остальное) политика домена или политика контроллера домена?

вот-тут то у вас и путаница возникает..
как-то все путано написно :) можно "тщятельнее", а то я не понял фразы...:)
Guest
что имеет больший приоритет (перекрывает всё остальное) политика домена или политика контроллера домена?
политика домена распостраняется на лес
политика контроллера домена распостраняется только на контроллер и соответственно на нем перекрывает политику всего домена

что имеет больший приоритет (перекрывает всё остальное) политика домена или политика контроллера домена?

политики применяются в следующем порядке:
- локальные
- доменные
- организационных подразделений (последними применяются те политики, которые находятся ближе к самому объекту в дереве домена)

в случае конфликта параметров применяются последние (те те, которые находятся ближе к самому объекту - компьютер или пользователь)

исключением являются политики учетных записей, которые указаны в политике  на уровне домена. Они не переопределяются настройками полтик из организационных подразделений.

Те. свойства паролей и блокировок - единые для всего домена и не могут быть переопеделены по разномы для членов домена..

Братва, вы, по-моему, не туда завернули! Вопрос в начале стоял вроди бы так: Как на ОТДЕЛЬНО ВЗЯТОМ КОМПУТЕРЕ нае подключенном ни к домену, ни к чему другому, кроме 220В (шутка), крутить разрешениями для пользователей! В конце концов, почему "Системные администраторы" - боги, а "Система" - естче круче и как сделать к примеру "пользователя" с админовскими полномочиями, но не им самим (это из разряда взлома), а админом? И, наконец, чем и где можно посмотреть, что же все-таки разрешено/запрещено каждому пользователю или группе???
Думаю, надо смотреть глубже в систему - "ЗРИ  В КОРЕНЬ!"

Andrik
почему "Системные администраторы" - боги, а "Система" - естче круче
Не факт :) SYSTEM по умолчанию не имеет доступа к сетевым ресурсам :)
как сделать к примеру "пользователя" с админовскими полномочиями
Панель управления - Администрирование - Управление компьютером - Локальные группы и пользователи. Создаешь юзера, включаешь его в нужную группу
И, наконец, чем и где можно посмотреть, что же все-таки разрешено/запрещено каждому пользователю или группе???
В твоей ситуации не знаю, а для AD глядеть сюда (http://admin.vlady.ru/get_user_prop.htm)


Исправлено: Sadok, 18:07 13-11-2003

Панель управления - Администрирование - Управление компьютером - Локальные группы и пользователи. Создаешь юзера, включаешь его в нужную группу

Цитата:
Ну это давно ясно, но как сделать, к примеру, группу или пользователя, что б был во всем админ, но запретить ему устанавливать драйвера или запускать службы, хотя может возникнуть "дыра" в защите (если ему много дать он себе может и недостающее взять), но не факт, что этого в принципе невозможно сделать! Или к примеру: Примочка к Nero, которая позволяет записывать диски как всем, так и группе, которую она же и создала, так и только админам (кажись NeroRightsInstaller называется) создает новую группу и дает ей право на запись дисков, но както она это делает, а как???