Показать полную графическую версию : Вопрос по доступу админов на сервера Win2k3
Добрый день.
Есть вопрос, на который я не могу найти ответа...
Имеется домен с несколькими сайтами. все на Win2k3
каждым сайтом в идеале должны управлять свой админы на месте.
Как разделить Админов чтобы у них был доступ только на выборочный контроллер домена как локально так и удаленно???...
Butunin Klim
24-07-2007, 11:14
Делегирование
Что делигирование это понятно, но нюанс в том что в каждом сайте свой контроллер домена
все они территориально удалены что в каждом сайте физически находится свой человек.
И чтоб не давать ему права доменного админа чтоб он не имел то что не надо даем ему доступ
делигированием на определенный OU для управления. НО!!! Надо чтоб он еще и имел админский доступ
на этот контроллер локально! А этого сделать я не знаю как... На контроллере домена локальными группами
управлять НЕМА... как в простой ОСИ добавил любого в группа Администраторы и все красиво...
Если добавить определенного Админа в группу Доменных Администраторов они смогут заходить и рулить любым
доменным контроллером... А ЭТОГО НЕЛЬЗЯ ДОПУСКАТЬ...
Нужно.
1 чтобы человек управлял в AD своим сайтом - сделаю делегирование
2 чтобы человек заходил локально на свой контроллер домена и был на нем админом но не мог на другие - сделаю не знаю как ???
Добавьте его в группу Операторы сервера (но всех проблем это не решит)
Этот вариант рассматривался, но отмелся из за того что люди в этой группе смогут администь ВСЕ доменные контроллеры...
А надо определенный человек - определенный контроллер...
Тоесть получается простого и эффектного решения данной проблемы нет?...
Butunin Klim
26-07-2007, 09:41
ТОгда Stephen Вам нужно портатить не мало времени (но это ваша работа) и залесть в локальные и доменные политики и назначать руками что может человек а что нет.
AD - Users & Computers - Domain Controllers - правой кнопой - свойства - безопасность ( Security) - разруливайте права доступа к домен - контроллерам.
Butunin Klim
26-07-2007, 09:43
monkkey :tongue:
Да от проблем и работы никто не отлынивает, думал может я просто не знал более оптимального и простого способа...
А я так и сделал все что мне надо, половину через Security и половину через Group Policy.
Всем спасибо за советы...
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.