Доброго времени суток!!!

Есть домен (Windows Server 2003 Standart 2SP), есть четыре контроллера домена. На контроллере (скажем - MAIN (хозяин)), в политике контроллера домена, устанавливаю разрешение на добавление рабочих станций к домену - пользователю входящему в группу (пользователи домена).
НИКАКОЙ РЕаКЦИИ!!!
При назначениие пользователя в группу - Администраторы, все нормально. Но дело в том, что этот пользователь должен только добавлять станции.

Вопрос: Как мне назначить право на добавление.

в политике контроллера домена »
а делегирование полномочий в АД пользователю дали?

На корне домена правой мышкой -> "delegate control" -> запустится мастер, ответить на глупые вопросы

http://i026.radikal.ru/0712/2f/4a87121cdb0e.jpg

По умолчанию любой пользователь домена может добавить в домен 10 раб. станций.

при условии, что учетная запись в домене уже создана, и он имеет права на ввод в данном OU, где лежит учетка компьютера.

при условии, что учетная запись в домене уже создана, и он имеет права на ввод в данном OU, где лежит учетка компьютера.

нет - просто любой пользователь (цитата из родной справки):

Добавление рабочих станций в домен
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Описание
Определяет, какие группы и пользователи могут добавлять рабочие станции в домен.

Эта политика действует только на контроллерах домена. По умолчанию таким правом обладает любой пользователь, прошедший проверку подлинности; он может создать до 10 учетных записей компьютеров в домене.

По умолчанию «Прошедшие проверку».

Странно.

А здесь написано по-другому
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/7207aa3e-d95d-4176-a1ca-bc629f1ca698.mspx?mfr=true
По умолчанию: члены группы «Администраторы» на контроллерах доменов.

HLT,
Повнимательнее. Из Вашей же ссылки:

По умолчанию таким правом обладает любой пользователь, прошедший проверку подлинности; он может создать до 10 учетных записей компьютеров в домене.

По поводу Администраторов на DC - скорее всего, опечатка.

угу, та же статья в оригинале:
http://technet2.microsoft.com/windowsserver/en/library/7207aa3e-d95d-4176-a1ca-bc629f1ca6981033.mspx?mfr=true
Default: Authenticated Users on domain controllers.

по теме топика: Changing the Maximum Number of Computers a User Can Join to the Domain (http://codeidol.com/active-directory/active-directory/Computers/Changing-the-Maximum-Number-of-Computers-a-User-Can-Join-to-the-Domain/),
откуда следует что этой политикой лучше не злоупотреблять или вообще отключить эту опцию:
Another method for granting users the right to add computer objects, although not recommended, is via Group Policy. If you grant the "Add workstation to domain" right via Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment on a GPO that's been linked to the Domain Controllers OU, then users will be able to create computer accounts even if they do not have create child permissions on the default Computers container. This is a holdover from Windows NT to maintain backward compatibility and should not be used unless absolutely necessary. In fact, a good security best practice would be to remove this user right from any user or group objects that do not require it.

Пару недель назад, я дал некому акаунту право на добавление машин в домен. Теперь я заметил, такую интересную штуку!!! Акаунт с правами пользователя и с разрешением на добавление компутеров, начал добавлять компутеры. Последние настройки делал примерно 3 недели назад. Может какая-то запоздалая репликация??? :o

Может, наконец-то перегрузился? )
Очень многие права даются реально после повторного логина

Всмысле перегрузился домен? Неее, система не отключалась с августа.

а gpupdate не пробовали???...вместо перелогинивания???