ПРОБЛЕМА: Политики

HLT · Отправлено: **14:37, 04-12-2007** | #2

Цитата Nik1981:

в политике контроллера домена »

а делегирование полномочий в АД пользователю дали?

На корне домена правой мышкой -> "delegate control" -> запустится мастер, ответить на глупые вопросы

monkkey · Отправлено: **13:38, 05-12-2007** | #3

По умолчанию любой пользователь домена может добавить в домен 10 раб. станций.

HLT · Отправлено: **13:48, 05-12-2007** | #4

при условии, что учетная запись в домене уже создана, и он имеет права на ввод в данном OU, где лежит учетка компьютера.

Michael · Отправлено: **08:17, 06-12-2007** | #5

Цитата:

при условии, что учетная запись в домене уже создана, и он имеет права на ввод в данном OU, где лежит учетка компьютера.

нет - просто любой пользователь (цитата из родной справки):

Цитата:

Добавление рабочих станций в домен
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Описание
Определяет, какие группы и пользователи могут добавлять рабочие станции в домен.

Эта политика действует только на контроллерах домена. По умолчанию таким правом обладает любой пользователь, прошедший проверку подлинности; он может создать до 10 учетных записей компьютеров в домене.

По умолчанию «Прошедшие проверку».

HLT · Отправлено: **11:02, 06-12-2007** | #6

Странно.

А здесь написано по-другому
http://www.microsoft.com/technet/pro....mspx?mfr=true

Цитата:

По умолчанию: члены группы «Администраторы» на контроллерах доменов.

monkkey · Отправлено: **12:05, 06-12-2007** | #7

HLT,
Повнимательнее. Из Вашей же ссылки:

По умолчанию таким правом обладает любой пользователь, прошедший проверку подлинности; он может создать до 10 учетных записей компьютеров в домене.

По поводу Администраторов на DC - скорее всего, опечатка.

amel27 · Отправлено: **12:07, 06-12-2007** | #8

угу, та же статья в оригинале:
http://technet2.microsoft.com/window....mspx?mfr=true

Цитата:

Default: Authenticated Users on domain controllers.

по теме топика: Changing the Maximum Number of Computers a User Can Join to the Domain,
откуда следует что этой политикой лучше не злоупотреблять или вообще отключить эту опцию:

Цитата:

Another method for granting users the right to add computer objects, although not recommended, is via Group Policy. If you grant the "Add workstation to domain" right via Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment on a GPO that's been linked to the Domain Controllers OU, then users will be able to create computer accounts even if they do not have create child permissions on the default Computers container. This is a holdover from Windows NT to maintain backward compatibility and should not be used unless absolutely necessary. In fact, a good security best practice would be to remove this user right from any user or group objects that do not require it.

Nik1981 · Отправлено: **15:29, 07-12-2007** | #9

Пару недель назад, я дал некому акаунту право на добавление машин в домен. Теперь я заметил, такую интересную штуку!!! Акаунт с правами пользователя и с разрешением на добавление компутеров, начал добавлять компутеры. Последние настройки делал примерно 3 недели назад. Может какая-то запоздалая репликация???

HLT · Отправлено: **16:03, 07-12-2007** | #10

Может, наконец-то перегрузился? )
Очень многие права даются реально после повторного логина