[Raistlin]

Цитата:

можно ли в вин2к прописывать сценарии для групп, а не для отдельных пользователей

Можно. Создай политику, пропиши её всему домену, убери у "Прошедших проверку" право применения этой политики, затем добавь в список доступа нужную группу (NB: глобальную) и дай ей право применять политику.

[Greyman]

Raistlin
На сколько я понял (по крайней мере я писал именно об этом) речь шла о локальных политиках. Что на сервере можно процедуры для групп оформлять я в курсе (по крайней мере на вин2003). А здесь я поднял вопрос, справедливый для всех станций, в том числе и вообще не включенных в сеть.

[Raistlin]

Цитата:

речь шла о локальных политиках

Как-то не подумал об этом . Зато подумал вот о чём: чтобы твои сценарии заработали, надо будет дать всём пользователям право записи в %SystemRoot% -- ведь сценарии, насколько я знаю, исполняются от имени пользователей. Т. е. дыра в системе безопасности гарантирована.

[SkyF]

Цитата:

ведь сценарии, насколько я знаю, исполняются от имени пользователей.

нихт..
если указать сценарий на запуск компьютера - то они будут выполняться от имени localSystem.

[Greyman]

SkyF

Цитата:

нихт.. если указать сценарий на запуск компьютера - то они будут выполняться от имени localSystem.

Даже если этот сценарий запускается из сценария входа конкретного пользователя (интересно, а это хоть возможно...)?

[SkyF]

Цитата:

Даже если этот сценарий запускается из сценария входа конкретного

при чем здесь этот сценарий?
я указывал на сценарий "автозагрузки" компьютера в групповой политике домена, а не на атрибут учетной записи "сценарий входа". в этом сценарии, конечно все от имени пользователя делается..

[Raistlin]

Цитата:

если указать сценарий на запуск компьютера

Речь-то шла о сценариях для пользователей:

Цитата:

Для пользователей, которым разрешена такая работа с USB - прописать копирование этого драйвера

[SkyF]

Greyman

Цитата:

Тут пришла в голову мысль попробовать воспользоваться сценарием входа. Для пользователей, которым разрешена такая работа с USB - прописать копирование этого драйвера из специально созданного резервного каталога

насколько я понял вот это исходная фраза.
тут имеется ввиду вообще возможность замены драйверов - для одних пользователей и копирование для других.

как именно это делать - это вторично..
просто автор не акцентировал на этом внимание. С моей точки зрения, если заменить "сценарием входа" (logon) на сценарий автозагрузки (start), то предложение будет законченным и верным.
ИМХО.

Другое дело, что етсь желание прописывать всеэто именно сценариями входа - тогда действительно, для этого учетные записи должны иметь право доступа к замене системных файлов - те членами локальной группы администраторов.
что явно пойдет на вред безопасности домена. С этим согласен.

достигнули консенсуса?

[Greyman]

Тут кстати наткнулся на одну вестч, дык может она подойдет:

Цитата:

* * * * * * * * *DeviceLock 5.6 * * * * * * * * *Мощное средство контроля доступа к сменным носителям в системах, работающих под управлением Windows 2000/NT. DeviceLock позволяет назначать права доступа для пользователей и групп пользователей. Дает возможность контролировать дисководы, CD-ROM, принтерные и модемные порты, ZIP’ы, JAZZ’ы, магнитооптику и любые другие устройства, несмотря на установленную на них файловую систему! Поддерживаются все виды файловых систем — FAT, NTFS (версии 4 и 5), CDFS и т.п. DeviceLock имеет систему удаленного управления, что дает возможность администратору сети управлять всеми функциями, не покидая своего рабочего места. Клиент для удаленного администрирования может работать как под Windows 2000/NT, так и под Windows 95/98 и Windows Me

http://www.securitylab.ru/tools/29777.html