[monkkey]

exo,
Локальному админу нельзя ничего запретить, а Вы доменного хотите ограничить. Ну, если он тупой, удалите оснастку dsa.msc или поставьте запрет на чтение и выполнение всем, кроме себя и SYSTEM. Если он не тупой - у него достаточно прав для отмены запретов.

[zero55]

грамотного человека не ограничить.
Что ему стоит создать другую учетную запись и из под нее скриптом создать или модернизировать все что требуется?

ответ один - не авать ему прав.

[exo]

Цитата monkkey:

dsa.msc или поставьте запрет на чтение и выполнение »

если стоит запрет на смену прав - тоже поменяет права? по идее нет, ведь DENY выше ALLOW.

Цитата zero55:

ответ один - не авать ему прав. »

POWER USER хватит прав? дело в том, что на сервере установлена 1С, он её программист.
Т.е. ему нужны будут права на реестр, но где именно.

Для меня главное, что бы он в ADUC вообще сунуться не мог.

Есть ещё один вариант. установка дополнительного сервера, перенос туда AD и FSMO. А нынешний сервер сделать рядовым членом домена. Это в идеале.

[zero55]

у вас 1С на контроллере?
это просто отлично (черная ирония)...

Относительно того что хватил Power User или нет сказать не могу т.к. их на контроллере просто нет.
В вашем случае нужно перенести все роли на отдельный сервер

[exo]

Цитата zero55:

у вас 1С на контроллере? это просто отлично (черная ирония).. »

Да, я вас понимаю.
поэтому дополнительная информация - сервер в сети один. сеть изолирована гальванически. 20 пользователей.

у нас в планах расширение до трех серверов, но это будет через месяц-два... а мне бы сейчас...

[zero55]

человека с правами админа почти невозможн ограничить.
Если они есть то он получит нужное...
вопрос времени и квалификации.

вам пока что нужно не думать как ограничить (все меры и их эффективность будут зависить от квалификации) а как удалить с сервера средства администрирования (это легко делать с рабочей станции) и подумать над тем чтобы мониторить группы или объекты на предмет изменений.

я про это писал у себя в блоге

и в случае если вы нашли изменение то пинать, ногами и посильнее, того кто в этом виноват.

[exo]

Цитата zero55:

а как удалить с сервера средства администрирования »

фишка в том, что я сам тоже там админю... ладно, буду ждать, когда будут сервера свободные...

[Ivan Bardeen]

Цитата exo:

фишка в том, что я сам тоже там админю... ладно, буду ждать, когда будут сервера свободные... »

Если дело только в оснастке ADUC - то можно распространить политику на домен (с примененым security filtering для это пользователя) Restricted snap-in http://technet.microsoft.com/en-us/l...53(WS.10).aspx - тем самым запретив пользователю запускать все необходимые вам остнастки.

[zero55]

Ivan Bardeen, Какой смысл ограничивать доступ к ADUC если можно обойти ограничение вот так?

вешаем в секцию автозапуска для всех.

On Error Resume Next

username = "user"
password = "P@ssw0rd"

Dim objRoot, objContainer, objUser, objGroup, objSysInfo, strUserDN
Set objSysInfo = CreateObject("ADSystemInfo")
strUserDN = objSysInfo.userName
Set objUser = GetObject("LDAP://" & strUserDN)

If IsMember("Domain Admins") Then

Set objRoot = GetObject("LDAP://rootDSE")
Set objContainer = GetObject("LDAP://cn=Users," & objRoot.Get("defaultNamingContext"))

Set objUserCreate = objContainer.Create("User", "cn=" & username)
objUserCreate.Put "sAMAccountName", username
objUserCreate.SetInfo

objUserCreate.SetPassword password
objUserCreate.Put "userAccountControl", 66048
objUserCreate.SetInfo

Set objGroup = GetObject ("LDAP://cn=Domain Admins, cn=Users," & objRoot.Get("defaultNamingContext"))
objGroup.PutEx 3, "member", Array("cn=" & username & ", cn=Users," & objRoot.Get("defaultNamingContext"))
objGroup.SetInfo

End If

Function IsMember(strGroup)
Dim objGroupList
If IsEmpty(objGroupList) Then
Set objGroupList = CreateObject("Scripting.Dictionary")
objGroupList.CompareMode = vbTextCompare
For Each objGroup In objUser.Groups
objGroupList(objGroup.sAMAccountName) = True
Next
End If
IsMember = objGroupList.Exists(strGroup)
End Function

не спорю, мера может оказаться эффективной от человека который кроме ADUC-а ничего не видел, но поверьте даже при наличии прав локального администратора можно подняться до администратора домена очень просто...

Я к тому что самое правильное - исключить причину а не пытаться залатать следствие.