2008 R2

Delirium · Отправлено: **09:12, 13-02-2012** | #2

Цитата nokogerra:

добавил группу с нужными доменными пользователями »

Какой тип у группы, локальный/глобальный/универсальный ?

cameron · Конфигурация компьютера

Цитата nokogerra:

Прошу идеи. »

после изменения членства в группе требуется logoff-logon

nokogerra · Отправлено: **09:36, 13-02-2012** | #4

группа глобальная, был не просто логоф-логон, был ребут.

cameron · Конфигурация компьютера

я только сейчас поняла что вы делалаете.
это делается через Restricted Groups (Группы с ограниченным доступом)

nokogerra · Отправлено: **10:02, 13-02-2012** | #6

через рестриктед групс - грубый метод: если создавать политику на local_admins (моя доменная группа), она будет входить в BUILTIN\Администраторы (на целевых машинах) - работало лишь 1й раз xD, после того как поменял членов группы local_admins (убрал васю, добавил петю) работать перестало, обновлял политики, изменял членство в группе через gui restricted groups, создавал даже новую политику - эффекта 0. Если делать наоборот, добавлять в local_admins группу BUILTIN\Администраторы - работает, но затирает всех уже имевшихся локальных админов на этих машинах - так не пойдет. Пользовал скрипт
On Error Resume Next

Set ws = WScript.CreateObject ( "WScript.Shell" )

compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )

Set adGrp = GetObject ( "WinNT://" & compname & "/Администраторы,group" )

Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" )

adGrp.Add ( "WinNT://ИМЯ ДОМЕНА/domain admins,group" )

adGrp.Add ( "WinNT://ИМЯ ДОМЕНА/Имя группы,group" )
отрабатывает только запуске "от имени администратора", или отключенном uac, отключать его не хочу, runas для повышенных прав не вариант - все равно нужно вводить пароль, стороннее по для запуска с повышенными правами тоже не вариант.

В общем же через group policy preferences работает, почему во только не видит пользователей добавленной группы, может есть какой-то нюанс с иерархичностью в группах win7?

zero55 · Отправлено: **11:14, 13-02-2012** | #7

Добавьте локальную группу "Пользователи"

nokogerra · Отправлено: **11:17, 13-02-2012** | #8

Куда? Зачем? Ответ неясен. 10 машин, для каждой определен свой пользователь, нужно чтобы лишь 2е из этих пользоватлей были локальными админами на всех этих машинах.

zero55 · Отправлено: **13:01, 13-02-2012** | #9

Как раз сегодня закончил статью по Restricted Groups ()линк
Посмотрите, может что то подойдет.

nokogerra · Отправлено: **13:33, 13-02-2012** | #10

В этой теме я уже отписывал что использовал restricted groups и как это работало (как не работало). В вашей статье не понял: каким образом можно "затащить к себе на хост" доменного админа при нахождении группы доменных админов в локальной группе "Администраторы", в win7 невозможно просмотреть состав доменной группы на сколько я знаю (нет доменного администратора по умолчанию типа "admin" каждый пользуется своей учетной записью)