права администраторов домена
 

Пользователь "xx" принадлежит группе "Администраторы" в АД. Но он не может ничего редактировать на локальных машинах. Что нужно сделать и где чтобы он мог это сделать. До меня (по рассказам) был домен 2003 и там это работала..

ultrakiller
Добавить пользователя в группу "Администраторы домена" либо через групповые политики добавить пользователя в группу "Администраторы" на локальных машинах.

так ведь, если я не ошибаюсь, "Администраторы домена" входят в группу "Администраторы", или это не так..
И они по логике обладают большими правами, чем "Администраторы домена"..

Вопрос: и где-нибудь в политиках это можно посмотреть (настроить)

ultrakiller
Да группа "Администраторы домена" входит в группы Bultin\Администраторы на контролере домена и в группу "Администраторы" на локальных машинах.
Члены группы "Bultin\Администраторы" на контроллере домена являются администраторами только на контроллерах домена, а члены группы "Администраторы домена" являются администраторами как на КД так и на локальных машинах.
Если вы хотите пользователя сделать администратором на локальных машинах не давая ему прав "Администратора домена" то используйте Restricted Groups (GP->Computer Configuration->Windows Settings->Security Settings->Restricted Groups)

Если не трудно объясните как этим пользоваться или где про это почитать. Я добавил туда группу пользователей меня интересующую, что дальше .....

ultrakiller
В свойствах "AD\Labadmins" в параметрах "Эта группа входит в" нажимаете "Добавить" вводите группу "Администраторы". Создаете OU, добавляете в нее тестовый компьютер, применяете к OU созданную политику и смотрите результат.
Не забудте добавить в группу Labadmins пользователя которуму необходимы права.

где можно взять какую-нибудь ману почитать по gpo, Active Directory для windows 2008