Проблема с правами учетных записей на клиентских компах домена. help!!

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

Проблема с правами учетных записей на клиентских компах домена. help!!

Приветствую всех. Народ спасайте!
Вообщем так: Есть домен (Windows Server 2003 R2 SP1) с одним контроллером домена и 35 еще не вошедших в него клиентов под WinXP SP2/3.
Домен новый, завел только пару клиентов ито только для тестов. Создал для всех учетки в АД.
Действия и проблемы:
Допустим, в АД создал учетку с логином bux_nalog и правами обычного пользователя домена (права по умолчанию.)
Ввожу новый комп в домен (DNS и т.д. вс ОК). Входит! Перезагружаю, открывается окно ввода учетки. Ввожу bux_nalog, пароль...все ок.

Учетка на компе имеет ограниченные права, все верно, так и должно быть. Затем, ввел все 35 учеток в группу Администраторы (для того чтобы при начальной настройке клиента под юзера не было всяких проблем с правами.) (теперь все учетки состояли в группах Пользователи домена и Администраторы)

Выхожу из системы, вхожу снова, а администраторские права не появляются. Ну думаю репликация идет или инфа об учетке в кэше сохранилась и т.д.. Ладно. Перезагружаю. Пробую...---нифига. Еще жду 10мин, потом час, два и т.д. Что такое??????

Все мои подозрения на длительность репликации. Как вы думаете, уважаемые эксперты?

(доп. инфа: фаерволы везде отключены, и на серваке и на клиенте. Проблемы уж точно не в закрытых портах, т.к. групповые политики работают отлично.)

И еще вопрос не большой: Вот применение групповой политики можно ускорить на клиенте с помощью команды GPUpdate, а как можно ускорить принудительно применение вот этих самых разрешений на ресурсы, участие в группах и т.д.???

Заранее благодарен за то что уже читаете описание моей проблемы.. Надеюсь на вашу помощь.

'''''прошу прощения если задал дублированный вопрос''''' если это так, до дайте ссылку, гляну. Я не нашел ничего, поэтому сам написал.

ВОТ! Только что только заметил: учетка bux_nalog преобрела админские права, но почему не сразу?? сколько времени прошло уже....это ж полдня почти..разве так должно быть? И вообще, объясните ктонибудь пожалуйста принцип и порядок применения прав к юзерам, или дайте ссылку, буду благодарен.

Мое предположение: При первом моем входе на комп с учетки bux_nalog, она была там зарегистрирована. И я так думаю, что она преобретает права только после некоторого времени присутствия на компе.
Я так подумал, т.к. сделал наблюдение: вошел теперь на тот же комп с учетки urist, и опять та же проблема, не имеет локальных админских прав. Хотя учетки bux_nalog и urist я наделял админскими правами в АД в одно и тоже время. В чем дело то???? Где копать?

tlekkanapin
Смотрите вот эту тему, в ту ли группу вы включили пользователей.

Цитата:

Цитата Telepuzik

tlekkanapin
Смотрите вот эту тему, в ту ли группу вы включили пользователей. »

Вообщем я понял в принципе, но немного сложновато разобраться с группами, зависящими и т.д.
Я сделал вот как:
В AD все пользователи состоят в группе Пользователи и Администраторы (не Администраторы домена)
Как вы и сказали в той теме, я в ГП создал Группу с ограниченными правами -Администраторы домена. Ввел в поле "Члены этой группы" пользователей elena и rauya. Поле "Эта группа является членом" я оставил пустым. Все. больше туда я ничего не добавлял.

И все равно нифига нету, по беспределу чото, на одном компе у учетки есть права, на другой нет прав. (в одно и то же время. Применение политик на компе обновлял в ручную через GPUpdate, затем выходил из системы и входил снова и ничего.)

Мне поможет только именно ваш пример:
Возьмите условно 3-4 пользователя и опишите правильную настройку их прав в АД и в Групповых политиках, чтобы можно было без проблем менять при необходимости их права на локальных машинах. Думаю эта инфа поможет многим сисадминам.

Цитата:

Цитата tlekkanapin

Как вы и сказали в той теме, я в ГП создал Группу с ограниченными правами -Администраторы домена. Ввел в поле "Члены этой группы" пользователей elena и rauya. Поле "Эта группа является членом" я оставил пустым. Все. больше туда я ничего не добавлял. »

Неправильно. В АД создаем группу например Local Admins, в нее добавляем пользователей: elena и rauya. Затем GP->Computer Configuration->Windows Settings->Security Settings->Restricted Groups выбираем созданную группу Local Admins, и заполняем параметр "Это группа является членом в" Администраторы см. скрин. Созданную политику применяем к OU в котором находятся объекты компьютеры пользователей.

Цитата:

Цитата Telepuzik

В АД создаем группу например Local Admins, в нее добавляем пользователей: elena и rauya. Затем GP->Computer Configuration->Windows Settings->Security Settings->Restricted Groups выбираем созданную группу Local Admins, и заполняем параметр "Это группа является членом в" Администраторы см. скрин. Созданную политику применяем к OU в котором находятся объекты компьютеры пользователей. »

Я все сделал как вы мне посоветовали, а именно:
1) выкинул всех юзеров с группы Администраторы (осталось только по умолчанию Пользователи домена)
2) создал OU, назвал ее LocalAdmins
3) Создал там группу Локальные администраторы и ввел туда своих юзеров elena и rauya
4) Создал для этого подразделения ГП и в Рестриктед Групс сделал как вы описывали выше, все в точности (а именно: добавил группу Локальные администраторы и в графе "Является членом..." добавил группу Администраторы, больше ничего не добовлял туда).
5) Принудительно обновил ГП на клиентах, перезагрузил и...нифига..
(так же пробовал перемещать сам компьютер в АД из встроенного подразделения Computers в подразделение LocalAdmins; Ставил для этой политики параметр "Не перекрывать" и все равное не помогает.)
Одно заметил: На клиентах в Мой компьютер-Управление-Локальные учетки и группы, членом локальной группы Администраторы стала группа "мой_домен\Локальные администраторы" (а до этого кроме группы мой_домен\Администраторы домена никаких групп не было (ну за исключением родных локальных)