Проблема с ограничеными правами пользователей после миграции в домен.
 

Добрый день!
Помогите решить проблему.
Провели миграцию пользователей с рабочей группы в домен. Пока у пользователей были права локального админа все было хорошо. После того как у пользователей ограничили админ. привилегии до прав обычного юзера начались проблемы, которые в первую очередь связаны с недостающими правами на пользовательский каталог (\Documents and Settings\«пользователь»).
В ручном режиме и в индивидуальном порядке добавлять права можно, но в связи с наличием нескольких тысяч пользователей (ошибка правда не у всех) в индивидуальном порядке решать не выход.
Как знает как с этим бороться?
P/S: Как проводили миграцию неизвестно.

пользователь имеет почти полный доступ в свой каталог.
потрудитесь объяснить подробнее.
в этом вам поможет Process Monitor

В том то и проблема, у пользователя почему-то нету почти полных прав на свой каталог после того как пользователя перенесли в группу "Пользователи" из группы "Администратор".

Что именно обьяснить подробнее?

efficeon,
Возможно, права даны для группы "Администраторы", а не для конкретного пользователя. Выход - пересоздание профиля, например.

monkkey
Не совсем уловил мысль.
Стандартные права пользователя на свой каталог всегда должны быть практически полные (по умолчанию), вне зависимости от того в какой он группе. Это необходимо для коректной работы большинства софта.

Изменения прав не делали, просто перенесли пользователя в группу юзеры.

1) Если вы просто переместили пользователей из группы "администраторы" в группу "пользователи домена", а их профили при этом не изменяли, то права на их каталоги профиля - чудесным образом не перевоплотятся... Они раньше были админами, и права там стоят для админов, они теперь юзвери, а права там по прежнему для админов...
Для юзверей по умолчанию в рамках наследования, только Чтение и просмотр.

2) Как вы заводили юзерей в домен?
Посмотрите в AD (Active Directory) путь к профилю пользователей... оно может быть не стандартным (т.е. поле "путь к профилю" - не пустое)
...у меня например профили хранятся на отдельной машине, хотя я это делал специально, соответствено права на каталог в котором они находятся должны быть соответствующие...
Объясните пожалуйста по подробнее, в каком уровне доступа проблеммы ;
не могут удалять/копировать, или вообще в доступе оказанно, софт не регистрируется?
какия ОСь сервера, какие у юзеров?
PS: Vista например всегда неадекватно работает с перемещенным профилем, под управлением w2k3, хотя и Microsoft обещали это исправить, пока что все по старому...

Ограничения прав делали примерно таким образом:
На рабочей станции пользователя через (панель управления) "Учетные записи пользователей" в профиле пользователя изменили группу "Adminisrtators" на "Пользователи". Кажись так.

Как заводили пользователей в домен к сожалению не известно.

Проблемы при работе с софтом (например не запускаются приложения, ругается на отсутствие необходимых прав).

Сервер; 2003, у юзеров: ХР sp3.

Это не правльно... Получается админы сами себя превратили в юзеров... а часть изменений происходит при инициализации профиля, часть при завершении работы, и скорее всего "привелегии" сохраняются при завершении, а при следующем входе у этой-же учетки уже не хватает прав завершить преобразования...
Разрешите вопрос: вы администрируете эту сеть или есть еще и админ ?
...
Так как вы перешли из Workgroup в домен, теперь все вопросы прав и привелегий решают пользователи из группы "Администраторы домена",
, они-же на каждой подключенной к домену рабочей станции имеют и соответствующие лок.админские права,
ограничения должны регулироваться групповыми политиками... а не составом и привилегиями пользователей на рабочих станциях, среди них не должно быть пользователей которые одновременно являются лок.админами и пользователями домена,
Непосредственно учетки лок.админов вам болше не нужны, как таковы е (надысь сделать для них сложный паролик, запомнить его, а про саму учетку - забыть)

Есть админы которые это все непонятно как сделали.
Я инициатор ограничения админ. прав у рядовых пользователей(процедуру ограничений выполняют тоже админы). Как обычно бывает, весь гемор который в результате всплый соответственно приходится решать мне...

Вы тогда определитесь что вы хотите!
Если вы завели их в домен - и дали ограниченные права - то вам необходимо раздать ети же права на локальные ресурсы компов !
ТО есть добавить в разрешения "Пользователи домена". определенный софт я так понимаю у вас хочет что бы вы были локальным администратором компа итд! Если хотите что бы вам помогли - опишите пожалуйста ан примере одного компьютера какие у вас проблемы с досупом по папкам пользователя и софтом ! возможно у вас проблема носит немного другой характер !

Обьясняю,

Есть пользователи которые были мигрированы из рабочей группы(старые пользователи) и есть пользователи которые были заведены уже в домене (новые сотрудники например) и первые и другие изначально имеют права локального админа.
Начали ограничивать права до уровня обычных пользователей, по рассказам админов которые выполняли ограничение прав, они заходили на рабочую станцию пользователя, изменяли группу пользователя с "Администратор" на "Пользователи" и все.

В результате начались проблемы только у старых пользователей (у тех которые были мигрированы в домен). Проблемы такого характера:
Большинство программ не запускается, ругается, что не хватает админ. привелегий. Даже на локальный диск D: права стали урезаными. Если в ручном режиме пользователю добавить права на пользовательский каталог (\Documents and Settings\«пользователь») то все работает. Вот вопрос, почему у пользователя стали права на свой каталог ограничеными? Как с этим бороться не в ручном режиме?

ну раз уж вы там оригинально это делаете, то теперь нужно ручками давать полные права пользователя на свой профиль.
ну а программы - это уже права НТФС на %program files%, видимо =)

Как это делать не оригинально, чтобы потом ручки не поломать при раздаче прав на свой профиль, так как ограничили права только у маленькой части пользователей?

А несколько групп с разными правами создать нельзя? И потом добавлять пользователей в нужные группы.

Тогда это их проблемы в первую очередь, если конечно они имели соответсвующее распоряжение...
Они должны распологать соответствующими знаниями для решения поставленой задачи...
Хотя если они курировали сеть в которой у юзеров админские права, и сами не выступали с подобной инициативой - об их квалификации стоит задуматься.
Вашу проблемму можно решить только сообща с вашими администраторами, или тогда вообще их от процесса отстранить, самому садиться за КД и, так сказть, с азов начинать вникать в доменную структуру под управлением конкретной серверной ОС... :)
А на "кой", извините, тогда нужны "администраторы"?
А что касается вашей проблемы, то, когда дело касается принципиально "корневых" изменений в сети, даже более-менее опытные админы могут "дать маху"...
Я вот в свое врямя дневал и ночевал на работе, когда меня поставили перед фактом, и я сидел в серверной и смотрел "как баран на новые ворота" на этот "шкаф с лампочками"
... Лез с глупыми вопросами на это-т же форум, читал, пробовал... А по другому ни как...