![]() |
Проблема с ограничеными правами пользователей после миграции в домен.
Добрый день!
Помогите решить проблему. Провели миграцию пользователей с рабочей группы в домен. Пока у пользователей были права локального админа все было хорошо. После того как у пользователей ограничили админ. привилегии до прав обычного юзера начались проблемы, которые в первую очередь связаны с недостающими правами на пользовательский каталог (\Documents and Settings\«пользователь»). В ручном режиме и в индивидуальном порядке добавлять права можно, но в связи с наличием нескольких тысяч пользователей (ошибка правда не у всех) в индивидуальном порядке решать не выход. Как знает как с этим бороться? P/S: Как проводили миграцию неизвестно. |
Цитата:
потрудитесь объяснить подробнее. в этом вам поможет Process Monitor |
В том то и проблема, у пользователя почему-то нету почти полных прав на свой каталог после того как пользователя перенесли в группу "Пользователи" из группы "Администратор".
Что именно обьяснить подробнее? |
efficeon,
Возможно, права даны для группы "Администраторы", а не для конкретного пользователя. Выход - пересоздание профиля, например. |
monkkey
Не совсем уловил мысль. Стандартные права пользователя на свой каталог всегда должны быть практически полные (по умолчанию), вне зависимости от того в какой он группе. Это необходимо для коректной работы большинства софта. Изменения прав не делали, просто перенесли пользователя в группу юзеры. |
1) Если вы просто переместили пользователей из группы "администраторы" в группу "пользователи домена", а их профили при этом не изменяли, то права на их каталоги профиля - чудесным образом не перевоплотятся... Они раньше были админами, и права там стоят для админов, они теперь юзвери, а права там по прежнему для админов...
Для юзверей по умолчанию в рамках наследования, только Чтение и просмотр. 2) Как вы заводили юзерей в домен? Посмотрите в AD (Active Directory) путь к профилю пользователей... оно может быть не стандартным (т.е. поле "путь к профилю" - не пустое) ...у меня например профили хранятся на отдельной машине, хотя я это делал специально, соответствено права на каталог в котором они находятся должны быть соответствующие... Объясните пожалуйста по подробнее, в каком уровне доступа проблеммы ; не могут удалять/копировать, или вообще в доступе оказанно, софт не регистрируется? какия ОСь сервера, какие у юзеров? PS: Vista например всегда неадекватно работает с перемещенным профилем, под управлением w2k3, хотя и Microsoft обещали это исправить, пока что все по старому... |
Ограничения прав делали примерно таким образом:
На рабочей станции пользователя через (панель управления) "Учетные записи пользователей" в профиле пользователя изменили группу "Adminisrtators" на "Пользователи". Кажись так. Как заводили пользователей в домен к сожалению не известно. Проблемы при работе с софтом (например не запускаются приложения, ругается на отсутствие необходимых прав). Сервер; 2003, у юзеров: ХР sp3. |
Цитата:
Цитата:
... Так как вы перешли из Workgroup в домен, теперь все вопросы прав и привелегий решают пользователи из группы "Администраторы домена", , они-же на каждой подключенной к домену рабочей станции имеют и соответствующие лок.админские права, ограничения должны регулироваться групповыми политиками... а не составом и привилегиями пользователей на рабочих станциях, среди них не должно быть пользователей которые одновременно являются лок.админами и пользователями домена, Непосредственно учетки лок.админов вам болше не нужны, как таковы е (надысь сделать для них сложный паролик, запомнить его, а про саму учетку - забыть) |
Цитата:
Я инициатор ограничения админ. прав у рядовых пользователей(процедуру ограничений выполняют тоже админы). Как обычно бывает, весь гемор который в результате всплый соответственно приходится решать мне... |
Вы тогда определитесь что вы хотите!
Если вы завели их в домен - и дали ограниченные права - то вам необходимо раздать ети же права на локальные ресурсы компов ! ТО есть добавить в разрешения "Пользователи домена". определенный софт я так понимаю у вас хочет что бы вы были локальным администратором компа итд! Если хотите что бы вам помогли - опишите пожалуйста ан примере одного компьютера какие у вас проблемы с досупом по папкам пользователя и софтом ! возможно у вас проблема носит немного другой характер ! |
Обьясняю,
Есть пользователи которые были мигрированы из рабочей группы(старые пользователи) и есть пользователи которые были заведены уже в домене (новые сотрудники например) и первые и другие изначально имеют права локального админа. Начали ограничивать права до уровня обычных пользователей, по рассказам админов которые выполняли ограничение прав, они заходили на рабочую станцию пользователя, изменяли группу пользователя с "Администратор" на "Пользователи" и все. В результате начались проблемы только у старых пользователей (у тех которые были мигрированы в домен). Проблемы такого характера: Большинство программ не запускается, ругается, что не хватает админ. привелегий. Даже на локальный диск D: права стали урезаными. Если в ручном режиме пользователю добавить права на пользовательский каталог (\Documents and Settings\«пользователь») то все работает. Вот вопрос, почему у пользователя стали права на свой каталог ограничеными? Как с этим бороться не в ручном режиме? |
ну раз уж вы там оригинально это делаете, то теперь нужно ручками давать полные права пользователя на свой профиль.
ну а программы - это уже права НТФС на %program files%, видимо =) |
Как это делать не оригинально, чтобы потом ручки не поломать при раздаче прав на свой профиль, так как ограничили права только у маленькой части пользователей?
|
А несколько групп с разными правами создать нельзя? И потом добавлять пользователей в нужные группы.
|
Цитата:
Они должны распологать соответствующими знаниями для решения поставленой задачи... Хотя если они курировали сеть в которой у юзеров админские права, и сами не выступали с подобной инициативой - об их квалификации стоит задуматься. Вашу проблемму можно решить только сообща с вашими администраторами, или тогда вообще их от процесса отстранить, самому садиться за КД и, так сказть, с азов начинать вникать в доменную структуру под управлением конкретной серверной ОС... :) А на "кой", извините, тогда нужны "администраторы"? А что касается вашей проблемы, то, когда дело касается принципиально "корневых" изменений в сети, даже более-менее опытные админы могут "дать маху"... Я вот в свое врямя дневал и ночевал на работе, когда меня поставили перед фактом, и я сидел в серверной и смотрел "как баран на новые ворота" на этот "шкаф с лампочками" ... Лез с глупыми вопросами на это-т же форум, читал, пробовал... А по другому ни как... |
Время: 21:03. |
Время: 21:03.
© OSzone.net 2001-