доменные пользователи!
 

Всем доброго времени суток. Подскажите пожалуйста, как и где можно изменить права пользователей созданных в AD? Имеется в виду что бы эти пользователи могли менять и время, и устанавливать программы и т.п, Но не сильно охота включать их в группу Администраторы домена. Заранее огромное спасибо.

Если компьютеров не много то можно под клиентом зайти в настройки пользователей и добавить пользователя домена в группу администратор, тогда он будет как админ на своей машине но в домене как пользователь... только это надо делать с локального админа...

Имея доменную структуру, делегировать права локального администратора ради смены времени?

Тоже самое не большая конторка, в принципе дал всем права ADM DC, но знаю что не правильно.
В принципе организация не чем не ограничивает, так максимум просмотр десктопа и трафика,
сотрудников не много, задания выдаются лично, так что смысла особого не вижу если пользователи сами программки,
будут ставить... типа менеджеров сотовых или чтото подобного, ну соответственно интруктаж должен быть чтоб
из достоверных источников только ставили =)

всем пользвателям дать права DomainAdmin? смело=)

Вобщем не знаю точно как в 2008, но в 2003 это делалось так:
в Групповой политике домена - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Группы с ограниченным доступом.
В првом окне правой клавишей мыши - Добавить группу... (выбрать группу домена, которой надо дать права локальных админов) - правой клавишей по группе - Свойства - добавить "Администраторы" в нижнем окошке (" Эта группа является членом в:" )

И все члены этой группа будут администраторами на всех компьютерах домена, но не администраторами домена!

ИЗвращенство какое то! ПОлитиками никак не судьба подстроить? Зачем тогда AD вообще?

Выработай политику. Например:
1. Политика паролей локальных учетных записей.
А. Пароль локального администратора на компьютере пользователей.
Б. Пароль локального администратора на компьютере админов.
В. Пароль локального администратора на серверах.
Итак, имеем 3 пароля локальных администраторов, их знаешь только ты, и никому никогда не скажешь, кроме других админов.
Всех остальных локальных юзверов кроме дефалтных Администратор/Administrator отключаешь нафиг.
2. Политика рабочих мест пользователей.
А. Пользователь может делать что угодно за своим компом под своей учеткой, но не может делать то-же на других компах под своей учеткой.
Б. Пользователь должен использовать блокировку рабочего стола, когда находится не за компьютером. (Все пользователи на это дружно забьют).

Далее убираешь администратора домена у тех пользователей, кому успел дать.
На каждой машине делаешь следующее:
1. Логинишься под собой.
2. Пуск - Выполнить - control userpasswords2
3. Добавить - вводишь данные пользователя и домена - Далее - Администратор - Готово.
4. Пускаешь пользователя под собой.

При желании, этот процесс можно автоматизировать скриптом.
А возможно, даже выполнить удаленно для каждого компьютера.

Вариант, описанный ниже:
плох тем, что пользователи будут админами на всех компьютерах. Это не есть гуд.

а за чем лок админов давать? Опытные пользователи разве не имеют прав на смену времени? программы они точно смогут ставить.
это решается в свойствах учётки - вход в... и выбираем локальную машину + сервера.

спасибо за возможные варианты, в понедельник попробую сделать, потом отпишусь о результатах.

Возникло 2 вопроса. Первый - зачем админ в организации, где пользователи должны и смогут все сами ставить бесконтрольно?
Второй - Зачем им менять время и другие параметры? Пользователь должен РАБОТАТЬ, а не ставить программы.

Деятельность бывает разная. Например, штат 200 юзеров.
Среднестатистический юзер этой организации устанавливает 1 программу каждую неделю.
И может обосновать её (программы) производственную необходимость.
40 программ в день, не запаритесь бегать? :)

Цитата:

Цитата Kiber не запаритесь бегать? »

если админ бегает - его нужно увольнять.
а для чего придумали установку программ через групповые политики?
установили одну прогу, понадобилась она же другому пользователю - добавили его в соответствующую группу.

Глупости.

Под каждую софтингу GPO? 100500 групповых политик? Глупости.
Да и не настолько они гибкие, чтобы применять везде и всегда.

У меня бывало и по полторы тысячи.
Radmin ? Любая другая программа удаленного управления?

Вообще, если в доменной сети у пользователя есть права администратора - грош цена такому админу. Исключения допускаются в нескольких случаях -
1) хорошее личное знакомство и уверенность в действиях такого пользователя
2) Специфические узкоспециализированные программы, криворуко написанные, которые ну никак не работает под обычным пользователем.

Во всех других случаях админ на то и существует, чтобы держать в руках бразды управления. Вы же не отдаете ключи от машины всем своим сотрудникам, только потому, что им она производственна необходима и они умеют управлять машиной? Также и с сетью.
НЕТ производственной необходимости ставить десятки программ только потому, что им так захотелось.

вы что? 100500 подключений?

Да, согласен, у нас используется для того, чтобы сотрудники ИТ отдела могли работать как администраторы на всех машинах.
Но всяко лучше чем всем права администратора домена давать :)