Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Добавление групп через GPP (http://forum.oszone.net/showthread.php?t=227707)

nokogerra 13-02-2012 08:41 1857463
Добавление групп через GPP
 
DC на Win 2008R2, нужно добавить группу доменных пользователей в группу локальных админов на машины, сложенные в контейнере "Win7", gpo: параметры комптютера-настройка-параметры панели управления-локальные пользователи и группы, update локальной группы "Администраторы", добавил группу с нужными доменными пользователями, обновил политики, группа на эти машины добавилась в "Администраторы", но прав нет, сделал также с отдельным пользователем - добавился и права есть. Прошу идеи.

Delirium 13-02-2012 09:12 1857472
Цитата:
Цитата nokogerra
добавил группу с нужными доменными пользователями »
Какой тип у группы, локальный/глобальный/универсальный ?

cameron 13-02-2012 09:17 1857474
Цитата:
Цитата nokogerra
Прошу идеи. »
после изменения членства в группе требуется logoff-logon

nokogerra 13-02-2012 09:36 1857484
группа глобальная, был не просто логоф-логон, был ребут.

cameron 13-02-2012 09:53 1857487
я только сейчас поняла что вы делалаете.
это делается через Restricted Groups (Группы с ограниченным доступом)

nokogerra 13-02-2012 10:02 1857494
через рестриктед групс - грубый метод: если создавать политику на local_admins (моя доменная группа), она будет входить в BUILTIN\Администраторы (на целевых машинах) - работало лишь 1й раз xD, после того как поменял членов группы local_admins (убрал васю, добавил петю) работать перестало, обновлял политики, изменял членство в группе через gui restricted groups, создавал даже новую политику - эффекта 0. Если делать наоборот, добавлять в local_admins группу BUILTIN\Администраторы - работает, но затирает всех уже имевшихся локальных админов на этих машинах - так не пойдет. Пользовал скрипт
On Error Resume Next



Set ws = WScript.CreateObject ( "WScript.Shell" )

compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )



Set adGrp = GetObject ( "WinNT://" & compname & "/Администраторы,group" )

Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" )



adGrp.Add ( "WinNT://ИМЯ ДОМЕНА/domain admins,group" )

adGrp.Add ( "WinNT://ИМЯ ДОМЕНА/Имя группы,group" )
отрабатывает только запуске "от имени администратора", или отключенном uac, отключать его не хочу, runas для повышенных прав не вариант - все равно нужно вводить пароль, стороннее по для запуска с повышенными правами тоже не вариант.

В общем же через group policy preferences работает, почему во только не видит пользователей добавленной группы, может есть какой-то нюанс с иерархичностью в группах win7?

zero55 13-02-2012 11:14 1857527
Добавьте локальную группу "Пользователи"

nokogerra 13-02-2012 11:17 1857531
Куда? Зачем? Ответ неясен. 10 машин, для каждой определен свой пользователь, нужно чтобы лишь 2е из этих пользоватлей были локальными админами на всех этих машинах.

zero55 13-02-2012 13:01 1857610
Как раз сегодня закончил статью по Restricted Groups ()линк
Посмотрите, может что то подойдет.

nokogerra 13-02-2012 13:33 1857642
В этой теме я уже отписывал что использовал restricted groups и как это работало (как не работало). В вашей статье не понял: каким образом можно "затащить к себе на хост" доменного админа при нахождении группы доменных админов в локальной группе "Администраторы", в win7 невозможно просмотреть состав доменной группы на сколько я знаю (нет доменного администратора по умолчанию типа "admin" каждый пользуется своей учетной записью)

zero55 13-02-2012 13:44 1857653
Затащить доменного админа, если его использует техподдержка (видел и такое), довольно легко.
1. вы уже имеете локального администратора
2. специально моделируете "проблему"
3. сотрудник саппорта заходит на ваш комп удаленно, под аккаунтом пользователя не работает, он проверяет под собою. Естественно все работает.

Результат.
1. вы можете запихнуть нужный скрипт ему в автозагрузку или в реестр
2. вы можете получить его хэш.

Вариантов множество.

nokogerra 14-02-2012 05:12 1858235
тех поддержка использует другие учетки, доменных админов имеют 2е я и дяденька, пасы меняю каждую неделю) ну это не туда мы поехали, помогайте идеями, что не так с методой group policy preference или с методом restricted group если я создаю политику на свою доменную группу local_admins и соответственно она начинает входить в группу BUILTIN\Администраторы, при этом работала только 1й раз, после изменения состава группы local_admins перестала работать, изменял членство группы вручную, через гуи рестриктед груп, обновлял политики, делал новую политику - нет эффекта.

nokogerra 15-02-2012 06:22 1859098
ап. прошу идеи.

cameron 15-02-2012 09:10 1859138
Цитата:
Цитата nokogerra
ап. прошу идеи. »
а что тут просить то?
Цитата:
Цитата nokogerra
через рестриктед групс - грубый метод: если создавать политику на local_admins (моя доменная группа), она будет входить в BUILTIN\Администраторы (на целевых машинах) - работало лишь 1й раз xD, после того как поменял членов группы local_admins (убрал васю, добавил петю) работать перестало, обновлял политики, изменял членство в группе через gui restricted groups, создавал даже новую политику - эффекта 0. »
чудеса да и только.
смоделировать не смогла, как ни пыталась.
идея - разбираться почему у вас это не работает.

nokogerra 16-02-2012 06:12 1859859
вот так это выглядит, почему не работает не знаю. в обратном порядке (Builtin\Администраторы входит в local_admins) работает.


Время: 02:52.

Время: 02:52.
© OSzone.net 2001-