![]() |
Как ограничить права юзера? Например, нужно сделать так, чтобы он не мог менять настройки рабочего стола, включать заставки, устанавливать обои и т.д.
И в чем разница будет, если делать это для локального или доменного профиля? |
shark21
для того чтоб пользователь (все пользователи этой машины) не мог изменять св-ва экрана достаточно переименовать файлик desk.cpl который лежит в system32, но это конечно не помешает ему передвигать ярлыки и т.д. |
Посмотри gpedit.msc
|
Цитата:
все настройки в обоих случаях следует выполнять для пользователя - административные шаблоны (- далее по желанию - например Рабочий Стол). |
А можно ли сделать гибче (и для локальных и для доменных пользователей)? Т.е. для одних пользователей, например Администраторов, можно изменять (ну, скажем, фоновый рисунок), я для обычных юзеров нельзя...
А-то вышеперечисленное замечательно работает (даже локальный админ не может поменять рисунок рабочего стола, не изменив вначале эту политику), хотелось бы в админовском профиле (я имею здесь в виду локального админа) уж смочь сделать некоторые вещи, недоступные обычным юзерам.. |
Нет, без домена это не сделать
|
А с доменом можно?
И как, если да? Я имею в виду доменовского админа. А-то если сделать так как сказал SkyF, то эта политика, например, запрет смены рисунка рабочего стола, задевает также и админа доменовского...что не очень приятно :) |
shark21
На Администратора домена она действует потому что он, как и все остальные учетные записи попадает под действие этой политики. Тк она прикреплена на уровне всего домена. Так? Но в AD можно съузить диапазон. вы можете создать свое Организационное подразделение, переместить в него какие-либо учетные записи ( не группы) и свой Объект групповой политики и подключите этот ОГП на это подразделение. Следовательно - все что вы там определите для пользователей в групповой политике -будет применяться к тем учетным записям, которые вложены в это ОУ и ниже по иерархии. Но, другое дело что Вы уже изменили (те настроили) Объект Групповой политики на уровне домена (Default Domain Policy). Так вот, если бы сразу создать новый ОГП , а не изменять тот что по умолчанию (надо было сразу сказать это), то можно было бы его просто отключить от уровня домена и подключить в другое место в AD. СОВЕТ: Никогда не изменяйте те ОГП, что установлены по умолчанию. |
Вернул в Default Domain Policy все обратно.
Создал в домене новое подразделение и в нем юзера, экпериментирую.... В свойствах подразделения создал групповую политику New, в ней кое-что изменил, в смысле включил кое-какие политики. Сохранил, обновил...Но при загрузке нового профиля на клиентской машине все равно изменения запрещенные политиками возможно делать... По-видимому действует Default Domain Policy, что-то еще в настройках, наверное, забыл прописать... Цитата:
|
Цитата:
это я и имел ввиду, что лин просто перебросить из уровня домена, на уровень подразделения с необходимуми учетными записями. Но, для политик по умолчанию это делать не следует. Вы же все правильно сделали - новое ОУ, новая политика на нем.. только я не могу сказать почему у вас не работает, и что вы настраивали за параметы, структура применения настроек слишком сложна и и зависит от многих параметров. укажите, что вы настроили и как проверяли. |
1) Открываю Active Directory -пользователи и компьютеры
2) Щелкаю по названию домена, создать подразделение 3) Щелкаю св-ва подразделения/групповая политика 4) Создать, задаю имя 5) Изменить, конфигурация пользователя/административные шаблоны/панель управления/экран и там включаю политику "запретить изменение фонового рисунка" 6) Применить 7) Создаю пользователя в этом подразделении 8) Щелкаю правой по названию домена и "Обновить" Проверяю на клиентском компьютере, загружая этот новый профиль и там пытаюсь поменять рисунок рабочего стола, причем успешно...:( т.е. политика не работает... |
есть такой файлик ntuser.dat он лежит в папке профиля пользователя описывающий профиль пользователя, если его настроить и переименовать в ntuser.man то никакие изменения касающиеся профиля пользователя сохраняться не будут...
... :( правда если что то сохранить на рабочем столе - то после прегрузки ты ничего не найдешь... |
А можно по подробней разказать как это делается
или напишите где почитать [s]Исправлено: Sergius, 14:42 8-07-2004[/s] |
shark21
А пользователь у вас в какие группы входит? Он должен быть домен-юзерс и пользователь подразделенияи не должен быть админом домена. Тогда он не сможет менять, а админ дломена-сможет |
shark21
Цитата:
|
А у меня похожая проблема. Дело вот в чем. Есть групповая политика домена по умолчанию Default Domain Policy вот ее то я и начал в своё время править (кто ж знал что не трогать). Правил, правил и всё замечательно работало и работает. Любые изменения тутже вступали в силу. Но теперь мне понадобилось создать Подразделения и соответственно создать у них свою групповую политику. Значится 1) Открываю Active Directory -пользователи и компьютеры 2) Щелкаю по названию домена, создать подразделение 3) Щелкаю св-ва подразделения/групповая политика 4) Создать новую политику, обзываю и делаю какие изменения мне нужны. Выхожу обновляю. Даю команду gpupdate и такую же на тестовом компе (винда ХР) дабы политика вступила тут же в силу. Тренировался на простом - требовать нажимать пользователям при загрузке alt+ctrl+del или не нажимать. Итак в политике домена данная строка стоит "не определено", т.е. никаких галок не стоит, а вот в политике подразделения я галку поставил и сказал чтобы данная комбинаия не требовалась. Перегружаюсь - он у меня просит эту комбинацию. Смотрю логи - политика на клиенте обновилась. Ну думаю ладненько и взял да и отключил политику всего домена (та что по дефолту), а политику подразделения оставил, выхожу даю команду обновления на обоих машинах, перегружась - хрен не пашет политика подразделения. Вот тут то я и в тупик зашел. Что делать ? Если щас политику домена врубить то она заработает отлчино, а вот политика подразделения так и не пашет. Так же тренировался и на других простеньких пунктах - не работают
|
А вы положили учетные записи нужных пользователей и компьютеров в само подразделение?
|
Вложений: 1
Цитата:
Ну вот после добавления, а точнее переноса самого КОМПЬЮТЕРА во вновь созданное подразделение из папки computers вСЁ заработало. |
karalka
Просто не надо путать Computer Settings и User Settings, вроде всё само за себя говорит. |
Время: 04:03. |
Время: 04:03.
© OSzone.net 2001-