Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Как создать учетку сисадмина с неполноценными правами? (http://forum.oszone.net/showthread.php?t=79448)

grav 16-02-2007 15:51 550895
Как создать учетку сисадмина с неполноценными правами?
 
Надо разделить обязанности. Я - администрирую сервера (Windows 2003 Server), второй человек присматривает за компьютерами пользователей. Сеть с доменами.
Как сделать так, чтобы этот второй человек ничего не мог делать с серверами, но при этом имел все права на компьютеры пользователей, как Domain Admin?

Megabizon 16-02-2007 17:54 550958
Делаешь его обычным пользователем, на компы делаешь групповую политику, используешь Restricted groups, где для группы Администраторы, указываешь только Domain Admins и учетку этого пользователя.

Borodunter 16-02-2007 19:55 551013
Megabizon
Цитата:
Делаешь его обычным пользователем, на компы делаешь групповую политику, используешь Restricted groups, где для группы Администраторы, указываешь только Domain Admins и учетку этого пользователя.
насколько я понимаю, этот метод не позволит данному пользователю заходить на административные клиентские шары (типа \\usercomp\c$) ?

Igor533 16-02-2007 20:27 551030
Позволит, потому что этот "второй" будет на каждом пользовательском компе локальным админом

grav 19-02-2007 11:44 552341
Цитата:
Делаешь его обычным пользователем, на компы делаешь групповую политику, используешь Restricted groups, где для группы Администраторы, указываешь только Domain Admins и учетку этого пользователя.
Извиняюсь за глупые вопросы, но не хочется чего нибудь испортить.
Открываю групповую политику по умолчанию->Computer Configuration->Windows Settings->Security Settings->Restricted Groups. Там пусто. Добавляю группу Administrators и в нее учетку пользователя. Я так все понял?
Если да, то пользователь разве не будет иметь права администратора на сервера?

grav 19-02-2007 12:02 552357
После проделанного выше он теперь и серверные диски может подключать \\server\c$ А не хотелось бы :(

monkkey 19-02-2007 12:15 552365
grav
Смотря для какой ГП это проделывать.

grav 19-02-2007 12:23 552369
monkkey
Цитата:
Смотря для какой ГП это проделывать
Я делал для политики домена по умолчанию (Default Domain Policy)
Видимо надо компьютеры по отдельным юнитам разбросать и политики отдельные ставить на каждый юнит?

monkkey 19-02-2007 14:42 552439
Желательно. Контроллеры домена и так под политикой Default Domain Controller Policy, но лучше не трогать дефолтные политики вообще, а создавать свои, потом уже линковать к OU

grav 28-02-2007 11:39 556333
После добавления в Restricted groups группы Администраторы и применения групповой политики из группы локальных админов на локальных компьютерах удаляются все пользователи. А некоторым пользователям требуется локальные администраторские права. Что делать?

Butunin Klim 28-02-2007 13:25 556399
Во вы загоняетесь!
Сделать Локальным администраторм всех машин именно этого человека. И все.
Можно его хоть домен юзером сделать. просто внести его учетку в локальных админов компьюреров компании


Время: 09:50.

Время: 09:50.
© OSzone.net 2001-