[решено] Список пользователей в RunAs - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

- - [решено] Список пользователей в RunAs (http://forum.oszone.net/showthread.php?t=88681)

Список пользователей в RunAs

Ситуация такая: есть домен Active directory, в нем куча компов (winXP), на которые периодически приходится ставить софты. Для этого в домене создана учетная запись с соответствующими правами.
Далее все делается через runas. Так вот, на машинах в выпадающем списке пользователей есть только локальные юзеры и, почему-то, один доменный (иногда). При этом сразу в списке нет никого, но если набирать имя локального компа, то автодополнением показываются локальные пользователи, а если речь идет о домене, то не показывается вообще ничего. К тому же около поля для ввода пользователя есть подозрительная неактивная кнопка, с помощью которой должен открываться диалог поиска пользователей, но она тоже не работает. В итоге каждый раз приходится набирать username@domain, а хотелось бы, чтобы нужный пользователь выбирался из выпадающего списка, хотя бы после того, как он один раз так залогинился. При этом не хотелось бы в списке видеть всех пользователей домена.

Вопрос знатокам: как это реализовать, желательно централизованно, например через групповую политику.

Restricted Groups - добавить в локальные группы "Администраторы" администраторов домена, встроенного Администратора, нужного пользователя.

monkkey, Принцип ясен - если нужно, чтобы пользователь был в списке, он должен быть в группе администраторов локальной машины. Неясно как через Restricted Groups это сделать. Там по идее нужно добавить группу, включающую доменных админов и сделать ее членом групп client_computer_name\администраторы для каждого компа, где это нужно. Проблема в том, что при выборе группы для поля member of выбрать можно только доменные группы, либо группы того контроллера домена, куда в данный момент залогинен админ. К тому же такой вариант не будет работать для новых компов в домене.

Цитата:

Цитата gHosTerr

при выборе группы для поля member of выбрать можно только доменные группы

1. Клиентская машина должна быть не ниже XP SP2;
2. Запустить оснастку редактора политики на контроллере;
3. В "Restricted Groups" добавить Built-in группу "Administrators";
4. В "Member of this groups" добавить необходимую доменную группу/пользователя.

amel27, Да, так вроде работает, но такой метод выкидывает из админской группы всех остальных. А часть пользователей имеет админские права.

В итоге пришлось включать МОЗГ :)

После непродолжительных RTFM и STFW и продолжительной отладки получилось примерно следующее:

Код:

 

@echo off

REM         В этой переменной объявляем название скрипта

set script_name=runas2



REM         В этой переменной объявляем имя доменного пользователя,

REM         которого будем добавлять в локальную группу клиентского ПК

set admin_user_name=admin



REM         В этой переменной объявляем имя группы на клиентском ПК, в которую

REM         будем добавлять пользователя. Это нужно чтобы скрипт работал как на русской, 

REM         так и на английской винде.

set local_adm_group=администраторы



REM эту штуку нужно указывать, так как на момент запуска скрипта винда ничего не знает о своей 

REM принадлежности к домену (т.е. одноименная виндовая переменная еще не определена)

set userdomain=имя_домена



title %script_name% script



echo this will add domain admin to local admin group





REM          Проверяем наличие папки для складирования файлов-флагов

if not exist %windir%\scriptdir md %windir%\scriptdir



REM          Прячем ее от любопытных (необязательно)

attrib +H %windir%\scriptdir



REM          Проверяем наличие файла-флага для нашего скрипта

if exist %windir%\scriptdir\%script_name%_script_exec.flag goto :eof



REM          Когда убедились, что скрипт не выполнялся ранее делаем свое темное дело :]

net localgroup %local_adm_group% %userdomain%\%admin_user_name% /add



REM          Создаем файл-флаг и пишем туда дату и время выполнения скрипта

echo %date% %time% %username% >%windir%\scriptdir\%script_name%_script_exec.flag



REM          Все!

echo done.

Кидается это в startup scripts через ту же групповую политику.