домен_юзер --> админ
 

Вопрос такой: как сделать так, чтобы каждый авторизировавшийся домен_пользователь на доменном компе автоматически получал статус локал_админа. Можно реализовать?? Сейчас приходится ручками проставлять админские права.
Можно ли автоматизировать процесс??

За всю предоставленную информацию буду премного благодарен.
(поиск результатов не дал)

Через restricted groups можно включить группу Domain Users в группу локальных администраторов.
Или скриптом добавить группу Domain Users в группу локальных администраторов.

нет, получится что на каждый компьютер ВСЕ пользовали будут являться администраторами. Получается каждому юзеру со своей учётной записи будут доступны конфиденциальные данные с других компьютеров.
Может можно реализовать посредством скрипта? Например при условии загрузки, успешной авторизации доменного юзера на компе, его доменный аккаунт добавляется в группу локальных администраторов.

Станное у вас задание. Если пользователь получит права посредством скрипта, то он все равно будет иметь доступ к чужим данным там, где авторизовался.

Для реализации вашей задачи можно в GPO пользователям на автозагрузку и выход положить соответствующие скрипты.
Посмотрите в Res. Kit утилиты: usrtogrp.exe, whoami.exe. Надо повозиться с перенаправлением и формированием текстового файла. Можно VBS скрипт, но сдесь я не помогу. Интернет поможет :-).

Удачи.
Сергей

Попробуй сделать так
а у каждой учетной записи в настройках укажи на какой компьютер она (учетная запись) может входить. И права локальных администраторов я бы не давал пользователям - им это не зачем...

как говорится, у админа 2 проблеммы: тупые юзеры, и умные.... но это так, оффтоп, товарисчи :)

В данный момент сделал, как советует уважаемый babki, это скорее заплатка а не системное решение. Объясню почему: на любом локальном компьютере хранятся данные учётных записей администраторов. При этих группах членами являются ВСЕ пользователи. Открываем допустим тотал(коммандер). Пункт показать ресурсы администратора(С$ например). Во всплывшее окошко вводим ЛЮБОЙ доменный акк с паролем. Получаем доступ на данные компьютера :)
Я не прав?

Ахинея какаято.....

СОгласен. Скриптами это сделать было бы куда практичнее и удобнее. А чтобы добить решение данной проблемы , во первых пользователь не должен знать паролей других доменных пользователей, это и естественно, тогда зачем они нужны? А во вторых чтобы по сети нельзя было попасть на удаленную машину в настройках групповой политики запрети доступ к компьютеру по сети группам "пользователи домена" и другим пользователям входящим в группу администраторов на удаленной машине. поэкспериментируй..

на то они и пароли чтобы их незнать :)

babki , вопрос немного всторону: а можно ли разрешить работать с расшарами доменным учёткам, и рубить недоменных (раб.группа)?? например чтобы им всплывало окошко с просьбой ввести пароль хотя бы... Буду ОЧЧЕНЬ благодарен если скажите как реализовать подобное!

BigDim , доберусь на выходных до сервака, народа не будет... Поэкспериментирую и проверю.... Если я всё же прав, то отпишусь.

В пункт "запретить доступ к компьютеру по сети" добавь локального администратора и других пользователей, которым доступ по сети хочешь запретить... Но с запросом пароля уже сделать будет невозможно

winder, если скриптом .vbs, то можно так:
Скрипт вставлять в Конфигурацию компьютера -> Конфигурацию Windows -> Сценарии.
Недостатки:

1. юзер получает права только при следующем включении компьютера (или после перезагрузки);
2. скрипт из "Конфигурации компьютера" при перелогинивании не выполняется (т. е. нужно перезагрузиться или выключить/включить).

чувааак, огромное человеское спасибо )))

Одна просьба... Дай сцылку или книжку какую нить посоветуй по скриптам подобного рода.

winder,
http://www.microsoft.com/technet/scr...r/default.mspx

ещё раз спасибо