настройка прав в домене
есть 10 компьютеров пользователей введенных в домен, сервер на 2003 винде на котором поднят AD и терминал сервер.
Что было сделано: в AD создал новую OU в которую поместил эти 10 пользователей, привязал к ней новую груповую политику в которой ограничил пользователей в правах. Что надо сделать: нужно чтоб права которые били назначены на новую OU распостранялись только на терминальных пользователей а не локаль на комп, на компах пользователей нужны права админа. если кто знает как это сделать помогите |
Цитата:
2) создать группу для терминального входа на данный сервер. 3) в фильтрах политики удалить - "все пользователи" и добавить созданную группу. |
Valik87,
Вы сможете создавать только политики компьютера (терминального сервера) Цитата:
Да, если терминальный сервер будет вне домена (Ваш п. 1) - Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп |
Цитата:
Цитата:
Цитата:
Т.е. пользователям этой группы нужно запретить интерактивный вход в систему. Пример. Есть OU - "managers". Ней есть 20 пользователей и 2 группы (по 10 пользователей в каждой). 1 группа - "менеджеры офиса". 2 группа - "менеджеры регионов". Создаём GPO, связываем с OU, и в фильтрах устанавливаем группу "менеджеры регионов". Если пользователи группы "менеджеры офиса" зайдут на терминал (если им разрешено), то GPO к ним не применится, т.к. в GPO в фильтрах нет этих пользователей. monkkey, я понял вопрос у автора как привязать GPO к группе безопасности. |
Цитата:
допустим есть пользователь "USER" он логинется на своем компьютере под этим именем у него полный доступ к своей машине, далее он подключается терминалом к серверу под тем же именем (USER) и тут да бы обезопасить сервер от любобытного пользователя надо ограничить его в правах, допустим запретить запуск CMD, убрать диспетчер и т.д. есть ли возможность это сделать это средствами Win2003? |
|
|
Цитата:
Цитата:
вообщем всё сводится к настойке локальных политик. |
Цитата:
|
Цитата:
|
Цитата:
если да то как ими вобще пользоваться, я просто туда ниразу не залазил, боюсь чего нибудь набокопорить |
Valik87, нет. это в нижней части политики безопасности. к сожалению скрин показать не могу.
Цитата:
|
|
EXO спасиб тебе, сейчас буду пробовать
|
все, заработало
сделал так как говорилось выше, а именно: установил GPMC.msi, дальше выбрал нужное подразделение убрал оттуда "Прошедшие проверку" добавил требуемую группу и все большое СПАСИБА за помощь |
Цитата:
Вам советую создать отдельную группу "пользователи терминала сервера такого-то" и только ей дать доступ через терминал. Т.е. на сервере в локальную группу "пользователи удалённого рабочего стола" добавить эту группу. И уже через эту группу использовать для раздачи прав GPO. Прочитайте что такое вложение групп. |
А может ли как то влиять какая это группа? я изначально выбирал "глобальная" потом поставил "локальную в домене" вроде работает, рестартовал пару раз, настройки не сбиваются
|
Valik87,
"Золотые правила" применения групп |
Цитата:
|
Время: 00:29. |
Время: 00:29.
© OSzone.net 2001-