Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] настройка прав в домене (http://forum.oszone.net/showthread.php?t=141577)

Valik87 01-06-2009 15:24 1132311
настройка прав в домене
 
есть 10 компьютеров пользователей введенных в домен, сервер на 2003 винде на котором поднят AD и терминал сервер.
Что было сделано: в AD создал новую OU в которую поместил эти 10 пользователей, привязал к ней новую груповую политику в которой ограничил пользователей в правах.
Что надо сделать: нужно чтоб права которые били назначены на новую OU распостранялись только на терминальных пользователей а не локаль на комп, на компах пользователей нужны права админа.
если кто знает как это сделать помогите

exo 01-06-2009 16:26 1132357
Цитата:
Цитата Valik87
на новую OU распостранялись только на терминальных пользователей »
1) разделить AD и Terminal Server
2) создать группу для терминального входа на данный сервер.
3) в фильтрах политики удалить - "все пользователи" и добавить созданную группу.

monkkey 01-06-2009 16:44 1132368
Valik87,
Вы сможете создавать только политики компьютера (терминального сервера)
Цитата:
Цитата exo
2) создать группу для терминального входа на данный сервер.
3) в фильтрах политики удалить - "все пользователи" и добавить созданную группу. »
Будет применяться к пользователям вне зависимости, логинятся они в терминал или на локальный компьютер.
Да, если терминальный сервер будет вне домена (Ваш п. 1) -
Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп

exo 01-06-2009 17:11 1132383
Цитата:
Цитата monkkey
Да, если терминальный сервер будет вне домена (Ваш п. 1) »
я имел ввиду на разные сервера разнести.
Цитата:
Цитата monkkey
Будет применяться к пользователям вне зависимости, логинятся они в терминал или на локальный компьютер. »
Цитата:
Цитата exo
2) создать группу для терминального входа на данный сервер. »
Данная группа предназначена только для работы на терминале.
Т.е. пользователям этой группы нужно запретить интерактивный вход в систему.

Пример.
Есть OU - "managers". Ней есть 20 пользователей и 2 группы (по 10 пользователей в каждой).
1 группа - "менеджеры офиса".
2 группа - "менеджеры регионов".

Создаём GPO, связываем с OU, и в фильтрах устанавливаем группу "менеджеры регионов".
Если пользователи группы "менеджеры офиса" зайдут на терминал (если им разрешено), то GPO к ним не применится, т.к. в GPO в фильтрах нет этих пользователей.

monkkey, я понял вопрос у автора как привязать GPO к группе безопасности.

Valik87 01-06-2009 17:47 1132408
Цитата:
Цитата exo
я понял вопрос у автора как привязать GPO к группе безопасности. »
ну немножко не так

допустим есть пользователь "USER" он логинется на своем компьютере под этим именем у него полный доступ к своей машине, далее он подключается терминалом к серверу под тем же именем (USER) и тут да бы обезопасить сервер от любобытного пользователя надо ограничить его в правах, допустим запретить запуск CMD, убрать диспетчер и т.д.
есть ли возможность это сделать это средствами Win2003?

exo 01-06-2009 18:00 1132418
Цитата:
Цитата Valik87
есть ли возможность это сделать это средствами Win2003? »
Цитата:
Цитата monkkey
Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп »

p.s.: на форуме такие темы уже были.

Valik87 01-06-2009 18:07 1132427
Цитата:
Цитата exo
при использовании рабочих групп »
а в домене этого сделать нельзя?

Цитата:
Цитата exo
p.s.: на форуме такие темы уже были. »
я искал через поиск ничего подобного не мог найти, если Вы такие темы встречали можете мне кинуть ссылку

exo 01-06-2009 18:43 1132452
Цитата:
Цитата Valik87
а в домене этого сделать нельзя? »
можно. Дело в том, если у вас доменная политика перекроет локальную - смысла в локальных нет.
Цитата:
Цитата Valik87
мне кинуть ссылку »
один из примеров и так далее.
вообщем всё сводится к настойке локальных политик.

Valik87 02-06-2009 09:59 1132832
Цитата:
Цитата exo
доменная политика перекроет локальную - смысла в локальных нет. »
а можно ли настроить так чтоб политики домена не применялись для пользователя на его комп. ?????

exo 02-06-2009 10:08 1132837
Цитата:
Цитата Valik87
а можно ли настроить так чтоб политики домена не применялись для пользователя на его комп »
да, также через фильтры.

Valik87 02-06-2009 11:04 1132876
Цитата:
Цитата exo
через фильтры »
это WMI фильтры?

если да то как ими вобще пользоваться, я просто туда ниразу не залазил, боюсь чего нибудь набокопорить

exo 02-06-2009 11:53 1132915
Valik87, нет. это в нижней части политики безопасности. к сожалению скрин показать не могу.
Цитата:
Цитата exo
3) в фильтрах политики удалить - "все пользователи" и добавить нужную группу. »

exo 03-06-2009 11:30 1133754

Valik87 03-06-2009 11:38 1133768
EXO спасиб тебе, сейчас буду пробовать

Valik87 03-06-2009 12:22 1133819
все, заработало

сделал так как говорилось выше, а именно:

установил GPMC.msi, дальше выбрал нужное подразделение убрал оттуда "Прошедшие проверку"
добавил требуемую группу и все

большое СПАСИБА за помощь

exo 16-06-2009 16:19 1144800
Цитата:
Цитата Valik87
все делал как говорилось в этой теме, а именно
Создал новую OU куда поместил пользователей (они входят в группу "пользователи домена"и "пользователи удаленного рабочего стола"), для созданной GPO в фильтрах безопасности убрал "прошедшие проверку" и добавил "пользователи удаленного рабочего стола", по идее должно работать так: пользователь логинется у себя на компьютере применяются политики "Default domain policy" но когда он заходит на терминал сервер применяются политики созданые мной, но на самом деле применяются не только на терминале но и локально на компьютере.
Помогите разобраться с этим вопросом, может я что-то неправельно делаю?
Вы добавили группу "пользователи удалённого рабочего стола". Но эта группа built-in - встроенная общая группа для всех.
Вам советую создать отдельную группу "пользователи терминала сервера такого-то" и только ей дать доступ через терминал. Т.е. на сервере в локальную группу "пользователи удалённого рабочего стола" добавить эту группу. И уже через эту группу использовать для раздачи прав GPO.

Прочитайте что такое вложение групп.

Valik87 17-06-2009 14:32 1145054
А может ли как то влиять какая это группа? я изначально выбирал "глобальная" потом поставил "локальную в домене" вроде работает, рестартовал пару раз, настройки не сбиваются

monkkey 17-06-2009 14:53 1145072
Valik87,
"Золотые правила" применения групп

Valik87 17-06-2009 16:08 1145170
Цитата:
Цитата monkkey
"Золотые правила" применения групп »
Спасиб, полезная информация, узнал много нового


Время: 00:29.

Время: 00:29.
© OSzone.net 2001-