| gadkin |
13-12-2007 15:59 696535 |
Добавление доменной группы в группу локальных администраторов
Здравствуйте, товарищи.
При добавлении в домен компьютера в локальную группу "Administrators" входит встроенная учетная запись "Administrator" и доменная группа "Domain Admins".
Вопрос: как можно (если вообще можно) добавить туда еще какую-нибудь группу? Как это сделать ручками после того как машина вбита в домен я знаю). Меня интересует как сделать так, чтоб при вбивании в домен кроме двух вышеупомянутых групп добавлялась еще 1 группа... перекопал весь ГПО уже...
ЗЫ: домен на 2003 винде
|
| gadkin |
14-12-2007 11:11 697087 |
единственно что хреново, что при использовании метода с "restricted groups" после обновления политик на компе слетают ВСЕ админы, кроме дефолтного и тех, которых в эти "restricted groups" запихнул...
|
Это не бага, это фича :) Админов добавляй из домена. Почитай ещё тут |
| gadkin |
14-12-2007 12:18 697134 |
я знаю, что это фича, но не удобная... сцылку гляну, сенькс ;)
|
| gadkin |
17-12-2007 12:24 698571 |
не понравилось мне про "restricted groups" ... запихнул в "default Domain Policy"--> "Computer configuration" --> "scripts (startup/shutdown)" батникчек содержания "%systemroot%\system32\net localgroup administrators domain\local_admin /add" ... а то я раньше добавлял этот батник в "User Configuration" и нифига не срабатывало есесенно, потому что у 50% пользователей не админские права... а ща всё ок
|
| lumoder |
24-12-2007 15:56 702958 |
Хм. Ну и какая тут разница, если скрипт все равно вешается через политику? У меня главная проблема в том, что неохота плодить политики. Гораздо лучше было бы, если можно было бы делать исключения, или отменять применение политики к конкретному компу без создания для него перекрывающей политики
|
Цитата:
Цитата lumoder
Гораздо лучше было бы, если можно было бы делать исключения, или отменять применение политики к конкретному компу без создания для него перекрывающей политики »
|
А что, запрет применения политики к конкретным компам/юзерам уже отменили??????? |
| gadkin |
25-12-2007 10:16 703405 |
lumoder,
Цитата:
Цитата HLT
А что, запрет применения политики к конкретным компам/юзерам уже отменили??????? »
|
- это во-первых...
а во-вторых, кто говорит, что политики плодить нужно? у меня, например, ваще одна политика на всю компанию и мне этого хватает выше крыши. И т.к. дополнительную группу локальных админов мне нужно запихнуть на все компы, то и скрипт пихается единственный в уже существующую единственную политику...
|
| lumoder |
25-12-2007 11:48 703467 |
Хм. Я знаю как отменить применение политики к конкретному пользователю (при этом не применяются параметры пользователя). Может кто просветит меня как отменить применение политики к конкретному компу?
|
| gadkin |
25-12-2007 12:45 703491 |
создаешь OU, пихаешь туда нужные компы и в консольке "Group Policy Management" на эту OU надо поставить "Block Inheritance"
|
| lumoder |
25-12-2007 13:47 703532 |
Я не о том. Я имел в виду, возможно ли, если компы в 1 OU запретить применение политики к одному или нескольким, без выделения их в отдельный OU?
|
Открываем политику,
правой кнопкой на заголовке - свойства
закладка "безопасность"
добавляем нужный компьютер (лучше сделать группу, в которой будут сидеть компьютеры)
ставим флажок "запрет применения политики"
Цитата:
Цитата lumoder
озможно ли, если компы в 1 OU запретить применение политики к одному или нескольким, без выделения их в отдельный OU »
|
компы, на которые НЕ надо применять политику, добавляем в группу. На эту группу - ЗАПРЕТ использования политики в свойствах политики |
| morres |
10-12-2008 16:42 977567 |
Есть группа HelpDesk в домене DOMAIN
надо VB Script чтобы добавлял HelpDesk в группу "Администраторы" на рабочих станциях, причем, должна быть проверка если такая группа уже есть в администраторах, товыполнение скрипта прерывалось бы...
|
| monkkey |
10-12-2008 17:52 977649 |
morres,
Restricted Groups для этого есть.
|
| TrueAlex |
23-12-2008 21:34 988437 |
При способе с restricted groups не совсем понятно как тогда на одной конкретной машине добавить дополнительного пользователя в группу локальных админов, ведь получится что он оттуда вылетит как только обновится политика? А если использовать логон-батник :) как порекомендовал gadkin, то после перемещения компьютера в другой OU, где этого батника нет, пользователь все равно останется в группе Администраторы :(
Есть ли какой-нибудь нормальный метод решения этой проблемы?
|
| lumoder |
24-12-2008 08:40 988704 |
Да, левые юзеры, добавленные не политикой выкинутся. Более того, если перенести комп в другой OU, то те, кого в локальную группу закидывала политика оттуда вылетают. Логон-батник не пробовал, но может прокатить, ибо он выполняется по системной учеткой.
|
| TrueAlex |
24-12-2008 11:59 988867 |
Проблему решил! Делаем так, создаем в домене группу, например IT, пихаем в нее пользователей, которых хотим сделать администраторами. Далее в restricted groups (группы с ограниченным доступом) добавляем эту группу (domain\IT), далее в верхнем окне (члены этой группы) прописываем тех же пользователей, что и в самой группе IT. В нижнем окне (Эта группа является членом в...) пишем "Администраторы" (либо любую другую группу). После этого группа IT добавится в группу Администраторы, при этом все остальные пользователи, которых в администраторы добавили вручную там останутся =)
|
TrueAlex
Можно и не делать этого - " далее в верхнем окне (члены этой группы) прописываем тех же пользователей, что и в самой группе IT."
Недостаток метода, что уже нельзя удалить группу IT : )
to ALL
Кто нибудь использовал для решения GPP ?
На основании этой статьи управление становится еще проще http://www.redline-software.com/rus/...ry-desktop.php
|
Время: 22:19.
© OSzone.net 2001-
