active directory - возможности конечного пользоватля
 

Добрый день.
Вопрос наверное будет не сильно умным, но помощь нужна.
Досталась фирма с сеткой в которой Настроен контроллер доменов..
Сразу поправлюсь, что не большой знаток AD.
Возникла проблема.
Сейчас конечный пользователь "задушен" по полной, не может менять почти ничего на своей компе, ни сетевые параметры, ни время ни запускать программы.
Вот именно это и понадобилось: дать право на запуск программ некоторым юзерам.
Не могу разобраться.
Был уверен, что запрет прописан в групповых политиках, но увы там нет ничего. Пробовал отключать ВСЕ политики, включая те, что по умолчанию для домена.
Тоже не помогает.
Подскажите, где копать???
Может быть в политиках локальной безопасности компьютера на котором стоит домен ? Или где ?
Помогите советом. Уже руки опускаются.

Для изменения данных параметров пользователь должен входить в локальную группу Power Users(Windows XP) или Администраторы на клиентском компьютере.
Что за ошибку выдает при запуске программы?

просто убери их из домена, пусть заходят локально, под. адм.учётками.

Вход в группу это понятно, решение проблемы, но вход в группу администраторы открывает слишком много возможностей.
Мне же нужно, чтобы пользователь мог запускать только определенны программы

Определенный список программ.
Войдя в группу администраторов, тут и смена сетевых настроек и установка игрушек и масса всего, чего не нужно...

Сейчас же при запуске программ, пользователю предлагается ввести админский логин и пароль для запуска...


Убрать же из домена, тоже не вариант. Пользователи не во всем одаренные.. а домен позволяет использовать WSUS и массу того что мне удобнее делать коллективно.

Какие еще есть варианты ?
Если бы еще список программ был бы всегда постоянным, можно было бы прописать их в групповой политике в ограницении запуска. Но проги меняются, точнее запускаемый файл все время меняет объем и имя :(

Что за ПО такое у Вас что требует админиских прав? Обычно все ПО без проблем работает под пользовательскими правами.

ПО работает. Я не правильно выразился. Я имею ввиду инсталляцию программ.. Начиная от апдейта флеш плеера до .. всего на свете .. А некоторым пользователям необходимо постоянно инсталировать хитрый модуль .. и сейчас они , с.... , звонят по тел и выносят мозг ...

Программы без админских прав не установить, а если выдадите права администратора у Вас на компьютерах будет бардак т.к. будут ставить все что захочется. У Вас что производственная необходимость использовать только последнии версии ПО или это пользователям так захотелась? Что за модуль такой что его надо каждый день инсталировать?

Именно необходимость. контора пишет программный продукт, требуется его тестирование определенными сотрудниками. Ежедневная инсталяция, удаление, и по кругу.
Поэтому и надо дать права, но не админские, а на запуск .exe Просто все продвинутые до невозможности .. с админскими правами наворотят ... чего не надо .
а АД блокирует установку и всех своих пользователей, кроме админов домена. Вот и пытаюсь понять где зашито это правило на запрет установки программ. Вроде отключил уже все политики и групповые и те что автоматом с доменом и не могу найти где это.

HAZY, проверяли политики SRP? Конфигурация компьютера (ветку пользователя тоже проверьте) - Политики - Конфигурация Windows - Параметры безопасности - Политики ограниченного использования программ.

Политики ограниченного использования программ. - там пусто.
Пробовал назначить по умолчанию "неограниченный доступ" - не помогает.

AD (по-умолчанию) ничего не блокирует, блокирует сама ОС, программы могут устанавливать только пользователи входящие в группу локальных администраторов.

это понятно. я в курсе :)
Но пользователь домена, это уже не локальная запись, а доменная, соответственно блокирует именно сервер на котором домен, применяя правило, что пользователь не в группе админов, а простой смертный.
Логично решить, что надо как то учетной записи пользователя на машине домена дать права. Но как и где ? не включая в группу админов.
И еще (не помню, надо проверить), разве на локально, отдельно стоящей машине, пользователю не в группе админов запрещено изменение времени и часового пояса?
Просто никогда, нигде не сидел пользователем...

Доменный пользователь мало чем отличается от локального касательно прав на локальной машине, т.к. по-умолчанию что локальный пользователь что доменный являются членами локальной группы Пользователи, наличие которой не зависит от того являтся ли компьютер членом домена или нет.
Да запрещено.

Отлично. Тогда упрощаем вопрос. Где и как расширить права члена группы Пользователи

Вам уже сказали — установка программ является привилегией Администратора. Реализовав желаемое, вы получите зоопарк не только нежелательных программ, но и вирусов.

Думайте про другие методы работы.

Почему бы не попросить "контору" предоставлять вам .msi пакет, который потом спокойно можно распространить на клиентские компы политикой?

Какая версия windows server?
поройтесь в gpedit вопрос не новый, все возможно реализовать штатными средствами gpo

server 2008 64bit

Логично.
Для установочных пакетов MSI можно сделать "административную установку" (проще говоря распаковать), а затем централизованно устанавливать, прописав в групповой политике домена.
Установка/обновление/удаление таких программ будет выполняться автоматически при включении/перезагрузке компьютера

Насколько помню, язык логон скрина (даже не знаю, как правильно оно по-русски зовется) выставляется в
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload
там, 409 англ, 419 русский, и т.д. по списку.

При этом новые профили создаются, беря настройки тоже из профиля "дефолт". Возможно, если это не настроено где-то еще

А мне требуется, чтоб на логон скрине по дефолту оставался английский (бесит национальная раскладка, влезающая в цифры при вводе паролей, отнимает время)
Но профили чтоб создавались с дефолтной национальной раскладкой. (юзеры сами подключаются, профили создаются согласно сохраненному в домене профилю, но раскладка, насколько понимаю, там не указана)

Такое создать можно?
И если да, то локально? На серве?
Или "ты хочешь странного, юный падаван" ? :)

Я пытаюсь понять где зашита, это правило на запрет установки программ. Вроде отключил уже все политики и групповые и те что автоматом с доменом и не могу найти где это.