active directory - возможности конечного пользоватля
Добрый день.
Вопрос наверное будет не сильно умным, но помощь нужна. Досталась фирма с сеткой в которой Настроен контроллер доменов.. Сразу поправлюсь, что не большой знаток AD. Возникла проблема. Сейчас конечный пользователь "задушен" по полной, не может менять почти ничего на своей компе, ни сетевые параметры, ни время ни запускать программы. Вот именно это и понадобилось: дать право на запуск программ некоторым юзерам. Не могу разобраться. Был уверен, что запрет прописан в групповых политиках, но увы там нет ничего. Пробовал отключать ВСЕ политики, включая те, что по умолчанию для домена. Тоже не помогает. Подскажите, где копать??? Может быть в политиках локальной безопасности компьютера на котором стоит домен ? Или где ? Помогите советом. Уже руки опускаются. |
|
просто убери их из домена, пусть заходят локально, под. адм.учётками.
|
Вход в группу это понятно, решение проблемы, но вход в группу администраторы открывает слишком много возможностей.
Мне же нужно, чтобы пользователь мог запускать только определенны программы Определенный список программ. Войдя в группу администраторов, тут и смена сетевых настроек и установка игрушек и масса всего, чего не нужно... Сейчас же при запуске программ, пользователю предлагается ввести админский логин и пароль для запуска... Убрать же из домена, тоже не вариант. Пользователи не во всем одаренные.. а домен позволяет использовать WSUS и массу того что мне удобнее делать коллективно. Какие еще есть варианты ? Если бы еще список программ был бы всегда постоянным, можно было бы прописать их в групповой политике в ограницении запуска. Но проги меняются, точнее запускаемый файл все время меняет объем и имя :( |
Цитата:
|
ПО работает. Я не правильно выразился. Я имею ввиду инсталляцию программ.. Начиная от апдейта флеш плеера до .. всего на свете .. А некоторым пользователям необходимо постоянно инсталировать хитрый модуль .. и сейчас они , с.... , звонят по тел и выносят мозг ...
|
Цитата:
|
Именно необходимость. контора пишет программный продукт, требуется его тестирование определенными сотрудниками. Ежедневная инсталяция, удаление, и по кругу.
Поэтому и надо дать права, но не админские, а на запуск .exe Просто все продвинутые до невозможности .. с админскими правами наворотят ... чего не надо . а АД блокирует установку и всех своих пользователей, кроме админов домена. Вот и пытаюсь понять где зашито это правило на запрет установки программ. Вроде отключил уже все политики и групповые и те что автоматом с доменом и не могу найти где это. |
HAZY, проверяли политики SRP? Конфигурация компьютера (ветку пользователя тоже проверьте) - Политики - Конфигурация Windows - Параметры безопасности - Политики ограниченного использования программ.
|
Политики ограниченного использования программ. - там пусто.
Пробовал назначить по умолчанию "неограниченный доступ" - не помогает. |
Цитата:
|
это понятно. я в курсе :)
Но пользователь домена, это уже не локальная запись, а доменная, соответственно блокирует именно сервер на котором домен, применяя правило, что пользователь не в группе админов, а простой смертный. Логично решить, что надо как то учетной записи пользователя на машине домена дать права. Но как и где ? не включая в группу админов. И еще (не помню, надо проверить), разве на локально, отдельно стоящей машине, пользователю не в группе админов запрещено изменение времени и часового пояса? Просто никогда, нигде не сидел пользователем... |
Цитата:
Цитата:
|
Отлично. Тогда упрощаем вопрос. Где и как расширить права члена группы Пользователи
|
Вам уже сказали — установка программ является привилегией Администратора. Реализовав желаемое, вы получите зоопарк не только нежелательных программ, но и вирусов.
Думайте про другие методы работы. |
Цитата:
|
Цитата:
поройтесь в gpedit вопрос не новый, все возможно реализовать штатными средствами gpo |
server 2008 64bit
|
Цитата:
Для установочных пакетов MSI можно сделать "административную установку" (проще говоря распаковать), а затем централизованно устанавливать, прописав в групповой политике домена. Установка/обновление/удаление таких программ будет выполняться автоматически при включении/перезагрузке компьютера |
Насколько помню, язык логон скрина (даже не знаю, как правильно оно по-русски зовется) выставляется в
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload там, 409 англ, 419 русский, и т.д. по списку. При этом новые профили создаются, беря настройки тоже из профиля "дефолт". Возможно, если это не настроено где-то еще А мне требуется, чтоб на логон скрине по дефолту оставался английский (бесит национальная раскладка, влезающая в цифры при вводе паролей, отнимает время) Но профили чтоб создавались с дефолтной национальной раскладкой. (юзеры сами подключаются, профили создаются согласно сохраненному в домене профилю, но раскладка, насколько понимаю, там не указана) Такое создать можно? И если да, то локально? На серве? Или "ты хочешь странного, юный падаван" ? :) |
|
Время: 22:59. |
Время: 22:59.
© OSzone.net 2001-