Основной шлюз
 

Здраствуйте. Возможно ли как нибудь сменить основной шлюз на удаленных машинах через групповые политики?

Здравствуйте. Теоретически можно.
Если выполнять скрипт при загрузке с командой netsh или route dalete, а потом route add. Но у пользователя должны быть права локального администратора.
Но практически для настройки сетевых параметров у клиента используется DHCP.
У вас цели какие?

Поменялся адрес прокси сервера в связи с этим надо менять адрес шлюза. Что бы к каждому компьютеру не бегать хотелось бы это сделать удаленно.

они в ручную настроены или через DHCP ?
прокси прозрачный или нет?

Да адреса везде статческие.

На счет прокси. Стоит Usergate через него раздается интернет через НАТ.

А чего DHCP не используете? у Usergate есть такая функция. было гораздо проще.
А так я уже говорил:
где IP.NEW.ADDRESS.GATE - адрес вашего нового шлюза.

Во-первых, сделать это может startup script, исполняемый от лица SYSTEM;
Во-вторых, мне кажется, прав Network Configuration Operators достаточно;
В-третьих, автор пытается изобрести уже существующую службу DHCP, которая и будет ответом на все вопросы.

на до Vista.
дальше нет =(

я сейчас проверил на 8-ке.
группа Network Configuration Operators даёт права на изменении сетевых параметров. Но есть одно но - GUI и CMD должны быть запущены от имени администратора.
и если пользователь введёт свои данные - доступ есть.
В тоже время он может любую оснастку с повышенными правами открыть, например - управление компьютером.
Но при попытке создать локального пользователя получает отказ в доступе, что правильно.

по сему вопрос.
в группу Network Configuration Operators входит локальная группа Administrators ?
Где в политике указано, что именно Network Configuration Operators может менять настройки? и кто ещё?

Подозреваю, у вас под ногами путается UAC. Отключайте его как следует и проверяйте ещё раз.

ну это понятно.
а вот этого я никогда не делаю, ибо всё прекрасно работает.
Но со скриптами в политике и УАК практики пока не было ( Как в таком случае запускать скрипт при логоне?

и как быть с группами админов и сетевых операторов... всё ещё не могу найти.
к примеру, на контроллер домена по РДП могу зайти админы и те, кто указан в политики Прав Пользователей.
Сетевых операторов ищу по аналогии...

Группы Administrators и Network Configuration Operators независимы.
Права частично можно найти в реестре. Например, в HKLM\System\CurrentControlSet\Services\Tcpip, где хранятся текущие настройки IP, члены группы NCO могут писать, проверьте в RegEdit. В том числе на семёрке, только что проверил ещё раз.

"Прекрасно" всё не работает. Я не думаю, что выслушивать звонки от тысячи пользователей "мне тут программа выдаёт окно с запросом пароля администратора" — хорошая идея. Ни ты Computer Management запустишь с правами пользователя, ни другие консоли. Более того, администратором я вхожу только по доказанной необходимости, поэтому компостировать себе мозги дополнительными телодвижениями "ой, я же cmd запустил без RunAs, поэтому команда diskpart не работает" не хочу.

ну у меня не 1000 пользователей сейчас, а на два порядка меньше.
И так как все пользователи активно что-то делают на своих компьютерах, то я просто выдал им всем лок админа на своём компе.
Я знаю, что вы хотите сказать по тому поводу, но это решение лучше, чем было до моего прихода - они все были доменными админами. И лок амины согласованы с руководством... как и отключённая сложность паролей.

Но вот, некоторые пользователи на столько "умные", что для них гугловский ДНС 8.8.8.8 работает быстрее чем наш. Ну, а всем известно, что будет если убрать местный ДНС в доменной сети. Это единственный момент, который хотелось бы закрыть.

А в остальном всё работает шииикарно ) и волки целы и овцы сыты. :)

Всё, на этом можно ставить точку и увольняться.

WindowsNT, ну я так и знал, что вы это скажете. Хотя так же говорили:
считайте, что руководство само себе это и доказало.

:o

Типичный псевдоответ псевдоапологета.