[WindowsNT]

Добавляя пользователя в администраторы контроллера домена (1), вы порождаете 100% риск потери контроллера и вирусного поражения из-за неквалифицированных действий пользователя.
Добавляя компьютер в администраторы контроллера домена (2), вы порождаете риски поражения контроллера, но уже от лица операционной системы этого компьютера. (вообще никогда не понимал, зачем такое делают).
Третий экран вообще ничего не решает, там ничего не настроено. В любом случае, настройки "менять параметры сети" там нет. Таковой настройкой является добавление учётной записи требуемого пользователя в локальную группу Network Confguration Operators на той машине, где это требуется. Но не на контроллере по-любому.

Но вообще политики не должны нормально работать на рабочих станциях, так как на контроллере два сетевых интерфейса с IP-адресами, принадлежащими разным сегментам. Думаю, когда клиенты из одного сегмента будут обращаться к IP-адресу контроллера другого сегмента, будет отказ работы политик.

[cameron]

Цитата WindowsNT:

Думаю, когда клиенты из одного сегмента будут обращаться к IP-адресу контроллера другого сегмента, »

всего два вопроса:
- как они (клиенты) смогут это делать?
- как-же тогда работает структура AD-Site с несколькоми Subnets?

[sagepro]

Цитата WindowsNT:

Добавляя пользователя в администраторы контроллера домена (1), вы порождаете 100% риск потери контроллера и вирусного поражения из-за неквалифицированных действий пользователя. Добавляя компьютер в администраторы контроллера домена (2), вы порождаете риски поражения контроллера, но уже от лица операционной системы этого компьютера. (вообще никогда не понимал, зачем такое делают). »

добавление в группу "администраторы" делалось только для того, чтобы проверить будет ли пользователь обладать правами на изменение настроек сети.

Цитата WindowsNT:

Третий экран вообще ничего не решает, там ничего не настроено. »

скриншот представлен для следующей цели: узнать какие именно политики из представленных на скриншоте необходимо включить или отключить чтобы появилась возможно у пользователя/администратора/оператора настройки сети изменять настройки а именно ip адрес и сетевые компоненты. пытался по разному включать и отключать политики все варианты которые применял включая отключая политики выкладывать смысла невижу т.к. быстрее будет подсказать какие нужно включить или отключить политики.

Цитата WindowsNT:

В любом случае, настройки "менять параметры сети" там нет. Таковой настройкой является добавление учётной записи требуемого пользователя в локальную группу Network Confguration Operators на той машине, где это требуется. Но не на контроллере по-любому. »

учетная запись добавлена в группу "Операторы настройки сети" - но как факт желаемого результата я не получил.

Хотя замечу в windows server 2008 stabdart мне удалось дать права на изменение настройки сети в частности изменение ip
адреса путем добавления в группу "Операторы настройки сети" и включение и отключение политик из этой ветки указанной на скриншоте! после чего пришлось переустановить на windows server 2003 по другим причинам.

[WindowsNT]

В структуре АД с несколькими сегментами между подсетями обычно есть маршрутизация. В данном же случае контроллер просто зарегистрирован в DNS с двумя IP-адресами, а по какому из них клиенты попытаются связаться с контроллером? Скорее всего, через round robin (то есть, каждый адрес будет выдаваться клиентам по очереди). Как итог, в половине случаев политики работать не будут.

Умение читать - первое умение администратора. Вы добавляете пользователя в группу на КОНТРОЛЛЕРЕ; то есть, он повышенные привилегии получает, но на контроллере и только на нём. А вам где надо было?

Да, и "желаемого результата не получил" ни капли не говорит ни о чём. Что конкретно, где, когда и куда было добавлено; как проверено? Поищу эту информацию у Нострадамуса..

[cameron]

Цитата WindowsNT:

В данном же случае контроллер просто зарегистрирован в DNS с двумя IP-адресами, а по какому из них клиенты попытаются связаться с контроллером? Скорее всего, через round robin (то есть, каждый адрес будет выдаваться клиентам по очереди). Как итог, в половине случаев политики работать не будут. »

netmask ordering по-умолнию включен
правда в Windows DNS он тоже работает оригинально =(

[WindowsNT]

Я знаю, что включён. Но попробуйте вручную выполнить несколько раз nslookup, будут чудеса.
Забыл уже материал учебника, но склонен считать, что netmask ordering нормально себя покажет только при обозначении сайтов в AD Sites and Services. В реальной среде оно у меня не работает, пока ещё не вникал подробно, почему.

И вот аналогия: связавшись с SCCM, вообще открыл для себя, что SCCM supenetting не поддерживает, каждый-каждый сегмент в нём обязательно следует прописывать отдельно. То есть, во всём есть свои проблемы и нюансы, и местами их объём зашкаливает.

[cameron]

Цитата WindowsNT:

Я знаю, что включён. Но попробуйте вручную выполнить несколько раз nslookup, будут чудеса. Забыл уже материал учебника, но склонен считать, что netmask ordering нормально себя покажет только при обозначении сайтов в AD Sites and Services. В реальной среде оно у меня не работает, пока ещё не вникал подробно, почему. »

а я где-то читала, что требуется отключить RR для работы NMO
но проверять влом.
по-сути вы правы.

[sagepro]

Цитата WindowsNT:

В структуре АД с несколькими сегментами между подсетями обычно есть маршрутизация. В данном же случае контроллер просто зарегистрирован в DNS с двумя IP-адресами, а по какому из них клиенты попытаются связаться с контроллером? Скорее всего, через round robin (то есть, каждый адрес будет выдаваться клиентам по очереди). Как итог, в половине случаев политики работать не будут. »

я не силен в администрировании серверов, обладаю лишь поверхностными знаниями на сколько хватает времени пытаюсь изучить. будет ли верным мой ответ на ваш вопрос? компьютер добавленный в домен имеет настройки сети выставленные вручную то есть:

Подключение по локальной сети - Ethernet адаптер:

IP-адрес . . . . . . . . . . . . : 192.168.0.3
Маска подсети . . . . . . . . . . : 255.255.255.0
DNS серверы . . . . . . . . . . . : 192.168.0.1

значит компьютер добавленный в домен получает политики от сервера с помощью dns сервера от 1 сетевого интерфейса.

Цитата WindowsNT:

Умение читать - первое умение администратора. Вы добавляете пользователя в группу на КОНТРОЛЛЕРЕ; то есть, он повышенные привилегии получает, но на контроллере и только на нём. А вам где надо было? »

я просто не понимаю как тогда пользователю домена изменять ip адрес компьютера за которым он сидит, если добавление учетной записи в группу "Операторы настройки сети" на контроллере не дает ему такого права?

на windows server 2008 standart, получалось же, также добавлял пользователя домена в группу "Операторы настройки сети" и именно на контроллере! и пользователь садился за любой компьютер добавленный в домен логинился своей учетной записью и менял настройки ip адреса.

Цитата WindowsNT:

Да, и "желаемого результата не получил" ни капли не говорит ни о чём. Что конкретно, где, когда и куда было добавлено; как проверено? Поищу эту информацию у Нострадамуса.. »

-учетная запись пользователя домена была добавлена в группу "Операторы настройки сети" на контроллере домена
-проверка осуществлялась путем включения/отключения политик в той ветке на скриншоте
-команда gpupdate или pgupdate/force на компьютере добавленный в домен
- и перезагрузкой тоже пользовался как метод обновления применения политик


Цитата WindowsNT:

Цитата WindowsNT:

В любом случае, настройки "менять параметры сети" там нет. Таковой настройкой является добавление учётной записи требуемого пользователя в локальную группу Network Confguration Operators на той машине, где это требуется. Но не на контроллере по-любому. » »

как добавить учетную запись требуемого пользователя в группу "Операторы настройки сети" на требуемом компьютере если эта учетная запись не отображается в пользователях и группах?

прикладываю скриншот компьютера добавленного в домен и залогинившегося с учетную записью пользователь adm:

1- учетная запись adm добавленная в домен не отображается в пользователях и группах компьютера добавленного в домен (отображаются только локальный админ , учетка с именем "1" и гость и тд)
2- ip адрес выставлен в ручную
3- сеть доступна
4-картинка присвоена через групповые политики говорит о том что политики применяются!
5-нет прав на изменение свойств ip адреса

вопрос остается открыт как дать права этому горепользователю на изменение свойств ip адреса?