Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Делегирование прав или как предоставить пользователю определённые права

Ответить
Настройки темы
2008 R2 - [решено] Делегирование прав или как предоставить пользователю определённые права

Пользователь


Сообщения: 78
Благодарности: 2

Профиль | Отправить PM | Цитировать


Хочу пользователю в AD в ходящему в группу domain users дать права на установку программ, ввод компьютера в домен а также право на удалённый рабочий стол.
Делаю так управление групповой политикой=> выбираю OU в которой находится данный пользователь => вкладка делегирование. Далее выбираю пользователя и разрешение для этого контейнера и всех дочерних контейнеров. Далее жму дополнительно (управление групповой политикой) выбираю нужного пользователя по умолчанию у него стоит галочка особые разрешения, нужно ли в этом окне давать ещё какие либо разрешения?
И ещё в этом окне жму дополнительно там есть вкладка Разрешения. Выбираю своего пользователя жму изменить а дальше какие выбрать разрешения?

Отправлено: 08:20, 12-04-2012

 

Ветеран


Сообщения: 1496
Благодарности: 384

Профиль | Отправить PM | Цитировать


Тогда не скажу.

-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.


Отправлено: 21:14, 29-10-2012 | #21



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.



Сообщения: 29
Благодарности: 1

Профиль | Отправить PM | Цитировать


Копаю дальше...
Решил посмотреть, какие группы привилегированные
Выполняю
get-adgroup -ldapfilter "(objectcategory=group) (admincount=1)"
и в результате прочего получаю
...
DistinguishedName : CN=Domain Users,CN=Users,DC=domain1,DC=ru
GroupCategory : Security
GroupScope : Global
Name : Domain Users
ObjectClass : group
ObjectGUID : 79f8eb80-4b2c-4f33-8eea-a756c4762eb8
SamAccountName : Domain Users
SID : S-1-5-21-3276496243-159508281-4038852760-513
...
Разве так должно быть?

Отправлено: 08:10, 30-10-2012 | #22



Сообщения: 29
Благодарности: 1

Профиль | Отправить PM | Цитировать


Пока решение такое
1. Проверяем какие группы защищены AdminSDHolder
открываем PowerShell и выполняем
Код: Выделить весь код
get-adgroup -ldapfilter "(objectcategory=group) (admincount=1)"
В результатах должны быть только следующие группы:
Account Operators,
Administrator,
Administrators,
Backup Operators,
Domain Admins,
Domain Controllers,
Enterprise Admins,
Krbgt,
Print Operators,
Read-only Domain Controllers,
Replicator,
Schema Admins,
Server Operators
2. Если Domain Users в защищенных группах, то сбрасываем admincount в ноль у группы
3. Проверяем какие пользователи защищены AdminSDHolder
В PowerShell и выполняем
Код: Выделить весь код
get-aduser -ldapfilter "(objectcategory=person) (admincount=1)"
4. Если там есть обычные пользователи, то сбрасываем в 0 admincount у всех пользователей. Руками или скриптом.
5. Проверяем, что наследование разрешений у пользователей включено
6. Проверяем, атрибут dsHeuristics. (Выполнить adsiedit - Configuration - Services - Windows NT - Directory Service - Properties). Для вывода всех операторов из под защиты ввести 000000000100000f. У меня был <not set>.
7. Принудительно запускаем SDProp (или ждем 1 час): LDP - Bind, Browse - Modify - Edit Entry Attribute=FixUpInheritance, Values=Yes - Run
Это сообщение посчитали полезным следующие участники:

Отправлено: 11:10, 30-10-2012 | #23



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Делегирование прав или как предоставить пользователю определённые права

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - Делегирование прав AntiZero Windows Server 2008/2008 R2 4 25-01-2011 11:26
[решено] Делегирование прав в АД на перемещение объектов. minion Microsoft Windows NT/2000/2003 4 12-08-2009 08:24
делегирование прав доступа Kobzar Microsoft Windows NT/2000/2003 3 10-11-2008 10:35
Делегирование прав на добавление компьютеров в домен. Непонятная проблема. menpavel Microsoft Windows NT/2000/2003 4 03-09-2008 04:48
Делегирование полномочий пользователю Neon Microsoft Windows NT/2000/2003 12 21-03-2008 09:55




 
Переход