Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Групповые политики на контроллере домена и внутри домена

Ответить
Настройки темы
[решено] Групповые политики на контроллере домена и внутри домена

Аватара для HellFire_MZ

Ветеран


Сообщения: 812
Благодарности: 53


Конфигурация

Профиль | Сайт | Отправить PM | Цитировать


Изменения
Автор: HellFire_MZ
Дата: 03-07-2008
Описание: Спешил, наделал кучу ошибок.
Добрый день, Друзья

Есть домен 2003 r2 sp2.
Там есть 5 администраторов домена, было создано подразделение и внутри все пользователи тоже являются администраторами домена, но на OU прикручена политика, где запрещены те права, которые им не нужны.

Сейчас появилась такая необходимость.
Все пользователи остаются администраторами домена, необходимо сделать их пользователями домена, но при этом на своем собственном компьютере они должны делать то, что им захочется, то есть стать локальными администраторами.

Были мысли вручную добавлять всех пользователей на каждый компьютер в локальные администраторы, но это как-то не так...

Может как-то можно сделать так, чтобы через GPO это осуществить?
Спасибо

Отправлено: 11:03, 03-07-2008

 
HLT HLT вне форума

Ветеран


Сообщения: 788
Благодарности: 130

Профиль | Отправить PM | Цитировать


Проще всего - через групповую политику добавить группу Domain Users в локальную группу Administrators
Но как-то это слишком просто и обширно )

-------
Сообщение помогло? Нажмите внизу ссылку "Полезное сообщение".


Отправлено: 12:48, 03-07-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для HellFire_MZ

Ветеран


Сообщения: 812
Благодарности: 53

Профиль | Сайт | Отправить PM | Цитировать


Цитата HLT:
локальную группу Administrators »
Какую именно локальную группу вы имеете ввиду? на каждой конкретной машине? или built-in ?
Встроенные на сервере - в эту группу входят и Domain admins...

Отправлено: 12:51, 03-07-2008 | #3


Ветеран


Сообщения: 565
Благодарности: 41

Профиль | Сайт | Отправить PM | Цитировать


Цитата HellFire_MZ:
же должны быть пользователями домена, но при этом на своем собственном компьютере должны делать что им захочется. »
Каждому такому компьютеру - по OU, на него - по своему ГПО, в этом ГПО настроить ограниченное членство в группе "Администраторы".

Цитата HellFire_MZ:
на каждой конкретной машине? или built-in ? »
Емнип, built-in Администраторы на КД и локальная одноименная группа имеют один и тот же SID, так что все зависит от того, к чему Вы ГПО прикрепите.

-------
Tega AutoPatcher. Все обновления для XP в одном пакете. http://tega.ru/dirk/links.html


Отправлено: 15:01, 03-07-2008 | #4


Ветеран


Сообщения: 4904
Благодарности: 496

Профиль | Сайт | Отправить PM | Цитировать


Restricted Groups настраивайте.
Цитата HellFire_MZ:
Все пользователи кроме меня и еще нескольких остаются администраторами домена »
Сочувствую Вашей некомпетентности в вопросах администрирования сетей (домена в данном случае).

-------
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.


Последний раз редактировалось monkkey, 03-07-2008 в 16:14.


Отправлено: 15:31, 03-07-2008 | #5


Аватара для HellFire_MZ

Ветеран


Сообщения: 812
Благодарности: 53

Профиль | Сайт | Отправить PM | Цитировать


Цитата monkkey:
Сочувствую Вашей неграмотности. »
Спасибо за ваше мнение.
Буду учиться дальше.

Отправлено: 15:34, 03-07-2008 | #6

HLT HLT вне форума

Ветеран


Сообщения: 788
Благодарности: 130

Профиль | Отправить PM | Цитировать


Цитата Dirk Diggler:
Каждому такому компьютеру - по OU, на него - по своему ГПО »
Или куча GPO с фильтрацией применения политики на отдельно взятый компьютер

Но имхо будет все-таки быстрее соорудить батник с кучей строк типа
psexec \\COMPUTERNAME net localgroup Administrators DOMAINNAME\username /ADD

psexec брать из набора утилит sysinternals

-------
Сообщение помогло? Нажмите внизу ссылку "Полезное сообщение".

Это сообщение посчитали полезным следующие участники:

Отправлено: 17:04, 03-07-2008 | #7


Аватара для HellFire_MZ

Ветеран


Сообщения: 812
Благодарности: 53

Профиль | Сайт | Отправить PM | Цитировать


Цитата HLT:
Но имхо будет все-таки быстрее соорудить батник с кучей строк типа
psexec \\COMPUTERNAME net localgroup Administrators DOMAINNAME\username /ADD
psexec брать из набора утилит sysinternals »
а если пользователи мигрируют.
У меня их 20 штук, машин где то 16.
Немерянное количество строчек же получится.
А хотя, ведь это единократный запуск - верно?
Действительно, будет удобно.
Спасибо!

Отправлено: 00:00, 04-07-2008 | #8


Аватара для HellFire_MZ

Ветеран


Сообщения: 812
Благодарности: 53

Профиль | Сайт | Отправить PM | Цитировать


monkkey, попробовал Restricted Groups.
Делал вот так:
1. Создал OU.
2. Создал пользователя user члена группы Domain Users.
3. Создал в OU группу localadmins. (user стал членом этой группы - Primary Grpoup: Domain Users)
4. Добавил компьютер TEST в этот OU.
5. На OU поставил политику localadmins, в ней произвел следующее:
а) В Restricted Groups добавил руками группу Администраторы
б) В свойствах "Администраторов" выставил Группа является членом группы LocalAdmins.
6. выполнил gpupdate /force.
7. Перезагрузил компьютер, на котором требовалось произвести тестирование.
-------------------------------------------------------------------------------------------------------------
Итак, что я имею:
1. По сети не могу доменным админом зайти на текущий ПК.
2. Ни один из текущих админов, кроме локального Администратора этого ПК больше админом не является.

Подскажите, где я допустил ошибку.
Спасибо.

Отправлено: 17:53, 04-07-2008 | #9


Старожил


Сообщения: 371
Благодарности: 24

Профиль | Отправить PM | Цитировать


Так как вы прописали, что адинистратором компьютра является только группа locladmin, все остальные соответственно потеряли это право. Итого добавте в группу администраторов дополнительных членов аля Администратор и Domain Admin.

-------
Это не ошибки, это промахи стилуса :)


Отправлено: 20:43, 04-07-2008 | #10



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Групповые политики на контроллере домена и внутри домена

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Групповые политики на пользователей домена для IE Seven Microsoft Windows NT/2000/2003 7 28-01-2010 13:02
Групповые политики домена sashok60 Microsoft Windows NT/2000/2003 1 15-01-2010 11:48
[решено] О дополнительном контроллере домена Igor_Beruk Microsoft Windows NT/2000/2003 33 14-09-2009 18:07
Различные политики безопасности на контроллере домена - какая переопределяет какую __sa__nya Microsoft Windows NT/2000/2003 8 29-12-2008 09:48
[решено] Win2003, не обновляется DNS на контроллере домена greycrow Microsoft Windows NT/2000/2003 22 09-12-2008 16:55




 
Переход