2008 R2 - Квота и делегирование в AD. Две задачки.

Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета.

Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен

Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме.

С уважением, ваш призрачный админ, BigMac...

2008 R2 - Квота и делегирование в AD. Две задачки.

DiMidRoLL

Новый участник

Сообщения: 1
Благодарности: 0

Профиль | Отправить PM | Цитировать

Вообщем цель такая! Хочу в некоторой организации развернуть контроллер домена. Создать учетку, наделить ее необходимыми админскими полномочиями (не всеми) и разрешить ему создавать не более 500 объектов в Active Directory, а так же всем остальным учеткам которые он может создать сделать тот же лимит в 500 записей.

Алгоритм у меня такой:
- Захожу на свеженький контроллер домена, создаю от имени администратора предприятия учетку DCAdmin.
- Делегирую ему права на подразделение Company
(А именно: 1) Заводить РС пользователей в домен
2) Менять и сбрасывать пароли юзерам
3) Чтение инфы о юзерах, редактирование, создание НОВЫХ юзеров)

Вроде бы все хорошо, но нужно решить 2 задачи!!!
1) Учетке DCAdmin и всем остальным сделать ограничение в создании не более 500 компонентов в AD
2) При делегировании прав на сброс пароля админ получил право сбрасывать пароли ВСЕМ, но есть условие что User1, User5, User10 нельзя сбрасывать пароли!!! Их нельзя перенести в другое подразделение, а нужно оставить тут. И учесть что при ЛЮБОМ следующем делегировании прав на смену пароля ЛЮБОЙ новой учетке админа, на: User1, User5, User10 снова делегирование не применилось.

Мануалы в инете описывают в основном работу с Quota в Windows Server 2003. И то что создание квот можно осуществлять только с помощью консольных утилит Dsadd и прочих.
У меня 2008 R2. Как с этим обстоит дело в новой серверной платформе? Так же через консоль?

Еще, также, в контейнере NTDS Quotas есть различные аттрибуты, такие как:
msDS-DefaultQuota
msDS-QuotaEffective
msDS-QuotaUsed
msDS-TombstoneQuotaFactor
msDS-TopQuotaUsage
которым можно задавать различные значения, которые будут по умолчанию, но что бы я не менял я не вижу никакой разницы. Каким образом они применяются? Или все-таки надо через dsadd?
Вообщем подскажи кто что знает на эту тему по моим двум вопросам.

Отправлено: 15:11, 19-06-2010