![]() |
Внимание, важное сообщение: Дорогие Друзья!
В ноябре далекого 2001 года мы решили создать сайт и форум, которые смогут помочь как начинающим, так и продвинутым пользователям разобраться в операционных системах. В 2004-2006г наш проект был одним из самых крупных ИТ ресурсов в рунете, на пике нас посещало более 300 000 человек в день! Наша документация по службам Windows и автоматической установке помогла огромному количеству пользователей и сисадминов. Мы с уверенностью можем сказать, что внесли большой вклад в развитие ИТ сообщества рунета. Но... время меняются, приоритеты тоже. И, к сожалению, пришло время сказать До встречи! После долгих дискуссий было принято решение закрыть наш проект. 1 августа форум переводится в режим Только чтение, а в начале сентября мы переведем рубильник в положение Выключен Огромное спасибо за эти 24 года, это было незабываемое приключение. Сказать спасибо и поделиться своей историей можно в данной теме. С уважением, ваш призрачный админ, BigMac... |
|
Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - Локальные администраторы в доменных сетях (Важно) |
|
Вопрос - Локальные администраторы в доменных сетях (Важно)
|
Новый участник Сообщения: 38 |
Доброго времени суток уважаемые!
Вопрос такой! Дано: АД, в ней есть пользователи и группа (типа domain\локальные администраторы) В эту группу входят пользователи, которым нужен админский доступ на свой комп GPO в локальные администраторы добавляется группа domain\локальные администраторы, и меняет все значения которые были добавлены ранее (руками или скриптом). Задача: Пусть пользователи группы domain\локальные администраторы имеют локальный доступ только до своей тачки, а не могут по SMB ( С$ ) ходить где хотят. Вопрос: 1. Как это организовать правильно? 2. Есть идея запихивать скриптом+GPO типа $User = [ADSI]"WinNT://domain/НашЮзерИзТаблицы,user" $Group = [ADSI]"WinNT://domain.local/Администраторы,group" $Group.Invoke("Add",$User.PSBase.Path) Скрипт powershell'овский - Куда его запхать? |
|
Отправлено: 08:13, 13-06-2013 |
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать GPO LocalAdmins
Computer Configuration Preferences Control Panel Settings Local Users and Groups New Local Group: Administrators, Update Members Add: Domain\Vasya Common Item-Level Targeting New Item, Computer Name = Vasya_Comp |
------- Отправлено: 08:24, 13-06-2013 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 38
|
Профиль | Отправить PM | Цитировать Спасибо, что-то похожее на правду, маленько но! New Item, Computer Name = Vasya_Comp, т.е. мне надо будет перечислить все компы и соответствующих пользователей? А из CSV их можно загружать?
|
Отправлено: 08:34, 13-06-2013 | #3 |
Новый участник Сообщения: 38
|
Профиль | Отправить PM | Цитировать Нет, извиняюсь, но этот вариант не подходит
|
Отправлено: 10:30, 13-06-2013 | #4 |
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать А у вас что, таких людей будет целая толпа? Ну-ну..
|
|
------- Отправлено: 14:17, 13-06-2013 | #5 |
PainStaking Сообщения: 3992
|
Профиль | Отправить PM | Цитировать Можно поковырять параметр "Доступ к компьютеру из сети" (Конфигурация компьютера - Политики - Параметры безопасности - Локальные политики - Назначение прав пользователей), однако это не самый лучший вариант.
P.S. А вообще интересна изначальная цель подобного решения - возможно реализация выбрана не самым лучшим образом. |
------- Отправлено: 16:01, 13-06-2013 | #6 |
Новый участник Сообщения: 38
|
Профиль | Отправить PM | Цитировать Цитата WindowsNT:
Вообщем решение есть, Запихать все в csv и powershell скрипт запихать в GPO, работает проблем нет, но как то это не по фэншую чтоли Пока тему не закрываю, надо бы подумать ещё Хотя можно в АД учетки в каком - нибудь из доп полей указывать имя компа, чтобы уйти от csv |
|
Отправлено: 05:45, 09-07-2013 | #7 |
Ветеран Сообщения: 1496
|
Профиль | Отправить PM | Цитировать Не фен-шуй — это раздаривать привилегии. Особенно сотням (!) пользователей. Это где-то даже криминал.
Но лучшего способа задокументированно назначать индивидуальное членство в группах я пока не нашёл. |
------- Отправлено: 11:59, 09-07-2013 | #8 |
Новый участник Сообщения: 38
|
Профиль | Отправить PM | Цитировать На нем и остановимся, все программисты, на текущий момент они включены в группу безопасности AD Которая GPO добавляется в Локальные администраторы, а это ещё хуже. Ибо имеют доступ ко всем компам.
|
Отправлено: 13:56, 16-07-2013 | #9 |
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Доступ - Добавление в локальные группы доменных пользователей | Гильдариус | Windows Server 2008/2008 R2 | 2 | 06-12-2012 10:44 | |
2008 R2 - Удалить всех доменных юзеров из группы Администраторы с помощью GPO | nikitos435 | Windows Server 2008/2008 R2 | 13 | 16-05-2012 18:00 | |
2008 R2 - Комп использует локальные политики вместо доменных | Omnividente | Windows Server 2008/2008 R2 | 4 | 10-12-2010 14:40 | |
Доступ - Локальные администраторы | exo | Microsoft Windows 2000/XP | 1 | 10-10-2008 17:39 | |
Active Directory, Локальные администраторы | buhanov | Microsoft Windows NT/2000/2003 | 7 | 04-05-2006 08:54 |
|