web1984 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Скажите как мне создать группу в AD, чтобы те пользователи в этой группе имели админские права на машинах в домене? Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 12:36 31-10-2005

Ici Chacal BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Если ты забудешь добавить туда себя, потеряешь админские права. А если добавить туда группу Domain Admins, то поможет? Предпологается, что я доменный администратор. Всего записей: 1446 | Зарегистр. 22-01-2005 | Отправлено: 20:17 31-10-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ici Chacal Да. Именно это и делается при введении машины в домен ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 20:26 31-10-2005

Oleg_Kurilin Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: В групповой политике "Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Группы с ограниченным доступом" добавляешь группу "Администраторы". Единственное НО, не стоит применять эту политику в корне, иначе указанные пользователи будут админами в домене. Резонно применить такую политику в подразделении, где необходимо назначить админов локальных машин (где эти машины находятся). Всего записей: 961 | Зарегистр. 01-09-2003 | Отправлено: 07:14 01-11-2005

web1984 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Если я правильно понял создаю свою новую группу например Localadm Добавляю туда юзеров.   Потом захожу в групповую политику Нахожу Restricted Groups. и Добавляю туда Группу Administrators и Localadm. И теперь у меня все юзеры, которые в Administrators и Localadm, будут иметь админские права при входе на машинах в домене,  Верно? Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 10:13 01-11-2005 | Исправлено: web1984, 10:15 01-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору web1984 Цитата: Верно? нет. нужно сделать Localadm членом группы администраторов в Рестриктед групс, а также сделать членом группы администраторы группу админов домена.   Добавлено: Restricted Groups это группы со строго ограниченным членством. То есть если ты в редакторе групповой политики добавляешь туда (в рестриктед групс) группу "администраторы", то этим ты как бы говоришь, что теперь членами этой группы будут являться ТОЛЬКО те, кто определен, как мемберы этой группы "администраторы" ЗДЕСЬ в рестриктед групс, остальных при применении политики из этой группы автоматом УДАЛЯТ. Поэтому играть в рестриктед групс надо осторожно. Надеюсь теперь понятен принцип и то, что может случится, если бкдешь неосторожно делать там изменения ? Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 10:46 01-11-2005

web1984 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Так ещё раз   В рестриктед групс добавляю группу Administrators, захожу в security и там добавляю группу LocalAdm и пользователей этой группы. И добавляю ещё себя Administrator.   Так верно? Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 14:00 01-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору web1984 Цитата: Так верно? Когда ты добавляешь группу, там просят вписать , какую. Пишешь "Administrators", давишь ОК. Потом будет 2 окошка, This group is a member of (сюда нужно добавить все группы, в которые будет входить группа Администраторы) и Members of this group(сюда нужно добавить всех пользователей или группы, кто должен входить в группу Администраторы), там негде ошибаться....Ты б хоть попробовал.. Цитата: добавляю группу LocalAdm и пользователей этой группы Если ты уже добавил группу, в которую входят все нужные пользователи, то нет необходимости добавлять еще и пользователей по отдельности. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 14:44 01-11-2005

web1984 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Конечно я пробую....сейчас всё проверю и напишу. Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 16:54 01-11-2005 | Исправлено: web1984, 17:38 01-11-2005

web1984 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Я попробал так как ты говоришь, но после этого   Этот пользователь становится членом группы Администраторс, а можно как-нибудь сделать, чтобы он не был членом этой группы, а админские права на машинах в домене имел? Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 13:53 02-11-2005

KapralBel Platinum Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alan Mon Если в политике прописать кроме локальной группы "Администраторы" еще группу "Супер-Пупер" то её члены будут обладать аналогичными правами. Всего записей: 11354 | Зарегистр. 16-02-2005 | Отправлено: 14:43 02-11-2005

KapralBel Platinum Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alan Mon Согласись, что теоретически можно. но геморройно .   По моему все встроенной обходятся. Всего записей: 11354 | Зарегистр. 16-02-2005 | Отправлено: 14:58 02-11-2005

web1984 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ДАк я изначально и справшивал как создать такую группу, чтобы ни она ни члены её не были группы Админстраторс в домене, но при этом имели админские права только на машинах в домене.   Представте у вас есть помошник и он осблуживает машины, его надо наделить админскими права, но при этом не давать доступ к контроллеру (не иметь админских прав на нём) А так он сможет, все что угодно с сервером сделать. Может на скрытые ресурсы зайти и т.п.   А все вашу шутки неуместны. Сделали бы вы такое, вот тогда и были бы Супер Супер.   Говорю же, юзер должен оставаться в группе юзеров домена. На контроллере права у него будут юзера, а на машинах админа. Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 15:13 02-11-2005 | Исправлено: web1984, 15:26 02-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору web1984 Цитата: А все вашу шутки неуместны. Сделали бы вы такое, вот тогда и были бы Супер Супер. Это уже не смешно. Если бы Вы, молодой человек, вместо выказывания нам своих обид соизволили найти в карте форума топ с документацией по групповым политикам и почитать документы, то не задавали б таких вопросов. Цитата: его надо наделить админскими права, но при этом не давать доступ к контроллеру (не иметь админских прав на нём)   Ну так выведи все юзерские машины в отдельное OU и прилинкуй политику к нему. Или фильтрацией запрети читать политику с Restricted Groups контроллерам домена. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 15:26 02-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Alan Mon Цитата: Так как изменения в группе "Администраторы" будут действовать на все машины домена кроме контроллеров. Хм. А что мешает применяться этим политикам к контроллерам ? По умолчанию запретов нет, а то, что группе контроллеров домена не дано явное право apply policy, ну так они получат его как authenticated users....RSoP со мной согласен ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 15:36 02-11-2005

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Как создать такую группу в AD?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование