Alan Mon Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 Точно. Торможу. Наследование-то никто не отменял. ---------- Ребята, давайте жить дружно. Кот Леопольд Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 15:40 02-11-2005

web1984 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору А вроде догодался как это сделать, всем большое спасибо. Чтож вы мне сразу ссулку то не дали..Я искал, но не нашёл. Ну впринципе тему можно закрывать. Я так понял по сути Рестриктед группс отличается от бонального присоединения пользователя к группе Администраторы домена, лишь тем, что теперь все другим, которых там не будет, станут обычными юзерами. Всего записей: 114 | Зарегистр. 20-02-2005 | Отправлено: 16:08 02-11-2005 | Исправлено: web1984, 16:20 02-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору web1984 Цитата: Я так понял по сути Рестриктед группс отличается от бонального присоединения пользователя к группе Администраторы домена, лишь тем, что теперь все другим, которых там не будет, станут обычными юзерами. нет. не совсем верно. Restricted Groups сделаны для того, чтобы иметь возможность жестко контролировать членство в определенных группах. И эти группы СОВЕРШЕННО НЕ ОБЯЗАТЕЛЬНО должны иметь какие-то административные права (в плане IT). Например, у тебя есть важная бизнес-информация, доступ к которой должны иметь только несколько сотрудников и никто больше. Ты создаешь группу app_users и делаешь всех сотрудников, имеющих доступ к информации, ее членами. Для того, чтобы исключить возможность случайного или злонамеренного добавления в эту группу посторонних, ты делаешь политику Restricted Groups для группы app_users. И теперь, даже если кто-то случайно (или злонамеренно) включит в группу app_users тех пользователей, которые там быть не должны, их удалят политики. То же самое происходит, если кто-то удалил из "группы под особым контролем" кого-то, кто должен быть в группе. Политики его вернут обратно. То есть, например, ты контролируешь группу Администраторы. И если нехороший Вася на своей машине удалил группу Domain Admins из локальных администраторов, политики вернут все на место.   Надеюсь, понятно написал. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 17:31 02-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: И будет ентот Вася шарить под своей учеткой по другим раб.местам с админскими правами.........   Машине Васи ЗАПРЕТИ применять GPO с Restricted Groups, настрой у него членство в группе локальных администраторов вручную. Цитата: administrator в buildin`e   переименован, и будет у меня везде локальная учетка (допустим)  - ad_min и запутаюсь я окончательно и будут ругаться на меня удаленные сотоварищи, когда надо будет локальным админом зайти, а учетка administrator (администратор) отсусствует.... И не хочу я пароль на моего a_dmina разглашать, что ж еще заводить в builin учетку administrator придется????    Сам то понял, что сказал ? ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 08:07 10-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Monty_Python Цитата: А все же - в builin учетная запись administrator, давно была переименована   Я тебе открою страшную тайну. ОС Microsoft Windows абсолютно и полностью плевать на дисплейное имя, логин(имя входа) и т.п. С точки зрения ОС важен SecurityID (SID) этой учетной записи, который не меняется ни при каких переименованиях учетной записи. Он дается при создании учетной записи и сохраняется до удаления этой учетки. Цитата: Небезопасно это как-то, или может я не прав...   Что именно небезопасно? Ты собираешься давать пароль учетки с правами админа домена всем подряд ? Или написать его на стене офиса ? Цитата: а administrator прикажет долго жить - так ведь.. НЕТ. ты добавишь туда учетку comp\administrator и domain\administrator. Это РАЗНЫЕ записи (см. выше).     ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 17:44 10-11-2005

Monty_Python Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 Действительно, понял что написал, лишь когда отправил. Локальная встроенная учетка администратора ПК - не удалится ни в коем случае. Из группы исчезнут все остальные, кроме тех что в находятся в политике administrators-restricted. А buildin запись administratora будет представлена как Domain\ad_min. Жаль только, что при удалении Restricted, локальные записи возвращаются в первоначальное свое состояние... Ну тут уж в действие вступают локальные политики безопасности, так что все правильно.   На  будущее всем кто будет себе ломать голову над Restricted Groups, вместо того чтобы читать мануалы. Итак: У вас все в Restricted Groups настроено, но нелицензионные клиенты в группах живут себе спокойно и радуются...   В логах видно, что политики отрабатываются,ошибок не выдается,вообщем все гламурно... И все правильно,у вас действительно все работает Причина проблемы только в том, что: 1.Пока правила ГП не изменились, клиенты уже их имеющие, их НЕ обрабатывают,т.е. один раз занеся список в Restricted и успокоившись, будьте готовы, что без изменений в GPO ваша restricted группа хотя и будет содержать список пользователей, но сверять с реальным списком глобальной(локальной) группы так часто как вы планировали не будет. Выставляйте частоту обновления политик, пишите secedit /refreshpolicy /machine_policy, но без перезагрузки машины с этими политиками или принудительного обновления - НЕ ПОМОЖЕТ. Впрочем, чтобы не лукавить, политики то все равно конечно обновятся, но через продолжительный временный интервал. (а не через требуемые 5-10-15-... минут) 2.Ручками обновляется это - "secedit /refreshpolicy /machine_policy /enforce" (Win2000 Srv) - последний ключ принудительное обновление не изменившихся политик. 3.А включается это всего лишь галкой -Process even if thе GPO have not changed и правила будут применяться независимо от того, менялись они или нет. Удачи, и чтоб все DLL ответственные за обработку правил, живыми были и невредимыми Всего записей: 5 | Зарегистр. 09-11-2005 | Отправлено: 07:18 11-11-2005

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Как создать такую группу в AD?

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование