pikador Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kir128 В оснастке "управление компьютером" в группе "Локальные пользователи и группы"/"Группы" добавь имя_домена/нужная_группа в группу "Администраторы". Всего записей: 276 | Зарегистр. 18-10-2004 | Отправлено: 15:20 26-12-2005

pikador Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kir128 http://support.microsoft.com/?id=320065 Как здесь описано поступить не пробовал? Всего записей: 276 | Зарегистр. 18-10-2004 | Отправлено: 15:38 26-12-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Я немного не понял механизм - restricted groups у меня чистит полностью группу локальных админов Ты делаешь Restricted Group группу Администраторы. Попробуй сделать Restricted Group группу твоих техников и установить This Group is Member of... ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 18:20 26-12-2005

abatvart Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Лучше добавлять скриптом.. часто локальными администраторами являются доменые юзеры..и если не хочется это менять рестракт групой, поможет только скрипт.. Всего записей: 38 | Зарегистр. 23-05-2005 | Отправлено: 14:31 27-12-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kir128 Цитата: но есть минус - происходит это почему то один раз   Computer config\Admin. Templates\System\Group policy\ Process even if the Group Policy objects have not changed=enabled и поставь галку на "Process even...." По желанию можешь в том же разделе настроить более частое обновление политик, НО не перегни палку, помни, что трафик политик нагружает сеть и контроллеры.   ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 18:16 27-12-2005

Nimnul Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kir128 Я делаю так, добавляю в Restricted Groups 1. Администраторы (для русской винды) 2. Administrators (для англ.) В AD Users and Computers создаю группу Local Admins. Потом добавляю в оба пункта "This Group is Member of" - Local Admins Всех пользователей которых хочу сделать локальными админами, делаю членами этой группы. Тоже делаю и с опытными пользователями... Опытные пользователи Power Users --- Local Power Users Всего записей: 1072 | Зарегистр. 05-02-2003 | Отправлено: 20:08 27-12-2005

Nimnul Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору georgesitov Руками пишу По буквам... Всего записей: 1072 | Зарегистр. 05-02-2003 | Отправлено: 14:17 31-01-2006

Nimnul Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Refugee Цитата: Ты забываешь сказать, что члены твоей группы Local Admins будут админами не только на своих машинах, но и на всех тех, к которым эта policy применена. Я ничего не забываю сказать, это надо подразумевать, т.к. GPO действует на все в компьютеры в домене...   Ну другой способ вероятно скриптом добавлять отдельного пользователя в группу администраторов на конкретной машине... (Всегда есть "LogOn to following computers") Всего записей: 1072 | Зарегистр. 05-02-2003 | Отправлено: 11:15 01-02-2006

Mystical Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сделал как писал Nimnul. В итоге после применения политики все локальные админы исчезли из группы админов, кроме встроенной учетной записи администратора. Исчезли из группы админов доменные пользователи которые были добавлены в группу локальных администраторов. Получил по мозгам от юзеров Опять ручками добавил доменных юзеров в группу локальных админов. Сегодня пришел на работу опять все, что добавлял слетело. Опять получил по мозгам В политике по умолчания такого нет. Один раз добавил и потом все нормально. Как быть в таком случае? Всего записей: 785 | Зарегистр. 13-02-2002 | Отправлено: 10:46 23-03-2006

new4uk4a Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: >Попробуй сделать Restricted Group группу твоих техников и установить This Group is Member of...     да действительно так проканало   что-то то ли лыжи не едут...   если я правильно понимаю, таким образом должна создаться еще одна локальная группа.   но она почему-то не создается...   Добавлено:   уже написав сообщение, наткнулся на описание примерно такой же ерунды http://forum.citforum.ru/viewtopic.php?p=150438 (и такая же тема здесь - http://forum.ru-board.com/topic.cgi?forum=8&topic=14999)   G14, kir128 - вы указанные манипуляции на английских версиях делали?     Всего записей: 31 | Зарегистр. 20-07-2005 | Отправлено: 11:14 14-04-2006 | Исправлено: new4uk4a, 11:42 14-04-2006

new4uk4a Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору georgesitov Цитата: решил такую проблему для себя скриптом....   имхо то, что ты описываешь, как раз-таки и решается способом  GPO - Restricted Gropus, собссно тема данной темы   возвращаясь к моему вопросу -   Цитата: если я правильно понимаю, таким образом должна создаться еще одна локальная группа.   но она почему-то не создается... трансофрмирую вопрос, ибо проблему я вроде решил, но способ реализации меня настораживает, прошу ткнуть носом где я неправильно понял идею Restricted Group...   1. Идея ограниченных групп, как я понял мелкомягких, определить ЛОКАЛЬНЫЕ группы нужных компов орг.юнита, в которые нельзя вносить локальные изменения и которые жестко задаются с домена. наверное, отсюда и название - "ограниченные", то бишь группы, которые определяются только GPO домена. А отсюда дальнейшие их рекомендации - в GPO пишется название локальной группы, в свойствах задаются пользователи либо не задаются, чтобы очищать нафиг эту группу от юзеров.     2. Как я понял из постов выше - можно прописать название не существующей на компе группы, а написать название новой и прописать Memberof - и тогда существующая локальная группа не изменится, просто допишется еще одна группа. Но как минимум на русских клиентах новая группа создаваться у меня не захотела.   3. Я в restricted group прописал не локальную группу, а глобальную доменную, например DOMAIN\Domain Admins. далее в свойствах в пользователях за ненадобновтью ничего не пишу, а вот memberof ставлю - "Администраторы". и всё работает!   Но! меня пугает опять же формулировка Майкрософта -     Цитата:  By leaving the group with the default membership of no members, you can provide additional security to groups to which you want to prevent membership. For example, you can use this method to ensure that no user accounts are members of the Guests group.     То есть что получается - если следовать логике Майкрософта, у меня должна стать пустой группа DOMAIN\Domain Admins? Не, так само собой не происходит и, следуя примитивной логике, и не может происходить.     Но.... короче, господа, я запутался. Разъясните тупому. Всего записей: 31 | Зарегистр. 20-07-2005 | Отправлено: 12:33 14-04-2006

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору new4uk4a Цитата: 1. Идея ограниченных групп, как я понял мелкомягких, определить ЛОКАЛЬНЫЕ группы нужных компов   Идея в жестком контроле члества в группах. Локальных или Active Directory - все равно, зависит от привязок объектов GP. Объекты, привязанные к домену действуют на группы AD, все остальные - на локальные группы в пределах области привязки. Цитата: 2. Как я понял из постов выше - можно прописать название не существующей на компе группы Назначение данных политик - контроль за членством в группах, а не создание групп. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 15:39 14-04-2006

new4uk4a Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Объекты, привязанные к домену действуют на группы AD, все остальные - на локальные группы в пределах области привязки.   Ув. G14, я ведь именно про это и спрашивал! (согласен, наверное я плохо сформулировал вопрос) Вопрос мой был - не должны ли удалиться пользователи из доменной группы, раз я их не перечислил. Но пока писал ответ, вроде сам понял в чем дело. Видимо все обстоит так: в связи с наследованием политик, если в доменной политике затронуть ограниченными группами группу локальных администраторов, то есть локальную политику, эта группа полностью затирается и вместо нее ставится группа из доменной политики; но т.к. я указываю доменную группу, такая политика не конфликтует с локальной и группа просто дописывается в локальную.     Добавлено: ...но тогда непонятно, как же работает вот это: Цитата: Попробуй сделать Restricted Group группу твоих техников и установить This Group is Member of...   у меня никак не получалось доменной политикой заставить создаться локальную группу... во всяком случае на русских клиентах. или же под фразой "группа твоих техников" подразумевалась доменная группа? Всего записей: 31 | Зарегистр. 20-07-2005 | Отправлено: 19:32 14-04-2006 | Исправлено: new4uk4a, 19:49 14-04-2006

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору new4uk4a Цитата: или же под фразой "группа твоих техников" подразумевалась доменная группа? Уж конечно. Ибо создавать на каждом компьютере домена отдельно локальную группу для техников, добавлять техников в эту группу, и все это только для того, чтобы позже их (локальные группы техников) добавить в локальные же группы администраторов - бред. Цитата: у меня никак не получалось доменной политикой заставить создаться локальную группу Повторяю еще раз: Цитата: Назначение данных политик - контроль за членством в группах, а не создание групп   Цитата: если в доменной политике затронуть ограниченными группами группу локальных администраторов, то есть локальную политику ...и так далее...даже комментировать нечего. представления очень приблизительные.... http://ru-board.com/new/article.php?sid=174 (об областях привязки хоть представление получишь). По поводу конфликтования чего то там.... Еще раз повторяю: Цитата: Объекты, привязанные к домену действуют на группы AD, все остальные - на локальные группы в пределах области привязки Как делать пошагово - ссылка на статью на офсайте есть выше. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 20:37 14-04-2006

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » добавить группу в local admins

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование