PiT Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ситуация: Есть сеть 1 сервер под 2000 Server, Active Directory и все такое, и рабочие станции под Windows 2000 Prof. Что надо? - "привязать" конкретного пользователя к рабочей станции на уровне входа в домен (логина/пароля), чтобы никто кроме него (и админов есс-но), не смогли залогиниться на этом компьютере. Т.е. явно указать в Win2000Server какой пользователь с какой машины может залогиниться.   Как это сделать, желательно встроенными средствами Windows, а не сторонними программами?   P.S. Кучу инфы перерыл, вроде на форуме такого никто не спрашивал. Всего записей: 52 | Зарегистр. 14-10-2003 | Отправлено: 00:29 13-01-2004 | Исправлено: lynx, 00:00 01-11-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Если пользователь не администратор то в локальной политике безопасности настрой, кто имеет право на Log on locally Если админ (то есть может политику изменять), то такое же право настрой на уровне Organisational Unit в доменной политике. Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 00:41 13-01-2004

PiT Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kibkalo     В принципе понятно.   но это ж на одном компе только. что я хочу?! централизованно давать логиниться определенному юзеру из AD. т.е. чтобы с сервака это раздавать, добавлять и убирать, а не логиниться к каждому компьютеру в сети через консоль и там лазить в политиках. Всего записей: 52 | Зарегистр. 14-10-2003 | Отправлено: 01:01 13-01-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ты меня плохо понял Если сеть малая (компов 10-20), то на уровне домена создаешь ДОМЕННУЮ политику с именем компа (например PC_1) в ней в графе Log on locally перечисляешь администраторов домена и тех кому можно на этот комп логиниться. Дальше, в свойствах групповой политики в закладке Security  удали группу Authenticated Users и дай право на Read & Apply Group Policy только аккаунту КОМПЬЮТЕРА (в домене есть аккаунт PC_1) Эта политика теперь применяется только к ПК РС_1 и логиниться на него могут только перечисленные пользователи. Повтори то же самое для других компов.   Если их не 10, а 100 то лучше создать группы по подразделениям (допустим группы HR_Users  и HR_Computers и для доменных аккаунтов пользователей и компьютеров Отдела Кадров) Создаешь политику HR_Logon и право Log on locally даешь админам и группе HR_Users.  Ну и право чтения политики даешь для HR_computers (удалив Authenticated Users) Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 01:08 13-01-2004

PiT Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kibkalo     Теперь все ясно Сегодня приду на работу и все попробую. Спасибо! Всего записей: 52 | Зарегистр. 14-10-2003 | Отправлено: 01:14 13-01-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Удачи   Я там кстати не указал, но думаю, это очевидно, что доменную политику можно менять с любого компа (при наличии прав, конечно), а не только с контроллера. Достаточно у себя на вин 2000 запустить adminpack.msi из распакованного сервиспака (на ХР запустить одноименный файл из дистиба 2003 сервера) и все утилиты управления установятся - не надо терминалиться Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 01:15 13-01-2004 | Исправлено: kibkalo, 01:17 13-01-2004

Duke Shadow Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Bit master В чем-то проще, в чем-то нет. Если нужно часто изменять списки компьютеров, то вариант kibkalo предпочтительнее.   kibkalo Цитата: Дальше, в свойствах групповой политики в закладке Security  удали группу Authenticated Users и дай право на Read & Apply Group Policy только аккаунту КОМПЬЮТЕРА Имхо, удобнее компы по OU раскидать - проще жить будет. ---------- Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу Войны никого не могут сделать великим(с)магистр Йода Аватар(c)MindDiver Всего записей: 3911 | Зарегистр. 15-02-2003 | Отправлено: 16:52 13-01-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Имхо, удобнее компы по OU раскидать - проще жить будет. Я так и советовал сделать если их от 10. Иначе нет смысла для каждого компа по OU Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 19:49 13-01-2004

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Запрет опред. пользователям из AD (Win2000) входить в домен

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование