Xon Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте!   У меня такой вопрос:   Действует ли групповая политика домена на пользователей домена, если пользователь является локальным администратором на своей рабочей станции?   Исходные данные:   Домен W2K3 EE User XP SP1   По gpresult /z получаю, что политика применилась, но ограничений не видно.   В логах на сервере и на клиенте всё чисто, никаких ошибок, только сообщения о том, что всё применилось.   Например я поставил запрет на изменение системного времени. Если пользователь - админ, он может менять время без проблем. Если Опытный пользователь - не может.     Выходит GP домена не применяется на пользователей домена, являющихся локальными администраторами?   Так и должно быть? Всего записей: 89 | Зарегистр. 23-09-2004 | Отправлено: 12:04 23-09-2004 | Исправлено: lynx, 15:05 09-12-2004

Xon Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Попробовал сделать еще правило: Запретил все настройки сетевых соединений, переименование, добавление/удаление.   Опять тоже самое: под локальным админом групповые политики домена выполняются, но не работают. Под Опытным пользователем всё работает. Всего записей: 89 | Зарегистр. 23-09-2004 | Отправлено: 13:48 23-09-2004

Xon Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору UNKNOWING   Да это не столь важно по-моему.   Сделал OU Кинул туда нужного пользователя и его комп создал для этого OU свою политику   Политика ПРИМЕНЯЕТСЯ!!! gpresult /z об этом рапортует. В логах - идеально всё.   В итоге опять тоже самое: под локальным админом групповые политики домена выполняются, но не работают.   Под Опытным пользователем всё работает. Всего записей: 89 | Зарегистр. 23-09-2004 | Отправлено: 14:31 23-09-2004

Xon Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору UNKNOWING Спасибо конечно, но это я читал уже давно. Я думал ты мне вот эту ссылку предложишь: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/management/gp/default.mspx   2 ALL Кто-нибудь еще может что-нибудь предложить? Всего записей: 89 | Зарегистр. 23-09-2004 | Отправлено: 15:12 23-09-2004 | Исправлено: Xon, 15:26 23-09-2004

Duke Shadow Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Xon Во-первых, уже была куча тем по групповой политике: http://forum.ru-board.com/forum.cgi?action=filter&forum=8&filterby=topictitle&word=%EF%EE%EB%E8%F2 и вот так: http://forum.ru-board.com/forum.cgi?action=filter&forum=8&filterby=topictitle&word=gpo Во-вторых, не совсем понятно, чего ты хочешь добится. Чтобы пользовательская доменная политика применялась к локальным пользователям рядового компа? Так не бывает. ---------- Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу Войны никого не могут сделать великим(с)магистр Йода Аватар(c)MindDiver Всего записей: 3911 | Зарегистр. 15-02-2003 | Отправлено: 16:59 23-09-2004

Xon Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2 ALL   Всё! Вопрос снят. Я решил сделать всё по-другому. Всего записей: 89 | Зарегистр. 23-09-2004 | Отправлено: 18:23 23-09-2004

Duke Shadow Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Xon Цитата: Всё! Вопрос снят. Я решил сделать всё по-другому Чего ты хочешь в итоге-то добиться? ---------- Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу Войны никого не могут сделать великим(с)магистр Йода Аватар(c)MindDiver Всего записей: 3911 | Зарегистр. 15-02-2003 | Отправлено: 18:28 23-09-2004

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Duke Shadow Цитата: Чтобы пользовательская доменная политика применялась к локальным пользователям рядового компа?   нет, скорее всего здесь ситуевина такова: есть домен и есть юзеры домена, которые одновременно входят в какую либо доменнную группу безопасности(например users) и в локальную группу админов компа на какой либо машине. при этом доменные политики фактически применяются, но юзер с правами локального админа на компе может настороеное политиками изменять(например то же системное время).  Xon, так ? Это имхо однозначно решается только полным удалением всех локальных админов из домена, ибо нефиг . У нас, например такое право(локал админ) в виде исключения в домене имеют только программеры и системшики, так как им бывает нужно по работе. Xon тебя этот вопрос с практической точки зрения интересует (чтоб искоренить сие непотребство) или с чисто теоретической ? Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 20:58 23-09-2004

Duke Shadow Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 Может быть. Хотя не самый лучший вариант. Цитата: но юзер с правами локального админа на компе может настороеное политиками изменять(например то же системное время). Это скорее всего из-за того, что это глобальное системное право. И в этом случае политики применяются, но т.к. приоритет глобальных прав выше, то в некоторых пунктах вот так и получается. ---------- Тот, кто умеет - делает, кто не умеет - учит(с)Б. Шоу Войны никого не могут сделать великим(с)магистр Йода Аватар(c)MindDiver Всего записей: 3911 | Зарегистр. 15-02-2003 | Отправлено: 08:25 24-09-2004

Xon Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 Абсолютно прав!   Я пришел в организацию в которой видимо так завелось, что все пользователи - локальные админы на своих компах. И некоторые из них этим злоупотребляют.   Сейчас всё буду менять. Всех в опытных пользователей и права для всех локальных файлов и папок с помощью cacls придется давать для опытных пользователей. Иначе никак не получится.   Некоторым программам не хватает прав на уровне файловой системы.   Всем откликнувшимся спасибо за помощь! Всего записей: 89 | Зарегистр. 23-09-2004 | Отправлено: 09:22 24-09-2004 | Исправлено: Xon, 09:23 24-09-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Xon - Я у себя сейчас добиваюсь того, чтобы забрать у юзеров Power Users Ранее сам давал всем, из-за проблем с ораклом, теперь пофиксили - работает и без этих прав. Ну а обычный юзер мне на порядок милее Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 09:34 24-09-2004

Xon Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kibkalo А чем Power Users насолили ? Всего записей: 89 | Зарегистр. 23-09-2004 | Отправлено: 10:15 24-09-2004

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Xon Цитата: А чем Power Users насолили ?   тем , что имеют имхо слишком много прав, для работы совершенно не необходимых, и как правило распоряжаются ими нехорошо. а если домен большой , разгребать это отнимает слишком много времени.... Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 10:35 25-09-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Xon - они имеют право расшаривать папки, давать права power users на своем другим доменным юзерам (не их подразделения). Устанавливать некоторый софт. Я предпочитаю раздавать права на ветви реестра если юзеру что-то специфическое надо. Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 12:51 25-09-2004

Gabzya Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос в тему, есть прога-клиент банка, которая дергает ключи из папок IE у кот, даже в свойствах нет закладки-безопасность, поэтому не знаю как на нее дать доступ бухгалтеру.... Под обычным юзером да и под ПАУЭР ю не запускается, токо под админом Рабочая машинка- XP Pro , сервак на кот домен. в который входит машинка- Win2003Server SE. ОТЦЫ помогите плс не ужто давать бухгалтеру права АДМИНА?! З.Ы. В свойствах юзверя на серваке была попытка добавить его в члены администраторов на локальном компе.... не получилось выбрать в РАЗМЕЩЕНИИ кроме домена какой либо комп, там просто пустой список ЧЕ ДЕЛАТЬ???!!!! Всего записей: 1149 | Зарегистр. 14-12-2004 | Отправлено: 15:01 15-11-2005

GoooRooo Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Gabzya Посмотри логи бух. машинки. Возможно не дружит с доменом. Всего записей: 787 | Зарегистр. 01-12-2004 | Отправлено: 16:11 15-11-2005

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Групповая политика домена на локального администратора

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование