Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Добавление пользователя в группу Лок.Админы на время сессии

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Sofol

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги,  
собственно вопрос, как сделать добавление пользователя в группу Локальные администраторы компьютера на который он залогинился и после logoff он из группы будет удален?
 
Причем задача сделать это не через группу, а именно на пользователя.
Вопрос стоит в автоматизации этого процесса. (Добавлять руками не вариант)
 
Спасибо
Всего записей: 7 | Зарегистр. 08-06-2014 | Отправлено: 17:55 14-02-2017
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
"Задача" - звучит серьёзно. Только глупость это. Забудьте.
Вы наступаете на общие грабли, которые называются: "я всё гениально придумал, осталось последний штрих добавить". Грабли бьют по лбу следующим образом: именно этот штрих и не решаем.
Почему? Потому, что "задача" поставлена неверно.
В вашем случае... Дайте необходимые привелегии изначально.


----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 19:58 14-02-2017
d0r0fey



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sofol
Вы должны добавить пользователя в группу локальных администраторов до того, как он начнет процесс входа. Когда он вошел - он уже пользователь, даже если сработает задача добавления в локальные админы, поэтому пользователю надо будет перезайти, чтобы применились права.
 
Добавлено:
Но как он перезайдет с правами админа? Ведь при logoff он будет снова пользователем.
Всего записей: 1364 | Зарегистр. 13-03-2009 | Отправлено: 20:33 14-02-2017
igor me v2

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Но как он перезайдет с правами админа? Ведь при logoff он будет снова пользователем.

Змея, кусающая себя за хвост, гениально
Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 00:30 15-02-2017
Sofol

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да, вот в этом вся и проблема, что я могу добавить конкретного пользователя(тот который логинится) в группу Лок.Админов, но после этого нужно перелогиниться))))))) а это не подходит. Буду искать костыли дальше, т.к у ИБшников такое требование...
Всего записей: 7 | Зарегистр. 08-06-2014 | Отправлено: 00:35 15-02-2017
igor me v2

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
у ИБшников  

Чё? А им-то зачем?
Костыли, костыли...
Скрипт какой-то мутить, который сначала повышает права, потом запускает RDP, потом понижает права...
Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 02:31 15-02-2017
marlin24

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Убого симплексный подход к проблеме.
В каком месте смысл данного действия? Зачем удалять пользователя после того как он разлогинился, чтобы при следующем логине вновь давать ему эти права? Почему через группу не вариант, если в этой группе будет только один этот человек?? Зачем костыли, если есть две нормальные ноги???
Сначала высосать себе проблему (даже не из пальца), а потом ее еще и на людей сбрасывать.
Всего записей: 91 | Зарегистр. 09-11-2006 | Отправлено: 11:09 15-02-2017
Sofol

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги,  
я понимаю что формат этого форума позволяет очень негативно отвечать на вопросы, и заставлять ТС задуматься "зачем он это делает", и помочь убедить не изобретать велосипед.
 
Но я не нубас, который первый раз на 5 компов домен сделал, и все что вы пишите я прекрасно понимаю и знаю как реализовывать, но...
 
но есть такое слово vdi, и есть такая вещь как floating pool, что каждый раз(после каждого logoff) пользователь попадает на новую VM. Есть софт(внутренний), который требует права Лок.Админа, и есть гребные ИБшники, которые требуют реализацию этого сценария.
 
Решение аля в логон скрипте  
run as net localgroup Administrators DOMAIN\%username% /add
не устраивает их
 
И речь идет о пуле в 250 VM..
 
Добавлено:

Цитата:
Сначала высосать себе проблему (даже не из пальца), а потом ее еще и на людей сбрасывать.

 
И уж не сбрасываю я на тебя эту проблему, а советуюсь, может быть у кого-то был аналогичный опыт, т.к vdi сейчас потихоньку распространяется.
Всего записей: 7 | Зарегистр. 08-06-2014 | Отправлено: 11:29 15-02-2017 | Исправлено: Sofol, 11:41 15-02-2017
d0r0fey



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sofol
Если вы найдете решение, напишите, пожалуйста, здесь.
Всего записей: 1364 | Зарегистр. 13-03-2009 | Отправлено: 13:03 15-02-2017
marlin24

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну чем не проходит очевидное решение чтобы для любой новой виртуальной машины групповой политикой на уровне системы назначить группу пользователей в локальные администраторы и в эту группу включить данного конкретного человека, который залогинившись попадет в группу администраторов автоматом? И зачем удалять пользователя, если он уже отключился от виртуальной машины и  больше туда не попадет? Вот самый главный вопрос.  
Иначе это надо мутить скрипт с двойным логином - первый раз узнаем имя пользователя, добавляем пользователя в группу админов, разлогиниваем его, требуем повторного логина, потом при логофе удаляем его из группы админов - пипец велосипед на семи квадратных колесах.
 
Добавлено:
Еще решением может быть определение какие именно права (папки и ветки реестра) требует данная программа и рулить разрешениями на этом уровне. Или запуск данной программы скриптом от имени другого пользователя.
Всего записей: 91 | Зарегистр. 09-11-2006 | Отправлено: 13:12 15-02-2017
Sofol

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
И зачем удалять пользователя, если он уже отключился от виртуальной машины и  больше туда не попадет? Вот самый главный вопрос.

проблема в том, что пользователь логинится в другую машину, а в старой(в которой уже работает другой) он остается локальным админом и может получить туда доступ. Вопросы по ограничению доступа туда методом сети и прочее, мы не рассматриваем...
Всего записей: 7 | Зарегистр. 08-06-2014 | Отправлено: 13:26 15-02-2017
marlin24

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Еще решением может быть определение какие именно права (папки и ветки реестра) требует данная программа и рулить разрешениями на этом уровне. Или запуск данной программы скриптом от имени другого пользователя.
Всего записей: 91 | Зарегистр. 09-11-2006 | Отправлено: 13:28 15-02-2017
Sofol

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Еще решением может быть определение какие именно права (папки и ветки реестра) требует данная программа и рулить разрешениями на этом уровне. Или запуск данной программы скриптом от имени другого пользователя.

 
этим занимаются все то время как пишут этот самописный софт на 10 тыс человек...про это я молчу...ибо слов уже нет((((((
 
Добавлено:

Цитата:
Если вы найдете решение, напишите, пожалуйста, здесь.

Решение найдено, оно следующее
 
на VM в локальную группу "Администраторы" добавляется встроенная группа NT AUTHORITY\ИНТЕРАКТИВНЫЕ, командой из под cmd:
 
net localgroup Администраторы "NT AUTHORITY\ИНТЕРАКТИВНЫЕ" /add
 
При входе пользователь получает права локального администратора на этой машине,
ИБшники пока довольны.
Всего записей: 7 | Зарегистр. 08-06-2014 | Отправлено: 13:29 15-02-2017 | Исправлено: Sofol, 13:29 15-02-2017
igor me v2

BANNED		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
этим занимаются все то время как пишут этот самописный софт на 10 тыс человек...про это я молчу...ибо слов уже нет((((((  

Выясняют, какие проге нужны разрешения и куда? Чё-то долго выясняют
Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 18:41 15-02-2017
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sofol
Коллега, вы тупо идете не той дорогой.
Человеку свойственно ошибаться, но ГЛУП тот, кто УПОРСТВУЕТ в своей ошибке.
Переведите на латынь, и вы поймете, что поговорке этой лет больше, чем... Много, короче.

----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:51 15-02-2017 | Исправлено: Paromshick, 18:52 15-02-2017
marlin24

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
проблема в том, что пользователь логинится в другую машину, а в старой(в которой уже работает другой) он остается локальным админом и может получить туда доступ. Вопросы по ограничению доступа туда методом сети и прочее, мы не рассматриваем...

Опять углядываю для себя симплекс.
Вы в вводной части объясняли, что клиент логинится по удаленке и КАЖДЫЙ раз попадает на другую виртуальную машину!!! И вдруг вы заявляете, что он может туда потом залогиниться, когда там работает другой человек! КАРЛ, КАК??? Но даже если и так, то скрипт добавляющий при входе человека в нужную группу с последующим удалением его из этой группы при логоффе гораздо проще того транспортного средства, которое вы пытаетесь изобрести. Наверное я просто отключусь от данного обсуждения, ибо не понимаю хода мысли автора. Микрософт даже системному администратору горячо не рекомендует работать с правами администратора, повышая их до нужного уровня только для решения конкретной задачи в нужное время. А тут мы хотим дать всем права админа на машину, чтобы потом их отобрать, а то вдруг они потом навредят! Логика за гранью моего разума.
Всего записей: 91 | Зарегистр. 09-11-2006 | Отправлено: 10:12 16-02-2017 | Исправлено: marlin24, 10:16 16-02-2017
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Добавление пользователя в группу Лок.Админы на время сессии


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru