Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Грамотное ограничение прав пользователей в домене!

Автор: 260188
Дата сообщения: 13.12.2011 05:32
Доброго времени суток уважаемые! Прошу помощи! Имею домен-уровня 2008,150 юзеров,контроллер домена Win 2008 R2! Вопрос такой: как ограничить права юзеров в домене,но при этом обеспечить нормальную работу очень важных програм которые не могут работать без прав администратора! Есть много программ которые никак не работают без админситраторских прав,например SolidWorks- программа для конструкторов и инженеров! Так один шустрый конструктор поставил себе кучу программ лишних, а если его профиль ограничишь в правах, но в тоже время очень важные программы для работы перестают работать без администраторских прав Прошу помощи ребята,горю! Начальство каждый день "массаж простаты" делает( Как сделать это грамотно? Все юзеры доменные!
Автор: BVV63
Дата сообщения: 13.12.2011 05:41
260188

Цитата:
Есть много программ которые никак не работают без админситраторских прав

На текущий момент их совсем немного, это, как правило, устаревшие версии.
Всё же лучше юзверей полишать админских привелегий, а в исключительных ситуациях использовать Admilink.
Автор: 260188
Дата сообщения: 13.12.2011 06:03
Спасибо! Но тут очень много сотрудников которые очень хорошо разбираются в IT! Так что не хотелось бы так рисковать через AdmiLink) А через групповую политику пробовал кто-нибудь? Слышал что через групповую политику и AD можно так сделать?
Автор: BVV63
Дата сообщения: 13.12.2011 06:15
260188

Цитата:
Так что не хотелось бы так рисковать через AdmiLink

В "AdmiLink" применяется стойкая криптозащита. Разбираться в IT, чтобы её обойти, недостаточно.

Цитата:
Слышал что через групповую политику и AD можно так сделать?

А что именно? Ну, через AD можно настроить политику ограниченного использования программ: "Group Policy Management" -> нужная политика -> "Computer Configuration" -> "Policies" -> "Windows Settings" -> "Security Settings" -> "Software Restriction Policies".
Автор: 260188
Дата сообщения: 13.12.2011 06:16
О спасибо большое попробую сейчас!

Добавлено:
Т.е я правильно понял! Все профили переключить на просто "юзер" и потом уже ставить AdminLink?
Автор: BVV63
Дата сообщения: 13.12.2011 06:24
260188

Цитата:
Т.е я правильно понял! Все профили переключить на просто "юзер" и потом уже ставить AdminLink?

Угу.
Автор: 260188
Дата сообщения: 13.12.2011 06:41
А что именно? Ну, через AD можно настроить политику ограниченного использования программ: "Group Policy Management" -> нужная политика -> "Computer Configuration" -> "Policies" -> "Windows Settings" -> "Security Settings" -> "Software Restriction Policies".

Здесь ведь надо указывать программы которые находятся как бы на самом КД? А если ПО локально на машине юзера находится? как быть здесь?
Автор: BVV63
Дата сообщения: 13.12.2011 06:50
260188

Цитата:
Здесь ведь надо указывать программы которые находятся как бы на самом КД?

Почему же? Вовсе нет. Доменная политика применится к определённой группе компьютеров, на которую была "натравлена".
Автор: 260188
Дата сообщения: 13.12.2011 07:02
http://vsionaidu.ru/index.php?option=com_fireboard&Itemid=34&func=view&id=1157&catid=18

Здесь указывается как через групповую политику ограничить права юзверей! Но не понятно с пунктом 5!
5. Первый параметр «Группы с ограниченным доступом», правой кнопкой мыши «Добавить группу», выбираем группу «Администраторы» («Administrator’s», добавляем в эту группу следующие объекты: «Администраторы домена» - куда без них J, пользователя «Администратор» - нас случай если на компьютер «выпадет» из домена и вообще локальный администратор должен быть, но его пароль не должен знать никто, и самое главное глобальная в домене группа «G_Local Admins» - в данную группу будут входить все пользователи ИТ Департамента которым необходимо иметь доступ к компьютеру на уровне прав локального администратора

Получается доменный администратор тоже попадет в эту группу? не отразится ли это на доменном администраторе и его правах ко всем объектам домена?
Автор: BVV63
Дата сообщения: 13.12.2011 07:21
260188
Как только компьютер регистрируется в домене, в группу локальных администраторов заносится группа доменных админов, а в группу локальных юзеров - группа доменных пользователей (впрочем, бывает, что в последствии "несознательные" юзвери, имея админские привелегии, выкидывают доменных админов из группы локальных; тут действительно может помочь описанная политика). Это нормально, на доменных админах это не отразится. Это позволяет доменному админу управлять компами.
Впрочем с самой статьёй я не слишком согласен (да ей, к тому же, почти 2 года). Давать пользователям права на "Program Files" - это ещё применимо к XP. В Висте и Семёрке это - перебор.
Автор: 260188
Дата сообщения: 13.12.2011 07:36
Ну ее можно попробовать применить? У меня все юзера на XP!
Автор: BVV63
Дата сообщения: 13.12.2011 07:50
260188

Цитата:
Ну ее можно попробовать применить?

Можно, почему нет. Мне приходилось бороться так с "несознательными" юзерами. Тоже на XP.
Автор: 260188
Дата сообщения: 13.12.2011 07:52
ок! как сделаю отпишу результаты

Страницы: 1

Предыдущая тема: 2003 r2 enterprise x64 и Raid на 10ТБ


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.