Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Опытный пользователь в AD

Автор: vrough
Дата сообщения: 25.05.2007 12:49

Цитата:
в размещении нет локальных компов, есть только домен, там все группы встроенные доменные

если ты ето делаешь НЕ на контроллере домена то клацнув на "размещение" ты получишь выбор: либо твой домен либо локальный комп....


Цитата:
все проще...
в групповой политике
"Конфигурация компьютера/Конфигурация windows/Параметры безопасности/Группы с ограниченым доступом/Добавить группу" и добавляешь группу Опытные пользователи (сам пишешь такое название) и Power Users - если windows есть и английская в домене...
а потом просто в нее добавляешь из домена тех кого надо

а чем ето соообщение отличаетьмся от моего? )))
Автор: Porolonchik
Дата сообщения: 19.09.2003 12:40
Используй групповые политики.
Там всё настраивается для всех пользователей.
Где именно не помню, давно настраивал.
Автор: AFT
Дата сообщения: 25.05.2007 12:54
KarRoman
а как прописать, что эти пользователи только админы на локмашине, а на серваке юзеры?

Добавлено:
vrough
мне надо в GPO это прописать

Добавлено:
vrough

Цитата:
выбираешь "Размещение" - "локальный компьютер" там ищешь группу "Опытные пользователи"


если через GPO, то там всего лишь домен есть и всё
Автор: ktototam
Дата сообщения: 19.09.2003 12:59
Это можно сделать через груповую политику
http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q320065
Автор: vrough
Дата сообщения: 25.05.2007 15:10
через GPO. но нужно редактровать GPO НЕ на контроллере домена
если ты нажмешь размещение на контроллере домена до есстественно у тебя в варинатах выбора будет только домен если же ето ты сделаешь на любой рабочей станции или сервере не контроллере домена то у тебя будет выбор: домен или имя локального компа.

в принципе KarRoman дело говорил на DC можно просто вбить имя группы: "Power Users" или "Опытные пользователи", "Administrators" или "Администраторы"
Автор: sleepman
Дата сообщения: 27.11.2006 12:12
Люди помогите, похожая проблема, есть контроллер домена на 2003 винде, нужно некоторым пользователям домена дать право Опытных пользователей домена, дабы разрешить им установку программ. Дело в том что в контейнере Users на котроллере домена нет группы "Опытные пользователи домена", есть группа "Опытные пользователи" только в Builtin - но это я насколько понимаю актуально только к локальной машине!
Автор: AFT
Дата сообщения: 25.05.2007 15:21
vrough
т.е. создать новую группу? в какую? глобальную или влокальная в домене?


если надо GPO править на лок тачке, то я могу и просто забить юзверя локальным админом, по времени даж быстрее получится

Добавлено:
можете пошагово научить в GPO в домене на серваке как настроить эту весчь?
Автор: AFT
Дата сообщения: 24.05.2007 14:57
Restricted Groups

русского хэлпа по этой теме нет чтоль?
Автор: vrough
Дата сообщения: 25.05.2007 15:51

Цитата:
т.е. создать новую группу? в какую? глобальную или влокальная в домене?

никаких групп создавать не надо - "Power Users" или "Опытные пользователи", "Administrators" или "Администраторы" - это стандартные группы на любом компьютере


Цитата:
если надо GPO править на лок тачке, то я могу и просто забить юзверя локальным админом, по времени даж быстрее получится

конечно а если таких тачек 100? по всем 100 будешь бегать и забивать?
GPO нужно радактирвать не на DC именно для возможности выбра групп "Power Users" или "Опытные пользователи", "Administrators" или "Администраторы" локальнго компа потому как таких групп на DC не существует.

Автор: AFT
Дата сообщения: 25.05.2007 07:11
может кто-нить пояснить с примером как это работает? мне вот надо сделать юзверей всех локальными админами на их машинах, а чтоб на серваке были юзверями
Автор: AFT
Дата сообщения: 25.05.2007 18:45
vrough

а че чтоб GPO редактировать на всех тачках, бегать не надо чтоль?

Добавлено:
на лок машинах в GP нет Restricted Groups
Автор: vrough
Дата сообщения: 25.05.2007 08:58
попробуй сделать через политику AD след. образом:
открываешь редактор политик АД, создаешь новую политику или выбираешь уже существующую, идешь в "Конфигурация компьютера/Конфигурация windows/Параметры безопасности/Группы с ограниченым доступом/Добавить группу" в окне "Выбор группы" выбираешь "Размещение" - "локальный компьютер" там ищешь группу "Опытные пользователи" и в нее добавляешь пользователей домена или группы безопастности домена которым нужна дать права опытных пользователей.
Автор: v1ct0r
Дата сообщения: 26.05.2007 01:46
KarRoman тебе правильно написал, как решить твою проблему. Но учти - это для всех пк в домене. Если нужно только для одной - тоже кури гпо. есть несколько решений.
Автор: AFT
Дата сообщения: 25.05.2007 10:29
vrough
в размещении нет локальных компов, есть только домен, там все группы встроенные доменные
Автор: KarRoman
Дата сообщения: 26.05.2007 07:25
млин... ну все же просто
ТЫ САМ РУКАМИ НАБИРАЕШЬ НАЗВАНИЕ ГРУППЫ САААМММ
поэтому важно не ошибиться и набрать именно ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ или POWER USERS а потом уже в нее добавить ИЗ ДОМЕНА пользователей...
к примеру если у тебя на всех машинах есть группа MANAGERS - так и пиши в рестриктед груп - MANAGERS и потом в нее добавь кого надо из ДОМЕННЫХ ПОЛЬЗОВАТЕЛЙ
единствееное я думаю v1ct0r не прав - если тебе надо в группу положить разных людей - создай OU для машин и в них уже дели
Автор: KarRoman
Дата сообщения: 25.05.2007 10:48
все проще...
в групповой политике
"Конфигурация компьютера/Конфигурация windows/Параметры безопасности/Группы с ограниченым доступом/Добавить группу" и добавляешь группу Опытные пользователи (сам пишешь такое название) и Power Users - если windows есть и английская в домене...
а потом просто в нее добавляешь из домена тех кого надо
Автор: AFT
Дата сообщения: 26.05.2007 07:50
ну есть у меня группа Administrators
закинул даже юзверя в эту группу
но вот пока руками не сделаешь на лок тачке его админом, то никак не хочет становится админом!

может я тороплюсь? сколько там ждать то надо? как обновить все настройки?
Автор: vrough
Дата сообщения: 25.05.2007 12:49

Цитата:
в размещении нет локальных компов, есть только домен, там все группы встроенные доменные

если ты ето делаешь НЕ на контроллере домена то клацнув на "размещение" ты получишь выбор: либо твой домен либо локальный комп....


Цитата:
все проще...
в групповой политике
"Конфигурация компьютера/Конфигурация windows/Параметры безопасности/Группы с ограниченым доступом/Добавить группу" и добавляешь группу Опытные пользователи (сам пишешь такое название) и Power Users - если windows есть и английская в домене...
а потом просто в нее добавляешь из домена тех кого надо

а чем ето соообщение отличаетьмся от моего? )))
Автор: AFT
Дата сообщения: 25.05.2007 12:54
KarRoman
а как прописать, что эти пользователи только админы на локмашине, а на серваке юзеры?

Добавлено:
vrough
мне надо в GPO это прописать

Добавлено:
vrough

Цитата:
выбираешь "Размещение" - "локальный компьютер" там ищешь группу "Опытные пользователи"


если через GPO, то там всего лишь домен есть и всё
Автор: vrough
Дата сообщения: 26.05.2007 22:37

Цитата:
может я тороплюсь? сколько там ждать то надо? как обновить все настройки?

если ты о применении политик то на рабочих станциях они применяються кажеться каждые 3 часа. тебе поможет gpupdate /force либо просто перегрузи тачку
Автор: vrough
Дата сообщения: 25.05.2007 15:10
через GPO. но нужно редактровать GPO НЕ на контроллере домена
если ты нажмешь размещение на контроллере домена до есстественно у тебя в варинатах выбора будет только домен если же ето ты сделаешь на любой рабочей станции или сервере не контроллере домена то у тебя будет выбор: домен или имя локального компа.

в принципе KarRoman дело говорил на DC можно просто вбить имя группы: "Power Users" или "Опытные пользователи", "Administrators" или "Администраторы"
Автор: AFT
Дата сообщения: 25.05.2007 15:21
vrough
т.е. создать новую группу? в какую? глобальную или влокальная в домене?


если надо GPO править на лок тачке, то я могу и просто забить юзверя локальным админом, по времени даж быстрее получится

Добавлено:
можете пошагово научить в GPO в домене на серваке как настроить эту весчь?
Автор: dh28
Дата сообщения: 01.11.2007 20:15
Или я туплю или KarRoman не пробовал этого сам.
Ну ведь действительно не прокатывает статейка. Сделал так:

1. Start Active Directory Users and Computers from any domain controller.
2. Create an organizational unit, and then move all of the appropriate workstations and member servers to that organizational unit.
3. Create a global group in that organizational unit, and then add the appropriate users to that group.
4. Start Active Directory Users and Computers, right-click the organizational unit, and then click Properties.
5. Click the Group Policy tab, click NEW, and then name the policy.
6. Click the policy, and then click Edit.
7. Right-click Restricted Groups (under Computer Configuration\Windows Settings\Security Settings\Restricted Groups), and then click Add Group.
8. Click Browse. Focused on the local computer, click the group to which you want your global group to be a member (in this case, the "Administrators" group), click ADD, and then click OK. You are returned to the group policy and you see the administrators group listed in the Restricted Groups window.
9. Right-click the group, and then click Security.
10. To the right side of the Members of this Group box, click ADD, and then click Browse.
11. Locate the group in the organizational unit that you want to place in the administrators group, and then add it the group. After you do so, close the group policy.
12. At a command prompt, type secedit /refreshpolicy machine_policy /enforce, and then press ENTER.


Но в ответ тишина....
Автор: dh28
Дата сообщения: 02.11.2007 06:07
Беру свои слова обратно. Все работает. Просто 1-3 шаги делаются на dc, а остальные, надо делать все на не dc, тогда будет работать.
Автор: vrough
Дата сообщения: 25.05.2007 15:51

Цитата:
т.е. создать новую группу? в какую? глобальную или влокальная в домене?

никаких групп создавать не надо - "Power Users" или "Опытные пользователи", "Administrators" или "Администраторы" - это стандартные группы на любом компьютере


Цитата:
если надо GPO править на лок тачке, то я могу и просто забить юзверя локальным админом, по времени даж быстрее получится

конечно а если таких тачек 100? по всем 100 будешь бегать и забивать?
GPO нужно радактирвать не на DC именно для возможности выбра групп "Power Users" или "Опытные пользователи", "Administrators" или "Администраторы" локальнго компа потому как таких групп на DC не существует.

Автор: AFT
Дата сообщения: 25.05.2007 18:45
vrough

а че чтоб GPO редактировать на всех тачках, бегать не надо чтоль?

Добавлено:
на лок машинах в GP нет Restricted Groups
Автор: v1ct0r
Дата сообщения: 26.05.2007 01:46
KarRoman тебе правильно написал, как решить твою проблему. Но учти - это для всех пк в домене. Если нужно только для одной - тоже кури гпо. есть несколько решений.
Автор: KarRoman
Дата сообщения: 26.05.2007 07:25
млин... ну все же просто
ТЫ САМ РУКАМИ НАБИРАЕШЬ НАЗВАНИЕ ГРУППЫ САААМММ
поэтому важно не ошибиться и набрать именно ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ или POWER USERS а потом уже в нее добавить ИЗ ДОМЕНА пользователей...
к примеру если у тебя на всех машинах есть группа MANAGERS - так и пиши в рестриктед груп - MANAGERS и потом в нее добавь кого надо из ДОМЕННЫХ ПОЛЬЗОВАТЕЛЙ
единствееное я думаю v1ct0r не прав - если тебе надо в группу положить разных людей - создай OU для машин и в них уже дели
Автор: AFT
Дата сообщения: 26.05.2007 07:50
ну есть у меня группа Administrators
закинул даже юзверя в эту группу
но вот пока руками не сделаешь на лок тачке его админом, то никак не хочет становится админом!

может я тороплюсь? сколько там ждать то надо? как обновить все настройки?
Автор: vrough
Дата сообщения: 26.05.2007 22:37

Цитата:
может я тороплюсь? сколько там ждать то надо? как обновить все настройки?

если ты о применении политик то на рабочих станциях они применяються кажеться каждые 3 часа. тебе поможет gpupdate /force либо просто перегрузи тачку

Страницы: 123

Предыдущая тема: Локальная сеть: подключение одного компьютера через другой

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.