» Локальный администратор, но юзер в домене

SHRIKE74
Настроен DHCP и правильно раздает ИП и прописывает ДНС.
На Win 2K3 когда я все это дело настраивал после кнопки Добавить вылезало сообщение с просьбой ввести логин и пароль доменного админа.
А вот в этом домене на Win 2008R2 такого вообще нет.
Причем эта ситуация только на 2 из 3 компьютерах, а на 1 все получилось как положено.
Винда везде одинаковая, сетевые настройки также раздаются DHCP. Все также...

raw1
а ты попробуй на машину зайти под доменным админом и добавить доменного пользователя в локальных администраторов, тогда и запрашивать права не будет, проверь сначала так всё прокатит или нет

SHRIKE74
да это и так сделано, просто пару раз ушлые админы клиента сбрасывали самые страшные пароли, по просьбе моих пользователей, а начальство потом глаза на это закрыло, я пытаюсь решить такую проблему административными методами, но хотелось бы чтоб вариантов не осталось...

SHRIKE74
Теперь вообще перестал пускать в домен.
Создал нового доменного админа, пытаюсь ввести машину в домен.
Вылезает ошибка про множественные подключения (хотя на сервере проверял, никаких сессий для этого компа нет), а если и пишет добро пожаловать в домен, то при перезагрузке и выборе входа пользователя в домен выдает "домен недоступен".
В сервере ничего не ковырял.
При чем на одном компе то все получилось сразу! Без проблем вошел в домен и работал. После этого я его вывел из домена и теперь назад уже никак.

Сейчас вот переустановил ось на клиентской машине (WinXP SP3).
С сервера удалил компьютера все какие были, создал нового пользователя, дал ему права админа.
Ввел этот комп в домен.
После перезагрузки в окне ввода пользователя и пароля очень долго висела надпись "Обновляется список доменов" (мин. 5).
После входа в домен свеже созданного пользователя (с правами админа) создание профиля происходило еще дольше, причем комп просто висел, и индикатор HDD не мигал.
После загрузки сразу же за шел в Локальные пользователи и группы -> Группы -> Администраторы - в этот момент окно подвисает на сек. 40 и при нажатии кнопки "Добавить" в разделе "Размещение" появляется имя локального компьютера, но не домена.
Пробовал завершить сеанс и зайти локальным админом - такая же ситуация, не показывает он домен и все.
Подскажите пожалста, неужели это только у меня такая проблема.

Разобрался сам...

Для справки:
Во первых ошибка про множественные подключения выскакивала из-за того, что я не отключил сетевой диск с сервера. (только непонятно почему она появлялась только в 50% случаев).

Во вторых проблемы с длительными входами и поисками домена оказались как и говорилось ранее из-за настройки DHCP.
В моем случае у для выхода в инет через нашего провайдера необходимо указывать адрес его DNS сервера, что я и сделал. После чего я добавил адрес сервера домена.

И вот тут то ошибка и закралась....

Оказывается обязательно первым по списку должен идти адрес сервера домена, а уже только потом адрес провайдера инета. (хотя не вижу особой разницы).

ooptimum

Цитата:

В GPO: Computer Configuration -> Windows Settings -> Security Settings -> Restricted Groups, добавляешь группу "Administrators" (или как там эта группа называется), а в нее -- доменного пользователя, которому надо повысить привилегии. Если привилегии надо повысить только на определенных компьютерах, то разрешаешь доступ по чтению к этому GPO только этим компьютерам.

после данных манипуляций, учетная запись пользователя и администратора потеряла права.
Как вернуть все обратно?

Вот вы чудики.. Все написано настолько понятно, что не возможно ошибиться.

Первое и САМОЕ главное в домене. На компах которые входят в домен, должен быть правильно прописан айпи адрес ДНС сервера, того самого сервера где находится мастер схема домена. Соответственно на самом сервере домена должен быть не криво настроеный днс.

В этом случае ваши компы будут без проблем входить в домен и иметь доступ к доменным учетным записям.

Чтобы при вводе компа в домен, ему автоматом прописывались Администратор домена и Пользователи домена как локальные администраторы компа, самая простая схема здесь. На русском для русских серверов.

Active Directory пользователи и компьютеры, правой кнопкой на имя домена - свойства
Group policy - редактировать

Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Группы с ограниченным доступом
Добавить туда группу Administrators Domain.ru/Builtin
Включить в нее группы Пользователи домена, Администраторы домена

Проблема следующая:
При включении учетки компа в подразделение с политикой "Локальный админ" (ЛА) случается трабл - открываю "Управление" данным компом, пытаюсь войти в "Просмотр событий" - получаю сообщение "Не удалось подключиться к компьютеру ххх . Произошла следующая ошибка: отказано в доступе". Хотя на компах, где политика ЛА не применена, консоль управления удаленно работает отлично.
И так по всем веткам консоли управления. Кто подскажет, где копать

Методом из шапки "How to Configure a Global Group to Be a Member of the Administrators Group on all Workstations " получилось, что юзеры теперь могут заходить на DC - \\dc\c$
Нужно чтобы были только локальные права администратора
И обязательно автоматизировать этот процесс на DC. Метод вручную не интересует.

Спасибо

Подскажите как быть добавил ПК в домен, ограничил права, под локальным админом и пользователем стали урезанные права, удалил ПК из домена, но на локальном компьютере все равно остались урезанные права локального администратора, наверное кеш?gpupdate /force не помогает

Пробовал прописывать через Restricted Group ... что все Domain Users мемберы группы Администраторы ...
Получилось что Юзвери через \\имя компа\C$ получают доступ на все соседние компы.

Хочется ограничить через GPO что:
локальным админом является локально залогиненый юзер домена, а на других компах он просто юзер домена.

Такое возможно ?

Внимание напомните как через GPO в домене убрать наооборот из группы локальных админов