» Локальный администратор, но юзер в домене

Как мне настроить, дабы пользователь регистрящийся в домен на локальной машине имел права администратора. Но в домене был бы обычным пользователем? Вроде и простое решение должно быть? Но как то не получается.

---

Ссылки по теме:

How to Configure a Global Group to Be a Member of the Administrators Group on all Workstations

Старые темы:

Админские права на локальной машине, и не админские в домене
Юзер в домен+Администратор на станции

Все еще проще, чем ты думаешь. На "локальной машине" добавь доменного пользователя в группу локальных администраторов.

а как сделать это при помощи политик?

Цитата:

а как сделать это при помощи политик?

В GPO: Computer Configuration -> Windows Settings -> Security Settings -> Restricted Groups, добавляешь группу "Administrators" (или как там эта группа называется), а в нее -- доменного пользователя, которому надо повысить привилегии. Если привилегии надо повысить только на определенных компьютерах, то разрешаешь доступ по чтению к этому GPO только этим компьютерам.

Добавлено
Да, чуть не забыл, доменных админов тоже в эту группу добавь, а то их исключат из нее.

ooptimum
Спасибо помогло...

ooptimum

Пытался по твоей инструкции всё сделать, но знаний маловато - не понял я что такое GPO и т.д. Не мог бы подробнее написать "для чайников" так сказать, вплоть до кнопочки ПУСК. Эта задача сейчас очень остро стоит...

Elblang
Не знаю правильно или нет, ИМХО нет, но я делаю так.
На локальной машинке делаю пользователя с правами админа локально, в домене делеаю юзера с тем же именем и паролем, и на локальной машике пользователь заходит на саму машинку, а затем может пользоваться всеми сетевыми рессурсами домена, т.к. у него то же имя и пасс.
Если есть у кого соображения на этот счет, то жду ответа.

vworld

Цитата:

Если есть у кого соображения на этот счет, то жду ответа.

Метод кривой...

PIL123

Цитата:

не понял я что такое GPO и т.д.

GPO -- Group Policy Object, т.е., говоря по-русски, политики домена. С политиками когда-нибудь работал вообще?


Цитата:

Не мог бы подробнее написать "для чайников" так сказать, вплоть до кнопочки ПУСК.

Извини, "для чайников" пишу редко, под настроение и когда есть свободное время. Сейчас нет ни того, ни другого. Поэтому напишу кратко. Заходи в оснастку "Active Directory Users and Computers", щелкай правой кнопкой мыши на имени своего домена, выбирай Properties, затем закладку Group Policy, там найдешь список своих политик. Выбирай ту, которую хочешь изменить (вероятно это будет "Default Domain Policy") и жми кнопку "Edit". Далее как я выше писал в предыдущем сообщении.

ooptimum

Цитата:

Метод кривой..

Понимаешь иначе если делать - когда пользователь будет только доменный и входить в домен, машинки под ХР, очень медленно входят в домен, да и по большому счету просто друго метода не знаю

Цитата:

"Default Domain Policy"

Постараюсь попробовать по твоей рекомендации как-нибудь сделать....

PIL123
Без обид , работать чайникам с GPO не только вредно
но и опасно , накрутишь по незнанию и будешь долго
удивляться в чем трабла

ooptimum
Ну а мне как гуру в АД не подскажешь почему у меня доменные юзеры на ХР медленно входят в домен?

Кстати, у меня тоже клиенты на XP входят в домен дольше, чем клиенты на 2000. С чем это может быть связано?

нашёл!!!
Локально на компе добавляешь в Администраторы всех прошедших проверку!

PIL123
А в журнале ошибок у тебя случаем ничего нет у сервака, на котором АД поднят?
И какая машинка и сколько юзеров?

vworld

Цитата:

Ну а мне как гуру в АД не подскажешь почему у меня доменные юзеры на ХР медленно входят в домен?

Ну дык книжки читать надо, батенька...
Проверьте настройки DNS на клиентах и вообще работоспособность оного на сервере...

PIL123
vworld
Все дело в DNS.
Напиши подробнее про свои сетевые настроки на сервере и клиентах.

mikas

Цитата:

Напиши подробнее про свои сетевые настроки на сервере и клиентах.

А что именно?
сервер - 192.168.0.1
клиенты в DHCP 192.168.0.2 - 0.100
Один домен company.local
Еще информации?

vworld
в dhcp нужно указать свой dns.
в настройках сервера указать самого себя в dns
в dns форвардить запросы на прова.
в dns разрешить динамические безопасные объявления.

mikas

Цитата:

в dhcp нужно указать свой dns.

В оснастке DHCP указать? хм...там нет прямого указания на сервер DNS

Цитата:

в настройках сервера указать самого себя в dns

В каких настройках сервера?

Цитата:

в dns форвардить запросы на прова.

Зачем?, если у меня просто файл сервер и он же управляет сетью?

Цитата:

в dns разрешить динамические безопасные объявления.

так и есть.

vworld

Цитата:

Цитата:
в dhcp нужно указать свой dns.

В оснастке DHCP указать? хм...там нет прямого указания на сервер DNS

нет в настройках области или всего сервера!

Цитата:

Цитата:
в настройках сервера указать самого себя в dns

В каких настройках сервера?

настройки сетевого подключения!

Цитата:

Цитата:
в dns форвардить запросы на прова.

Зачем?, если у меня просто файл сервер и он же управляет сетью?

ну если в и-нет ходить не нужно.. то и ладно...

mikas

Цитата:

нет в настройках области или всего сервера!

настройки всего сервера - это как?

Цитата:

настройки сетевого подключения!

Это у меня было - только заводилось на 127.0.0.1 - убрал...


Добавлено
Заметил еще, что есть закономерность появления ошибки в журнале 62 - 17часов 30 минут - с такой переодичностью выскакивает ошибка о неправильном времени....может это причина медленного входа?

vworld
едрен-батон как же это тебе объяснить.. по кликам чтоли..
запускаешь оснастку dhcp
раскрываешь плюсик возле сервера и там есть "Параметры сервера"
правая кнопка мыши- настроить параметры
вкладка "Общие" и там выставляешь параметры за номерами: 006, 015 - про DNS
еще 003 - шлюз, 044 - wins сервер, 046- тип узла (лучше 0х2)
у тебя там есть зона(-ы)
и там есть параметры (уже области) (но это если у тя несколько зон и для них разные DNS например, если нет - ен заморачивайся).
Tto на сервере кликни правой кнопкой - свойства - Служба dns (вкладка) - и укажи
обновлять записи
вкладка другие - укажи учетку для автоматического обновления DNS

Добавлено
http://www.eventid.net/display.asp?eventid=62&eventno=274&source=w32time&phase=1
читай.

Добавлено
в настройках подключения в dns поставь свой сервак, но не 127.0.0.1
ip внутренний поставь своего сервера.

Добавлено

Цитата:

Еще на сервере кликни правой кнопкой - свойства - Служба dns (вкладка) - и укажи
обновлять записи
вкладка другие - укажи учетку для автоматического обновления DNS

имеестся ввиду в оснастке DHCP/ нажимать прямо на имя сервера.

mikas
Все понял, кроме.....

Цитата:

Tto на сервере кликни правой кнопкой

это опять в DHCP?

да

mikas

Цитата:

вкладка другие - укажи учетку для автоматического обновления DNS

Advanced - нет возможности указать учетку для автоматического обновления или это ты про User class - Default User Class?
В общем что-то не получилось
И странное дело, когда устанавливался серверс и его DNS не делалось этих настроек, откуда ты их взял и точно ли они нужны?

ooptimum

Цитата:

В GPO: Computer Configuration -> Windows Settings -> Security Settings -> Restricted Groups, добавляешь группу "Administrators" (или как там эта группа называется), а в нее -- доменного пользователя, которому надо повысить привилегии. Если привилегии надо повысить только на определенных компьютерах, то разрешаешь доступ по чтению к этому GPO только этим компьютерам.

Я создал подразделение и к ней создал политику все как написанно выше, но ни чего не получается.

Я делал так:

Конфигурация компьютера\Кофигурация windows\Группы с ограниченым доступом

в этой ветке я все делал как написал ooptimum

dimonte

Цитата:

Я создал подразделение и к ней создал политику все как написанно выше, но ни чего не получается

Компьютеры, на которых ты хочешь применить политику, входят в это подразделение? Где они прописаны в AD?

Windows 2000 server клиенты XP/2000.
Создаю новую полилитику, в ней делаю как описанно.


Computer Configuration (Enabled)
Windows Settings
Security Settings
Restricted Groups

Group Members | Member of
Administrators ONE\test, ONE\GPOLocalAdmin | Администраторы, Administarators

Что нужно указывать в
Group Members И Member of ?
Правильно ли я указал?

И прилинковал данную политику к подразделению где были прописанны ПК.
Но что то не работает.

Возникла следующая проблема - хочу просканировать сетку на наличие на компах в группе локальных админах доменных юзеров, просто просканировать. В сети есть win xp, 2000. Можно конечно вручную, но эта так гемморойно. Скрипт писать долго, да и на данный момент вряд ли у меня достаточно знаний чтобы его написать. Может у кого есть готовое решение?