Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Смена принадлежности к группе в Windows

Автор: tnx2000
Дата сообщения: 10.10.2007 11:58
Добрый день!

Подскажите пожалуйста, что делаю не так.

Исходная ситуация:
1. сеть без выделенного сервера и контроллера домена.
2. Рабочие станции Windows XP SP2
3. Сотрудники имели полномочия локальных администраторов

Далее, я хочу их перевести в группу локальные пользователи, а для этой группы с помощью групповой политики расширить полномочия, так как стандарный набор полномочий не совсем подходит.

Делаю так: перевожу юзера в группу локальных администраторов, устанавливаю все необходимое ПО, с помощью gpedit.msc правлю локальную политику Конфигурация пользователя/Административные шаблоны как мне надо.
Потом под встроенной учетной записью администратора перевожу этого юзера в группу локальных Пользователей.
В результате настройки локальной политики безопасности ничего не сохранились, а применились лишь только к объектам с правами администраторов.

Вопрос: как настроить Административные шаблоны у юзеров из группы локальные Пользователи ?

Если тема уже подымалась - прощу прощения за флейм - тогда киньте ссылку на нее.

Заранее спасибо.
Автор: VovaMozg
Дата сообщения: 10.10.2007 16:35
а какие политики изменяешь?
Автор: tnx2000
Дата сообщения: 10.10.2007 16:54
меняю часть политик в Конфигурация компьютера\Административные шаблоны\Система и большую группу политик в Конфигурация пользователя\Административные шаблоны\Рабочий стол, Панель управления, Сеть...

Добавлено:
Насколько я понял, реализовать то, что я хочу в Windows XP мне не удастся. Нужна следующая ОС Windows Vista со специально придуманной для подобных случаев (локальный компьютер - не член домена) технологией нескольких объектов локальной групповой политики (Multiple Local Group Policy objects, MLGPO).

Согласно описанию по этой технологии
...
Для решения сложных задач в доменном окружении администраторы используют групповую политику, но как решать такие задачи на компьютерах, которые не входят в домен? Для этого операционная система Windows Vista предлагает использовать новую функциональную возможность – технологию нескольких объектов локальной групповой политики (Multiple Local Group Policy objects, MLGPO).

Технология MLGPO является новой функциональной возможностью ОС Windows Vista и расширяет стандартные возможности локальной групповой политики, имеющейся в Microsoft® Windows® XP. Объекты MLGPO позволяют администратору применять различные уровни локальной групповой политики для различных пользователей, работающих на изолированном компьютере. Эта технология идеально подходит для случаев, когда один и тот же компьютер используется несколькими пользователями и не входит в доменное окружение. В качестве примера можно привести компьютерную среду в библиотеке или Интернет-киоск.

Локальная групповая политика является частью более широкой технологии – групповой политики. Групповая политика используется в доменном окружении, в то время как локальная групповая политика применяется локально на отдельном компьютере. Обе этих технологии позволяют администраторам настраивать определенные параметры операционной системы и затем в принудительном порядке применять их к пользователям и компьютерам. Однако локальная групповая политика не обладает такой гибкостью, как групповая политика, использующаяся в доменном окружении. Например, используя доменную групповую политику, администраторы могут настраивать любое количество различных политик, затрагивающих как отдельных, так и всех пользователей компьютера, входящего в домен, либо не затрагивающих никого вообще. Более того, такие политики могут применяться к пользователям на основании их принадлежности к определенной доменной группе. Однако локальная групповая политика позволяет настроить только одну политику, применяющуюся к отдельному компьютеру и ко всем пользователям этого компьютера, включая локального администратора. Данное обстоятельство усложняет администрирование изолированного компьютера, поскольку одна и та же политика применяется как к обычным пользователям, так и к администратору.

В состав ОС Windows Vista включена технология нескольких объектов локальной групповой политики (MLGPO), являющаяся улучшением предыдущей версии локальной групповой политики. Технология MLGPO позволяет администраторам локальных компьютеров применять различные объекты групповой политики (ГП) к пользователям этих компьютеров. Windows Vista позволяет использовать три уровня объектов локальной групповой политики: политику локального компьютера, политику групп администраторов/не администраторов и политику конкретного пользователя. Порядок применения этих объектов групповой политики следующий: сначала применяется политика локального компьютера, затем политика группы администраторов либо не администраторов, в последнюю очередь применяется политика конкретного пользователя.
...
и т.д. и т.п.

К сожалению в Windows XP такого нет.
Может есть утилиты от сторонних прозводителей, реализующие подобную функциональность ?
Автор: tnx2000
Дата сообщения: 11.10.2007 09:50
или еще вариант - кто может подсказать как поменять локальную политику под аккаунтом локального пользователя ?
Автор: VovaMozg
Дата сообщения: 11.10.2007 10:02
попробуй сделать его админом, поментяь политику и потом сделать обычным юзером
Автор: tnx2000
Дата сообщения: 11.10.2007 10:52
попробуй сделать его админом, поментяь политику и потом сделать обычным юзером

нет, так не пойдет

попробую обьяснить почему. В Windows XP как я понял параметры "Конфигурация пользователя" меняются конкретно для того пользователя под которым запущена остнастка gpedit.msc С УЧЕТОМ ЕГО ПРИНАДЛЕЖНОСТИ К ЛОКАЛЬНОЙ ГРУППЕ БЕЗОПАСНОСТИ.

Другими словами: делаю юзера локальным админом, запускаю редактор политики и правлю как мне надо параметры. Они распространяются на ВСЮ ГРУППУ локальных администраторов. Когда перевожу его в группу локальных ПОЛЬЗОВАТЕЛЕЙ, все мои настройки потеряны - потому что у него другая группа безопасности, хотя аккаунт пользователя остался тот же самый. А запустить редактор остнастки под обычным пользователем я не нашел как - у него просто нет на это прав, так как он обычный пользователь.

Добавлено:
в Vista это вопрос решен - под админом можно настраивать групповые политики для других пользователей компьютера, а вот в ХР

Еще как вариант - можно понастраивать в реестре в папке HKEY\USERS (зайдя под админом и открыв на редактирование ветку для конкретного пользователя). Но там сам черт ногу сломит в этих параметрах...
Автор: VovaMozg
Дата сообщения: 11.10.2007 11:08

Цитата:
А запустить редактор остнастки под обычным пользователем я не нашел как - у него просто нет на это прав, так как он обычный пользователь

делаешь, например, ярлык для mmc и запускаешь под именем локального админа (запустить от имени...)
Автор: tnx2000
Дата сообщения: 11.10.2007 11:28
спасибо, как вариант попробую

Добавлено:
сделал ярлык для gpedit.msc на рабочем столе под сотрудником с правами локально админа. Далее дал ему право локального пользователя. Естественно gpedit.msc уже не запустится с его правами. Сделал запуск от имени локального админа. Все запустилось, все дало поменять.
НО!
Изменения коснулись только локального админа, но ни как не локального пользователя

Еще кто что может предложить ?

Добавлено:
как вариант мне подсказали на другом форуме вот это:
http://support.microsoft.com/kb/325351/ru

Добавлено:
вариант не прошел

Страницы: 1

Предыдущая тема: Пароль для WIn 2003 server


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.