Доброго времени суток уважаемые! Прошу помощи! Имею домен-уровня 2008,150 юзеров,контроллер домена Win 2008 R2! Вопрос такой: как ограничить права юзеров в домене,но при этом обеспечить нормальную работу очень важных програм которые не могут работать без прав администратора! Есть много программ которые никак не работают без админситраторских прав,например SolidWorks- программа для конструкторов и инженеров! Так один шустрый конструктор поставил себе кучу программ лишних, а если его профиль ограничишь в правах, но в тоже время очень важные программы для работы перестают работать без администраторских прав Прошу помощи ребята,горю! Начальство каждый день "массаж простаты" делает( Как сделать это грамотно? Все юзеры доменные!
» Грамотное ограничение прав пользователей в домене!
260188
Цитата:
На текущий момент их совсем немного, это, как правило, устаревшие версии.
Всё же лучше юзверей полишать админских привелегий, а в исключительных ситуациях использовать Admilink.
Цитата:
Есть много программ которые никак не работают без админситраторских прав
На текущий момент их совсем немного, это, как правило, устаревшие версии.
Всё же лучше юзверей полишать админских привелегий, а в исключительных ситуациях использовать Admilink.
Спасибо! Но тут очень много сотрудников которые очень хорошо разбираются в IT! Так что не хотелось бы так рисковать через AdmiLink) А через групповую политику пробовал кто-нибудь? Слышал что через групповую политику и AD можно так сделать?
260188
Цитата:
В "AdmiLink" применяется стойкая криптозащита. Разбираться в IT, чтобы её обойти, недостаточно.
Цитата:
А что именно? Ну, через AD можно настроить политику ограниченного использования программ: "Group Policy Management" -> нужная политика -> "Computer Configuration" -> "Policies" -> "Windows Settings" -> "Security Settings" -> "Software Restriction Policies".
Цитата:
Так что не хотелось бы так рисковать через AdmiLink
В "AdmiLink" применяется стойкая криптозащита. Разбираться в IT, чтобы её обойти, недостаточно.
Цитата:
Слышал что через групповую политику и AD можно так сделать?
А что именно? Ну, через AD можно настроить политику ограниченного использования программ: "Group Policy Management" -> нужная политика -> "Computer Configuration" -> "Policies" -> "Windows Settings" -> "Security Settings" -> "Software Restriction Policies".
О спасибо большое попробую сейчас!
Добавлено:
Т.е я правильно понял! Все профили переключить на просто "юзер" и потом уже ставить AdminLink?
Добавлено:
Т.е я правильно понял! Все профили переключить на просто "юзер" и потом уже ставить AdminLink?
260188
Цитата:
Угу.
Цитата:
Т.е я правильно понял! Все профили переключить на просто "юзер" и потом уже ставить AdminLink?
Угу.
А что именно? Ну, через AD можно настроить политику ограниченного использования программ: "Group Policy Management" -> нужная политика -> "Computer Configuration" -> "Policies" -> "Windows Settings" -> "Security Settings" -> "Software Restriction Policies".
Здесь ведь надо указывать программы которые находятся как бы на самом КД? А если ПО локально на машине юзера находится? как быть здесь?
Здесь ведь надо указывать программы которые находятся как бы на самом КД? А если ПО локально на машине юзера находится? как быть здесь?
260188
Цитата:
Почему же? Вовсе нет. Доменная политика применится к определённой группе компьютеров, на которую была "натравлена".
Цитата:
Здесь ведь надо указывать программы которые находятся как бы на самом КД?
Почему же? Вовсе нет. Доменная политика применится к определённой группе компьютеров, на которую была "натравлена".
http://vsionaidu.ru/index.php?option=com_fireboard&Itemid=34&func=view&id=1157&catid=18
Здесь указывается как через групповую политику ограничить права юзверей! Но не понятно с пунктом 5!
5. Первый параметр «Группы с ограниченным доступом», правой кнопкой мыши «Добавить группу», выбираем группу «Администраторы» («Administrators», добавляем в эту группу следующие объекты: «Администраторы домена» - куда без них J, пользователя «Администратор» - нас случай если на компьютер «выпадет» из домена и вообще локальный администратор должен быть, но его пароль не должен знать никто, и самое главное глобальная в домене группа «G_Local Admins» - в данную группу будут входить все пользователи ИТ Департамента которым необходимо иметь доступ к компьютеру на уровне прав локального администратора
Получается доменный администратор тоже попадет в эту группу? не отразится ли это на доменном администраторе и его правах ко всем объектам домена?
Здесь указывается как через групповую политику ограничить права юзверей! Но не понятно с пунктом 5!
5. Первый параметр «Группы с ограниченным доступом», правой кнопкой мыши «Добавить группу», выбираем группу «Администраторы» («Administrators», добавляем в эту группу следующие объекты: «Администраторы домена» - куда без них J, пользователя «Администратор» - нас случай если на компьютер «выпадет» из домена и вообще локальный администратор должен быть, но его пароль не должен знать никто, и самое главное глобальная в домене группа «G_Local Admins» - в данную группу будут входить все пользователи ИТ Департамента которым необходимо иметь доступ к компьютеру на уровне прав локального администратора
Получается доменный администратор тоже попадет в эту группу? не отразится ли это на доменном администраторе и его правах ко всем объектам домена?
260188
Как только компьютер регистрируется в домене, в группу локальных администраторов заносится группа доменных админов, а в группу локальных юзеров - группа доменных пользователей (впрочем, бывает, что в последствии "несознательные" юзвери, имея админские привелегии, выкидывают доменных админов из группы локальных; тут действительно может помочь описанная политика). Это нормально, на доменных админах это не отразится. Это позволяет доменному админу управлять компами.
Впрочем с самой статьёй я не слишком согласен (да ей, к тому же, почти 2 года). Давать пользователям права на "Program Files" - это ещё применимо к XP. В Висте и Семёрке это - перебор.
Как только компьютер регистрируется в домене, в группу локальных администраторов заносится группа доменных админов, а в группу локальных юзеров - группа доменных пользователей (впрочем, бывает, что в последствии "несознательные" юзвери, имея админские привелегии, выкидывают доменных админов из группы локальных; тут действительно может помочь описанная политика). Это нормально, на доменных админах это не отразится. Это позволяет доменному админу управлять компами.
Впрочем с самой статьёй я не слишком согласен (да ей, к тому же, почти 2 года). Давать пользователям права на "Program Files" - это ещё применимо к XP. В Висте и Семёрке это - перебор.
Ну ее можно попробовать применить? У меня все юзера на XP!
260188
Цитата:
Можно, почему нет. Мне приходилось бороться так с "несознательными" юзерами. Тоже на XP.
Цитата:
Ну ее можно попробовать применить?
Можно, почему нет. Мне приходилось бороться так с "несознательными" юзерами. Тоже на XP.
ок! как сделаю отпишу результаты
Страницы: 1
Предыдущая тема: 2003 r2 enterprise x64 и Raid на 10ТБ
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.