» Локальный администратор, но юзер в домене

Самый простой вариант - в логин или стартап скрипт :
admins.cmd

Код:
echo %computername% >> \\server\share\admins.txt
net localgroup Administrators >> \\server\share\admins.txt
net localgroup Администраторы >> \\server\share\admins.txt

G14
Спасибо неплохой вариант. Только вот если юзер залогинится 10 раз, будет 10 записей... Это поправимо?

А в реальном времени никак?

Цитата:

А в реальном времени никак?

например так:
admins.cmd

Код:
psexec \\* -u domain\administrator -p password net localgroup Administrators
psexec \\* -u domain\administrator -p password net localgroup Администраторы

Не будет видно имя компа.

ooptimum

Цитата:

В GPO: Computer Configuration -> Windows Settings -> Security Settings -> Restricted Groups, добавляешь группу "Administrators" (или как там эта группа называется), а в нее -- доменного пользователя, которому надо повысить привилегии. Если привилегии надо повысить только на определенных компьютерах, то разрешаешь доступ по чтению к этому GPO только этим компьютерам.   Добавлено Да, чуть не забыл, доменных админов тоже в эту группу добавь, а то их исключат из нее.

Странное дело, но у меня, после того как я ПК из рабочей группы в домен запихал (сделав его локально Админом) - начались чудеса - если локально входить на ПК под старой локальной учёткой, локльный админ перестал быть админом!!!

Как полечить? причем посмотрел локальный юзер под которым чудеса начались в группу Администраторы локально по прежнему входит... - что за баг? будут мысли?

может всетаки кто отсоветует чего?

На локальном компе посмотри кто входит в группу Администраторов и добавь, кого тебе нужно.

а вобще повезло, что у тебя самого админовские права остались на эту машину.
Поаккуратнее нужно с GPO, особенно не рекомендую новичкам править Default Domain Policy, а то потом будете в мыле бегать

Создайте новую OU, обзовите Test и измывайтесь сколько душе угодно, кидая туда тестовые компы и тестовых юзеров. Только после того как все, что вы хотите сделать, будет там работать ПРАВИЛЬНО, тогда уже можно и на живых людях пробовать

Удачи

Цитата:

http://support.microsoft.com/?id=320065

Цитата:

9. Right-click the group, and then click Security.

Чтойта не могу найти в св-ах группы по клику правой кнопкой такой закладки Security..
И собсна вопрос: у меня управление происходит на уровне пользователей, а не компьютеров. Можно ли привязать эти настройки к пользователям?

Товарищи, у меня тоже не выдаются локальные админские права по описаному выше методу ooptimum через GPO. Также не понял высказываение по поводу делегирования локальных администраторских прав пользователям домена из-под локальной админской учетки. У меня, например, если не осуществляешь вход в домен никаких учеток домена не видно..
Помогите с вопросом пожалуйста, на днях надо всю организацию переводить в домен, ключевой момент для меня...
Спасибо.

Цитата:

Чтойта не могу найти в св-ах группы по клику правой кнопкой такой закладки Security..

Это статья для w2k, поэтому написано "Security"
В 2k3s аналогично, только меню "Properties".


Цитата:

И собсна вопрос: у меня управление происходит на уровне пользователей, а не компьютеров. Можно ли привязать эти настройки к пользователям?

нет, ИМХО.

А вообще метод описанный ранее абсолютно рабочий, пользуюсь им иногда.

Кстати, как вариант ещё можно использовать скрипт, при запуске которого в локальную группу будет добавляться доменная группа.

Еще один момент непонятен из статьи How to Configure a Global Group to Be a Member of the Administrators Group on all Workstations

Цитата:

2. Create an organizational unit, and then move all of the appropriate workstations and member servers to that organizational unit.

Не понятно. Как я могу переместить в этот OU компьютеры (рабочие станции) и сервера? Я могу создать группу и поместить в нее компьютеры, но не могу поместить компьютеры в OU. Просьба разьяснить как это сделать..

DeH

Цитата:

Не понятно. Как я могу переместить в этот OU компьютеры (рабочие станции) и сервера? Я могу создать группу и поместить в нее компьютеры, но не могу поместить компьютеры в OU. Просьба разьяснить как это сделать..

А в чём, собственно, проблема? Открываете консоль "Active Directory - Пользователи и компьютеры", выделяете нужных пользователей/компьютеры, кликаете правой кнопкой и в меню выбираете пункт "Переместить". Указываете целевое OU и все. Либо перемещаете простым перетаскиванием.

Спасибо, работает! Единственное - надо ждать обновления АД до вступления изменений в силу..
Подскажите пожалуйста аналог

Цитата:

12. At a command prompt, type secedit /refreshpolicy machine_policy /enforce, and then press ENTER.

для 2003 сервера дабы избежать ожидания.
Спасибо.

Подскажите пожалуйста!

У меня вот есть Пользователи в домене я их добавляю в группу Администраторы на локальных машинах. После чего перемещаемый профиль перестает работать (не хочет переносить инфу с машины на сервер).

В чем может быть проблема?

baz08
Проверьте настройки доступа и безопасности к папкам с профилями пользователей на сервере.
Во время логина винда не ругается что не может получить доступ к профилю на сервере?

DeH
Винда не ругаеться. Все происходит как обычно. С правами на папку тоже все правильно.
У меня такое ошущение что когда я доменного юзера ставлю админом на компе права где путуються и из-за этого не хочет работать...

baz08
Можно попробовать сгенерить RGP того OU в котором находится пользователь и проверить нет ли там каких настроек, которые вступают в конфликт..
Больше нет никаких мыслей по этому поводу, только что с нуля создал пользователя с перемещаемым профилем и дал ему с локальной тачки админа - никаких проблем, инфа кешируется на сервер..

DeH

Цитата:

сгенерить RGP того OU

объясни плиз как это сделать, а то я не бум-бум в этом....

baz08
Ну добавляешь в mmc оснастку RSoP:

В св-ах добавленной оснастки формируешь запрос: указываешь компьютер который находится в домене, далее выбираешь пользователя к этому компьютеру. Оснастка формирует результирующий ГПО, смотришь нету ли ничего подозрительного там..

DeH
Спасибо большое... шас буду смотреть... если что напишу

Добавлено:
DeH

Цитата:

В св-ах добавленной оснастки формируешь запрос: указываешь компьютер который находится в домене, далее выбираешь пользователя к этому компьютеру. Оснастка формирует результирующий ГПО, смотришь нету ли ничего подозрительного там..

сделал все как ты сказал ни чего подозрительного не нашел...
даже уже не знаю в чем может быть проблема... сначала думал может ГПО барахлит, но теперь так не думаю...

Цитата:

Подскажите пожалуйста!

У меня вот есть Пользователи в домене я их добавляю в группу Администраторы на локальных машинах. После чего перемещаемый профиль перестает работать (не хочет переносить инфу с машины на сервер).

В чем может быть проблема?

так и не решил проблему с перемещаемыми профилями....
может кто знает чего?

Проблема следующая: если добавить доменного пользователя в группу локальных администраторов на компе (нужно, чтоб доменный пользователь был бы админом только на своём компе) - пользователь логинится в домен и всё работает - он является локальным администратором, но обычным юзером в домене. Но после того, как юзер перестартует комп и залогинится снова - локальные админские права у него слетают (в группе локальных администраторов его больше нет), то есть доменное имя пользователя вываливается из группы локальных администраторов. В чём может быть засада ? Такое впечатление, что происходит, как бы, такая вещь, что при логине в домен, комп скачивает свои права с домена и заменяет им локальные права, и поэтому херится то, что локально выставлено было...

Цитата:

Проблема следующая: если добавить доменного пользователя в группу локальных администраторов на компе (нужно, чтоб доменный пользователь был бы админом только на своём компе) - пользователь логинится в домен и всё работает - он является локальным администратором, но обычным юзером в домене. Но после того, как юзер перестартует комп и залогинится снова - локальные админские права у него слетают (в группе локальных администраторов его больше нет), то есть доменное имя пользователя вываливается из группы локальных администраторов. В чём может быть засада ? Такое впечатление, что происходит, как бы, такая вещь, что при логине в домен, комп скачивает свои права с домена и заменяет им локальные права, и поэтому херится то, что локально выставлено было...

засада в том что применяются доменные групповые политики, и вас видать настроено на "локальные администраторы" - уберите пк с OU куда применяется политика, тогда он сможет быть админом на своей машине, но остальные передаваемые через домен - нет (кроме домейн админ)

Как назначить права локальным администратором после ввода машины в домен Win Server 2008 R2?
При добавлении в группу админов выводится только список локальных пользователей, но не доменных учетных записей.

Вопрос наверное здесь будет в тему...
Вопрос такой... Есть учётка админа и обычного ползюка в домене. Как через командую строку открыть "Панель управления", "Проводник" или "Мой компьютер" с правами админской учётки в учётке ползюка? Обычно открывал IE 6 с помощью "Запуск от имени...", а с IE 7 и 8 такое уже не прокатывает. Вот нужен иной способ.

Добавлено:
Вопрос решён.

Поднял домен, настройки политик не трогал кроме как минимальную длинну пароля изменил и всё. При подключении компа к домену под пользователем иии опытным пользователем нельзя ни обоину поменять, ни меню пуск...даже значки на рабочем столе автоматически выравниваются. Облазил всё, но не нашел причину...результирующая политика не показывает чтоб эти фишки были включены. Приходится щас подключать пользователей под админ правами на компах. Подскажите что ни так сделал?...Может права какие дополнительно надо было дать?

allhimik
заходишь на комп под админом домена, по моему компу правой мышью-управление-группы-администраторы-добавляешь в эту группу доменного пользователя-выходишь из системы-заходишь под пользователем которого добавиль в локальную группу администраторы-получаешь то что хотел-пользователь теперь локальный админ но не доменный

прошу прощения, может не совсем по теме. мне нужно несколько обратное...
нужно чтоб при вводе компа в домен, блокировался локальный админ, и любые админские действия мог выполнять только админ домена или специальный пользователь

SHRIKE74
А что делать если в тот момент когда
Цитата:

добавляешь в эту группу доменного пользователя

в поле "В следующем месте" есть возможность выбора только локального компьютера а не домена?
И в списке нет доменный пользователей.

artemk
поставь злобный пароль на локального админа
raw1
это значит у тебя что-то криво сделано, в сетевых настройках должен быть первый днс прописан твой контроллер, или ты зашёл на машину под локальным админом а не доменным раз выбора места нет