Как в AD дать пользователям админский доступ на свои компы ?

Kenny

Kenny

newbie
Регистрация
17 Авг 2006
Сообщения
492
Реакции
174
Собстна, появилась задача дать некоторым пользователям домена windows право на управление своим компом. Как это лучше всего реализовать, причем, чтобы у нихх не было админского доступа к файлшарам самбы.
 
Если под словами "право на управление своим компом" вы имеете ввиду админские права на их компе, то добавте доменного юзера в локальную группу Администраторы на его компьютере.
 
У него тогда появляется доступ к файловому хранилищу с правами админа
 
А файловое хранилище на компьютере пользователя поднято что-ли? Я предположил, что файлопомойка у вас сервере.. Ну тогда дайте доменному юзеру необходимые права, хоть бы и администратора. А в параметрах безопасности файлохранилища поставьте этого пользователя с галочками запретить
Я вот проверил сейчас, я администратор домена. Создал папку на локальном компе, и запретил самому себе её чтение. Открываю - месседж об ошибки доступа и не пускает.
 
Файловое хранилище на сервере. Просто когда локала давал пользователям, у него почему-то там права на зипись появлялись. Мб конечно что с группами намудрил. Ок, попробую
 
По идее, если пользователь вошёл под локальным пользователем, то у него вообще не должно быть никаких прав на файловом сервере. Если как то иначе, значит дыра.
Если нужно что-то делать с админскими правами, то нужно исходить из целей, а не тупо давать локального админа на комп (делай что дозволено, а не всё, что хочешь).
 
По идее, если пользователь вошёл под локальным пользователем, то у него вообще не должно быть никаких прав на файловом сервере. Если как то иначе, значит дыра. Если нужно что-то делать с админскими правами, то нужно исходить из целей, а не тупо давать локального админа на комп (делай что дозволено, а не всё, что хочешь).
Нажмите для раскрытия...
Он же писал что пользователь доменный, ему нужно чтобы доменный юзер имел локального админа.
Кстати говоря, у microsoft есть одна интересная best practice - Создавать на каждый ресурс в сети - минимум 2 группы, одна разрешает доступ, другая запрещает, и дальше просто добавлять людей в эти группы не трогая сам ресурс.
 
Есть локальный администратор (который добавляется на локальном компе) - Локальный пользователи - группы - Администраторы
Есть администратор домена. Если Ваша шара находится не на локальном компе, то пользователь никак не сможет получить туда доступ. Проверяйте права файлового хранилища - Единственный вариант. А вообще, пользакам лучше не давать в домене локального администратора - вирусы, ПО нелицензионное начнут ставить. :D
 
скриптом добавить в локалье администраторы
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху