Как в AD дать пользователям админский доступ на свои компы ?

Тема в разделе "Администрирование серверов", создана пользователем Kenny, 6 май 2015.

Модераторы: mefish, stooper
  1. Kenny

    Kenny newbie

    Регистр.:
    17 авг 2006
    Сообщения:
    456
    Симпатии:
    141
    Собстна, появилась задача дать некоторым пользователям домена windows право на управление своим компом. Как это лучше всего реализовать, причем, чтобы у нихх не было админского доступа к файлшарам самбы.
     
  2. vindoo

    vindoo Создатель

    Регистр.:
    19 июн 2014
    Сообщения:
    38
    Симпатии:
    19
    Если под словами "право на управление своим компом" вы имеете ввиду админские права на их компе, то добавте доменного юзера в локальную группу Администраторы на его компьютере.
     
  3. Kenny

    Kenny newbie

    Регистр.:
    17 авг 2006
    Сообщения:
    456
    Симпатии:
    141
    У него тогда появляется доступ к файловому хранилищу с правами админа
     
  4. vindoo

    vindoo Создатель

    Регистр.:
    19 июн 2014
    Сообщения:
    38
    Симпатии:
    19
    А файловое хранилище на компьютере пользователя поднято что-ли? Я предположил, что файлопомойка у вас сервере.. Ну тогда дайте доменному юзеру необходимые права, хоть бы и администратора. А в параметрах безопасности файлохранилища поставьте этого пользователя с галочками запретить
    Я вот проверил сейчас, я администратор домена. Создал папку на локальном компе, и запретил самому себе её чтение. Открываю - месседж об ошибки доступа и не пускает.
     
    Kenny нравится это.
  5. Kenny

    Kenny newbie

    Регистр.:
    17 авг 2006
    Сообщения:
    456
    Симпатии:
    141
    Файловое хранилище на сервере. Просто когда локала давал пользователям, у него почему-то там права на зипись появлялись. Мб конечно что с группами намудрил. Ок, попробую
     
  6. Girt

    Girt Постоялец

    Регистр.:
    11 фев 2012
    Сообщения:
    87
    Симпатии:
    62
    По идее, если пользователь вошёл под локальным пользователем, то у него вообще не должно быть никаких прав на файловом сервере. Если как то иначе, значит дыра.
    Если нужно что-то делать с админскими правами, то нужно исходить из целей, а не тупо давать локального админа на комп (делай что дозволено, а не всё, что хочешь).
     
  7. vindoo

    vindoo Создатель

    Регистр.:
    19 июн 2014
    Сообщения:
    38
    Симпатии:
    19
    Он же писал что пользователь доменный, ему нужно чтобы доменный юзер имел локального админа.
    Кстати говоря, у microsoft есть одна интересная best practice - Создавать на каждый ресурс в сети - минимум 2 группы, одна разрешает доступ, другая запрещает, и дальше просто добавлять людей в эти группы не трогая сам ресурс.
     
  8. b10antoxa

    b10antoxa Постоялец

    Регистр.:
    6 ноя 2014
    Сообщения:
    94
    Симпатии:
    8
    Есть локальный администратор (который добавляется на локальном компе) - Локальный пользователи - группы - Администраторы
    Есть администратор домена. Если Ваша шара находится не на локальном компе, то пользователь никак не сможет получить туда доступ. Проверяйте права файлового хранилища - Единственный вариант. А вообще, пользакам лучше не давать в домене локального администратора - вирусы, ПО нелицензионное начнут ставить. :D
     
  9. ignitor

    ignitor Писатель

    Регистр.:
    12 мар 2015
    Сообщения:
    5
    Симпатии:
    0
    скриптом добавить в локалье администраторы