Форум АНТИЧАТ - Совет по GPO

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Администрирование (https://forum.antichat.xyz/forumdisplay.php?f=123)

- - Совет по GPO (https://forum.antichat.xyz/showthread.php?t=115718)

Совет по GPO

Привет всем. в начале месяца проектировал сеть, вроде все в порядке(AD+DNS+terminal). а потом заказчик требует, чтоб OU reklama (т.е. пользователи рекламного отдела) смогли на своих компах установить и удалить всякие программы (какие - не важно это, надо полный доступ), но при этом не дать им администраторский доступ.
как это можно делать через GPO ?

- сервер: wind 2003 standard
- клиенты: wind XP pro

в ХР можно же группу юзеров создать и указать какие дела им можно делать...типа оптный пользователь и т.д находится в панели управления-> администрироание...

Цитата:

Сообщение от aqqa

А ничего,что Power Users являются по своей сути Администраторами ,так что с таким же эффектом можно включить в группу администраторы.

Цитата:

ну нет.. тогда есть вот такая тема :
http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q320065

а если на самом деле сделать так:

Цитата:

1. Start Active Directory Users and Computers from any domain controller.
2. Create an organizational unit, and then move all of the appropriate workstations and member servers to that organizational unit.
3. Create a global group in that organizational unit, and then add the appropriate users to that group.
4. Start Active Directory Users and Computers, right-click the organizational unit, and then click Properties.
5. Click the Group Policy tab, click NEW, and then name the policy.
6. Click the policy, and then click Edit.
7. Right-click Restricted Groups (under Computer Configuration\Windows Settings\Security Settings\Restricted Groups), and then click Add Group.
8. Click Browse. Focused on the local computer, click the group to which you want your global group to be a member (in this case, the "Administrators" group), click ADD, and then click OK. You are returned to the group policy and you see the administrators group listed in the Restricted Groups window.
9. Right-click the group, and then click Security.
10. To the right side of the Members of this Group box, click ADD, and then click Browse.
11. Locate the group in the organizational unit that you want to place in the administrators group, and then add it the group. After you do so, close the group policy.
12. At a command prompt, type secedit /refreshpolicy machine_policy /enforce, and then press ENTER.

это мне не поможет?

И что ? Данная политика ограничит лишь членов определенной группы,но возможность добавить у меня все равно будет,но после последующего применения останутся только добавленные члены группы .

SpangeBoB

ммммм.. хреново.
и что теперь посоветуйте ? не ужели никак не варант ?

например разрешить радактирование рееста..
или на самом деле создать группу "администраторы" и туда добавить группу OU reklama ?
они на своем компе админы, но в домене - обычные пользователи. ! вроде все по честному.

Цитата:

Сообщение от B1t.exe

А что тут сделаешь,добавить их в локальную группу администраторов на компьютере.Пусть будут админами только на локальных машинах.

Легче объяснить ,что безопасность данной сети падает до 0.

SpangeBoB

Цитата:

А что тут сделаешь,добавить их в локальную группу администраторов на компьютере.Пусть будут админами только на локальных машинах.

а это каким образом легче делать?

Цитата:

в групповой политике
"Конфигурация компьютера/Конфигурация windows/Параметры безопасности/Группы с ограниченым доступом/Добавить группу" и добавляешь группу Опытные пользователи (сам пишешь такое название) и Power Users - если windows есть и английская в домене...
а потом просто в нее добавляешь из домена тех кого надо

так нормально ?

по поводу безопасности - я им сказал. ответ был такой:
да нам плевать на безопасность, надо чтоб люди работали !

Тогда с помощью политики которая выше ,добавить группу которая будет входить в локальные администраторы или в Power Users.