ANTICHAT — форум по информационной безопасности, OSINT и технологиям

1)GP должна назначаться OU содержащая аккаунты компьютеров.
2)Computer Configuration|Windows Settings|Security Settings|Restricted Groups
3)Добавляем группу Power Users или BUILTIN\Administrators и сделать членами группу пользователей в которую входят Учетные записи,кому надо дать права админа.



Где TEST_User группа которая получит права локального админа.

нихрена не получается !

имеется OU reklama
(цель - предосатвить OU reklama - возможность локальные администратрские права, а именно - чтоб смогли уставонить и удалить программы)
1. я этот OU добавляю в греуппу Administrators (Administrators have complete and unrestricted access to the computer/domain) - я не понял, это тот группа ?!
2. потом создаю в Computer Configuration|Windows Settings|Security Settings|Restricted Groups ГПО и туда добавляю группы Administrators (Groups or Built-in security principals)
3. когда открывается эта окна, который выпожил SpangeBoB, я туда для эксперимента пытаюсь добавить группу или пользователя отдельно, но выдает ошибку:

я нажимаю close, и и потом ОК, и он все равно добавляется вроде.
4. закрываю все, потом cmd и пишу: gpupdate /force
все происходит нормально. для верности перезагружаю клиента даже. но после перезагрузки никакого результата. опять не возможно ничего делать, т.е. установить софт.

в чем этот раз проблема ? где не парвильно делаю?

P.S. именно этот эксперимент провел на W2k8 standard , а как клиент - vista ultimate

1)OU нельзя добавить в группу,я даже не представляю откуда пришла мысль то в голову.

2)Там же написано ДОМЕН НЕ ДОСТУПЕН.

Как домен починится читать пока не просветлеет http://technet.microsoft.com/ru-ru/library/cc163123.aspx#EDAA

1. ну я имел ввиду всех пользователей, которые вхудят в этот OU !

2. как не доступен, если все нормально работает ? почему именно это не доступен ? вам не кажется, что с доменом все в порядке, просто что то не то делаю просто ?

1)В OU какие учетные записи находятся?

2)Судя по скриншоту с ним явно что-то не так.

SpangeBoB
1. в OU находятся те уч.записи пользователей, которые должны иметь "админские" права на локальных машинах.
(кстати, пробовал удалить из осностки ГРУППЫ этих пользователей группу Администраторы - тоже никакого толку)
2. ну может быть что то не то..
но на оригинальном сервере все проходить БЕЗ ошибок ! но все таки у пользователей нет прав.

Вы не понимаете что Групповая Политика для Компьютеров применяется только к компьютерам ,а не к учетным записям пользователя.В OU должны находится COMPUTER ACCOUNTS ,а не USER ACCOUNTS.

Во общем читать еще раз http://technet.microsoft.com/ru-ru/library/cc163123.aspx#EDAA

SpangeBoB

блин ( именно. вы как всегда - правы.
спасибо большое. решилась проблема.
------

теперь остались несколько вопросов почти по теме:
1. GP всегда принимается именно на comp account ? или именно из за ветви:
принимается на компьютеры ?
2. в GP edit_е w2k8 видел такая галочка, как forced. когда его надо ставить и вообше надо ли ставить ?
3. вот когда все компы уже принимали политику - можно удалить эта политика ? (если нет, то что будет после удаления)
4. все таки не понял, почему надо создать GP и именно в ветве Restricted Groups, если можно просто пользователям добавить группу Администраторы и все ? (хотя я так делал, но не получил никакого результата)

1)Групповые политики могут применятся как к объектам компьютеров,так и к объектам пользователей.
Computer Configuration - применяются к компьютерам
User Configuration - к пользователям

2)http://technet.microsoft.com/en-us/library/cc784374.aspx
3)То после 90 минут (по умолчанию),компьютер обновит политику и объекты удалятся.
4)Можно и так сделать,только через GP не надо подключаться к компьютерам и делать одно типные движения,добавления пользователей,да еще и знать каких на какую машину добавлять.