Как в AD дать пользователям админский доступ на свои компы ?

Kenny

newbie
Регистрация
17 Авг 2006
Сообщения
492
Реакции
174
Собстна, появилась задача дать некоторым пользователям домена windows право на управление своим компом. Как это лучше всего реализовать, причем, чтобы у нихх не было админского доступа к файлшарам самбы.
 
Если под словами "право на управление своим компом" вы имеете ввиду админские права на их компе, то добавте доменного юзера в локальную группу Администраторы на его компьютере.
 
У него тогда появляется доступ к файловому хранилищу с правами админа
 
А файловое хранилище на компьютере пользователя поднято что-ли? Я предположил, что файлопомойка у вас сервере.. Ну тогда дайте доменному юзеру необходимые права, хоть бы и администратора. А в параметрах безопасности файлохранилища поставьте этого пользователя с галочками запретить
Я вот проверил сейчас, я администратор домена. Создал папку на локальном компе, и запретил самому себе её чтение. Открываю - месседж об ошибки доступа и не пускает.
 
Файловое хранилище на сервере. Просто когда локала давал пользователям, у него почему-то там права на зипись появлялись. Мб конечно что с группами намудрил. Ок, попробую
 
По идее, если пользователь вошёл под локальным пользователем, то у него вообще не должно быть никаких прав на файловом сервере. Если как то иначе, значит дыра.
Если нужно что-то делать с админскими правами, то нужно исходить из целей, а не тупо давать локального админа на комп (делай что дозволено, а не всё, что хочешь).
 
По идее, если пользователь вошёл под локальным пользователем, то у него вообще не должно быть никаких прав на файловом сервере. Если как то иначе, значит дыра. Если нужно что-то делать с админскими правами, то нужно исходить из целей, а не тупо давать локального админа на комп (делай что дозволено, а не всё, что хочешь).
Он же писал что пользователь доменный, ему нужно чтобы доменный юзер имел локального админа.
Кстати говоря, у microsoft есть одна интересная best practice - Создавать на каждый ресурс в сети - минимум 2 группы, одна разрешает доступ, другая запрещает, и дальше просто добавлять людей в эти группы не трогая сам ресурс.
 
Есть локальный администратор (который добавляется на локальном компе) - Локальный пользователи - группы - Администраторы
Есть администратор домена. Если Ваша шара находится не на локальном компе, то пользователь никак не сможет получить туда доступ. Проверяйте права файлового хранилища - Единственный вариант. А вообще, пользакам лучше не давать в домене локального администратора - вирусы, ПО нелицензионное начнут ставить. :D
 
скриптом добавить в локалье администраторы
 
Назад
Сверху