Версия для печати темы

Автор: Sysop Четверг, 22 Ноября 2007, 12:02

Здравствуйте!

Поднял АД на 2003 сервере и осталось решить пару нюансов.
Сейчас меня интересует как можно разрешить ново созданному пользователю установку програмного обеспечения на свой ПК (да и вообще дать ему все те права что и у "Администратор"-а).

Я опишу что я делал и как, а вы подскажите, может что то пропустил:

Я создал пользователя Test с паролем Test. По дефолту он стал членом группы "пользователи домена", в свойствах этого пользователя, под закладкой "Член групп" я добавил его во все те группы в которых и сам "Администратор" сидит (Администраторы, Администраторы домена, Администраторы предприятия, Владельцы-создатели групповой политики и Пользователи домена) но при попытке установить ПО на подключенном к домену ПК под пользователем Test получаю от системы сообщение что "The system administrator has set policies to prevent this installation" (надеюсь всем понятно, но если вдруг нет то это приблизительно означает что администратор установил политики безопастности для предотвращения этой установки). Так пишет когда запускаю установку 2003-го офиса, а когда (чисто для опыта) запускаю установку "Гугль Земля" то до самого конца установки все нормально а в конце выдает "COM registration failed. User may not have administrator permission".

Суть в том, что юзеру Test нужно дать все права администратора (на изменение прав доступа к файлам и папкам в том числе). Подскажите пожалуйста кто знает.

P.S.: Пытался найти сам но честно говоря незнал что в поисковик писать чтоб получить нужный ответ, на форуме тоже ненашел (если все же есть то дайте пожалуйста ссылочку).

Автор: Sysop Четверг, 22 Ноября 2007, 18:46

Кажется все работает. Просто изменения свойств пользователя вступают в силу только после перезагрузки клиента.

Автор: KirFire Пятница, 23 Ноября 2007, 16:48

если я ничего не пропустил, то вы сделали пользователя Тест администратором Домена, это не совсем хорошо... я бы сказал даже ппц как плохо - потому что есть куча чайников которые могут по незнанию убить вам туже АД в момент.

Исходя из ваших задач вам заглаза хватило бы раздачи пользователям локальных администраторов.

пы.сы. не мешало бы и книжку купить почитать по администрированию винды - хотябы самые азы.

Автор: Sysop Пятница, 23 Ноября 2007, 20:10

"Тест" это мой аккаунт, тот под которым я захожу на клиентском ПК в домен, с целю проверки групповых политик. Юзеры пока не имеют доступа к серверу.

Автор: Egor Суббота, 24 Ноября 2007, 1:48

В корне неверная политика
Правильное направление для твоих задач (IMHO) - группы с ограниченой ответственностью (restrict group)

Автор: Sysop Понедельник, 26 Ноября 2007, 17:49

"restrict group" был бы нужен при наличии юзеров (имеется введу физическое наличие людей), а их пока нет. Сотрудники будут допущены к рабочим местам только после полной настройки всей сети.

Автор: Egor Вторник, 27 Ноября 2007, 12:44

Исходя из этого заявления, группа "Domain User" тоже не нужна, без физического наличия людей

ЗЫ RTFM

Автор: Sysop Вторник, 27 Ноября 2007, 15:36

У фирмы есть набор ПО которым она собирается пользоваться, все это ПО нужно установить и настроить правильно ЕЩЕ ДО ТОГО КАК ПОЛЬЗОВАТЕЛИ НАЧНУТ РАБОТУ. При этом некоторые права нужно убрать а некоторые добавить(права доступа к некоторым веткам реестра, права доступа к папкам и прочее) . Юзер тест это тот юзер под которым я все это испытываю чтоб в итоге создать аккаунты для всех юзеров в группе "Domain User" а потом разрешить этим юзерам то что необходимо для правильной работы ПО на ихних локальных машинах (либо создать отдельную группу для них). Например ПО предназначенное для брокеров, которым собирается пользоваться данная фирма под обычным членом группы "Domain User" работает нормально, но при попытке обновить ее вылетает сообщение об ошибке с текстом "отказано в доступе...." непомню к чему.

...а вообще я задал вопрос на который так и не получил ответа. Я не сомневаюсь в вашем профессионализме, но если вы не соберетесь отвечать на мой вопрос то либо скажите что мой вопрос задан неправильно и хоть приблизительно опишите почему вы так считаете, а если нет то мне и без ваших комментариев (тех которые не по сути) неплохо живется.

Автор: Egor Вторник, 27 Ноября 2007, 19:07

Sysop, сами-то читали, что спрашивали?

Это прямая дорога - определять учетку в группу локальных администраторов через группы с оганиченной ответственностью. Теперь задача изменилась

т.е. уже ни о каких административных правах речи не идет. Это уже раздача прав на папки через "Безопасность".

Зы Определились-бы что-ли.

Автор: Virp Среда, 05 Мая 2010, 15:00

Здравствуйте.
Пишу в этой теме, т.к. вопрос практически сходный. Есть Сервер 2003 с контроллером домена. Создал на сервере пользователя (например User) дал права Domain Users и Administrators. Локальный компьютер входит в домен с этой учетной записью User. Начал удалять/устанавливать ПО на компьютере - не дает, говорит "Нужны права администратора". Попытался дать доступ к папке - та же самая история. Для пробы дал пользователю "User" права Domain Admin, на компьютере стало всё нормально: программы ставятся/удаляются, папки расшариваются. Надо бы чтоб пользователь "User" не был Domain Admin но чтоб остались права на удалять/устанавливать ПО и давать доступ к папкам.

Автор: Egor Вторник, 11 Мая 2010, 12:39

Virp, закономерный вопрос - что Вы знаете об AD и возможностями ей управлять? Представляете, что такое GPO?