none
Ввел нового пользователя в AD - отказано в доступе при установке программ RRS feed

  • Вопрос

  • Добрый день.

    Установил новое AD win 2008 r2. Манипуляций с GPO не делал. Доп программ не ставил.

    Ввел пользователя в домен. После этого попытался запустить установку программы (lync client) - высветилось окошко с надписью


    Может что-то забыл при  установки AD. Хотя врядли, не первый раз ставлю.
    Нет доступа вообще ни кчему. Журнал событий посмотреть немогу(нет прав), локальные политики тоже ну и т.д.
    8 ноября 2012 г. 13:33

Ответы

  • При вводе компьютера в домен происходят следующие изменения с группами безопасности:

    Группа "Пользователи домена" добавляется в локальную группу "Пользователи" компьютера.

    Группа "Администраторы домена" добавляются в локальную группу "Администраторы" компьютера.

    Следуя этой логике пользователь находящийся в группе "Пользователи домена" попадает в локальную группу "Пользователи" компьютера, которая не имеет разрешения устанавливать программы в папку "Program Files". Из ваших попыток становится ясно, что ещё ко всему у вас отключен UAC и соответствующего запроса на повышение привилегий не появляется.

    В панели управления включите UAC и перезагрузите компьютер, после чего при попытке установить программу вы получите запрос на ввод учётных данных администратора домена.

    В такой конфигурации, как говорится, и овцы целы и волки сыты - пользователь останется пользователем, а для вас, как для системного администратора сохранится возможность устанавливать программы на этом компьютере.


    • Изменено ITD27M01 9 ноября 2012 г. 6:02
    • Помечено в качестве ответа Kulakov Kirill 9 ноября 2012 г. 6:34
    9 ноября 2012 г. 6:00

Все ответы

  • Установка программ в Program Files разрешена пользователям, принадлежащим локальной группе "Администраторы" компьютера, который вы ввели в домен.

    Покажите вывод команды whoami.exe /GROUPS, запущенной от имени этого пользователя на этом компьютере.

    8 ноября 2012 г. 17:07
  • Запусти от имени администратора

    9 ноября 2012 г. 4:17
  • Добавление его в локальные админы это не выход, он обычный пользователь.

    От имени администратора тоже такойже эффект.

    Такое впечатление, что при вводе в домен, на комп не прописались куда нужно группы безопасности и этот пользователь просто не имеет прав на комп.

    Хотя на компьютере группа Администарторы есть группа доменных админов. А в группе пользователи есть Пользователи домена, куда собственно и входит пользователь.

    Раньше поднимаешь AD вводишь компьютер и все работает, у пользователя везде есть доступ, а тут блок какойто.

    Сведения о группах
    -----------------

    Группа                                          Тип                     SID
         Атрибуты
    =============================================== ======================= ========
    ==== =============================================================
    Все                                             Хорошо известная группа S-1-1-0
         Обязательная группа, Включены по умолчанию, Включенная группа
    BUILTIN\Пользователи                            Псевдоним               S-1-5-32
    -545 Обязательная группа, Включены по умолчанию, Включенная группа
    NT AUTHORITY\ИНТЕРАКТИВНЫЕ                      Хорошо известная группа S-1-5-4
         Обязательная группа, Включены по умолчанию, Включенная группа
    КОНСОЛЬНЫЙ ВХОД                                 Хорошо известная группа S-1-2-1
         Обязательная группа, Включены по умолчанию, Включенная группа
    NT AUTHORITY\Прошедшие проверку                 Хорошо известная группа S-1-5-11
         Обязательная группа, Включены по умолчанию, Включенная группа
    NT AUTHORITY\Данная организация                 Хорошо известная группа S-1-5-15
         Обязательная группа, Включены по умолчанию, Включенная группа
    ЛОКАЛЬНЫЕ                                       Хорошо известная группа S-1-2-0
         Обязательная группа, Включены по умолчанию, Включенная группа
    Обязательная метка\Средний обязательный уровень Метка                   S-1-16-8
    192  Обязательная группа, Включены по умолчанию, Включенная группа

    9 ноября 2012 г. 5:36
  • При вводе компьютера в домен происходят следующие изменения с группами безопасности:

    Группа "Пользователи домена" добавляется в локальную группу "Пользователи" компьютера.

    Группа "Администраторы домена" добавляются в локальную группу "Администраторы" компьютера.

    Следуя этой логике пользователь находящийся в группе "Пользователи домена" попадает в локальную группу "Пользователи" компьютера, которая не имеет разрешения устанавливать программы в папку "Program Files". Из ваших попыток становится ясно, что ещё ко всему у вас отключен UAC и соответствующего запроса на повышение привилегий не появляется.

    В панели управления включите UAC и перезагрузите компьютер, после чего при попытке установить программу вы получите запрос на ввод учётных данных администратора домена.

    В такой конфигурации, как говорится, и овцы целы и волки сыты - пользователь останется пользователем, а для вас, как для системного администратора сохранится возможность устанавливать программы на этом компьютере.


    • Изменено ITD27M01 9 ноября 2012 г. 6:02
    • Помечено в качестве ответа Kulakov Kirill 9 ноября 2012 г. 6:34
    9 ноября 2012 г. 6:00
  • Благодраю за развернутый ответ. :-)

    Сейчас попоробую.

    9 ноября 2012 г. 6:26
  • Сработало)

    9 ноября 2012 г. 6:34