none
Добавление пользователей в локальные админы RRS feed

  • Вопрос

  • Существует домен. В нем создана группа Domain Support и в нее добавлены несколько человек из техников, группе делегированы определенные права, которые необходимы, чтобы техники выполняли те или иные действия в домене.
    Пользователи имеют права администраторов на локальных машинах, соответственно пароли на локальных админах меняют, либо отключают вовсе, удаляют группу Domain Admins из администраторов и т.д.
    Вопрос заключается в том, как автоматически добавлять группу Domain Support в локальные администраторы?
    Я так подозреваю, что нужен логон скрипт (подскажите где нарыть/в какую сторону копать? т.к. в скриптописании не силен) или же где это можно указать через групповые политики (сомневаюсь, что это возможно, но было бы идеально)
    14 ноября 2007 г. 9:15

Ответы

  • Все, разрулил. На сисадминс.ру подсказали Smile
    comp config - windows settings - security settings - restricted groups.
    там добавляем из домена интересующую нас группу, можно также добавить пользователей, которые в нее входят (правда писать можно все что угодно - схавает) и в поле this group member of вводим название группы Administraors (просто руками, т.к. в Active directory ее не найдете).
    Gpupdate /force на сервере и на клиенте. Все работает
    14 ноября 2007 г. 12:06

Все ответы

  • пока что выручила команда
    net localgroup Administrators DOMAIN\USERNAME /add
    т.е. можно от этого оттолкнуться и написать батник, но мне это не совсем нравится, т.к. это будет логон скрипт, который срабатывает только при перезагрузке
    14 ноября 2007 г. 9:26
  • В групповой политике это делается.

     

    14 ноября 2007 г. 9:50
  • а поподробнее можно?
    14 ноября 2007 г. 10:25
  • Все, разрулил. На сисадминс.ру подсказали Smile
    comp config - windows settings - security settings - restricted groups.
    там добавляем из домена интересующую нас группу, можно также добавить пользователей, которые в нее входят (правда писать можно все что угодно - схавает) и в поле this group member of вводим название группы Administraors (просто руками, т.к. в Active directory ее не найдете).
    Gpupdate /force на сервере и на клиенте. Все работает
    14 ноября 2007 г. 12:06
  •  uatson написано:
    Все, разрулил. На сисадминс.ру подсказали
    comp config - windows settings - security settings - restricted groups.
    там добавляем из домена интересующую нас группу, можно также добавить пользователей, которые в нее входят (правда писать можно все что угодно - схавает) и в поле this group member of вводим название группы Administraors (просто руками, т.к. в Active directory ее не найдете).
    Gpupdate /force на сервере и на клиенте. Все работает

    а разве restricted groups не перезаписывает всю группу? т.е. указанные в ней пользователи стали у вас локальными админами на всех машинах домена?

    14 ноября 2007 г. 12:45
  • Рано радоваться. Политику (особо умные) могут обойти. Тут, всё-же, очень важны административные рычаги. Приказ и под подпись.

    14 ноября 2007 г. 13:04