none
Право группе на ввод в домен RRS feed

  • Вопрос

  • Как известно, каждый пользователь по умолчанию имеет право ввести 10 компьютеров в домен.

    Администраторы домена и операторы учета-любое количество. Как дать определенной группе пользователей право вводить в домен неограниченное количество компьютеров, не увеличивая число в ADSIEdit и не давая таких экстремальных прав, как Оператор учета. W2k3-лес, домен

    25 декабря 2014 г. 5:53

Все ответы

  • Попробуйте добавить группу пользователей в политику Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment - "Add workstation to domain"

    Innovation distinguishes between a leader and a follower - Steve Jobs

    25 декабря 2014 г. 6:28
  • Добавлять-в какую именно политику? Просто в любую, висящую на контейнере с пользователями?

    25 декабря 2014 г. 6:52
  • На контейнер нельзя назначить групповую политику.
    25 декабря 2014 г. 7:03
  • На контейнер нельзя назначить групповую политику.

    Не на контейнер USER, а на созданное мной подразделение, в которое сложены учетки. Так можно ли на подразделение назначить такую политику или на какое-то другое GPO в домене?


    • Изменено PVDPVDPVD 25 декабря 2014 г. 8:17
    25 декабря 2014 г. 8:10
  • Вы можете изменить Default Domain Policy и данные изменения будут действовать для всего домена.

    Innovation distinguishes between a leader and a follower - Steve Jobs

    25 декабря 2014 г. 8:14
  • Как известно, каждый пользователь по умолчанию имеет право ввести 10 компьютеров в домен.

    Администраторы домена и операторы учета-любое количество. Как дать определенной группе пользователей право вводить в домен неограниченное количество компьютеров, не увеличивая число в ADSIEdit и не давая таких экстремальных прав, как Оператор учета. W2k3-лес, домен

    Для этого соответствующей группе нужно дать разрешение на создание объектов компьютер в том контейнере, где они создаются (по умолчанию - Computers) и на доступ к объектам типа Компьютер (я обычно, чтобы не заморачиваться, даю полный доступ, но можно дать разрешения только на необходимые атрибуты этих объектов). Для возможности перемещения компьютеров из контейнера по умолчанию в нудное OU ещё требуется дать этой группе разрешения на удаление объектов Компьютер.


    Слава России!

    25 декабря 2014 г. 9:18
  • Спасибо. Последние два вопроса. 1) У меня в Default Domain Polycy этот параметр не определен. Допустим, у нашей конторы есть дочка, мы сделали ей контейнер ROBOTS, в нем контейнеры ROBOTSCOMP и ROBOTSUSER. Завели пользовательские учетки и поместили в контейнер ROBOTSUSER. Создали группу ROBOTSADMINS, поместили туда две учетки тамошних админов. В контейнер ROBOTSCOMP будем переносить их компьютерные учетки. Делегировали группе ROBOTSADMINS права на контейнер ROBOTS->установка пароля, создание, изменение,удаления учеток. Теперь надо, чтоб члены этой группы вводили свои машины в домен. По умолчанию-это может далать Администратор домена, Оператор учета и юзер-столько машин сколько указано в параметре ms-DS-MachineAccountQuota.

    Вопрос1) ВDefault Domain Policy->Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment - "Add workstation to domain" у меня

    значение –«не определено». Если я определяю значение этого параметра и даю право группе

    ROBOTSADMINS, то не потеряют ли остальные-Domain Admins, Оператор учета( и любые юзеры по 10 шт) это право? Или их всех надо здесь указывать?

    Вопрос 2) Про способ два. MVV пишет «Для этого соответствующей группе нужно дать разрешение на создание объектов компьютер в том контейнере, где они создаются (по умолчанию - Computers) и на доступ к объектам типа Компьютер (я обычно, чтобы не заморачиваться, даю полный доступ, но можно дать разрешения только на необходимые атрибуты этих объектов)»

    Можно чуть подробнее –надо делегировать группе «ROBOTSADMIS» права на контейнер «Computers» на создание объектов «Компьютер»-это так сделать

    ПКМ на контейнере->Делегировать управление->Создать особую задачу для делегирования->только след. объектам в этой папке(ставим галку Создать в этой папке выбранные объекты)->Компьютер объектов.

    А что вы имеете ввиду по поводу «дать разрешения на доступ к объектам типа Компьютер (я обычно, чтобы не заморачиваться, даю полный доступ, но можно дать разрешения только на необходимые атрибуты этих объектов)»-это где и как, хотелось бы именно заморочитсяJ c атомарными разрешениями

    25 декабря 2014 г. 10:12