none
Изменение имени компьютера пользователем. RRS feed

  • Вопрос

  • Добрый день! Недавно возникла такая ситуация решил привести в порядок имена компьютеров в локальной сети, привести к одному эталону, а именно имя компьютера состоящее из фамилии пользователя, проблема в том что пользователи из доменной учетной записи не имеет прав на эту операцию, хотя их доменные учетные записи являются локальными администраторами на их рабочих станциях. Вопрос как им дать эти права, чтобы они могли сами поменять имена компьютеров?

    Заранее благодарен!

    31 октября 2012 г. 8:09

Ответы

  • Им нужные еще разрешения на учетную запись для компьютера в AD. Достаточные, но избыточные резрешения для этого, которые я проверял, что работают и для этой задачи тоже - разрешение на создание и удаление объектов Компьютер и полный доступ к объектам Компьютер на содержащее компьютер организационное подразделение (OU).

    По информации с форумов, которую я лично не проверял, достаточно дать разрешение на запись всех свойств для данного компьютера (или аналогитчное разрешение для объектов типа Компьютер  - на содержащее его OU).

    PS По моему опыту, называть компютеры по фамилии пользователя - плохая практика: пользователи могут увольняться, пересаживаться за соседний компьютер (в т.ч. - временно) и т.п.


    Слава России!


    • Изменено M.V.V. _ 31 октября 2012 г. 9:01
    • Помечено в качестве ответа Yuriy Lenchenkov 9 ноября 2012 г. 11:52
    31 октября 2012 г. 8:59
  • Нужно делегировать права пользователям домена на переименование учетных записей компьютеров в домене. Делаете группу безопасности, добавляете в эту группу пользователей, которым необходимо сменить имя компьютера. Далее на OU в котором находятся компьютеры, которые нужно переименовать, щелкаете правой кнопкой мыши, и выбираете опцию "Делегирование управления". Появится мастер делегирования, на первом этапе вам нужно будет указать группу, для которой будет применяться делегирование. Затем надо выбрать "создать особую задачу делегирования", далее в списке выбрать "Компьютер объектов" (у меня русская версия win2008r2, перевели вот так :)), потом выбираем разрешения на объект, вам нужны на запись. На последнем шаге появится сводка, что такая то группа имеет доступ на запись к объектам "компьютер". И все, пользователи должны будут перелогиниться на компах (для того чтобы членство в группе обновилось), и можно переименовывать.
    • Изменено barmaley29 31 октября 2012 г. 12:13
    • Помечено в качестве ответа Yuriy Lenchenkov 9 ноября 2012 г. 11:52
    31 октября 2012 г. 9:12

Все ответы

  • Им нужные еще разрешения на учетную запись для компьютера в AD. Достаточные, но избыточные резрешения для этого, которые я проверял, что работают и для этой задачи тоже - разрешение на создание и удаление объектов Компьютер и полный доступ к объектам Компьютер на содержащее компьютер организационное подразделение (OU).

    По информации с форумов, которую я лично не проверял, достаточно дать разрешение на запись всех свойств для данного компьютера (или аналогитчное разрешение для объектов типа Компьютер  - на содержащее его OU).

    PS По моему опыту, называть компютеры по фамилии пользователя - плохая практика: пользователи могут увольняться, пересаживаться за соседний компьютер (в т.ч. - временно) и т.п.


    Слава России!


    • Изменено M.V.V. _ 31 октября 2012 г. 9:01
    • Помечено в качестве ответа Yuriy Lenchenkov 9 ноября 2012 г. 11:52
    31 октября 2012 г. 8:59
  • Нужно делегировать права пользователям домена на переименование учетных записей компьютеров в домене. Делаете группу безопасности, добавляете в эту группу пользователей, которым необходимо сменить имя компьютера. Далее на OU в котором находятся компьютеры, которые нужно переименовать, щелкаете правой кнопкой мыши, и выбираете опцию "Делегирование управления". Появится мастер делегирования, на первом этапе вам нужно будет указать группу, для которой будет применяться делегирование. Затем надо выбрать "создать особую задачу делегирования", далее в списке выбрать "Компьютер объектов" (у меня русская версия win2008r2, перевели вот так :)), потом выбираем разрешения на объект, вам нужны на запись. На последнем шаге появится сводка, что такая то группа имеет доступ на запись к объектам "компьютер". И все, пользователи должны будут перелогиниться на компах (для того чтобы членство в группе обновилось), и можно переименовывать.
    • Изменено barmaley29 31 октября 2012 г. 12:13
    • Помечено в качестве ответа Yuriy Lenchenkov 9 ноября 2012 г. 11:52
    31 октября 2012 г. 9:12
  • ага, только тогда юзера и чужие компы переименуют
    31 октября 2012 г. 11:15
    Модератор
  • ну если они админы на всех компах, тогда смогут переименовывать чужие компы, не админы не переименуют. Как я понял из ТЗ, пользователи являются админами только своих локальных компов, в этом случае все ок.
    • Изменено barmaley29 31 октября 2012 г. 12:11
    31 октября 2012 г. 12:09
  • поправлюсь немного, пользователи в этом случае смогут установив себе пакет для удаленного администрирования, подключится к АД (в режиме чтения) оснасткой "пользователи и компьютеры", и если у них стоит делегирование на запись к объектам "Компьютер", максимум что смогут сделать, это отключить любую учетную запись компьютера в данном OU.
    31 октября 2012 г. 12:35
  • я бы просто не доверял эту операцию юзерам, так же как и не стал бы называть компы по имени сотрудника
    31 октября 2012 г. 12:46
    Модератор
  • Все верно, я бы ещё добавил, что не стоит делать пользователей локальными админами на компах.
    31 октября 2012 г. 13:12
  • за локальных админов вообще увольнять с конфискацией и отправлять в сибирь снег убирать - бедным животным по лесу бегать тяжело ))

    31 октября 2012 г. 15:16
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    8 ноября 2012 г. 8:47
    Модератор
  • В сети на раз-два находится скрипт, который пробежит по всем компьютерам домена и впишет в какое-нибудь поле записей о компьютерах AD (например, Desc) имя пользователя, залогиневшегося на компе. Этот скрипт нужно через GPO запускать на клиентской машине при входе. Можно ещё добавить скрипт на выход, чтобы нужно поле в записи AD очищалось при выходе.

    Компьютеры же, лучше именовать по названию оргединицы + номер + версия ОС. Например, MARKET002W7, ACCOUNT043XP и т.д. Потому что Вася сегодня работает в отделе маркетинга, завтра - в Руководстве, а послезавтра он вообще уволится. Оргединицы меняются реже.


    Сергей Панченко

    8 ноября 2012 г. 12:29