none
GPO и разные языковые версии. RRS feed

  • Вопрос

  • В сети используются разные языковые версии Windows.

     

    Необходимо создать групповую политику, которая применялась-бы к системам с разными локализациями.

     

    Как создать группу с ограниченным доступом Администраторы ?

    Как указывать пользователя Администратор в локальных политиках безопасности?

    7 августа 2007 г. 12:41

Ответы

  • Ну думаю надо компьютеры с одинаковыми локализациями поместить в одно OU и к каждому такому OU приделать GPO, в котором вы определите группу с ограниченным доступом.

     

    7 августа 2007 г. 13:00
  • Sid явно указать нельзя нигде насколько я понимаю, надо добавлять группы с well known sid's. Допустим локальные админы являются таковыми везде, т.е. сид один и тот же и на сервере и на воркстэйшене. Я же говорил как про опытных пользователей. Группы Power users нет на контроллере домена. Но можно установить gpmc на локальной машине и добавить Опытных пользователей - это будет одно и тоже и будет работать. Потому что Windaz смотрит на сиды.
    13 августа 2007 г. 13:15

Все ответы

  • Ну думаю надо компьютеры с одинаковыми локализациями поместить в одно OU и к каждому такому OU приделать GPO, в котором вы определите группу с ограниченным доступом.

     

    7 августа 2007 г. 13:00
  •  Ivanov Alex - MCSE написано:
    Ну думаю надо компьютеры с одинаковыми локализациями поместить в одно OU и к каждому такому OU приделать GPO, в котором вы определите группу с ограниченным доступом.

     

    Так-же возможно создать WMI-фильтр.....

    Или объединить компьютеры в соответствующие группы и назначать соответсвующие разрешения политикам....

     

     

    Но проблема в том, что доменов много... в каждом домене надо создавать несколько политик, WMI-фильтры или подразделения...

     

    Административные затраты растут в геометрической прогрессии...

     

    Как выйти из данного кризиса?

     

    Использование Well-known SID-ов позволит сократить административные издержки, такой вариант возможен?

     

     

    7 августа 2007 г. 13:12
  • возможно я не так вас понял, но у меня в сети есть wxpsp2 eng и есть wxpsp2 rus политики с restricted groups работают прекрасно без всяких WMI фильтров т.к. в них используются SIDы, правда была сложность с добавлением локальной группы опытные пользователи, т.к. на сервере таковой не оказалось. Но решением было установить на локальной машине gpmc и добавить эту группу с нее.
    8 августа 2007 г. 7:19
  •  

    каким образом указать SID?

    у меня не получилось...

    8 августа 2007 г. 8:16
  • Sid явно указать нельзя нигде насколько я понимаю, надо добавлять группы с well known sid's. Допустим локальные админы являются таковыми везде, т.е. сид один и тот же и на сервере и на воркстэйшене. Я же говорил как про опытных пользователей. Группы Power users нет на контроллере домена. Но можно установить gpmc на локальной машине и добавить Опытных пользователей - это будет одно и тоже и будет работать. Потому что Windaz смотрит на сиды.
    13 августа 2007 г. 13:15
  • Из собственного опыта усвоил что если в домене есть компьютеры с разноязычными ОС-ями то тут главное чтобы на контроллере домена стояла англоязычная ОС. Потом как Групповая политика созданная на англоязычной оси одинаково нормально применяется и на Win XP rus и на Win XP eng. Если на контроллере домена стоит русифицировання ось, или на машине откуда создаются политики например через GPMS стоит русифицированная ось, то тут начинаются проблемы, т.к в например в Групповых политиках учётная запись или группа Администратор(ы) идёт по русски и потом, когда политика применяется на машины с англоязычными осями то "Администратор" по русски не проходит аутентификацию ))) 
    По поводу группы Администраторов с ограниченным доступом - например  вариант Delegate Control, т.е. присвоение пользователям права администрирования какой-то OU.
    А пользователь Администратор  - это я так правильно понял надо через групповые политики указать логин локального Администратора?
    Тогда Групповые политики - Computer setings - Windows settinds - security settings - local policies - Security options - Account: rename  administrator account.
    14 августа 2007 г. 9:59
  •  Dmitriy A Y написано:
    Из собственного опыта усвоил что если в домене есть компьютеры с разноязычными ОС-ями то тут главное чтобы на контроллере домена стояла англоязычная ОС. Потом как Групповая политика созданная на англоязычной оси одинаково нормально применяется и на Win XP rus и на Win XP eng. Если на контроллере домена стоит русифицировання ось, или на машине откуда создаются политики например через GPMS стоит русифицированная ось, то тут начинаются проблемы, т.к в например в Групповых политиках учётная запись или группа Администратор(ы) идёт по русски и потом, когда политика применяется на машины с англоязычными осями то "Администратор" по русски не проходит аутентификацию ))) 
    По поводу группы Администраторов с ограниченным доступом - например  вариант Delegate Control, т.е. присвоение пользователям права администрирования какой-то OU.
    А пользователь Администратор  - это я так правильно понял надо через групповые политики указать логин локального Администратора?
    Тогда Групповые политики - Computer setings - Windows settinds - security settings - local policies - Security options - Account: rename  administrator account.

    Интересная мысль!

    14 августа 2007 г. 11:39