none
Запрет пользователям ввод в домен RRS feed

  • Вопрос

  • В SBS 2008, пользователи имеющие учетку в домене, могут заводить в домен до 10 компьютеров не имея на это прав администратора (являясь лишь пользователями прошедшими проверку). Как запретить пользователям кроме администратора ввод в домен машин. И на что повлият запрет пользователям ввод в домен машин. не понимаю зачем MS это сделал по умолчанию.
    12 марта 2010 г. 13:28

Ответы

  • http://support.microsoft.com/kb/243327

    http://www.msresource.net/knowledge_base/articles/info:_how_does_ms-ds-machineaccountquota_work.html

    http://technet.microsoft.com/en-us/library/cc780195%28WS.10%29.aspx
    сила в справедливости
    • Помечено в качестве ответа Vinokurov Yuriy 7 апреля 2010 г. 11:46
    12 марта 2010 г. 13:42
  • Насколько мне известно, локальный администратор может делать что хочет на локальной машине, например, добавлять любых пользователей домена в группы локального компьютера. Я что-то нигде такого не наблюдал для реализации этого решения. Если я не прав прошу меня поправить.

    • Помечено в качестве ответа Vinokurov Yuriy 7 апреля 2010 г. 11:46
    24 марта 2010 г. 20:29

Все ответы

  • http://support.microsoft.com/kb/243327

    http://www.msresource.net/knowledge_base/articles/info:_how_does_ms-ds-machineaccountquota_work.html

    http://technet.microsoft.com/en-us/library/cc780195%28WS.10%29.aspx
    сила в справедливости
    • Помечено в качестве ответа Vinokurov Yuriy 7 апреля 2010 г. 11:46
    12 марта 2010 г. 13:42
  • Эта проблема решена. Спасибо. Вот еще вопрос: пользователь (права пользователь домена и прошедшие проверку), может по умолчанию, может добавить себя в локальную группу администратор. Так вот, как запретить пользователю добавлять себя в локальную группу администраторы? На каком контейнере (объекте) надо поставить запрет?
    15 марта 2010 г. 6:55
  • Может непонятно, опишу подробней: локальный пользователь имея права локального администратора, может добавить доменого пользователя в группу локаных администраторов, т.к. при добавлении нового пользователя в админы, после ввода учетки и пароля доменого пользователя, доступ дается на просмотр существующих в домене учеток и групп (объекты, места). Где надо закрыть доступ, чтобы при указании доменой учетки пользователя, для просмотра списка объектов, пользователю был запрет на просмотр или добавление в группу локальных админов всех, кроме админа домена?
    15 марта 2010 г. 8:10
  • http://www.windowsecurity.com/articles/Using-Restricted-Groups.html
    сила в справедливости
    15 марта 2010 г. 8:38
  • если так сделать, то те кто остается в локальных админах, может всё равно добавить в локальных админов кого угодно. Мне нужно так, даже если пользователь является локальным админом, как сделать чтобы он не смог (кроме допустим админов домена), добавить в локальные админы доменых пользователей или доменые группы?
    15 марта 2010 г. 10:24
  • Насколько мне известно, локальный администратор может делать что хочет на локальной машине, например, добавлять любых пользователей домена в группы локального компьютера. Я что-то нигде такого не наблюдал для реализации этого решения. Если я не прав прошу меня поправить.

    • Помечено в качестве ответа Vinokurov Yuriy 7 апреля 2010 г. 11:46
    24 марта 2010 г. 20:29
  • Эта проблема решена. Спасибо. Вот еще вопрос: пользователь (права пользователь домена и прошедшие проверку), может по умолчанию, может добавить себя в локальную группу администратор. Так вот, как запретить пользователю добавлять себя в локальную группу администраторы? На каком контейнере (объекте) надо поставить запрет?
    Как решили проблему опишите пожалуйста!