Доброго времени суток!
У меня в сети установлен SCCM 2012 R2, который используется для подключения к рабочим столам пользователей через средство "Удалённое управление". Возникла задача: дать одному администратору полный доступ к ПК пользователя,
а второму администратору дать доступ с правами "только просмотр", да к тому же без уведомлений о подключении.
Вопрос: выполнима ли эта задача?
---
У меня не получилось её осуществить. Вот что я попробовал сделать:
- создал в домене пользователей user1 и user2
- создал в домене группы view_only (и в ней user1) и full_control (в ней user2)
- создал в SCCM два набора параметров клиентов: "Только просмотр" и "Полный доступ"
- в политике "Только просмотр" разрешил только просмотр экрана, запрет значка в трее и запрет зелёненького заголовка окна. В разделе "пользователи средств удалённого доступа" добавил доменную группу view-only.
Эта политика получила приориет 1.
- в политике "Полный доступ" разрешил полный доступ, разрешил показ значка в трее и зелёненького заголовка окна. В разделе "пользователи средств удалённого доступа" добавил доменную группу full control. Эта политика получила приориет
2.
- Назначил обе политики коллекции "Компьютеры"
- Создал области безопасности "Компьютеры" и назначил её обеим наборам параметров клиентов: "Только просмотр" и "Полный доступ"
- В разделе "Безопасность - Пользователи" добавил две доменных группы: view_only и full_control. Обеим группам назначил роли "Оператор средств удалённого доступа". Обеим группам добавил область дезопасности
"Компьютеры" и коллекцию "компьютеры".
Но, в итоге получилось так, что абсолютно любой пользователь, запускающий у себя консоль SCCM получает доступ в режиме "только просмотр". И даже пользователь с правами полного админстратор SCCM всё равно получает только
просмотр. Если я всё верно понял - то дело в том, что к одному и тому же компьютеру применяется результирующий набор параметров клиентов с наивысшим приоритетом вне зависимости от того, кто из пользователей
значится в параметре "пользователи средств удалённого доступа".
Ещё раз озвучу вопросы: можно ли сделать так,чтобы разные пользователи имели доступ разного уровня к одному и тому же ПК? Если да, то как это правильно сделать?
