none
Разные права доступа к одному и тому же ПК RRS feed

  • Вопрос

  • Доброго времени суток!

    У меня в сети установлен SCCM 2012 R2, который используется для подключения к рабочим столам пользователей через средство "Удалённое управление". Возникла задача: дать одному администратору полный доступ к ПК пользователя, а второму администратору дать доступ с правами "только просмотр", да к тому же без уведомлений о подключении.

    Вопрос: выполнима ли эта задача?

    ---

    У меня не получилось её осуществить. Вот что я попробовал сделать:

    - создал в домене пользователей user1 и user2

    - создал в домене группы view_only (и в ней user1) и full_control (в ней user2)

    - создал в SCCM два набора параметров клиентов: "Только просмотр" и "Полный доступ"

    - в политике "Только просмотр" разрешил только просмотр экрана,  запрет значка в трее и запрет зелёненького заголовка окна. В разделе "пользователи средств удалённого доступа" добавил доменную группу view-only. Эта политика получила приориет 1.

    - в политике "Полный доступ" разрешил полный доступ, разрешил показ значка в трее и зелёненького заголовка окна. В разделе "пользователи средств удалённого доступа" добавил доменную группу full control. Эта политика получила приориет 2.

    - Назначил обе политики коллекции "Компьютеры"

    - Создал области безопасности "Компьютеры" и назначил её обеим наборам параметров клиентов: "Только просмотр" и "Полный доступ"

    - В разделе "Безопасность - Пользователи" добавил две доменных группы: view_only и full_control. Обеим группам назначил роли "Оператор средств удалённого доступа". Обеим группам добавил область дезопасности "Компьютеры" и коллекцию "компьютеры".

    Но, в итоге получилось так, что абсолютно любой пользователь, запускающий у себя консоль SCCM получает доступ в режиме "только просмотр". И даже пользователь с правами полного админстратор SCCM всё равно получает только просмотр. Если я всё верно понял - то дело в том, что к одному и тому же компьютеру применяется результирующий набор параметров клиентов с наивысшим приоритетом вне зависимости от того, кто из пользователей значится в параметре "пользователи средств удалённого доступа".

    Ещё раз озвучу вопросы: можно ли сделать так,чтобы разные пользователи имели доступ разного уровня к одному и тому же ПК? Если да, то как это правильно сделать?

    10 февраля 2017 г. 13:50

Ответы

  • Коротко - нельзя.

    Применится политика с высшим приоритетом. Гранулированной раздачи типа прав на удаленное управление не предусмотрено - или есть право или нет, а настройки одинаковы.

    • Помечено в качестве ответа Mikahil Yanzhura 11 февраля 2017 г. 9:06
    10 февраля 2017 г. 14:20