none
Вопрос про права пользователей active directory RRS feed

  • Вопрос

  • У меня такой вопрос: как дать пользователям (то есть сотрудникам организации) права администратора на локальных компьютерах (на рабочих местах).

    А также как правильно назначить права доступа и параметры наследования на домашние папки и разумеется на ту расшаренную папку на сервере, в которой храняться эти домашние папки.

    У меня получилось лишь сделать кривым образом: Дать полный доступ на всю папку всем, на домашнюю папку назначить полный доступ пользователю, и всем - на чтение и выполнение, но при создании новой папки пользователем в домашней, в этой новой папки он не может изменять содержимое файлов, то есть создавать файлы и папки может, а изменить содержимое папки нет. Приходится создавать вложенную папку, на неё назначать права, и уже в ней все сделать получается.

     

     

     

     

    6 июня 2010 г. 18:13

Ответы

  • >У меня такой вопрос: как дать пользователям (то есть сотрудникам организации) права администратора на локальных компьютерах (на рабочих местах).

    см. в сторону Restricted Groups в групповых политиках. Но, я, на вашем месте, скорее застрелился бы, чем дал бы права локадминов пользователям, т.к. последствия таких действий предсказуемы: вы превратитесь в пожарника, который при помощи лейки будет пытаться потушить лесной пожар (будете бегать от компа к компу и "лечить" постоянно возникающие проблемы)

     

    >А также как правильно назначить права доступа и параметры наследования на домашние папки и разумеется на ту расшаренную папку на сервере, в которой храняться эти домашние папки

    см. сюда: http://support.microsoft.com/kb/274443

    • Предложено в качестве ответа s.h.s. _ 7 июня 2010 г. 5:10
    • Помечено в качестве ответа Vinokurov YuriyModerator 15 июня 2010 г. 5:19

Все ответы

  • >У меня такой вопрос: как дать пользователям (то есть сотрудникам организации) права администратора на локальных компьютерах (на рабочих местах).

    см. в сторону Restricted Groups в групповых политиках. Но, я, на вашем месте, скорее застрелился бы, чем дал бы права локадминов пользователям, т.к. последствия таких действий предсказуемы: вы превратитесь в пожарника, который при помощи лейки будет пытаться потушить лесной пожар (будете бегать от компа к компу и "лечить" постоянно возникающие проблемы)

     

    >А также как правильно назначить права доступа и параметры наследования на домашние папки и разумеется на ту расшаренную папку на сервере, в которой храняться эти домашние папки

    см. сюда: http://support.microsoft.com/kb/274443

    • Предложено в качестве ответа s.h.s. _ 7 июня 2010 г. 5:10
    • Помечено в качестве ответа Vinokurov YuriyModerator 15 июня 2010 г. 5:19
  • Сейчас у них права локальных администраторов и так есть (active directory пока поднята лишь на виртуальной машине), за месяц работы никуда ни разу не бегал...

     

  • 1. Полностью поддерживаю s.h.s. - лучше застрелиться, мгновенно уволиться или что-то ещё, чем выдать права _администратора_. Тому, кто это придумал - отрубить руки. Выдать руль КАЖДОМУ пассажиру автобуса - самоубийство. Последствием будет не только работа "пожарником", но и безоговорочное вирусное поражение.

     

    2. Выдавать ПОЛНЫЙ доступ - такое же катастрофическое действие. Я понимаю, когда пользователям дают доступ на Чтение+Редактирование+Удаление (Modify). Но зачем выдавать им права на Смену Прав + Захват Владения (Full Control)??

    Типичные права на домашние каталоги могут таковы:

    Папка Users, зашаренная как Users. Права шаринга: Administrators: FC, Users: Change. Её же права NTFS: Administrators, SYSTEM: FC, Users: Read

    Поддиректория общих документов Users\Shared Documents: права Users расширить до Modify

    Поддиректории каждого отдельного пользователя Users\UserName: наследование прав прервать, Administrators, SYSTEM: FC, CompanyDirectors:Read, UserName: Modify.

     


    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    Отвечающий
  • Тогда какими правами нужно наделить юзеров, чтобы на локальной машине они могли производить уставноку программ.

     

  • У рядовых пользователей НЕ МОЖЕТ быть прав на установку программ. Это противоречит нормам безопасности и нормам антивирусной защиты.

    Наоборот, вы должны (обязаны) предпринять все меры для того, чтобы не только нельзя было инсталлировать программы, но вообще неразрешённые ехе-файлы не запускались (цель политики безопасности Software Restriction Policies).


    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    Отвечающий