none
AD域用户在域成员PC上的权限问题! RRS feed

  • 问题

  • 主域控制器:windows 2003 server 中文
    域成员PC: windows xp professional sp3 中文
    域用户在域中隶属于Users组,每个域用户对应一台域成员PC,每台成员PC上的域用户隶属于本地Administrators组成员,现企业要求将每台成员PC中的域用户,由本地Administrators组改为本地Power Users组,在测试中,我们发现有部分软件无法正常使用,尤其是Outlook Express,无法正常打开原来的邮件。我现在想问的问题是:将域用户在域成员PC中,由本地Administrators组改为本地Power Users组,对域会有什么影响,如果有影响,会出现什么现象;对域成员PC会有什么影响,如果有影响,又会出现什么现象;还有,在域成员PC中,哪些软件会受到影响,比如Outlook Express、microsoft office 2007 ,如果有影响,又该如何解决?

     

    2009年1月16日 9:09

答案

  • 1,退出域然后登录到本地计算机,把用户添加到power user组,然后再加入到域中,OK!

    2,为了让用户正常使用基本的软件,可以对用户的权利进行提升,也可以利用组策略强大的功能。

     

     

     

    一般来说,其优先性的级别从高到低如下:

      第一,组织单元策略;第二,域策略;第三,站点策略;第四,本地计算机策略。这里特别要注意一点,就是组织单元的策略要比域策略的优先性级别要高。也就是说,在域策略中,限制用户使用视频播放器;而在一个培训组织单元中,则允许这个单元中的账户具有视频软件的访问权限。则即使这个组织单元在这个域中,则只要帐户属于这个组织单元,则其仍然可以使用视频软件,因为组织单元级别的优先性要高于域中的设置。

     

    默认情况下,软件限制策略提供了两种软件限制的规则。

      一是不受限制的。也就是说,所有登陆的用户都可以运行指定的软件。只要用户具有数据文件的访问权限,就可以利用软件打开这个文件。这也可以看出,应用软件的访问权限跟数据文件的访问权限是独立的。用户只具有应用软件或者数据文件的访问权限,往往还不够。需要两者权限都有,才能够打开相关的文件。

      二是不允许的。即所有登陆系统的帐户,都不能够运行这个应用软件,无论其是否对数据文件具有访问权限。

      系统默认的策略是所有软件运行都是“不受限制的”。也就是说,只要用户对于数据文件有访问权限,就可以运行对应的应用软件。

    2009年1月16日 16:51

全部回复

  • 1无法打开原来的邮件是你权限不足。你把邮件在administrators下导出再在user组下导入。

    2至于软件无法使用请赋予这些软件足够的权限。

    3本地的用户和域账户没有关系,不会有影响.

    4至于域成员PC的软件影响取决于你的用户组和赋予的权限。建议你打开系统的帮助查看相关组和用户权限的帮助。

    2009年1月16日 11:29
    版主
  •  

    不要在客户机上更改该组的默认设置,正常情况下,即使域用户不隶属本地管理员组也可以正常使用客户机上的程序。

    2009年1月16日 15:07
  • 1,退出域然后登录到本地计算机,把用户添加到power user组,然后再加入到域中,OK!

    2,为了让用户正常使用基本的软件,可以对用户的权利进行提升,也可以利用组策略强大的功能。

     

     

     

    一般来说,其优先性的级别从高到低如下:

      第一,组织单元策略;第二,域策略;第三,站点策略;第四,本地计算机策略。这里特别要注意一点,就是组织单元的策略要比域策略的优先性级别要高。也就是说,在域策略中,限制用户使用视频播放器;而在一个培训组织单元中,则允许这个单元中的账户具有视频软件的访问权限。则即使这个组织单元在这个域中,则只要帐户属于这个组织单元,则其仍然可以使用视频软件,因为组织单元级别的优先性要高于域中的设置。

     

    默认情况下,软件限制策略提供了两种软件限制的规则。

      一是不受限制的。也就是说,所有登陆的用户都可以运行指定的软件。只要用户具有数据文件的访问权限,就可以利用软件打开这个文件。这也可以看出,应用软件的访问权限跟数据文件的访问权限是独立的。用户只具有应用软件或者数据文件的访问权限,往往还不够。需要两者权限都有,才能够打开相关的文件。

      二是不允许的。即所有登陆系统的帐户,都不能够运行这个应用软件,无论其是否对数据文件具有访问权限。

      系统默认的策略是所有软件运行都是“不受限制的”。也就是说,只要用户对于数据文件有访问权限,就可以运行对应的应用软件。

    2009年1月16日 16:51
  • 感谢版主的回复!

    你的回复给了我很大的帮助!

    关于组策略的配置与使用,如果我想限制用户安装软件,该如何设置呢?因为策略中限制安装程序的是基于windows installer 的,这样的话,那些不是基于windows installer 的安装程序好像就无法进行限制了!

     

     

    2009年1月19日 1:29
  • 感谢你的回复!

    我一开始是给Outlook Express文件夹更改权限,但是使用O E却看不到原来的邮件,现在按照你的方法,已经没有问题了!

    2009年1月19日 1:37
  • 就是,就是,"限制安装"和"限制运行"应该和forefront联动,并实现更简易的控制和操作
    2010年7月3日 16:22