Олег А Опубликовано 7 сентября, 2008 Жалоба Поделиться Опубликовано 7 сентября, 2008 есть 2 сервера контроллера АД.. один на всё училище, другой будет под студентов... (они же серверы терминалов и файл-серверы)... задача - разрешить нескольким учителям (заведующим кабинетами) добавлять студентов в группу "студенты" и соответственно настраивать их записи... при этом чтоб с остальным списком АД они ничего сделать не могли... такое возможно ? Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 7 сентября, 2008 Жалоба Поделиться Опубликовано 7 сентября, 2008 Да, возможно, это называется делегированием административных полномочий. В окне оснастки AD - Пользователи и компьютеры выбери нужное подразделение, доступ к которому нужно предоставить и щелкни на него ПКМ. В появившемся меню выбери пункт Делегирование управления - запустится Мастер делегирования управления, в нем можно будет задать необходимые разрешения для нужного пользователя или группы. Также, если нежелательно давать локальный доступ на сервера этим людям, можно воспользоваться административным пакетом adminpack.msi (находится в папке i386 на дистривутиве сервера) и установить его на непосредственно рабочие компьютеры учителей. Поскольку мастер все-же недостаточно гибок при задании прав и не позволяет изменять их после присвоения, есть еще один способ добраться до настроек через gui. Для этого в окне оснастки AD - Пользователи и компьютеры нужно выбрать меню Вид и поставить галочку Дополнительные функции - после этого у подразделений (и не только) в свойствах появится вкладка Безопасность где можно будет просмотреть текущие права групп/пользователей и/или изменить их. В часности хочу отметить, что по умолчанию члены группы Прошедшие проверку т.е. любой зарегистрированный пользователь имеют право добавить к домену 10 компьютеров (Это право задается в политиках безопасности контроллера домена: политика Добавление рабочих станций в домен) Данная группа имеет также разрешение на чтение всех свойств доменного объекта. Делай собственные выводы! Возможно, тебе захочется исправить эту ситуацию, главное не переусердствуй. Подробнее про делегирование можно прочитать по этим ссылкам: http://www.winblog.ru/2007/02/02/02020703.html и http://www.osp.ru/win2000/2005/04/177657/ Ссылка на комментарий Поделиться на другие сайты Поделиться
Олег А Опубликовано 7 сентября, 2008 Автор Жалоба Поделиться Опубликовано 7 сентября, 2008 Maikll спасибо ! попробую... Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения