Domain Admins, Schema Admin и т.д

[Ejik]

Читал, что в 2003-ем можно очень гибка настраивать права пользователей. Хотелось бы воспользоваться такой возможностью.

Нужно что бы определенные юзеры ни могли удаленно подключаться к DC, но могли удаленно подключаться к рабочим станциям, заводить компы в домен и выводить из домена.

В общем если есть ссылка где можно об этих группах подробнее почитать скиньте плиззз.

[Yezhishe]

Неужели во встроенной справке об этом мало рассказано?

P.S. Люди, способные заводить в домен и выводить из домена машинки обычно называются администраторами, но уж никак не юзерами...

[Maikll]

Вообще-то по умолчанию члены группы Прошедшие проверку (т.е. любой зарегистрированный пользователь) имеют право добавить к домену 10 компьютеров (это задается в политиках безопасности контроллера домена и при необходимости меняется)

Если же нужно к примеру создать группу пользователей Admins и разрешить ее членам присоединять компьютеры к домену, то это решается делегированием части полномочий.

Нужно что бы определенные юзеры ни могли удаленно подключаться к DC, но могли удаленно подключаться к рабочим станциям,

Этого вообще не понял, любой пользователь домена может соединится с любым компьютером входящим в домен, если это не запрещено специально.

Если же речь идет о подключении к административным ресурсам машины, то пользователя или группу надо добавить в локальные администраторы.

Для DC это не пройдет, там нет локальных групп пользователей, только доменные.

Если имелось в виду что-то еще - поясни.

выводить из домена

Это могут делать члены группы локальных администраторов.

Domain Admins, Schema Admin и т.д, Какими павами обладает user находящийся в этих группах?

http://www.intuit.ru/department/os/sysadmswin/6/8.html

еще несколько ссылок тут

Изменено 16 апреля, 2009 пользователем Maikll

[Loader]

Ejik: пользователь при введении рабочей станции в домен сам устанавливает свои права. Может себя сделать как админом на этом компе так и пользователем.

[Фдуч]

Вообще-то по умолчанию члены группы Прошедшие проверку (т.е. любой зарегистрированный пользователь) имеют право добавить к домену 10 компьютеров (это задается в политиках безопасности контроллера домена и при необходимости меняется)

Не, понял? Я всегда считал, что добавлять компьютеры в домен имеют право только пользователи, которые находятся в группе "Опраторы учета" (ну и конечно администраторы домена), а так же если запись компьютера создается в домене в ручную раньше, чем непосредственно подключается компьютер, то там указывается конкретный пользователь (он уже может не состоять в группе Операторы учета и не быть администратором домена), который может активировать эту запись, когда компьютер непосредственно подключается к домену. И вот как раз таки эти 10 раз на это и распространяются. Но в любом случае, администратор домена или члены группы "Операторы учета" должны явно указать кто может присоеденить КОНКРЕТНЫЙ компьютер к домену.

Или я не прав?

[Loader]

Фдуч: Достаточно любого пользователя зарегистрированного в домене.

[Ejik]

Maikll: Спасибо за ссылки, обязательно почитаю, так как в этой части вопроса у меня большой пробел.

Loader: Здесь я что то не доканца понимая, как обычный пользователь может завести машину в домен или это опять же от настройки политик зависит?

[Loader]

Ejik: Куда уж проще. Мой компьютер ПКМ - свойства - имя компьютера - изменить.

Вносим название домена, нажимаем ОК. Комп требует учетку которая зарегистрирована в этом домене. Затем спрашивает к какой группе эта учетка будет относится конкретно на этом компе.

[Maikll]

Фдуч: Ты ошибаешься. Загляни в политики безопасности контроллера домена, конфигурация компьютера - конфигурация windows - параметры безопасности - локальные политики - назначение прав пользователей - добавление рабочих станций в домен, какой параметр стоит по умолчанию?

Цитирую:

Этот параметр безопасности определяет, какие группы и пользователи могут добавлять рабочие станции в домен.

Этот параметр безопасности действует только на контроллерах домена. По умолчанию таким правом обладает любой пользователь, прошедший проверку подлинности; он может создать до 10 учетных записей компьютеров в домене.

...

Пользователи, обладающие разрешением на создание объектов-компьютеров в контейнере Active Directory, также могут создавать учетные записи компьютеров в домене. Но для них число создаваемых учетных записей не ограничено значением 10.

...

А по поводу

Но в любом случае, администратор домена или члены группы "Операторы учета" должны явно указать кто может присоеденить КОНКРЕТНЫЙ компьютер к домену.

то это всего лишь укажет того, кто единственно сможет присоединить машину в домен. И все.

Что же касается присоединения, отсоединения локального компьютера, то в первом случае необходимы два условия, пользователь должен иметь права локального администратора и знать пароль как минимум любого пользователя домена, во втором случае достаточно только иметь права локального админа.

И Loader прав, локальный администратор в принципе может вносить доменные учетные записи в любые локальные группы (и удалять их) Исключением будет использование Restricted Groups (групп с ограниченным доступом).

P.s.

Вносим название домена, нажимаем ОК. Комп требует учетку которая зарегистрирована в этом домене. Затем спрашивает к какой группе эта учетка будет относится конкретно на этом компе.

Это при присоединении с помощью мастера сетевой идентификации :doh:

[Фдуч]

Фдуч: Ты ошибаешься. Загляни в политики безопасности контроллера домена, конфигурация компьютера - конфигурация windows - параметры безопасности - локальные политики - назначение прав пользователей - добавление рабочих станций в домен, какой параметр стоит по умолчанию?

Точно! Все верно! Забыл уже... :) Сейчас глянул в политики домена. Просто у меня там выставлено жестко, кто может добавлять компьютера в домен. Давно уже было... Забыл, что сам делал. И думал, что так и должно быть. :)

И Loader прав, локальный администратор в принципе может вносить доменные учетные записи в любые локальные группы (и удалять их) Исключением будет использование Restricted Groups (групп с ограниченным доступом).

Кстати, всегда интересовал вопрос. Например, пользователь имеет доступ к локальной записи администратора на компьютере. И если он исключит из локальной группы администраторов группу администраторов домена (или пользователя с правами администратора домена), то администратор домена может как-то изменить это? Т.е. добавить себя или другого пользователя в группу локальных администратров конкретной машины? Например, при помощи доменной политики?

[Maikll]

Просто у меня там выставлено жестко, кто может добавлять компьютера в домен.

А зачем? :) Особой безопасности это не добавит.

Кстати, всегда интересовал вопрос. Например, пользователь имеет доступ к локальной записи администратора на компьютере. И если он исключит из локальной группы администраторов группу администраторов домена (или пользователя с правами администратора домена), то администратор домена может как-то изменить это? Т.е. добавить себя или другого пользователя в группу локальных администратров конкретной машины? Например, при помощи доменной политики?

Разумеется.

Навскидку, есть как минимум два варианта:

1. Жесткое задание членов группы локальных администраторов через gpo, используя Группы с ограниченным доступом Особенностью данного способа будет явное задание списка локальных администраторов, все не включенные в группу учетки, в том числе и существующие локальные будут из локальной группы удалены.

Эту политику следует использовать с осторожностью и не в коем случае не на уровне корня домена, если не позаботится заранее о фильтрах.

2. Скрипт на добавление пользователя. Более щадящий метод, просто можно добавить новую запись не трогая существующие.