Jump to content
СофтФорум - всё о компьютерах и не только

Domain Admins, Schema Admin и т.д


Ejik
 Share

Recommended Posts

Читал, что в 2003-ем можно очень гибка настраивать права пользователей. Хотелось бы воспользоваться такой возможностью.

Нужно что бы определенные юзеры ни могли удаленно подключаться к DC, но могли удаленно подключаться к рабочим станциям, заводить компы в домен и выводить из домена.

В общем если есть ссылка где можно об этих группах подробнее почитать скиньте плиззз.

Link to comment
Share on other sites

Неужели во встроенной справке об этом мало рассказано?

P.S. Люди, способные заводить в домен и выводить из домена машинки обычно называются администраторами, но уж никак не юзерами...

Link to comment
Share on other sites

Вообще-то по умолчанию члены группы Прошедшие проверку (т.е. любой зарегистрированный пользователь) имеют право добавить к домену 10 компьютеров (это задается в политиках безопасности контроллера домена и при необходимости меняется)

Если же нужно к примеру создать группу пользователей Admins и разрешить ее членам присоединять компьютеры к домену, то это решается делегированием части полномочий.

Нужно что бы определенные юзеры ни могли удаленно подключаться к DC, но могли удаленно подключаться к рабочим станциям,

Этого вообще не понял, любой пользователь домена может соединится с любым компьютером входящим в домен, если это не запрещено специально.

Если же речь идет о подключении к административным ресурсам машины, то пользователя или группу надо добавить в локальные администраторы.

Для DC это не пройдет, там нет локальных групп пользователей, только доменные.

Если имелось в виду что-то еще - поясни.

выводить из домена

Это могут делать члены группы локальных администраторов.

Domain Admins, Schema Admin и т.д, Какими павами обладает user находящийся в этих группах?

http://www.intuit.ru/department/os/sysadmswin/6/8.html

еще несколько ссылок тут

Edited by Maikll
Link to comment
Share on other sites

Ejik: пользователь при введении рабочей станции в домен сам устанавливает свои права. Может себя сделать как админом на этом компе так и пользователем.

Link to comment
Share on other sites

Вообще-то по умолчанию члены группы Прошедшие проверку (т.е. любой зарегистрированный пользователь) имеют право добавить к домену 10 компьютеров (это задается в политиках безопасности контроллера домена и при необходимости меняется)

Не, понял? Я всегда считал, что добавлять компьютеры в домен имеют право только пользователи, которые находятся в группе "Опраторы учета" (ну и конечно администраторы домена), а так же если запись компьютера создается в домене в ручную раньше, чем непосредственно подключается компьютер, то там указывается конкретный пользователь (он уже может не состоять в группе Операторы учета и не быть администратором домена), который может активировать эту запись, когда компьютер непосредственно подключается к домену. И вот как раз таки эти 10 раз на это и распространяются. Но в любом случае, администратор домена или члены группы "Операторы учета" должны явно указать кто может присоеденить КОНКРЕТНЫЙ компьютер к домену.

Или я не прав?

Link to comment
Share on other sites

Maikll: Спасибо за ссылки, обязательно почитаю, так как в этой части вопроса у меня большой пробел.

Loader: Здесь я что то не доканца понимая, как обычный пользователь может завести машину в домен или это опять же от настройки политик зависит?

Link to comment
Share on other sites

Ejik: Куда уж проще. Мой компьютер ПКМ - свойства - имя компьютера - изменить.

Вносим название домена, нажимаем ОК. Комп требует учетку которая зарегистрирована в этом домене. Затем спрашивает к какой группе эта учетка будет относится конкретно на этом компе.

Link to comment
Share on other sites

Фдуч: Ты ошибаешься. Загляни в политики безопасности контроллера домена, конфигурация компьютера - конфигурация windows - параметры безопасности - локальные политики - назначение прав пользователей - добавление рабочих станций в домен, какой параметр стоит по умолчанию?

Цитирую:

Этот параметр безопасности определяет, какие группы и пользователи могут добавлять рабочие станции в домен.

Этот параметр безопасности действует только на контроллерах домена. По умолчанию таким правом обладает любой пользователь, прошедший проверку подлинности; он может создать до 10 учетных записей компьютеров в домене.

...

Пользователи, обладающие разрешением на создание объектов-компьютеров в контейнере Active Directory, также могут создавать учетные записи компьютеров в домене. Но для них число создаваемых учетных записей не ограничено значением 10.

...

А по поводу

Но в любом случае, администратор домена или члены группы "Операторы учета" должны явно указать кто может присоеденить КОНКРЕТНЫЙ компьютер к домену.

то это всего лишь укажет того, кто единственно сможет присоединить машину в домен. И все.

Что же касается присоединения, отсоединения локального компьютера, то в первом случае необходимы два условия, пользователь должен иметь права локального администратора и знать пароль как минимум любого пользователя домена, во втором случае достаточно только иметь права локального админа.

И Loader прав, локальный администратор в принципе может вносить доменные учетные записи в любые локальные группы (и удалять их) Исключением будет использование Restricted Groups (групп с ограниченным доступом).

P.s.

Вносим название домена, нажимаем ОК. Комп требует учетку которая зарегистрирована в этом домене. Затем спрашивает к какой группе эта учетка будет относится конкретно на этом компе.

Это при присоединении с помощью мастера сетевой идентификации :doh:

Link to comment
Share on other sites

Фдуч: Ты ошибаешься. Загляни в политики безопасности контроллера домена, конфигурация компьютера - конфигурация windows - параметры безопасности - локальные политики - назначение прав пользователей - добавление рабочих станций в домен, какой параметр стоит по умолчанию?

Точно! Все верно! Забыл уже... :) Сейчас глянул в политики домена. Просто у меня там выставлено жестко, кто может добавлять компьютера в домен. Давно уже было... Забыл, что сам делал. И думал, что так и должно быть. :)

И Loader прав, локальный администратор в принципе может вносить доменные учетные записи в любые локальные группы (и удалять их) Исключением будет использование Restricted Groups (групп с ограниченным доступом).

Кстати, всегда интересовал вопрос. Например, пользователь имеет доступ к локальной записи администратора на компьютере. И если он исключит из локальной группы администраторов группу администраторов домена (или пользователя с правами администратора домена), то администратор домена может как-то изменить это? Т.е. добавить себя или другого пользователя в группу локальных администратров конкретной машины? Например, при помощи доменной политики?

Link to comment
Share on other sites

Просто у меня там выставлено жестко, кто может добавлять компьютера в домен.

А зачем? :) Особой безопасности это не добавит.

Кстати, всегда интересовал вопрос. Например, пользователь имеет доступ к локальной записи администратора на компьютере. И если он исключит из локальной группы администраторов группу администраторов домена (или пользователя с правами администратора домена), то администратор домена может как-то изменить это? Т.е. добавить себя или другого пользователя в группу локальных администратров конкретной машины? Например, при помощи доменной политики?

Разумеется.

Навскидку, есть как минимум два варианта:

1. Жесткое задание членов группы локальных администраторов через gpo, используя Группы с ограниченным доступом Особенностью данного способа будет явное задание списка локальных администраторов, все не включенные в группу учетки, в том числе и существующие локальные будут из локальной группы удалены.

Эту политику следует использовать с осторожностью и не в коем случае не на уровне корня домена, если не позаботится заранее о фильтрах.

2. Скрипт на добавление пользователя. Более щадящий метод, просто можно добавить новую запись не трогая существующие.

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...