Как дать права локального админа на всех машинах, но не давать админа домен #212713

Сабж

Думаю, что надо включить его в группу.

Правильно думаешь. Вот только в какую группу не сказал.

мгм... в группу "Администраторы" на конкретной рабочей станции?

Мне нужно чтобы на всех рабочих станциях домена сразу.

в группу "Администраторы" - и исключить вход на контролер домена

Что-то мне подсказывает, что ты прав. Кто подсказал?

может просто не давать ему права администратора схемы?

(5,7)Чего?

в AD есть группа "Администраторы"

угу

при входе на локальную машину дает права админа при входе на контролер домена также права админа, нужно убрать

А зачем нужен администратор схемы?

И что, администратор обычный от администратора домена отличается только тем, что может войти на контроллер домена с администраторскими правами?

Глупость какая-то получается.й

Вопрос не исчерпан. Может есть еще мнения.

нет, только для конкретной локальной машины (можна чехом во всей сети раздать)

Что значит чехом?

А мне нужно, чтобы для всех машин сразу. Не может быть, чтобы домен не предоставлял такой функции.

для всех машин... но вопрос ? кто будет локальным админом, тот кто токачто залогинен или по списку соответствия ?

тогда скриптами

(9,10)Ребятишки в школу или внематочно читать вопрос.

по списку

т.е. "Иванов == 192.168.1.111" так примерно ?

Не совсем. Если имя пользователя такое-то, то права такие-то.

А вообще-то не получится. Имена могут быть разными на разных компьютерах.

В домене-то одно имя.

Думаю, что эта задача так просто не решится. Станции под управлением какой ОС? Да и вообще зачем такие вещи делать? Почему нельзя на домене завести юзера?

Windows XP SP2.

Вас ждут тут: :)

Я имела ввиду имена локальных администраторов: они могут быть разными.

А я знаю:) Но я еще немного и администрирую домены и хотела помочь.

Помогать-то помогайте, но и с той темы съезжать не надо)))

А зачем так? Автор хочет списку пользователей в домене дать права.

Может быть я вопрос не поняла? Надо всем локальным администраторам раб. станций дать права используя домен. Так?

Дать определенному пользователю домена на все машинах права администратора, но права администратора домена при этом не давать. Мне кажется, есть просто и изящное решение этого вопроса.

Ну вообще-то конечно можно и так. Но так ведь это надо локально на каждой раб. станции настраивать. А если их очень много и они периодически переставляются? Не очень удобно. Я все таки хотела бы узнать контекст задачи - может быть вообще можно другим способом решить исходную проблему.

Мда, читайте первоисточники, иногда полезно

Делаешь групповую политику, в которой привходе прописываешь скрипт, который добавляет текущего зверя в Администраторы. Проблемы: 1. Не знаю как пишется скрипт, но на форуме были ссылки 2. Не помню точно удасться ли под именем System такое счастье осуществить, если не удасться, то нуно как-то запускать от имени другого пользователя ...

решается элементарно...

Ну, так и подскажи! А не лепи умняк тут ...

Скажи как?

яж счас не "тупой адинесник" :) Я админ >:( /// Computer = "ИмяИлиИПИМожноПеребратьИИзАД" Set Group = GetObject("WinNT://" & strComputer & "/Администраторы,group") Set User = GetObject("WinNT://APP/ginzburg,user") Group.Add(User.ADsPath) ... ну как по списку и условию, и с разными языками для имен групп думаю разберешься...

[1C] Computer = "ИмяИлиИПИМожноПеребратьИИзАД" Set Group = GetObject("WinNT://" & Computer & "/Администраторы,group") Set User = GetObject("WinNT://APP/ginzburg,user") Group.Add(User.ADsPath) [/1C]

создать подразделение "Компы", запихать туда все компы, в GP прописать всех пользователей в группу Administrators.... изящно, вроде....

Ошибка, не найдена группа пользователей.

Administrators

Computer - это на каком компе собрался менять (запускаешь с любого, но с правами админа домена) APP - это контроллер домена

есть вариант проще, вернее удобнее. Создай в АД глобальную группу безопасности и забей туда нужных тебе пользователей, а потом забей эту группу в группу Администраторы на локальных машинах. Думаю что много ума не надо чтобы переделать для этого скрипт от абрахамса. Только чтоб редактировать пользователей и назначать права на компе надо входить в группу администраторы на том компе где назначаешь, и какие права в домене вообще без разницы. Группа администраторы домена входит в группу администраторы локального компьютера по умолчанию, поэтому домен админ - админ по умолчанию на локальных машинах. Если локальный админ выкинет администраторов домена из администраторов то скрипт обломается даже у домен админа и он будет иметь права гостя или пользователя на компе(в зависимости от того разблокирован гость или нет). Подумай об этом когда надо будет убирать пользователей из локальных админов.