Права пользователей в Windows

[Heracl]

Необходимо создать пользователя на контроллере домена под Windows 2003 со следущими характеристиками:
1. иметь возможность заходить на машины пользователей под правами админа;
2. под ним невозможно было зайти на контроллеры домена и другие сервера (ни локально, ни через терминал).

Просто стоит задача установить софт, который ставится под админскими правами. А пользователи на машинах с правом "опытный пользователь".

[2Casp]

хмм...если я правильно понял, тогда можно это решить:
1. Создать инсталяционный пакет (*.msi), и через групповые политики установить на нужные компьютеры программу.
2. Чтобы создать пользователя с правами администратора, которому запрещен доступ на контроллер домена, нужно в групповых политиках контролера домена запретить ему локальных вход.

[ravAlon]

Прямо на контроллере создаешь группу пользователей (OU), добавляешь туда какого-нибудь пользователя, меняешь в оснастке "Active Directory-пользователи и компьютеры" политику для этой группы (вкладка "Групповая политика" в "Свойствах"), в которой и описываешь права на доступ только к определенным операциям и сети...

[Heracl]

Цитата: Сообщение от 2Casp хмм...если я правильно понял, тогда можно это решить: 1. Создать инсталяционный пакет (*.msi), и через групповые политики установить на нужные компьютеры программу. 2. Чтобы создать пользователя с правами администратора, которому запрещен доступ на контроллер домена, нужно в групповых политиках контролера домена запретить ему локальных вход.

Я засовываю этот пакет *.msi в ГП, но пчему то на некоторых машинах он встает нормально, а на некоторых нет.

[2Casp]

Цитата: Сообщение от Heracl Я засовываю этот пакет *.msi в ГП, но пчему то на некоторых машинах он встает нормально, а на некоторых нет.

А можешь посмотреть как у тебя обновляются групповые политики? Сколько OU в AD? И еще, что ОС пишет в логи на клиентах у которых не ставится?

[dmitry_a]

глянь этот вопрос тут.
http://www.windowsecurity.com/articl...ed-Groups.html

[Heracl]

Цитата: Сообщение от dmitry_a глянь этот вопрос тут. http://www.windowsecurity.com/articl...ed-Groups.html

Попробовал... вроде не получилось. Там в примере есть группа Админы(локальные), а у меня на 2003 нет такой

Добавлено через 1 минуту

Цитата: Сообщение от 2Casp А можешь посмотреть как у тебя обновляются групповые политики? Сколько OU в AD? И еще, что ОС пишет в логи на клиентах у которых не ставится?

При установке без админских прав, ругается на невозможность копирования в system32

Добавлено через 4 минуты

Цитата: Сообщение от 2Casp А можешь посмотреть как у тебя обновляются групповые политики? Сколько OU в AD? И еще, что ОС пишет в логи на клиентах у которых не ставится?

При установке без админских прав, ругается на невозможность копирования в system32.

[prog_mike]

У меня аналогичная задача.

Цитата: Сообщение от ravAlon Прямо на контроллере создаешь группу пользователей (OU), добавляешь туда какого-нибудь пользователя, меняешь в оснастке "Active Directory-пользователи и компьютеры" политику для этой группы (вкладка "Групповая политика" в "Свойствах"), в которой и описываешь права на доступ только к определенным операциям и сети...

Если я правильно понял, речь идет о группах ограниченного использования - тут немного не понял, разъясните, кто знает:

Цитата: Сообщение от Справка Windows Политика «Группы с ограниченным доступом» может быть использована для управления членством в группах. При помощи этой политики можно определить, кто является членом группы. Члены, не определенные в политике, удаляются во время настройки или обновления. Кроме того, вариант обратной настройки членства гарантирует, что каждая группа с ограниченным доступом является членом только групп, присутствующих в столбце Входит в состав.

Чем же тогда политика групп ограниченного использования отличается от обыкновенного добавления пользователя в группу "Администраторы", например?

Цитата: Сообщение от ravAlon в которой и описываешь права на доступ только к определенным операциям и сети...

+ что-то в списке прав не нашел ничего похожего на "Установка, настройка ПО". Какое же из прав можеть разрешить такие возможности пользователю/группе?