Jump to content

Домен, групповая политика и UAC


Recommended Posts

Вопрос к тем, кто использует или использовал домен. Уже давно хотелось попробовать и поковырять развертывание домена и использование групповых политик (домен на Samba4). Домен настроил, пару компьютеров добавил в него. Создал 2 учетки и одну группу. Итак дано:

1. Учетные записи User, Helper и собственно сам Administrator

2. Родные группы Domain User, Administrator и добавленная мной Helpers

3. Мой комп (я администратор) и тестовый ноут, который добавлен в домен с учетной записью User

4. UAC не выключен.

 

Группа и пользователи Helpers/Helper это, скажем так, тех.поддержка. В данный момент им даны права на добавление компьютера в домен (то есть используя свою учетку helper, они могут добавить комп в домен, а дальше уже User заходит под своим логином и паролем).

 

И тут выплывает проблема. При попытке запустить что-либо с правами администратора (установку программы, редактор реестра или банально изменение системного времени) срабатывает UAC, с запросом логина и пароля администратора. Но давать пароль от админской учетки нельзя. Надо дать права группе/пользователю helpers, чтоб они могли вбивать свои логин/пароль.

 

В делегировании нет пункта с упоминанием UAC. Гугление тоже не помогло. Выходит что:

1. Я как-то неправильно гуглил, и не смог найти нужную инструкцию

2. Делегировать это невозможно.

3. Это возможно, но никому не было нужно, поэтому гугление ничего не дало.

 

Повторюсь, разбирать этот вопрос стал недавно (буквально 2 день занимаюсь) поэтому возможно этот вопрос даже покажется элементарным для тех, кто работает с групповыми политиками в домене давно. Но я потратил несколько часов на поиск решения, и не смог.

[merge_posts_bbcode]Добавлено: 2015-01-30 19:22:05[/merge_posts_bbcode]

 

Кстати да, UAC выключать нельзя. Он нужен.

 

Link to comment
Share on other sites

bionix, Так в том то и дело, что добавлял. Не дает все равно. И все таки это не выход. Я им не админские права хочу дать. Я лишь пару тройку прав. Добавив в группу админов я же им на групповую политику тоже даю права.
Link to comment
Share on other sites

bionix,

Спасибо завтра попробую. Вроде бы инструмент удобный, но настолько замудреный и запутанный шо ппц. После нескольких лет работы только в nix, работа в винде сравнима с лечением зубов через заднюю кишку.

Link to comment
Share on other sites

Локальные учетки будут отключены

я не про локальные учетки, а про права локального администрирования, хотя алгоритм действий уже не упомню (почти 2 года прошло), но ничего сложного вроде не было.

Edited by Anigad
Link to comment
Share on other sites

bionix,

Итак.

Ссылку прочел. Но это немножко не то. Конечно мою проблему решает. Но я хотел более гибко настроить. К тому же я это делал до этого (просто из-за инглиша не сразу понял о чем речь, пока на работе не стал повторять). так вот, до этого я этот делал, но не работало. Причина оказалась в том, что предварительно с этой учеткой надо где-то залогиниться, чтоб потом ее можно было использовать как локального админа. Иначе не работало. Отлично подумал я, и стал с нуля настраивать уже рабочую машину ( до этого все делал на тестовом). И вроде бы все настроил, домен создал, машину в домен добавил, оснастки работают, учетки и группы создаются, но опять UAC не могу пройти. И еще заметил что при gpupdate /force не просит выйти и зайти из системы, чтоб применить изменения. Так же если зайти на машину с учетки Helper (а не User) у нее все равно не хватает прав даже в своей рабочей среде что-то менять. Несколько раз перепроверил как добавлял локальных админов и домен. Все правильно. но упрямо не хочет работать. Такое ощущение что просто не обновляются политики на машине. Хотя gpupdate не выдает ошибок. Только, как я уже говорил, перестал просить выйти из системы.

 

Буду копать дальше...

Link to comment
Share on other sites

as_lan, ИМХО - плохая практика. Если есть необходимость запретить ставить ПО, то делать это надо тотально, а установка ПО должна проходить строго через GPO (и образы).
Link to comment
Share on other sites

RNZ, Тут вопрос не в ПО. А в том, чтоб я мог отправить человека, если комп не работает, и он мог там ковырять и посмотреть, что не так. Тот же журнал Windows открыть. Командную строку от имени админа. Но не давая учетку админа домена. ПО я итак собираюсь ставить через GPO. Только тут вопрос в том, что не работает этот GPO. Или права группе не добавляются, или политики не обновляются. gpupdate /force без проблем проходит. Но как я уже говорил не требует перезайти как раньше.
Link to comment
Share on other sites

Решил проблему. Решение тут

http://twistedminds.ru/2010/07/grant-local-admin-rights-to-ad-user/

 

Нигде в мануалах не указано, что надо еще группу локальных админов надо добавить в политики

 

Вход в качестве пакетного задания

Вход в качестве службы

Работа в режиме операционной системы

 

Именно это решило проблему. до этого дергал все политики связанные с Контролем учетных записей. Не помогало. А после добавление в эти 3 политики все заработало.

 

Anigad,

Кстаnи именно /force и просит перезайти. Без него не просит. Только проверил.

[merge_posts_bbcode]Добавлено: 2015-02-06 14:17:14[/merge_posts_bbcode]

 

Рано радовался. "Не понос так золотуха. "

 

Все это работает если зайти под учеткой самого локального админа. Если зайти под учеткой обычного юзера и попытаться сделать что-либо с правами админа, запрос выходит, и вроде бы авторизация проходит, но потом выходит окно, что у этой учетки недостаточно прав.

 

Link to comment
Share on other sites

Алилуя. Получилось. Только немного иначе.

Все как обычно, только группу добавляем не в "Группы с ограниченным доступом" ( Restricted Groups), а идем в редакторе групповых политик в "Конфигурация компьютера" -"настройка" - "локальные пользователи и группы". там в сперва выбираем имя группы Администраторы, а внизу в членах группы нашу группу тех поддержки. Правда работает это только на Windows 7 и выше (а в данным момент XP нет. Если появится необходимость в них вернусь к Restricted Groups).

Link to comment
Share on other sites

  • 1 month later...

Алилуя. Получилось. Только немного иначе.

Все как обычно, только группу добавляем не в "Группы с ограниченным доступом" ( Restricted Groups), а идем в редакторе групповых политик в "Конфигурация компьютера" -"настройка" - "локальные пользователи и группы". там в сперва выбираем имя группы Администраторы, а внизу в членах группы нашу группу тех поддержки. Правда работает это только на Windows 7 и выше (а в данным момент XP нет. Если появится необходимость в них вернусь к Restricted Groups).

 

 
Контроль учётных записей пользователей (англ. User Account Control, UAC) — компонент операционных систем Microsoft Windows, впервые появившийся в Windows Vista. Этот компонент запрашивает подтверждение действий, требующих прав администратора, в целях защиты от несанкционированного использования компьютера. Администратор компьютера может отключить Контроль учётных записей пользователей в Панели управления.

 

Может поэтому он не работает на XP  ?

Link to comment
Share on other sites

@KILLZONE,

Нет. Это непричем было. Да и первым способом я потом тоже смог (разобрался что не так делал). А вообще я это делал в целях самообразования. до внедрения не дошло, так как вопрос уперся в стоимость лицензий.

Link to comment
Share on other sites

так как вопрос уперся в стоимость лицензий.

стоимость лицензии WINDOWS OS? если домена, то есть же много вариантов бесплатных,

сам использую LDAP+SAMBA+MAIL сервер и Ubuntu OS и пару Windows OS на рабочих местах, 

все ОС как Ubuntu так и Windows хорошо работают с Доменом и Samba

Link to comment
Share on other sites

Именно винды. Сам домен на самбе у меня был (в первом посте об этом писал)

 Прблема не только в том, что надо покупать выше Prof, а еще в том, что куча ноутов с хоум версией винды. Получается при покупке ноутов сперва потратились на домашнюю редакцию, а теперь либо обновление до Prof покупать, либо сами Prof. Сейчас это выходит в копеечку, а отдачи (с экономической точки зрения) будет не много. Доводы, что для IT отдела будет удобно и легко администрировать весь зоопарк, не катят.

Link to comment
Share on other sites

Нашем доводом тоже был хер вам WINDOWS - $ давай LInux - no money  :D  

но это не самый главный аргумент, ведь ДОМЕН это удобно все ресурсы имеют единую систему паролей, не надо заходить на 8 серверов и заводить там тут логины

теперь стало проще заводить новых сотрудников в базу и давать им доступ от всего (Свой ПК - Почта - Кор. портал - сет. диск и т.д.)

и так же менять эти пароли в случае утери или просто забыл пароль !

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...