as_lan Posted January 30, 2015 Report Share Posted January 30, 2015 Вопрос к тем, кто использует или использовал домен. Уже давно хотелось попробовать и поковырять развертывание домена и использование групповых политик (домен на Samba4). Домен настроил, пару компьютеров добавил в него. Создал 2 учетки и одну группу. Итак дано:1. Учетные записи User, Helper и собственно сам Administrator2. Родные группы Domain User, Administrator и добавленная мной Helpers3. Мой комп (я администратор) и тестовый ноут, который добавлен в домен с учетной записью User4. UAC не выключен. Группа и пользователи Helpers/Helper это, скажем так, тех.поддержка. В данный момент им даны права на добавление компьютера в домен (то есть используя свою учетку helper, они могут добавить комп в домен, а дальше уже User заходит под своим логином и паролем). И тут выплывает проблема. При попытке запустить что-либо с правами администратора (установку программы, редактор реестра или банально изменение системного времени) срабатывает UAC, с запросом логина и пароля администратора. Но давать пароль от админской учетки нельзя. Надо дать права группе/пользователю helpers, чтоб они могли вбивать свои логин/пароль. В делегировании нет пункта с упоминанием UAC. Гугление тоже не помогло. Выходит что:1. Я как-то неправильно гуглил, и не смог найти нужную инструкцию2. Делегировать это невозможно.3. Это возможно, но никому не было нужно, поэтому гугление ничего не дало. Повторюсь, разбирать этот вопрос стал недавно (буквально 2 день занимаюсь) поэтому возможно этот вопрос даже покажется элементарным для тех, кто работает с групповыми политиками в домене давно. Но я потратил несколько часов на поиск решения, и не смог.[merge_posts_bbcode]Добавлено: 2015-01-30 19:22:05[/merge_posts_bbcode] Кстати да, UAC выключать нельзя. Он нужен. Quote Link to comment Share on other sites More sharing options...
bionix Posted January 30, 2015 Report Share Posted January 30, 2015 as_lan, добавь в группы админов builtin/administrators Quote Link to comment Share on other sites More sharing options...
as_lan Posted January 30, 2015 Author Report Share Posted January 30, 2015 bionix, Так в том то и дело, что добавлял. Не дает все равно. И все таки это не выход. Я им не админские права хочу дать. Я лишь пару тройку прав. Добавив в группу админов я же им на групповую политику тоже даю права. Quote Link to comment Share on other sites More sharing options...
Anigad Posted January 30, 2015 Report Share Posted January 30, 2015 as_lan, чуть-чуть запутался, их нужно сделать локальными админами? это же через GPO вроде легко делается? Quote Link to comment Share on other sites More sharing options...
as_lan Posted January 30, 2015 Author Report Share Posted January 30, 2015 Anigad, Локальные учетки будут отключены. Через GPO не получилось. В раздел делегирование добавил группу пользователей Helpers, все равно не канает. Quote Link to comment Share on other sites More sharing options...
bionix Posted January 30, 2015 Report Share Posted January 30, 2015 вот так локальные админы рисуются с картинками)))[merge_posts_bbcode]Добавлено: 2015-01-30 20:35:13[/merge_posts_bbcode] http://social.technet.microsoft.com/wiki/contents/articles/7833.how-to-make-a-domain-user-the-local-administrator-for-all-pcs.aspx Quote Link to comment Share on other sites More sharing options...
as_lan Posted January 30, 2015 Author Report Share Posted January 30, 2015 bionix, Спасибо завтра попробую. Вроде бы инструмент удобный, но настолько замудреный и запутанный шо ппц. После нескольких лет работы только в nix, работа в винде сравнима с лечением зубов через заднюю кишку. Quote Link to comment Share on other sites More sharing options...
Anigad Posted January 30, 2015 Report Share Posted January 30, 2015 (edited) Локальные учетки будут отключеныя не про локальные учетки, а про права локального администрирования, хотя алгоритм действий уже не упомню (почти 2 года прошло), но ничего сложного вроде не было. Edited January 30, 2015 by Anigad Quote Link to comment Share on other sites More sharing options...
as_lan Posted February 4, 2015 Author Report Share Posted February 4, 2015 bionix, Итак. Ссылку прочел. Но это немножко не то. Конечно мою проблему решает. Но я хотел более гибко настроить. К тому же я это делал до этого (просто из-за инглиша не сразу понял о чем речь, пока на работе не стал повторять). так вот, до этого я этот делал, но не работало. Причина оказалась в том, что предварительно с этой учеткой надо где-то залогиниться, чтоб потом ее можно было использовать как локального админа. Иначе не работало. Отлично подумал я, и стал с нуля настраивать уже рабочую машину ( до этого все делал на тестовом). И вроде бы все настроил, домен создал, машину в домен добавил, оснастки работают, учетки и группы создаются, но опять UAC не могу пройти. И еще заметил что при gpupdate /force не просит выйти и зайти из системы, чтоб применить изменения. Так же если зайти на машину с учетки Helper (а не User) у нее все равно не хватает прав даже в своей рабочей среде что-то менять. Несколько раз перепроверил как добавлял локальных админов и домен. Все правильно. но упрямо не хочет работать. Такое ощущение что просто не обновляются политики на машине. Хотя gpupdate не выдает ошибок. Только, как я уже говорил, перестал просить выйти из системы. Буду копать дальше... Quote Link to comment Share on other sites More sharing options...
RNZ Posted February 5, 2015 Report Share Posted February 5, 2015 as_lan, ИМХО - плохая практика. Если есть необходимость запретить ставить ПО, то делать это надо тотально, а установка ПО должна проходить строго через GPO (и образы). Quote Link to comment Share on other sites More sharing options...
as_lan Posted February 5, 2015 Author Report Share Posted February 5, 2015 RNZ, Тут вопрос не в ПО. А в том, чтоб я мог отправить человека, если комп не работает, и он мог там ковырять и посмотреть, что не так. Тот же журнал Windows открыть. Командную строку от имени админа. Но не давая учетку админа домена. ПО я итак собираюсь ставить через GPO. Только тут вопрос в том, что не работает этот GPO. Или права группе не добавляются, или политики не обновляются. gpupdate /force без проблем проходит. Но как я уже говорил не требует перезайти как раньше. Quote Link to comment Share on other sites More sharing options...
Anigad Posted February 5, 2015 Report Share Posted February 5, 2015 as_lan, gpupdate/force и не должен этого требовать на то он и force, а просто gpupdate пробовал? Quote Link to comment Share on other sites More sharing options...
as_lan Posted February 5, 2015 Author Report Share Posted February 5, 2015 Anigad, 1. Просто тоже пробовал. 2. Когда на тестовом менял в политиках права /force просил выйти и зайти на клиентском ноуте. Quote Link to comment Share on other sites More sharing options...
as_lan Posted February 6, 2015 Author Report Share Posted February 6, 2015 Решил проблему. Решение тутhttp://twistedminds.ru/2010/07/grant-local-admin-rights-to-ad-user/ Нигде в мануалах не указано, что надо еще группу локальных админов надо добавить в политики Вход в качестве пакетного задания Вход в качестве службы Работа в режиме операционной системы Именно это решило проблему. до этого дергал все политики связанные с Контролем учетных записей. Не помогало. А после добавление в эти 3 политики все заработало. Anigad, Кстаnи именно /force и просит перезайти. Без него не просит. Только проверил.[merge_posts_bbcode]Добавлено: 2015-02-06 14:17:14[/merge_posts_bbcode] Рано радовался. "Не понос так золотуха. " Все это работает если зайти под учеткой самого локального админа. Если зайти под учеткой обычного юзера и попытаться сделать что-либо с правами админа, запрос выходит, и вроде бы авторизация проходит, но потом выходит окно, что у этой учетки недостаточно прав. Quote Link to comment Share on other sites More sharing options...
as_lan Posted February 6, 2015 Author Report Share Posted February 6, 2015 Алилуя. Получилось. Только немного иначе. Все как обычно, только группу добавляем не в "Группы с ограниченным доступом" ( Restricted Groups), а идем в редакторе групповых политик в "Конфигурация компьютера" -"настройка" - "локальные пользователи и группы". там в сперва выбираем имя группы Администраторы, а внизу в членах группы нашу группу тех поддержки. Правда работает это только на Windows 7 и выше (а в данным момент XP нет. Если появится необходимость в них вернусь к Restricted Groups). KILLZONE 1 Quote Link to comment Share on other sites More sharing options...
KILLZONE Posted March 8, 2015 Report Share Posted March 8, 2015 Алилуя. Получилось. Только немного иначе.Все как обычно, только группу добавляем не в "Группы с ограниченным доступом" ( Restricted Groups), а идем в редакторе групповых политик в "Конфигурация компьютера" -"настройка" - "локальные пользователи и группы". там в сперва выбираем имя группы Администраторы, а внизу в членах группы нашу группу тех поддержки. Правда работает это только на Windows 7 и выше (а в данным момент XP нет. Если появится необходимость в них вернусь к Restricted Groups). Контроль учётных записей пользователей (англ. User Account Control, UAC) — компонент операционных систем Microsoft Windows, впервые появившийся в Windows Vista. Этот компонент запрашивает подтверждение действий, требующих прав администратора, в целях защиты от несанкционированного использования компьютера. Администратор компьютера может отключить Контроль учётных записей пользователей в Панели управления. Может поэтому он не работает на XP ? Quote Link to comment Share on other sites More sharing options...
as_lan Posted March 8, 2015 Author Report Share Posted March 8, 2015 @KILLZONE,Нет. Это непричем было. Да и первым способом я потом тоже смог (разобрался что не так делал). А вообще я это делал в целях самообразования. до внедрения не дошло, так как вопрос уперся в стоимость лицензий. Quote Link to comment Share on other sites More sharing options...
KILLZONE Posted March 8, 2015 Report Share Posted March 8, 2015 так как вопрос уперся в стоимость лицензий.стоимость лицензии WINDOWS OS? если домена, то есть же много вариантов бесплатных,сам использую LDAP+SAMBA+MAIL сервер и Ubuntu OS и пару Windows OS на рабочих местах, все ОС как Ubuntu так и Windows хорошо работают с Доменом и Samba Quote Link to comment Share on other sites More sharing options...
as_lan Posted March 8, 2015 Author Report Share Posted March 8, 2015 Именно винды. Сам домен на самбе у меня был (в первом посте об этом писал) Прблема не только в том, что надо покупать выше Prof, а еще в том, что куча ноутов с хоум версией винды. Получается при покупке ноутов сперва потратились на домашнюю редакцию, а теперь либо обновление до Prof покупать, либо сами Prof. Сейчас это выходит в копеечку, а отдачи (с экономической точки зрения) будет не много. Доводы, что для IT отдела будет удобно и легко администрировать весь зоопарк, не катят. Quote Link to comment Share on other sites More sharing options...
KILLZONE Posted March 8, 2015 Report Share Posted March 8, 2015 Нашем доводом тоже был хер вам WINDOWS - $ давай LInux - no money :D но это не самый главный аргумент, ведь ДОМЕН это удобно все ресурсы имеют единую систему паролей, не надо заходить на 8 серверов и заводить там тут логинытеперь стало проще заводить новых сотрудников в базу и давать им доступ от всего (Свой ПК - Почта - Кор. портал - сет. диск и т.д.)и так же менять эти пароли в случае утери или просто забыл пароль ! Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.