Перейти к содержимому


Вниманию тех у кого была учетная запись на форуме Dagtk.net!

Регистрироваться нет необходимости, сохранились логин и пароль старых учетных записей. После авторизации, рекомендуем сменить пароль.

Фотография

Домен, групповая политика и UAC


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 19

#1 OFFLINE   as_lan

as_lan

  • Репутация: 479
  • 4157 сообщений

Отправлено 30 January 2015 - 17:20

Вопрос к тем, кто использует или использовал домен. Уже давно хотелось попробовать и поковырять развертывание домена и использование групповых политик (домен на Samba4). Домен настроил, пару компьютеров добавил в него. Создал 2 учетки и одну группу. Итак дано:
1. Учетные записи User, Helper и собственно сам Administrator
2. Родные группы Domain User, Administrator и добавленная мной Helpers
3. Мой комп (я администратор) и тестовый ноут, который добавлен в домен с учетной записью User
4. UAC не выключен.

Группа и пользователи Helpers/Helper это, скажем так, тех.поддержка. В данный момент им даны права на добавление компьютера в домен (то есть используя свою учетку helper, они могут добавить комп в домен, а дальше уже User заходит под своим логином и паролем).

И тут выплывает проблема. При попытке запустить что-либо с правами администратора (установку программы, редактор реестра или банально изменение системного времени) срабатывает UAC, с запросом логина и пароля администратора. Но давать пароль от админской учетки нельзя. Надо дать права группе/пользователю helpers, чтоб они могли вбивать свои логин/пароль.

В делегировании нет пункта с упоминанием UAC. Гугление тоже не помогло. Выходит что:
1. Я как-то неправильно гуглил, и не смог найти нужную инструкцию
2. Делегировать это невозможно.
3. Это возможно, но никому не было нужно, поэтому гугление ничего не дало.

Повторюсь, разбирать этот вопрос стал недавно (буквально 2 день занимаюсь) поэтому возможно этот вопрос даже покажется элементарным для тех, кто работает с групповыми политиками в домене давно. Но я потратил несколько часов на поиск решения, и не смог.
[merge_posts_bbcode]Добавлено: 2015-01-30 19:22:05[/merge_posts_bbcode]

Кстати да, UAC выключать нельзя. Он нужен.

  • 0

#2 OFFLINE   bionix

bionix

  • Репутация: 92
  • 9808 сообщений

Отправлено 30 January 2015 - 17:37

as_lan, добавь в группы админов builtin/administrators
  • 0

#3 OFFLINE   as_lan

as_lan

  • Репутация: 479
  • 4157 сообщений

Отправлено 30 January 2015 - 18:57

bionix, Так в том то и дело, что добавлял. Не дает все равно. И все таки это не выход. Я им не админские права хочу дать. Я лишь пару тройку прав. Добавив в группу админов я же им на групповую политику тоже даю права.
  • 0

#4 OFFLINE   Anigad

Anigad

    Холост. В пассивном поиске...


  • Репутация: 231
  • 4503 сообщений
  • ГородСогратль

Отправлено 30 January 2015 - 19:27

as_lan, чуть-чуть запутался, их нужно сделать локальными админами? это же через GPO вроде легко делается?
  • 0

#5 OFFLINE   as_lan

as_lan

  • Репутация: 479
  • 4157 сообщений

Отправлено 30 January 2015 - 19:33

Anigad, Локальные учетки будут отключены. Через GPO не получилось. В раздел делегирование добавил группу пользователей Helpers, все равно не канает.
  • 0

#6 OFFLINE   bionix

bionix

  • Репутация: 92
  • 9808 сообщений

Отправлено 30 January 2015 - 19:34

вот так локальные админы рисуются с картинками)))
[merge_posts_bbcode]Добавлено: 2015-01-30 20:35:13[/merge_posts_bbcode]

http://social.techne...or-all-pcs.aspx

  • 0

#7 OFFLINE   as_lan

as_lan

  • Репутация: 479
  • 4157 сообщений

Отправлено 30 January 2015 - 19:46

bionix,
Спасибо завтра попробую. Вроде бы инструмент удобный, но настолько замудреный и запутанный шо ппц. После нескольких лет работы только в nix, работа в винде сравнима с лечением зубов через заднюю кишку.
  • 0

#8 OFFLINE   Anigad

Anigad

    Холост. В пассивном поиске...


  • Репутация: 231
  • 4503 сообщений
  • ГородСогратль

Отправлено 30 January 2015 - 21:01

Локальные учетки будут отключены

я не про локальные учетки, а про права локального администрирования, хотя алгоритм действий уже не упомню (почти 2 года прошло), но ничего сложного вроде не было.

Сообщение отредактировал Anigad: 30 January 2015 - 21:02

  • 0

#9 OFFLINE   as_lan

as_lan

  • Репутация: 479
  • 4157 сообщений

Отправлено 04 February 2015 - 18:40

bionix,
Итак.
Ссылку прочел. Но это немножко не то. Конечно мою проблему решает. Но я хотел более гибко настроить. К тому же я это делал до этого (просто из-за инглиша не сразу понял о чем речь, пока на работе не стал повторять). так вот, до этого я этот делал, но не работало. Причина оказалась в том, что предварительно с этой учеткой надо где-то залогиниться, чтоб потом ее можно было использовать как локального админа. Иначе не работало. Отлично подумал я, и стал с нуля настраивать уже рабочую машину ( до этого все делал на тестовом). И вроде бы все настроил, домен создал, машину в домен добавил, оснастки работают, учетки и группы создаются, но опять UAC не могу пройти. И еще заметил что при gpupdate /force не просит выйти и зайти из системы, чтоб применить изменения. Так же если зайти на машину с учетки Helper (а не User) у нее все равно не хватает прав даже в своей рабочей среде что-то менять. Несколько раз перепроверил как добавлял локальных админов и домен. Все правильно. но упрямо не хочет работать. Такое ощущение что просто не обновляются политики на машине. Хотя gpupdate не выдает ошибок. Только, как я уже говорил, перестал просить выйти из системы.

Буду копать дальше...
  • 0

#10 OFFLINE   RNZ

RNZ

    Zzz...


  • Репутация: -1
  • 8980 сообщений
  • Городlibtop

Отправлено 05 February 2015 - 10:19

as_lan, ИМХО - плохая практика. Если есть необходимость запретить ставить ПО, то делать это надо тотально, а установка ПО должна проходить строго через GPO (и образы).
  • 0

#11 OFFLINE   as_lan

as_lan

  • Репутация: 479
  • 4157 сообщений

Отправлено 05 February 2015 - 10:48

RNZ, Тут вопрос не в ПО. А в том, чтоб я мог отправить человека, если комп не работает, и он мог там ковырять и посмотреть, что не так. Тот же журнал Windows открыть. Командную строку от имени админа. Но не давая учетку админа домена. ПО я итак собираюсь ставить через GPO. Только тут вопрос в том, что не работает этот GPO. Или права группе не добавляются, или политики не обновляются. gpupdate /force без проблем проходит. Но как я уже говорил не требует перезайти как раньше.
  • 0

#12 OFFLINE   Anigad

Anigad

    Холост. В пассивном поиске...


  • Репутация: 231
  • 4503 сообщений
  • ГородСогратль

Отправлено 05 February 2015 - 14:16

as_lan, gpupdate/force и не должен этого требовать на то он и force, а просто gpupdate пробовал?
  • 0

#13 OFFLINE   as_lan

as_lan

  • Репутация: 479
  • 4157 сообщений

Отправлено 05 February 2015 - 14:51

Anigad,
1. Просто тоже пробовал.
2. Когда на тестовом менял в политиках права /force просил выйти и зайти на клиентском ноуте.
  • 0

#14 OFFLINE   as_lan

as_lan

  • Репутация: 479
  • 4157 сообщений

Отправлено 06 February 2015 - 11:55

Решил проблему. Решение тут
http://twistedminds....hts-to-ad-user/

Нигде в мануалах не указано, что надо еще группу локальных админов надо добавить в политики

Вход в качестве пакетного задания
Вход в качестве службы
Работа в режиме операционной системы

Именно это решило проблему. до этого дергал все политики связанные с Контролем учетных записей. Не помогало. А после добавление в эти 3 политики все заработало.

Anigad,
Кстаnи именно /force и просит перезайти. Без него не просит. Только проверил.
[merge_posts_bbcode]Добавлено: 2015-02-06 14:17:14[/merge_posts_bbcode]

Рано радовался. "Не понос так золотуха. "

Все это работает если зайти под учеткой самого локального админа. Если зайти под учеткой обычного юзера и попытаться сделать что-либо с правами админа, запрос выходит, и вроде бы авторизация проходит, но потом выходит окно, что у этой учетки недостаточно прав.

  • 0

#15 OFFLINE   as_lan

as_lan

  • Репутация: 479
  • 4157 сообщений

Отправлено 06 February 2015 - 13:11

Алилуя. Получилось. Только немного иначе.
Все как обычно, только группу добавляем не в "Группы с ограниченным доступом" ( Restricted Groups), а идем в редакторе групповых политик в "Конфигурация компьютера" -"настройка" - "локальные пользователи и группы". там в сперва выбираем имя группы Администраторы, а внизу в членах группы нашу группу тех поддержки. Правда работает это только на Windows 7 и выше (а в данным момент XP нет. Если появится необходимость в них вернусь к Restricted Groups).
  • 1

#16 OFFLINE   KILLZONE

KILLZONE

    ОТК ? ... не не знаю.


  • Репутация: 2
  • 458 сообщений
  • ГородМахачкала

Отправлено 08 March 2015 - 10:44

Алилуя. Получилось. Только немного иначе.
Все как обычно, только группу добавляем не в "Группы с ограниченным доступом" ( Restricted Groups), а идем в редакторе групповых политик в "Конфигурация компьютера" -"настройка" - "локальные пользователи и группы". там в сперва выбираем имя группы Администраторы, а внизу в членах группы нашу группу тех поддержки. Правда работает это только на Windows 7 и выше (а в данным момент XP нет. Если появится необходимость в них вернусь к Restricted Groups).

 

 
Контроль учётных записей пользователей (англ. User Account Control, UAC) — компонент операционных систем Microsoft Windows, впервые появившийся в Windows Vista. Этот компонент запрашивает подтверждение действий, требующих прав администратора, в целях защиты от несанкционированного использования компьютера. Администратор компьютера может отключить Контроль учётных записей пользователей в Панели управления.

 

Может поэтому он не работает на XP  ?


  • 0

#17 OFFLINE   as_lan

as_lan

  • Репутация: 479
  • 4157 сообщений

Отправлено 08 March 2015 - 10:46

KILLZONE,

Нет. Это непричем было. Да и первым способом я потом тоже смог (разобрался что не так делал). А вообще я это делал в целях самообразования. до внедрения не дошло, так как вопрос уперся в стоимость лицензий.


  • 0

#18 OFFLINE   KILLZONE

KILLZONE

    ОТК ? ... не не знаю.


  • Репутация: 2
  • 458 сообщений
  • ГородМахачкала

Отправлено 08 March 2015 - 11:02

так как вопрос уперся в стоимость лицензий.

стоимость лицензии WINDOWS OS? если домена, то есть же много вариантов бесплатных,

сам использую LDAP+SAMBA+MAIL сервер и Ubuntu OS и пару Windows OS на рабочих местах, 

все ОС как Ubuntu так и Windows хорошо работают с Доменом и Samba


  • 0

#19 OFFLINE   as_lan

as_lan

  • Репутация: 479
  • 4157 сообщений

Отправлено 08 March 2015 - 11:08

Именно винды. Сам домен на самбе у меня был (в первом посте об этом писал)

 Прблема не только в том, что надо покупать выше Prof, а еще в том, что куча ноутов с хоум версией винды. Получается при покупке ноутов сперва потратились на домашнюю редакцию, а теперь либо обновление до Prof покупать, либо сами Prof. Сейчас это выходит в копеечку, а отдачи (с экономической точки зрения) будет не много. Доводы, что для IT отдела будет удобно и легко администрировать весь зоопарк, не катят.


  • 0

#20 OFFLINE   KILLZONE

KILLZONE

    ОТК ? ... не не знаю.


  • Репутация: 2
  • 458 сообщений
  • ГородМахачкала

Отправлено 08 March 2015 - 11:16

Нашем доводом тоже был хер вам WINDOWS - $ давай LInux - no money  :D  

но это не самый главный аргумент, ведь ДОМЕН это удобно все ресурсы имеют единую систему паролей, не надо заходить на 8 серверов и заводить там тут логины

теперь стало проще заводить новых сотрудников в базу и давать им доступ от всего (Свой ПК - Почта - Кор. портал - сет. диск и т.д.)

и так же менять эти пароли в случае утери или просто забыл пароль !


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных