Страница 1 из 1
ZEN Назначить одному пользователю 2 политики DLU
Добавлено:
19 апр 2004, 14:33 Иван Иванов
Zen4, WINXP.
Есть ряд машин, которые можно назвать тестовыми и на которых все пользователи должны работать с админскими правами. Несколько машин на которых админом должен работать только хозяин, остальные пользователями. А на машинах, которые не попадают в этот список, все должны работать пользователями. Zen не позволяет назначить 1 пользователю 2 политики вообще и dynamic Local User в частности.
Как можно "красиво" сделать так, чтоб пользователь на одних раб.станциях работал как локальный админ а на других пользователем?
Добавлено:
19 апр 2004, 17:07 Андрей Тр. aka RH
Можно посмотреть в сторону использования дополнительных локальных групп. Например, создать свою Mygroup, и на одних машинах наделить ее правами локального админа, а на других - пользователя. Дальше членство в этой ( и только в этой ) группе назначать в DLU. Зен не то что бы не позволяет назначить 2 политики ( а как потом из них выбирать ? ) - он просто не позволяет применять пользовательские политики в зависимости от того, на какой станции пользователь залогинился.
Добавлено:
19 апр 2004, 19:04 Иван Иванов
В DLU есть же вкладка login restrictions в которой указывается на какой рабочей станции выполняться/не выполняться политике? Если бы можно было назначеть юзеру 2 политики DLU это бы спасло отца русской демократии:).
Добавлено:
08 июн 2004, 13:12 Иван Иванов
Андрей Тр. aka RH
А как создать дополнительно локальную группу с правами админа? Я все больше прихожу выводу что получить полного аналога группы администраторы невозможно.
Добавлено:
08 июн 2004, 14:14 PavelKHTW
Иван Иванов писал(а):Андрей Тр. aka RH
А как создать дополнительно локальную группу с правами админа? Я все больше прихожу выводу что получить полного аналога группы администраторы невозможно.
Вывод еще более печален - создать полного аналога встроенного пользователя admin тоже нет возможности
.
Добавлено:
08 июн 2004, 14:25 Иван Иванов
PavelKHTW
Ну это уже слишком.Аналога админа получить просто.
А печальный вывод - без домена нельзя сделать так, чтобы пользователю автоматически заводился на дэсктопе, в зависимости от назначения этого дэсктопа, пользователь с правами пользователя или администратора. Или я не прав?
Добавлено:
08 июн 2004, 19:30 PavelKHTW
Иван Иванов писал(а):PavelKHTW
Ну это уже слишком.Аналога админа получить просто.
- Привожу пример - NT4sp6ru - под аккаунтом админа созданного системой ставиться ACDSee, а под вновь созданным пользователем с правами админа - нет. - объяснение есть?
Добавлено:
30 июл 2004, 15:16 Иван Иванов
Хочу поднять тему опять.
Создать группу с правами админа не получилось, но если ПЕРЕИМЕНОВАТЬ группу "Администраторы" например в "Админы" и добавить пользователя через политики ZEN ТОЛЬКО в нее, то пользователь получает права админа. Если добавить пользователя сразу в 2 группы (например Админы и Пользователи) то начинаются траблы, например на той РС где пользователь должен работать админом он не может например поменять системное время но может создавать пользователей и устанавливать программы.
Пока я вижу, например, такой способ (см. выше что требуется):
переименовать группу Администраторы на машинах где все должны работать администраторами в группу "ВсеАдминистраторы" там где админские права будет иметь только хозяин в "ХозАдминистратор" там где все будут работать пользователями переименовать группу "Пользователи" во "ВсеПользователи". Дальше на машинах где привилегии будут назначаться выборочно группу пользователи переименовываем в «НеВсеПользователи». На тех машинах где пользователями работать не будут вообще группу пользователей переименовываем во что-то левое.
Получаем 4 типа машин:
Первый «Админ хозяин»
На ней есть 2 локальные группы «ХозАдминистратор» и «НеВсеПользователи»
Второй «все пользователи»
Здесь есть группа «Администраторы» и «ВсеПользователи»
Третий «ВсеАдмины»
Здесь группа «ВсеАдминистраторы» и нет группы «Пользователи»
Дальше создаем 3 политики DLU:
1 для саппорта и для людей которые, по каким-то причинам везде локальные Админы.
В ней пользователей включаем сразу в 3 группы «ХозАдминистратор», «ВсеАдминистраторы» и «Администраторы».
2 для людей которые должны получать права админа на своих машинах и тестовых на остальных пользователей. В ней группы «ВсеАдминистраторы», «ХозАдминистратор», «ВсеПользователи».
3. Для остальных группа «ВсеАдминистраторы» и «ВсеПользователи».
Покритикуйте и чем сильнее тем лучше. Самый главный минус схемы, что уже стоит ряд машин, по которым нужно «пробежаться». Может можно сделать изменения только на тех машинах, где работают администраторами, назначив дополнительные права, которые они теряют из-за включения в 2 группы?