Arkadii007 389 Опубликовано: 18 апреля, 2013 Всех приветствую, вот решил у Вас совета попросить, в общем суть вопроса: Поднимаю Active Directory в организации состоящий из более 1000 компов, создаю практически один так как квалифицированных спецов очень мало и они очень заняты, а других допускать до этого просто нельзя. Сервер у меня Windows 2012. вопросы 1. Не могу пользователям из собственного отдела к (примеру АСУ) дать права на изменение подключений локальной сети, они у меня в группе пользователи, так как админских прав им не видать. Сразу скажу что группы "операторы настройки сети" не помогают, так как и другие, по этому настройку групп пользователей осуществляю через групповые политики. Редактор групповой политики, создаем "объект групповой политики" в подразделении АСУ далее: Редактор-Конфигурация пользователя-Политики-Административные шаблоны-Система. меняю параметр "Отключает использование редактора реестра" после этого у пользователей работает regedit. Далее захожу Редактор-Конфигурация пользователя-Политики-Административные шаблоны-Сеть. Включаю там что только можно, после этого у пользователей появляется возможность отключить сетевое подключение, а при нажатии кнопки дополнительно выходит табличка "Некоторые элементы отключены и т.д" и нет возможности менять ip. Помогите, где то еще должна быть какая то хрень которая мешает. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
lvlukola 197 Опубликовано: 18 апреля, 2013 http://technet.microsoft.com/en-us/library/cc960881.aspx http://technet.microsoft.com/en-us/library/cc728264%28v=ws.10%29.aspx http://technet.microsoft.com/en-us/library/cc740204%28v=ws.10%29.aspx Взято отсюда: http://softboard.ru/topic/66665-%D0%B7%D0%B0%D0%BF%D1%80%D0%B5%D1%82-%D0%BD%D0%B0-%D0%B8%D0%B7%D0%BC%D0%B5%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5-ip-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0/ Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 18 апреля, 2013 М...да что то не очень получается, и еще... Я бы не хотел принудительно править реестр пользователей, как то же это возможно сделать через РГП... Спасибо Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
lvlukola 197 Опубликовано: 18 апреля, 2013 Проверьте на одном компе через реестр и если это оно, то: To change the value of this entry, use the Group Policy Object Editor (Gpedit.msc). The corresponding policy is located in Administrative Templates\Network\Network Connections. To change the value of this entry, use Group Policy. This entry corresponds to the Prohibit TCP/IP advanced configuration Group Policy (User Configuration\Administrative Templates\Network\Network and Dial-up Connections). Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 18 апреля, 2013 User Configuration\Administrative Templates\Network\Network and Dial-up Connections вот как раз по этому пути я и разрешил всё что можно... Сейчас попробую реестр подправить, отпишусь о результатах, спасибо за интерес к теме, я думал не найду откликнувшихся Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
lvlukola 197 Опубликовано: 18 апреля, 2013 кстати, у меня после добавления пользователя в группу "операторы настройки сети" сразу позволяет настраивать сеть и т.д.... Проверьте на какой-ть машине - точно ли пользователи добавилиь в эту группу? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 18 апреля, 2013 Да точно и группу добавил и пользователя в группу добавил, блин засада какая то... Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 18 апреля, 2013 В Microsoft Windows XP при попытке создания нового сетевого подключения в элементе панели управления Сетевые подключения . Тем не менее параметр « Создание нового подключения » не отображается в списке Сетевые задачи .Следовательно нельзя создать новое сетевое соединение. Это происходит даже в том случае, если вы используете учетную запись пользователя, которая является членом локальной группы «Операторы настройки сети».Эта проблема возникает, если выполняются следующие условия: Компьютер не присоединен домена службы каталогов Active Directory. Учетная запись пользователя, который используется для входа в систему не является членом группы «Администраторы». http://support.microsoft.com/kb/936129 Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 18 апреля, 2013 Получается если мне так решать эту проблему, то нужно дать права админов пользователем отдела АСУ, и соответственно у них в домене будут права админов, чего ни как нельзя допускать Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
lvlukola 197 Опубликовано: 18 апреля, 2013 Вот так - работает (Только выбираешь не группу администраторы, а группу Операторы....): http://support.microsoft.com/?id=320065 В конце должна получиться примерно такая картинка при просмотре локальных групп (я проверил на пользователе - с группой будет так же): Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 18 апреля, 2013 Нашёл как дать права админов на локальных машинах, делается это на клиентских машинах, панель управления- учетные записи пользователей, указываешь пользователя и права на локальной машине, и всё... Это конечно до конца проблему не решает но всё же хоть что то. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 18 апреля, 2013 Вот так - работает (Только выбираешь не группу администраторы, а группу Операторы....): http://support.microsoft.com/?id=320065 В конце должна получиться примерно такая картинка при просмотре локальных групп (я проверил на пользователе - с группой будет так же): У меня вообще нет таких возможностей даже с дополнительными компонентами а именно "Перейдите на вкладку Групповая политика и нажмите кнопку Создать,введите название политики." У меня нет вкладки Групповая политика в свойствах подразделения Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 18 апреля, 2013 Дурацкий win 2012, я делал на 2003 всё было хорошо, и политики применялись Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
lvlukola 197 Опубликовано: 18 апреля, 2013 Чтобы просмотреть группы локальные: Правой кнопкой по Мой компьютер\управление Политиками рулят через (уже на сервере): Администрирование\Управление групповой политикой. Если такой шляпы нет нужно поставить Adminpak. В данной консоли создаешь политику. Прилинковываешь ее к своему подразделению. И редактируешь ее по описанному выше способу. На локальной машине после сохранения политики выполняешь gpupdate /force и смотришь что вышло. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
lvlukola 197 Опубликовано: 18 апреля, 2013 Кстати, а всю эту дрянь можете настроить в том же месте где галочки на сеть расставляли... И, данная политика применяется к компу (а не к пользователю). Все компьютеры должны быть в подразделении! Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 18 апреля, 2013 А... я понял, вспомнил где в 2012 находиться функция Группы с ограниченным доступом Спасибо большое буду ковырять Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 22 апреля, 2013 В общем если кому интересно, пользователи изначально не могут менять сетевые настройки и групповые политики тут не помогут, только администраторы и операторы сети, но проблема вся состоит как я понял в плохой совместимости Win Xp pro и Win Server 2012, так как пользователи на win xp не подхватывают политики операторов настройки сети. Проблема не была решена пока отложил... Сейчас поднял WSUS, Публикую ПО для AD, распределяю роли и группы безопасности. Если кому интересно пишите, поделюсь опытом Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
barmaley 75 Опубликовано: 13 мая, 2013 я почти всё строю на 2003 серваке, ну и на 2008R2, последний пользую только ради виртуализации) а вообще интересно с нуля всё поднимать, я люблю так)) когда с самого начала всё сам делаешь - можно сделать всё по человеКАвски) Удачи в работе) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 14 мая, 2013 я почти всё строю на 2003 серваке, ну и на 2008R2, последний пользую только ради виртуализации) а вообще интересно с нуля всё поднимать, я люблю так)) когда с самого начала всё сам делаешь - можно сделать всё по человеКАвски) Удачи в работе) Да с нуля конечно здорово... я собственно из за этого сюда и пошёл работать) Спасибо) Кстати 2003 сложнее в настройке... а 2008 от 2012 не сильно то и отличаются .. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
barmaley 75 Опубликовано: 14 мая, 2013 А чем 2003 сложнее? Вроде все тоже самое) даже роднее как то, чисто внутренне для меня) Ну в общем если что, пиши) помогу чем смогу брату админу)) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Arkadii007 389 Опубликовано: 16 мая, 2013 ))) Спасибо.. А Win 2003 по политикам сложнее, в 2012 очень дружественный интерфейс чуть ли не для школьников) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах