Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   [решено] Администрирование доменных компьютеров (http://forum.oszone.net/showthread.php?t=269927)

ctumko 14-10-2013 14:41 2234247
Администрирование доменных компьютеров
 
Привет! Осваиваю Active Directory, в процессе изучения возник вопрос. Смоделируем ситуацию.

Есть некоторый пользователь testuser01, находящийся в OU Test-env, к которому привязана политика "User configuration - Policies - Administrative templates - Control panel - Prohibit access to control Panel and PC settings". Соответственно, запрещает открывать контрольную панель или любую ее составляющую.

Мой вопрос идеологический. Предположим в техподдержку звонит пользователь и сообщает, что у него "Все стало большим и на экран не помещается."
Специалист быстро смекает что у пользователя слетело разрешение экрана, подключается к компютеру удаленно, пытается открыть контрольную панель и... не может.
Если технической поддержке будет необходимо изменить что-либо в контрольной панели для одного пользователя сию минуту, нужно будет писать ему индивидуальное GPO?
Или есть способ открыть контрольную панель, обойдя политику?
Можно ли сделать так, чтобы компьютер спрашивал логин-пароль привелегированной учетной записи в ответ на все запрещенные политикой действия, вместо сухого "Доступ запрещен"?
Первой мыслью было что-то вроде "Runas /user:domain\administrator control", политика учетную запись администратора, конечно же, не затрагивает.
Но сообщение о том что доступ запрещен настигло меня и тут.
Пожалуйста, разьясните правильную модель поведения в таких ситуациях, или ткните носом что прочитать, поиск успехом не увенчался.

Спасибо!

Denis Dyagilev 14-10-2013 15:35 2234274
Цитата:
Цитата ctumko
Можно ли сделать так, чтобы компьютер спрашивал логин-пароль привелегированной учетной записи в ответ на все запрещенные политикой действия »
Вообще-то это называется UAC.

ctumko 14-10-2013 15:40 2234276
Вложений: 1
UAC включен. При вызове control из win+r или другими способами, сразу вываливает окно. Сделал скриншот, прикрепил.

WindowsNT 14-10-2013 16:48 2234309
UAC — технология, призванная скорее бить по рукам нерадивым администраторам, чем решать проблемы доменных пользователей. В нормальном домене у пользователей нет и никогда не будет административных привилегий, в связи с чем UAC в данной ситуации не только не поможет, но даже будет мешать.

Единственное, что может вам помочь в данной ситуации — не создавать себе заранее проблем. Запрет Control Panel не решает проблем безопасности, Control Panel — это только косметика, интерфейс, к правам доступа отношения не имеет. Если же вы всё же желаете держать Control Panel заблокированной, придётся писать отдельное GPO.

ctumko 14-10-2013 22:51 2234487
WindowsNT, спасибо, теперь концепция более-менее ясна.


Время: 20:14.

Время: 20:14.
© OSzone.net 2001-