Группы пользователей
 

Всем привет)

Начинаю разбираться только в AD и есть вопрос.

Есть действующий настроенный DC, и есть много пользователей и групп.

Задача: нужно одного пользователя ограничить в правах.
Что делаю: вижу что Пользователь член многих групп.
Вопрос: есть например группа "Full Internet Access", что само и понятно "Полный доступ в Интернет". Как узнать к чему применяется данная группа? Это ищется в "Управлении Групповой Политикой"? Руками или есть какой-то поиск?

Можно подсказать?)

скорее всего группа привязана к программе/устройству, которое служит для доступа в интернет. Там и ищи

Если какие-то разрешения на эту группу назначены на каком-то другом устройстве или компьютере, так просто найти невозможно. Нет средств.

ну я также и думал логически, просто получается, если предыдущий админ ничего не объяснил, то только все вручную проверять )

те если огромный домен передан новому админу, то получается только вручную нужно искать какая группа где имеет определенные права? и реально нет ни ссылок, ни единого учета всех этих групп? не удобно как минимум (

Неудобно, но так есть. Нет математической модели, в которой устройства сообщали бы на контроллер, какие разрешения у них локально назначены.
Ну и, конечно, что считать огромным доменом.

спросить администратора, который эту группу создал.
как выше было сказано, эта группа может быть настроена в сторонних сервисах. Одним из которых, например, может быть прокси сервер SQUID, в котором прописано правило - выпускать в интернет без ограничений членов этой группы.
Так же эта группа может быть в ISA или TMG серверах, или аналогичных.

Доброго времени суток, у меня тоже вопрос связанный с группами, поэтому решил тут написать. Win server 2008 r2 с последними обновлениями, лицензия. Такая проблема у меня, в AD создаю пользователя например "Подразделение"->Петя по дефолту оставляю его в группе "пользователи домёна" -> GPO тоже дефолтное Defoult DP.. Иду на клиентскую станцию с чистой системой win7 максимальная, захожу в домён через учётную запись Петя, пытаюсь на чистую систему накатать драйверы и нужный софт, но не ставятся. Далее я зашел в AD и поменял в свойствах у пользователя "Петя" членство группы на "Администратор домена" и после этого я смог накатать дрова и софт, я понимаю что ошибка не в системе, и я так понял что ответ кроется в "Разрешениях". Уважаемые комрады подскажите где капать, чтобы у группы "Пользователи домёна" были ну почти те же разрешения что и у "Администратор домёна". Я не могу найти настройку групп. Строго не судите)

Естественно, для установки программ и драйверов необходимы административные полномочия. "Выполнить от имени Администратора" - не?

Почти - это как? Как слегка беременной быть?

Не, пробовал
так, чтобы были разрешения на установку софта для группы "пользователи домёна" так как вновь созданный пользователь по дефолту в эту группу добавляется. Вообще хотелось бы знать в каких параметрах настраивается любая группа. Ты знаешь?
ахаха-ха-хахаха--аа. Сильно :clapping:

Для этого достаточно пользователю домена быть внесённым в группу локальных администраторов станции. Но это дыра в безопасности. пользователь на то и пользователь, чтоб не иметь администраторских привилегий.

Ничего не понял. Переведите.

Точно, пользователям в своей организации я и хочу предоставить только права пользователей, поэтому я их и оставлял членами группы "пользователи домена", но у этой группы очень ограниченные права, что невозможно запустить установку софта. А мне как админу часто приходится устанавливать разного рода программы, и всякий раз приходится сталкиваться с этими ограничениями. Поэтому и хочу настроить группу "ПОЛЬЗОВАТЕЛИ ДОМЁНА" если это вообще возможно, а именно снять те ограничения с которыми я часто сталкиваюсь.

TimonDVD, они и не должны иметь прав «на установку софта». За редким, редким исключением.

Если вы имеете ввиду пользователей моей организации-то, да не должны иметь права на установку. Но эти ограничения часто мне мешают\затрудняют мне работу, вот это я хочу понять, как через группу устанавливать и снимать ограничения, как это делать через GPO я знаю, но в данном случае у меня на это подразделение GPO не стоит, все по дефолту. Эти ограничения убираются когда я меняю группу на "Администратор домёна".

Чем мешают?
Выполнять нужные программы через "Запустить от имени администратора"
Или запустить от имени администратора CMD.EXE для ввода текстовых команд?

эти способы я пробовал, абсолютно никакой реакций, нажимаю на "Запустить от имени администратора" к примеру установку программы, или драйверов с диска, в ответ-никакой реакции. Чтобы все это проделать мне приходиться менять группу конкретной ученой записи на "Администратор домёна", я бы хотел настроить дефолтную группу "пользователи домёна"

Вот и проблема, которую надо решить правильным способом, а не множить нарушения правил эксплуатации вычислительной техники.

Служба "Вторичный вход в систему" активна?

Сегодня проверю, настрою GPO