( Вход | Регистрация | Поиск )
Права в AD, как урезать права постронним
Стандартный · [ Линейный ]
Дата обновления: 24.06.2011 - 11:40, перейти к новому сообщению
Привет, любимый форум.
Ищу windows админа, знающего AD на win2003.
Вопрос вот в чём: есть много людей в организации, есть много доменных групп безопасности. Как мне запретить изменять состав группы безопасности всем кроме себя? Никак не могу придумать хотя бы поисковый запрос, чтоб погуглить((
Должны же быть штатные механизмы для подобных задач...
Ищу windows админа, знающего AD на win2003.
Вопрос вот в чём: есть много людей в организации, есть много доменных групп безопасности. Как мне запретить изменять состав группы безопасности всем кроме себя? Никак не могу придумать хотя бы поисковый запрос, чтоб погуглить((
Должны же быть штатные механизмы для подобных задач...
Ответов(1 - 4)
_http://mmtc.vgta.vrn....AD/htm/2_t.htm
_http://www.mkgt.ru/fi...ap04/p2_02.htm
_http://www.podgoretsk.../packet3-4.htm
Изучай.
Но вообще то изменять состав групп в домене имеют право только администраторы или назначенные ими люди. Или у тебя все пользователи включены в группу администраторов
_http://www.mkgt.ru/fi...ap04/p2_02.htm
_http://www.podgoretsk.../packet3-4.htm
Изучай.
Но вообще то изменять состав групп в домене имеют право только администраторы или назначенные ими люди. Или у тебя все пользователи включены в группу администраторов
Ситуация выглядит так: админов много, подчинённые мне не всегда должны обладать безоговорочно полными правами, ибо косячат и наглеют. Штрафовать рублём пока не хочу.
За информацию огромное спасибо, поизучаю))
За информацию огромное спасибо, поизучаю))
Хм, подборка ссылок хороша. Но за 8 лет работы в этой отрасли вроде всю эту информацию я уже знаю. Наверно неправильно описал задачу.
Дубль 2:
Есть Лес, в нём домен, больше в лесу доменов нет.
Есть глобальная группа безопасности, например Inet, в ней учётки людей, и админов тоже. Для выполнения повседневных задач админы состоят в группе domain admins. Но! Нужно запретить этим самым доменным админам, либо просто отдельным учёткам, добавляться в эту группу. Т.е. я пытаюсь найти что-то вроде acl для этой группы безопасности.
Приведу аналогию: если в домен 2003 засунуть Exchange, то схема AD будет расширена; при желании получить доступ ко всем почтовым ящикам в домене необходимо делегировать себе это право, а именно добавить нужные атрибуты прав к своей учётке, делается как раз через "Delegate Control..."
Или, к примеру, есть политики безапосности, коими можно делать много чего, но в них можно настроить, кто именно может изменять эту политику. Вот и мне нужно найти где выставить, кто может изменять состав конкретной группы безопасности.
Делегирование прав в домене ковырял, но там задаются разрешения на какие-либо действия, а как наоборот поставить запрет, не знаю. Надеюсь теперь понятней. Есть мысли?
Дубль 2:
Есть Лес, в нём домен, больше в лесу доменов нет.
Есть глобальная группа безопасности, например Inet, в ней учётки людей, и админов тоже. Для выполнения повседневных задач админы состоят в группе domain admins. Но! Нужно запретить этим самым доменным админам, либо просто отдельным учёткам, добавляться в эту группу. Т.е. я пытаюсь найти что-то вроде acl для этой группы безопасности.
Приведу аналогию: если в домен 2003 засунуть Exchange, то схема AD будет расширена; при желании получить доступ ко всем почтовым ящикам в домене необходимо делегировать себе это право, а именно добавить нужные атрибуты прав к своей учётке, делается как раз через "Delegate Control..."
Или, к примеру, есть политики безапосности, коими можно делать много чего, но в них можно настроить, кто именно может изменять эту политику. Вот и мне нужно найти где выставить, кто может изменять состав конкретной группы безопасности.
Делегирование прав в домене ковырял, но там задаются разрешения на какие-либо действия, а как наоборот поставить запрет, не знаю. Надеюсь теперь понятней. Есть мысли?
Эх, за 8 лет ни разу и не углядел разницы между работой с оснасткой Users and Computers непосредственно на PDC и просто на рабочей станции. А разница, оказывается, в вкладке Security у групп безопасности, на XP её просто нет. Вопрос снят 
SoftoRooM © 2004-2024