Я не очень понимаю почему так нельзя? Как повысить пользователя до админа, но так чтобы он на сервере ничего не мог делать ?
А то есть программисты которым надо больше свободы дать на локальном компьютере, как это делается подскажите?
- Вопрос задан более трёх лет назад
- 2552 просмотра
Комментировать
Решения вопроса 1
Открываете локальных пользователей, там добавляете доменную учётку в локальных админов.
Всё.
Можете погуглить «добавить доменного пользователя в локальные админы» и найти что-ьто с картинками и стрелочками.
Ответ написан более трёх лет назад
Нравится 3 1 комментарий
Попробую, надеюсь получится. Спасибо большое
Ответы на вопрос 4
В локальных политиках безопасности возможна более гибкая настройка прав пользователей. Существуют еще шаблоны безопасности.
Вопрос в том насколько высоки требования к безопасности в организации.
Удаленная установка программ в домене с помощью msi файла
Т.е давать админские права на локальной машине, это в принципе значит что машина подвержена заражению вирусами под этим пользователем.
Ответ написан более трёх лет назад
Нравится 2 3 комментария
да я понимаю, но работаю опытные пользователи и программисты, им бы хотелось давать доступ к установке всего чего захотят, но при этом чтобы не было у них доступа на сервер, а только локальная машина. Что скажете? Как обычно с таким делается?
В идеале, чтобы он просто мог устанавливать и работать с программами которые нужные админские права. И даже если сменит компьютер права сохранились и на этой машине
Vi: вообще обычно создается группа в АД, эта группа добавляется политиками в локальные админы на всех машинах в домене. Но тут важно понимать что все пользователи добавленные в эту группу будут иметь доступ ко всем раб станциям, это круто когда надо дать доступ отделу техпо, когда им это действительно надо.
Поиграйтесь с групповыми политиками: Конфигурация пользователя — Политики — административные шаблоны — комппоненты Win — Установщик.
Распространяйте программы через установку/удаление ПО. Не помню точно, но туда можно накидать софта для установки, проверенное вами. Пользователь будет просто заходить туда и ставить. В сети есть бесплатный курс от Сергея Шейна по администрированию.
Про мысли:
Когда пользователь Админ на локальной машине, он может делать что захочет. Мимикатом сдампить ваш пароль если вы подключались к нему. Будучи пользователем включить логирование нажатых клавиш в ПунтоСвитчере и попросить что то сделать на своем ПК человека с более высокими правами. Если доступно, считает всех пользователей домена через PowerShell, и начнет брутить потихоньку им же.
Как установить программу без прав администратора в Windows 10
Ответ написан более трёх лет назад
Нравится 1 4 комментария
Спасибо за совет, по поводу установки по, то я создал в политиках пакет с программами, и по вай фаю уже начальная загрузка занимает больше полу-часа. Но все равно совет отличный.
Источник: qna.habr.com
TightVNC в домене
Для удаленной помощи можно использовать много программ, особую популярность имеет (имела?) программа RAdmin. Минус для меня это платность продукта, значит будем смотреть в сторону проверенного решения, а именно VNC. Программ использующих VNC много, так как ранее использовал в работе TightVNC решил остановится на нем.
Так как у нас есть доменная структура, будем разворачивать TightVNC в домене. Для установки в домене потребуется создать файл mst в программе Orca. Используя документацию к TightVNC будем изменять некоторые свойства на предустановленные.
Программу Orca можно взять у меня на сайте или у M$, дистрибутив TightVNC на момент написания был – 2.8.11
Подготовка файла MST
Запускаем программу ORCA выбираем наш дистрибутив tightvnc-2.8.11-gpl-setup-64bit и переходим к меню Transform – New Transform.
Приводим значения к следующему виду:
Источник: flammlin.com
PC360
Вы находитесь здесь PC360 » Настройка ПО » Добавление компьютера и учетной записи пользователя в домен.
Добавление компьютера и учетной записи пользователя в домен.
Опубликовано 27 Янв 2019 — admin. В рубрике: Настройка ПО. Теги: PROGRAM.
В диспетчере серверов контроллера домена выбираем в меню слева – Все серверы. Видим нужный контроллер домена, в нашем случае это DCSERVER. Нажимаем на него правой кнопкой мыши. В открывшемся меню выбираем пункт – Пользователи и компьютеры Active Directory.
В открывшейся оснастке Пользователи и компьютеры Active Directory [DCSERVER] выбираем Managed Service Accounts правой кнопкой мыши. В раскрывшемся меню выбираем пункт «Создать» в следующем выпадающем меню выбираем пункт «Пользователь»
Можно создавать пользователей в директории Users, но у нас так сложилось, что все пользователи именно в Managed Service Accounts (MSA управляемые учетные записи служб), в этом есть некоторые преимущества. Процесс создания в MSA и в Users аналогичен.
В открывшемся окне создания пользователя вводим имя – создадим например пользователя admin, нажимаем >> Далее.
Создаем пароль для пользователя, галочки как на скриншоте ниже, >> Далее.
Подтверждаем создание, нажав кнопку «Готово».
Чтоб можно было создавать простые пароли пользователям, включаем эту возможность в редакторе локальной групповой политики. Правой кнопкой мыши на кнопку «Пуск», выбираем «Выполнить», пишем gpedit.msc, ОК. (или WIN+R >> gpedit.msc >> ENTER)
Когда все заработает усложняем пароль. Он должен состоять из букв разного регистра, цифр и спец.символов.
Нажав правой кнопкой на созданного пользователя, можно отредактировать его свойства, например, добавить описание.
Чтоб admin мог сам добавлять пользователей в домен, и в общем то быть Администратором в сети я добавил его во все группы администраторов. Для обычных пользователей этого делать не нужно.
Еще одного пользователя, с аналогичными параметрами можно создать методом копирования (ПКМ на пользователя, копировать).
Если структура организации достаточно большая, то в корне домена можно создавать OU (Organizational Units) для удобного управления пользователями.
Если есть необходимость переместить учетную запись в другую директорию, например из ManagedServiceAccounts в Users, то нажимаем правой кнопкой мыши на требуемого пользователя, в нашем случае это TEST5 и выбираем строчку «Переместить».
Далее откроется окошко, в котором выбираем место назначения, выберем Users, >>OK.
Проверим папку Users – пользователь уже там.
Переходим к добавлению компьютера в домен.
У нас в сети статическая IP-адресация, по этому в добавляемом компьютере первым делом меняем сетевые настройки. Переходим по пути: Панель управленияСеть и ИнтернетЦентр управления сетями и общим доступом. В настройках соединения изменяем протокол Интернета версии 4(TCP/IPv4) нажав на кнопку «Свойства».
Изменяем данные как на картинке ниже.
IP-адрес: 192.168.1.25 (адрес компьютера)
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.1.1 (шлюз модема или фаервола)
Предпочитаемый DNS-сервер: 192.168.1.200 (IP-адрес контроллера домена).
Альтернативный DNS-сервер: 192.168.1.130 (IP-адрес резервного контроллера домена).
Применяем настройки, нажав кнопку «ОК».
В панели управления переходим по пути: Панель управленияСистема и безопасностьСистема. Нажимаем на ссылку – «Изменить параметры».
Предлагается два варианта, нажмем первый – идентификация.
Откроется мастер присоединения компьютера к сети или домену. Выбираем первый пункт: Компьютер входит в корпоративную сеть; во время работы я использую его для соединения с другими компьютерами. Нажимаем >>Далее.
На следующем шаге выбираем первый пункт: Моя организация использует сеть с доменами. >>Далее.
Вводим учетные данные созданного ранее пользователя.
Если компьютер ранее не был в домене то мастер предложит написать имя, под которым он будет известен в домене (фактически на этом шаге можно переименовать компьютер). >>Далее
Если пользователь не имеет прав на присоединение компьютера к домену, то откроется окно, в котором нужно указать данные, того кому разрешено.
Иногда может возникнуть ситуация, когда ПК «не видит» домен. В этом случае нужно написать постфикс .local после названия домена (например SCRB.local)
В следующем окне, выбирая пункт: Добавить следующую учетную запись пользователя в домене, подразумевается – в этом компьютере. Если это окно открылось и не появились какие-нибудь ошибки, то можно считать, что компьютер зарегистрирован в домене.
Если указать Не добавлять учетную запись пользователя в домене (на компьютере), то это можно сделать позже, в настройках учетных записей пользователей панели управления. >> Далее.
Так как мне нужно установить программы на этот новый компьютер, я устанавливаю доступ администратора для учетной записи admin на этом компьютере.
Можно выполнить идентификацию с учетной записью того пользователя, который затем будет работать на этом компьютере, установить ей права администратора, настроить программы и затем установить обычный доступ. Чаще всего так и делается.
Нажимаем кнопку «Готово».
Видим, что имя и домен уже изменились, но изменения вступят в силу после перезагрузки. Перезагружаем компьютер.
После перезагрузки появится надпись нажать CTRL+ALT+DELETE и затем вход в учетную запись, которую мы только что добавили.
Компьютер добавлен в домен. На контроллере домена в списке компьютеров он тоже появился. Отключить нажатие CTRL+ALT+DELETE можно (но не нужно) в настройках учетных записей пользователей панели управления или в локальной политике безопасности.
Добавление в домен можно выполнить без использования мастера. В свойствах системы нужно нажать кнопку «Изменить» (чуть ниже кнопки «Идентификация»). В открывшемся окне указать имя ПК и домен. Затем указать учетную запись с правом присоединения к домену и перезагрузить ПК.
Организовывать доменную сеть выгодно, потому, что она обладает рядом преимуществ и гибкой системой настроек в сравнении с обычной сетью. Например, можно создать сетевые папки с доступом только для определенных пользователей, через политики на контроллере домена задавать различные права и настройки для ПО и пользователей сети, блокировать учетные записи и тп.
Источник: www.pc360.ru