Автор Тема: Делегирование части прав а АД (Прочитано 1088 раз)

Sem · « : 01 июля 2017, 15:11:09 »

Хочется странного =)

Есть домен с АД. Надо паре пользователей (субадминов) не давая полных админских прав домена разрешить задавать нетлогон скрипт для части пользователей. Т.е. в идеале сделать их админами некой группы(ou?) в которую они могли бы добавлять/удалять других пользователей АД, и прописывать/изменять для этой группы скрипт, выполняющийся в момент логона у пользователей этой группы.

Возможно ли? и как?

Retif · « **Ответ #1 :** 01 июля 2017, 17:26:57 »

Цитата: Sem от 01 июля 2017, 15:11:09

Т.е. в идеале сделать их админами некой группы(ou?) в которую они могли бы добавлять/удалять других пользователей АД, и прописывать/изменять для этой группы скрипт, выполняющийся в момент логона у пользователей этой группы.

Ну так и делегируй им права на этот OU. Стандартная задача, в принципе-то.

Sem · « **Ответ #2 :** 07 июля 2017, 17:27:02 »

а как назначить логон-скрипт не ОУ, а именно группе? возможно такое?
чтоб не приходилось перекидывать пользователей по дереву, а только в группу добавлять

Retif · « **Ответ #3 :** 07 июля 2017, 18:20:20 »

Sem, дык аналогично. В свойствах политики Authenticated Users убираешь, а свою группу добавляешь. Только там, с некоторых пор еще и Domain Computers на чтение политики нужно добавлять в таком случае.