Назад | Перейти на главную страницу

Новые рабочие станции домена, запрос UAC очищается только основным паролем администратора ADDC.

Впервые я могу добавлять новые рабочие станции Windows в свой домен. [В течение многих лет у нас был «автономный» сервер 2k, а не контроллер домена, и все наши рабочие станции были на Windows Home] Теперь у меня есть несколько новых рабочих станций Windows 7 Pro, которые я хотел бы присоединить к домену. Когда я это сделаю, единственный логин, который может решить проблемы UAC при установке программного обеспечения на новые рабочие станции, - это «Администратор» для сервера. Из одного из пунктов в «Связанных вопросах» я обнаружил, что работает только «Администратор», потому что другие мои учетные записи администратора предназначены для сервера, а не для домена.

Мне нужно, чтобы пользователи имели полный локальный контроль и возможность устанавливать собственное программное обеспечение. Я создаю учетные записи «администратора» на локальном компьютере, но, конечно же, они не отменяют разрешения в Active Directory. Я много читал о группах с ограниченным доступом, редакторе объектов групповой политики и создании группы localAdmin, но дерево объектов политики моего домена не похоже на те примеры, которые я видел. Есть способ попроще? Могу ли я что-то сделать с правами доступа пользователя для каждой рабочей станции в myDomain \ Computers? Если нет, где я могу найти руководство по созданию правильных политик и разрешений с нуля? Спасибо

Здесь вы смешиваете две проблемы: права локального администратора и контроль учетных записей Windows 7.

Получить права локального администратора можно разными способами: стать администраторами домена, добавить пользователей / группы в локальную группу администраторов на рабочих станциях (вручную или с помощью сценариев запуска машины) или с помощью настроек GPO «ограниченных групп».

Тем не менее, даже быть локальным администратором может быть недостаточно: UAC существует именно для этого, защищая пользователей от собственных ошибок за счет не предоставление им полных местных административных прав даже если они по праву владеют ими, вынуждая их явно указать, хотят ли / когда они выполнить действие с полными административными привилегиями.

UAC также может определять ситуации, когда пользователю потребуются права администратора, но у него их нет; в этих случаях он может (если так настроен) автоматически запрашивать у пользователя учетные данные для входа в систему для других учетных записей пользователей, которые могут иметь больше прав, чем та, которую они используют в настоящее время.

Если пользователь не имеет административные права и пытается выполнить некоторую задачу, которая требует их, UAC предложит другой вход в систему.

Если пользователь действительно имеет правильные права, но UAC активен (это его настройка по умолчанию), он запросит у пользователя подтверждение; чтобы обойти это, вы можете щелкнуть правой кнопкой мыши программу, которую хотите запустить, и выбрать опцию «Запуск от имени администратора».

При желании вы можете точно настроить (или даже отключить) UAC либо в Панели управления системы, либо с помощью групповых политик (если у вас есть контроллеры домена Windows Server 2008 R2 или вы импортировали последние административные шаблоны групповой политики в домен предыдущей версии).