Господа сисадмины, кто просвятит глупого:
Сетка, поднят сервак Win2003. Вопрос следующий: как юзерам разрешить самостоятельно устанавливать и сносить софт на рабочих станциях (типа как "Опытный юзьверь" по WinXP). В нете не нашел ничего, кроме дурных советов, закинуть юзеров в группу "Администраторы домена". Групповые политики устал крутить. Не помогает. Крутил в частности "Административные шаблоны\Компоненты Windows\Windows Installer" в "конфигурации компютера". Станции опосля правки политик перегружал.
млять, а в локальные администраторы слабо закинуть?
[Ответ]
doXtor 15:48 20.07.2006
слабо:
1. Компы и юзьвери развязаны, т.е. любой юзьверь на любом компе
2. Как это сделать, не подходя к станции и не корявя на каждом компе юзьверей?
3. Есть ли более "прямой" способ, по типу вкл/выкл какой либо политики?
[Ответ]
VDV 16:01 20.07.2006
причем здесь политики?? те правильно сказали, если у тебя Домен заходишь в Актив Директори на серваке, и раздаешь каждому юзверу права, какие те нада...у самого Win2kserv стоит, но я бы не стал так делать(имхо) у тебя там что сетка из 200 компов чтоле? нада поставить, неполенись сам поставь грамотнно и аккуратно а то юзвери тебе понаустанавливают .....
[Ответ]
doXtor 16:10 20.07.2006
VDV, а кто причем? какие права нада раздать? конкретно напиши плз... вариант "неполенись" - неподходит. Надо чтобы было именно так, как я написал. долго описывать зачем. просто: "юзвери должны иметь право устанавливать софт самостоятельно" другие права - как у обычных юзьверей.
ЗЫ проззба к олу, кокретные предолжения (куда ткнуть, что прописать) плз. без философии и пожеланий, если можно.
[Ответ]
bby 18:23 20.07.2006
в актив директори есть компы которые у тебя в домен включены
посмотри с сервера их управлением, и дай права локального админа этим юзверям сидя у сервера :-)
[Ответ]
doXtor 19:50 20.07.2006
bby, юзьвери сетевые (!!!) а ты через эту фкладку видишь тока локальных на станции. или ты знаешь способ, как сетевого юзера запереть в локальную группу нн-ой станции с удаленного компа?
про АД и книжку спасиба канешна.... но книжка уже есть, увы, а ответа на вопрос я там не нашел......
doXtor,
у тебя домен поднят ?
AD компы и юзеры лезешь
открываешь геде компы
правой кнопкой в комп
управление (Manage)
lokal user и ещё чтото
група админов добавляешь зверей
ето будет действовать относительно той станции но не относительно домена
если не понял пиши в личку :-)
[Ответ]
doXtor 22:03 20.07.2006
bby, я тебе тож самое и сказал....... понять понял. делать делал. вопрос: есть юзер домена (!) "Вася". Как мне сделать его админом на конкретной станции? Со станции я могу это сделать только через панель управления/юзеры. Через администрирование я вижу только локальных (!!!) те для этой станции юзеров. => под АД в консоли управления станцией я также не смогу увидеть нелокального (!!!!!!!) юзера, ибо в АД отображается тоже что и на локальной станции в ПУ\Администрирование\Упр. компом.... Далее..... если дать юзеру права админа на станции, у него появляется масса доп возможностей, окромя установки софта, к примеру, возможность откинуться из домена, расшарить локальные ресурсы и т.д. этого совсем ненадо (!!!!!!). Еще раз корректно и кратко вопрос: Как пользователям домена разрешить устанавливать ПО? и только это (!!!). У мелкомягких расписывается все очень хорошо, ибо делается через ГПУ, административные шаблоны и т.д....... т.п..... пробовал, делал, но (!) возникает впечатление, что правленную мною политику "перекрывает" другая, либо чего-то не хватает еще.... что-то еще нужно разрешить, о чем у мелкомягких низуя не написано..... вот в чем вопрос. а сделать юзера админом....... это несколько не то, что хотелось..... и это тем или иным образом я сделал (хотябы подойдя к каждому компу и вбив туда сетевых юзеров, в группу локальных админов, как мне все здесь и советовали)....
.....большего хочу..... ктонить кроме закидывания в группу локадминов могет че еще предложить?
[Ответ]
mikе 22:57 20.07.2006
А если локально залогиниться на комп, поставить софт, а потом залогиниться уже в домен - софт этот будет виден? Если да - то вариант..
[Ответ]
doXtor 23:03 20.07.2006
mike_s, не.... тут в процессе эксплуатации надо....
[Ответ]
mikе 23:14 20.07.2006
Сообщение от :
тут в процессе эксплуатации надо
дык а в чём трабл? юзверь имеет локальные права админа, отлогинивается, ставит нужный софт и снова логинится в домен.. это, конечно, не конкретно то, о чём ты говоришь, но.. вполне реальное решение ИМХО.
[Ответ]
doXtor 23:22 20.07.2006
mike_s, тьфу. Ситуация: юзверь-начальник. Он не будет маять голову и перелогививаться. Он не шарит. Но софт хотит ставить сам (мне посрать, его комп, чо хотит пусть, то и делает). Однако разрешать ему другие привилегии, кроме установки нецелесообразно, ибо скрутит все нах. Права локадмина позволяют дозуя чего скуртить, посему закидывать его в локгруппу админов его компа не хочеца. Решаться должно через политики.... ибо пол-нета уже облазил, везде ссылки именно на конфиг ГПУ..... ни где конкретики не тока..... общие фразы..... посему и спрашиваю, мож опытный кто попадется, крутил такую ботву.... причем она гораздо логичнее, нежели присваивание прав админа юзеру.
[Ответ]
mmm666 09:56 21.07.2006
в чем проблема не понял? оснастку управления другим компом можно открыть и с любого другого, если у тя есть права... mmc рулит... а во вторых можно не юзеров делать локальными админами, а группу юзерей, если они у тя ад поднят... че делаешь проблему из ничего? скока компов?
а еще через политику домена не пробовал права на установку - удаление раздовать?
[Ответ]
doXtor 10:56 21.07.2006
Сообщение от mmm666:
еще через политику домена не пробовал права на установку - удаление раздовать?
....Бу-га-га..... странный ты чел...... второй раз брет пишешь.... у тя с чтением постов проблемы какието? млять я уже в сотый раз спрашиваю КАК ЧЕРЕЗ ПОЛИТИКУ ДОМЕНА ПРАВА НА УСТАНОВКУ-УДАЛЕНИЕ РАЗДАТЬ????????????? Где конкретно это делается ??????????? То что советует МС - не рулит. Это раз. Два: МНЕ НЕ (!) НАДО НАДЕЛЯТЬ ЮЗЬВЕРЕЙ ВСЕМИ (!!!!!!!) ПРАВАМИ ЛОКАЛЬНОГО АДМИНА. НУЖНО ТОЛЬКО НАДЕЛИТЬ ПРАВОМ УСТАНОВКИ/УДАЛЕНИЯ СОФТА. ФСЕ.
\конфиг. компа\адм. шаблоны\windows components\windows installer\
"always install with elevated privileges"=вкл
"prohibit patching"=вкл
"enable user control over installs"=вкл
\конфиг. пользователя\адм. шаблоны\windows components\windows\installer\
"always install with elevated privileges"=вкл
Сообщение от doXtor:
...Бу-га-га..... странный ты чел...... второй раз брет пишешь.... у тя с чтением постов проблемы какието? млять я уже в сотый раз спрашиваю КАК ЧЕРЕЗ ПОЛИТИКУ ДОМЕНА ПРАВА НА УСТАНОВКУ-УДАЛЕНИЕ РАЗДАТЬ????????????? Где конкретно это делается ??????????? То что советует МС - не рулит. Это раз. Два: МНЕ НЕ (!) НАДО НАДЕЛЯТЬ ЮЗЬВЕРЕЙ ВСЕМИ (!!!!!!!) ПРАВАМИ ЛОКАЛЬНОГО АДМИНА. НУЖНО ТОЛЬКО НАДЕЛИТЬ ПРАВОМ УСТАНОВКИ/УДАЛЕНИЯ СОФТА. ФСЕ.
где непонятно???????????????????????
...еще предложения....
doXtor вне форумаПожаловаться на это сообщение Ответить с цитированиемБыстрый ответ на это сообщение
а че с подходом не так???? десятый раз людей про рыбу спрашиваю, а он мне про арбузы лечит........ чо за люди нах..... читать лениво, зато писать мы тут как тут.... хоть почитал бы, чо до этого другие писали и я чего просил. а не можешь помочь - че херь фсякую писать???
[Ответ]
sumjohn 17:05 22.07.2006
doXtor, в свое время решал подобную задачу с помощью GPMC.
[Ответ]
doXtor 17:28 22.07.2006
sumjohn, я его слил, поставил...... фпринципе удобно, но либо я чегото недогнал, либо он тока просматривать помогает, а править серавно черз оснастку ммц......... ваще вчепятление такое, что хдето-что-то не игнорируется и не применяется..... хотя другие сетинги админ-темплейтов работают............ кста..... а нету случаем там мульки какойнить, что только мелкомягкий софт ставиться могёт, я-то тренируюсь на кореле с фотошлепом с ацдсее?......
[Ответ]
Сообщение от doXtor:
Права локадмина позволяют дозуя чего скуртить, посему закидывать его в локгруппу админов его компа не хочеца. Решаться должно через политики....
Не дочитал, сорри. Тогда Advanced User. Через политики я не в курсах, но если найдешь, обязательно отпиши.
[Ответ]
doXtor 13:31 23.07.2006
sumjohn, аггромное человеческое....
Сообщение от sumjohn:
Не дочитал, сорри. Тогда Advanced User. Через политики я не в курсах, но если найдешь, обязательно отпиши.
Вот чо нарыл. Через политики, похоже только мелкомягкий софт рулит ставить. Корел, к примеру, юзает ветки реестра, нах закрытые даже для эдвюзеров, хотя MS - эти ветки не пользует. Посему, наскока я понял, к каждому софту свой подход....т.е. открывать доступ для кажой софтины индивидуально: для одной - пару веток открыть, для другой - пару виндовложенных папок на запись и т.д..... но это как-то сильно кутыло..... должно быть проще.... буду рыть еще. Нарою - опишу [Ответ]
Bambarbia 13:34 23.07.2006
Сообщение от doXtor:
КАК ЧЕРЕЗ ПОЛИТИКУ ДОМЕНА ПРАВА НА УСТАНОВКУ-УДАЛЕНИЕ РАЗДАТЬ?????????????
Сообщение от doXtor:
Где конкретно это делается ???????????
нет такой политики, можешь не искать
решение такое: создаещь OU, пихаешь туда определенных юзеров, цепляешь к OU политику, добавляешь политикой юзеров в локальные админы, затем же политиками отрубаешь им все что они ковырять не должны
[Ответ]
sumjohn 17:26 23.07.2006
Сообщение от Bambarbia:
решение такое:
Черт, действительно элементарно Метод от противного
Действенно и требует наименьших трудовых затрат. Дайте-ка я на пальцах сам себе объясню:
Создается глобальная группа в домене, в которую входят юзеры, нуждающиеся в самоличной установке софта. Эта же группа пихается в локадмины, и через GPO отрубаешь у админов им ненужное... затык. Тебе-то когда-нить придется юзать полные права локальные. Тогда опытные пользователи тебя спасут. Ну и обновление всех политик, ессно.
Просто и со вкусом. И логично.
[Ответ]
doXtor 14:34 26.07.2006
всем аггромное спасибо! проблему решил путем скидывания требуемых юзеров в группу, а эту группу подкинул к локадминам. Все заработало. Хоть и не самый прямой способ...... мне так кажеца.......
Сообщение от mmm666:
а во вторых можно не юзеров делать локальными админами, а группу юзерей, если они у тя ад поднят
Сообщение от doXtor:
....Бу-га-га..... странный ты чел...... второй раз брет пишешь.... у тя с чтением постов проблемы какието? млять я уже в сотый раз спрашиваю КАК ЧЕРЕЗ ПОЛИТИКУ ДОМЕНА ПРАВА НА УСТАНОВКУ-УДАЛЕНИЕ РАЗДАТЬ????????????? Где конкретно это делается ??????????? То что советует МС - не рулит. Это раз. Два: МНЕ НЕ (!) НАДО НАДЕЛЯТЬ ЮЗЬВЕРЕЙ ВСЕМИ (!!!!!!!) ПРАВАМИ ЛОКАЛЬНОГО АДМИНА. НУЖНО ТОЛЬКО НАДЕЛИТЬ ПРАВОМ УСТАНОВКИ/УДАЛЕНИЯ СОФТА. ФСЕ.
где непонятно???????????????????????
...еще предложения....
Сообщение от doXtor:
проблему решил путем скидывания требуемых юзеров в группу, а эту группу подкинул к локадминам
mmm666, млять...... ды вариянтов то небыло ........ я то сделал по известному, а людей просил альтернативу предложить...... а альтернативы-то нету ...... так что сорри за наезд...... а радость это хорошо [Ответ]
