jtprogru
@jtprogru
Искать на https://ru.stackoverflow.com

Как ограничить вход пользователей на компьютеры в однодоменной сети?

Было:
Ситуация следующая (все организовано на виртуалках):
Имеем сервер Main-First (и сервер Main-Double дублирующий его) и имеем еще некоторое количество контроллеров поддоменов на данном сервере;
Все организовано через Active Directory. На контроллерах установлен Windows Server 2008 R2.
Необходимо:
1. Организовать возможность создания администраторами поддоменов учеток пользователей/компьютеров в подвластных им контроллерах поддоменов;
2. Запретить возможность входа пользователей из одного поддомена в других, т.е. имея поддомен moskva.kontora.ru и пользователя в нем Vasya Pupkin (vpupkin@moskva.kontora.ru) запретить ему и ему подобным возможность входить на компьютеры (в случае его физического присутствия там) поддомена saratov.kontora.ru
3. Сделать так, чтобы при необходимости была возможность ручного разрешения такого входа Администратором контроллера леса;


Стало:
Лес: kontora.ru
Контроллеры домена:
main-f.kontora.ru - главный основной - виртуалка
main-d.kontora.ru - главный резервный - виртуалка
moskva-f.kontora.ru - московский офис - главный - виртуалка
moskva-d.kontora.ru - московский офис - резервный - виртуалка
norilsk.kontora.ru - норильский офис - физический

С горем пополам пересены учетки пользователей.
Вопросы:
1. Как лучше добавлять офисные серверы: как контроллер домена или как контроллер поддомена?!
2. Как перенести учетки компьютеров?
3. Как перенести группы пользователей?
4. Как и какие именно групповые политики настроить таким образом, чтобы Администратор Московского офиса мог рулить только Московскими пользователями и компами (создание, изменение и управление), при этом не имел возможности изменить что-то других городах?

ЗЫЖ Уже столько прочитал по АД и групповым политикам, что в голове каша и я уже, честно говоря, запутался во всем... =)
  • Вопрос задан
  • 8383 просмотра
Решения вопроса 1
Slipeer
@Slipeer
Не уверен (негде посмотреть - у меня везде однодоменные леса)
в GPO Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя\Локальный вход в систему
Задаются пользователи и группы которым можно заходить в систему. По-умолчанию там локальные группы.
Составом локальных групп можно управлять через Group Policy Preferences (на XP требуется установка расширения для поддержки - на Vista и выше поддержка есть)
Если в каждом домене в локальных пользователях ПК будут только пользователи этого домена - другие не смогут входить.
Для пользователей из других доменов, которым надо дать доступ - можно в локальные пользователи заранее добавлять какую-нибудь дополнительную группу - надо дать доступ на вход в соседний домен - добавили в группу, надо забрать - удалили.

Администраторы леса по-умолчанию всегда будут иметь доступ везде - и это лучше не трогать.

P.S. А вообще, если Вы на стадии проектирования - задумайтесь - так ли Вам необходима многодоменная архитектура?
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
Коллега, ну вроде же стандартные настройки прав, в чём сложность? Звучит так, что по-дефолту всё так и работает.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы