Как настроить групповую политику?

Question

[coffeineco]

Добрый день!

Подскажите, где в редакторе объектов групповой политики можно запретить или разрешить создавать пользователей для конкретной группы. Windows server 2003.

Answer 1

[Alexey Dmitriev]

Запрет на создание пользователей не имеет никакого отношения к групповым политикам - это регулируется правами доступа через ACL.
Что же по поводу локальных пользователей, для запрета создания пользователей нужно не выдавать права локального администратора.

Comments

[coffeineco]

А как открыть ALC?

[Alexey Dmitriev]

coffeineco, если вы про доменных пользователей, то запустить оснастку dsa (ADUC_, если локальных - то compmgmt (Computer Management)

[Роман Безруков]

coffeineco, дополню Alexey Dmitriev - обычно создавать пользователей в домене могут участники встроенных групп Enterprise Admins, Domain Admins, Account Operators и Administrators (лучше эту группу вообще не трогать) и групп безопасности, которым явно делегированы такие права на весь домен или на OU.
Рядовые пользователи такими правами не обладают.
Таки что и кому вы хотите запретить?

[coffeineco]

Роман Безруков, хочу заблокировать определенной группе возможность создавать учетные записи и редактировать политики.

[Роман Безруков]

coffeineco, а ваша определенная группа в какие группы входит из перечисленных в предыдущем комментарии? Удалите вашу группу из них - возможно, вопрос и решится...

создавать учетные записи и редактировать политики

- кто попало этого делать не может. Явно ваша группа добавлена куда-то, чтобы получить повышенные привилегии...

[coffeineco]

Роман Безруков, Если быть точнее, то требуется создать группу пользователей, у которых будет возможность создавать/редактировать/удалять других пользователей в AD, а также вводить/выводить компьютеры в домене, устанавливать и удалять программы на локальных компьютерах. При этом явно запретить редактирование политик и всего остального в AD.

[Alexey Dmitriev]

coffeineco, создаете группу, запускаете Delegation of Control wizard на нужном вам месте в домене (корень, OU) и выбираете необходимые права для группы.

[Роман Безруков]

coffeineco, снова поддержу Alexey Dmitriev - создаете группу, делегируете нужные полномочия на уровне AD и потом, через GPO, добавляете вашу группу в локальную группу Administrators на доменных компах