В какую группу добавлять админов-эникейщиков, которые ходят по пользователям и решают локальные проблемы (устанавливают ПО, принтера и т.д). Не хочется давать им слишком много прав, но готовой группы в АД не нашёл. Основные требования к правам пользователей этой группы: Разрешено:
1. Установка и удаление софта на рабочих станциях пользователей.
2. Установка, обновление и удаление драйверов устройств (принтеров, факсов и прочих гаджетов).
3. Подключение через удаленный помощник к ПК пользователей (решено через групповую политику). Запрещено:
1. Подключаться к серверам по RDP;
2. Вносить какие-либо изменения в AD (поэтому "Администратор домена" не подходит).
компьютеры пользователей выделяются в подразделение и создаётся групповая политика для этого подразделения: windowsnotes.ru/windows-server-2008/dobavlyaem-dom...
тащемто для себя тоже было бы неплохо завести такую учётку, не всё же рабочее время на администрирование AD уходит? тогда в то время, когда не нужны права доменного администратора. лучше использовать учётку с правами поменьше.
@bk0011m получается нужно создать новую группу и для неё в групповой политике создать объект (или изменить Default Group Policy) где уже настроить параметры безопасности? правильно понял?
