Что делать с локальной учетной записью пользователя при вводе в домен?
Начал изучать Active Directory.
И кое-что не понимаю)
1) При вводе компьютера в домен на нем будет две учетные записи, локальная и доменная.
Так какой толк в групповых политиках доменной учётки, если пользователь без проблем может зайти на локальную учетную запись с правами админа и творить что захочет?! Что делать со встроенной учетной записью тогда? Ставить пароль?
2) Если пользователь работал в локальной учетной записи, имел свое расположение ярлыков, настройки, обои и т.д , то при вводе компьютера в домен у него будет чистый рабочий стол. Как перенести все данные и настройки пользователя в домен?
UPD:
Посоветуйте хорошие книги и курсы по AD. Что не смотрю, все только о том как установить ad, создать лес,
ввести компьютер в домен. И все. А дальше то что?
Спасибо)
1) Политики домена (computer policy) перекрывают настройки, сделанные локальным админом. Если комп при загрузке снюхался с DC, он с него подтаскивает политики и применяет их, после чего часть политик и настроек становятся недоступными для локального админа (какие настроишь в домене, те и будут заблокированы).
2) Скопировать каталог профиля локального пользователя в каталог, созданный при входе доменного пользователя, не забыв настроить права и владение.
UPD: А дальше жизнь, которая настолько разная у каждого домена, что в книгу не затолкать. DC выполняют роль центра хранения учетных данных и единой точки доверия для всего домена, а зачем тебе понадобился домен - разнится от "потестить" до "развернуть систему аутентификации для всего мира" ака Azure.
Вот допустим я в ГП запретил менять настройки сетевого адаптера, и когда захожу в имя_домена\имя_пользователя_домена - запрет есть, просит ввести пароль администратора, а когда захожу только в компьютер, а не в домен, asus\локальное имя ползователя, то у меня есть все права на настройки сет.адаптера.
Capitollium, про второе - политики бывают двух видов, компьютерные и пользовательские. Компьютерные влияют на локальных пользователей, пользовательские - только на тех доменных пользователей, которые под них попадают.
Каталог просто копируется в соседний, полную процедуру можно найти скажем тут https://community.spiceworks.com/topic/1893984-how... после копирования нужно выставить владельца на каталог и права ему на full control, иначе винды будут материться вплоть до объявления профиля сломанным с откатом сделанного.
А учетки все равно будут разные - доменная хороша тем, что ей можно выдать какие-то разрешения, и будет неважно, с какого угла домена она попытается ими воспользоваться, сработают. Локальная учетка во-первых привязана к одному ПК, во-вторых, недоступна при работе по сети. Ну и вообще стоит почитать что-нибудь про то, для чего нужен AD, меня по факту учили на практике с эникея и в то время, когда подобные книги были редкостью, поэтому не особо-то были нужны позже.
Максим Гришин, спасибо, начинает доходить))
И еще один вопрос пожалуйста, почему при входе в учетную запись с разных компьютеров не сохраняется рабочий стол и настройки, как мне получить доступ к своему рабочему столу, с разных компьютеров?
А это называется roaming profile, плюс не на всех ПК в домене обязательно стоит одинаковое ПО - часть ярлыков обязательно поломается. Roaming profile нужно отдельно настраивать.
Простой
Средний
