kostya-chist, 23.06.2011 - 19:50
_
http://mmtc.vgta.vrn....AD/htm/2_t.htm_
http://www.mkgt.ru/fi...ap04/p2_02.htm_
http://www.podgoretsk.../packet3-4.htmИзучай.
Но вообще то изменять состав групп в домене имеют право только администраторы или назначенные ими люди. Или у тебя все пользователи включены в группу администраторов
super_smit, 24.06.2011 - 11:03
Хм, подборка ссылок хороша. Но за 8 лет работы в этой отрасли вроде всю эту информацию я уже знаю. Наверно неправильно описал задачу.
Дубль 2:
Есть Лес, в нём домен, больше в лесу доменов нет.
Есть глобальная группа безопасности, например Inet, в ней учётки людей, и админов тоже. Для выполнения повседневных задач админы состоят в группе domain admins. Но! Нужно запретить этим самым доменным админам, либо просто отдельным учёткам, добавляться в эту группу. Т.е. я пытаюсь найти что-то вроде acl для этой группы безопасности.
Приведу аналогию: если в домен 2003 засунуть Exchange, то схема AD будет расширена; при желании получить доступ ко всем почтовым ящикам в домене необходимо делегировать себе это право, а именно добавить нужные атрибуты прав к своей учётке, делается как раз через "Delegate Control..."
Или, к примеру, есть политики безапосности, коими можно делать много чего, но в них можно настроить, кто именно может изменять эту политику. Вот и мне нужно найти где выставить, кто может изменять состав конкретной группы безопасности.
Делегирование прав в домене ковырял, но там задаются разрешения на какие-либо действия, а как наоборот поставить запрет, не знаю. Надеюсь теперь понятней. Есть мысли?
super_smit, 24.06.2011 - 11:40
Эх, за 8 лет ни разу и не углядел разницы между работой с оснасткой Users and Computers непосредственно на PDC и просто на рабочей станции. А разница, оказывается, в вкладке Security у групп безопасности, на XP её просто нет. Вопрос снят