Раздача прав на OU
Модератор: Модераторы
1 сообщение
• Страница 1 из 1
Damir » 17 июн 2004, 17:48
Здравствуйте, уважаемые!
Проблема такая: наша контора стала частью холдинга, влились мы в их домен как нормальный поддомен. Я Domain Admin и обладаю почти полными правами в рамках поддомена (Энтерпрайз правда мой в Москве сидит). В нашей конторе куча филиалов со своими подсетями класса С, как и у нас. Админить полностью филиалы все с 1200 компов как-то не хочется. Вопрос такой - как, не давая прав Домен Админа, дать "админам" филиалов права на всю катушку в рамках их филиала и подсети соответственно. Поддомены создавать нельзя, Москва схему усложнять не хочет
Что сделано:
1. Созданы соответствующие OU на каждый филиал.
2. Делегированы все права конкретным лицам на каждый филиал за исключением руления политиками.
3. Делегированы им же права на подсоединение компов к домену (это, понятно, в рамках домена), на политики тоже нет.
4. Они же введены в группы Server и Print Operators, DHCP Admins.
5. Дано право на удаленный доступ к своему DC
6. Дано право на установку драйверов.
Вроде все.
Несмотря на это, полностью "рулить" своими филиалами и прочим они не могут.
Пролезшие "косяки":
1. Невозможно сажать софт на компах, если входишь в домен (админ, вошедший локально на комп, может, конечно, но в ряде случаев это неудобно).
2. Нельзя устанавливать устройства при таких же условиях (хотя, повторюсь, право Load & Unload device drivers дано впрямую).
3. Нельзя создавать под-юниты в своем OU
4. Нельзя активизировать DHCP сервер (хотя они вроде DHCP админы). Или это только Энтерпрайз может?
Вопросов в общем-то два:
1. Возможно ли в принципе то, что я хочу?
2. Если возможно, как указанные "косяки" обойти?
Заранее благодарен за ответы.
Damir
Проблема такая: наша контора стала частью холдинга, влились мы в их домен как нормальный поддомен. Я Domain Admin и обладаю почти полными правами в рамках поддомена (Энтерпрайз правда мой в Москве сидит). В нашей конторе куча филиалов со своими подсетями класса С, как и у нас. Админить полностью филиалы все с 1200 компов как-то не хочется. Вопрос такой - как, не давая прав Домен Админа, дать "админам" филиалов права на всю катушку в рамках их филиала и подсети соответственно. Поддомены создавать нельзя, Москва схему усложнять не хочет
Что сделано:
1. Созданы соответствующие OU на каждый филиал.
2. Делегированы все права конкретным лицам на каждый филиал за исключением руления политиками.
3. Делегированы им же права на подсоединение компов к домену (это, понятно, в рамках домена), на политики тоже нет.
4. Они же введены в группы Server и Print Operators, DHCP Admins.
5. Дано право на удаленный доступ к своему DC
6. Дано право на установку драйверов.
Вроде все.
Несмотря на это, полностью "рулить" своими филиалами и прочим они не могут.
Пролезшие "косяки":
1. Невозможно сажать софт на компах, если входишь в домен (админ, вошедший локально на комп, может, конечно, но в ряде случаев это неудобно).
2. Нельзя устанавливать устройства при таких же условиях (хотя, повторюсь, право Load & Unload device drivers дано впрямую).
3. Нельзя создавать под-юниты в своем OU
4. Нельзя активизировать DHCP сервер (хотя они вроде DHCP админы). Или это только Энтерпрайз может?
Вопросов в общем-то два:
1. Возможно ли в принципе то, что я хочу?
2. Если возможно, как указанные "косяки" обойти?
Заранее благодарен за ответы.
Damir
1 сообщение
• Страница 1 из 1
Вернуться в Сетевые операционные системы
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 16