Как убрать "Папка" из сетевого окружения
Модератор: Модераторы
Сообщений: 5
• Страница 1 из 1
broman » 03 дек 2005, 01:38
Проблемма такова. Есть домен на базе Windows 2000 server с настроенным Active Directory, есть клиентские машины с windows 2000. При входе в сетевое окружение, наряду с windows microsoft network отображается еще одна папка, которая так и называется Папка, опубликована она, надо понимать, Active Directory. В ней все группы, компьютеры и заведенные учетные записи. Все пользователи с установленной операционной системой windows 2000 (и только с ней, на xp ее не видно) могут в эту папку входить, смотреть состав организационных единиц и ...о ужас, менять этот состав, удалять, добавлять, пользователей. Права у пользователей стоят самые что ни на есть чепыжные - Администраторы домена, а иначе никак, ни прогу поставить, ни принтер подключить без этих прав низя (даже если учетки поставлены в группу Администраторы). Но даже и при удалении всех пользователей из группы Администраторы домена, возможность входа в Папку и изменений в ней присутствует у всех. Причем при входе клиента в эту Папку, вылитает ошибка "Сервер неработоспособен" (два раза подряд вылитает), но потом все равно входит. Домен ставил с нуля. Вопрос: как эту папку скрыть вообще от глаз подальше. Что сделал не так?
И еще вопрос: при попытки скрыть эту папку в безопастности политики Active Directory (в консоли Active Directory - пользователи и компьютеры->Domen.net->свойства->групповая политика->свойства->безопасность) удалил администраторов домена и администратора, думал что из сети в Папку будет не войти. Как итог - при очередном заходе в эти свойства вылетает сообщение "Ошибка групповой политики. Не удалось найти контролер домена......возможно недостаточно прав..." Как вернуть права, чтоб локально под именем администратора на серваке эти свойства посмотреть. Куда в реестр можно залесть, чтоб обратно добавить возможность просматривать/изменять эти свойства. При открытии пункта в Программы/Администрирование/Политика безопасности - вылитает таже самя ошибка.
Поможите чем сможете. Проблемма не у одного меня, в инете таких вопросом много - ответа нет.
Пиво и воблу вышлю по почте.
P.S. Главная заповедь админа - работает - не трогай.
И еще вопрос: при попытки скрыть эту папку в безопастности политики Active Directory (в консоли Active Directory - пользователи и компьютеры->Domen.net->свойства->групповая политика->свойства->безопасность) удалил администраторов домена и администратора, думал что из сети в Папку будет не войти. Как итог - при очередном заходе в эти свойства вылетает сообщение "Ошибка групповой политики. Не удалось найти контролер домена......возможно недостаточно прав..." Как вернуть права, чтоб локально под именем администратора на серваке эти свойства посмотреть. Куда в реестр можно залесть, чтоб обратно добавить возможность просматривать/изменять эти свойства. При открытии пункта в Программы/Администрирование/Политика безопасности - вылитает таже самя ошибка.
Поможите чем сможете. Проблемма не у одного меня, в инете таких вопросом много - ответа нет.
Пиво и воблу вышлю по почте.
P.S. Главная заповедь админа - работает - не трогай.
PavelKHTW » 03 дек 2005, 23:37
| Цитата (broman @ 3.12.2005 - 00:38) | ||
| 1. могут в эту папку входить, смотреть состав организационных единиц и ...о ужас, менять этот состав, удалять, добавлять, пользователей. Права у пользователей стоят самые что ни на есть чепыжные - Администраторы домена,
..... 2. а иначе никак, ни прогу поставить, ни принтер подключить без этих прав низя (даже если учетки поставлены в группу Администраторы). Но даже и при удалении всех пользователей из группы Администраторы домена, возможность входа в Папку и изменений в ней присутствует у всех. Причем при входе клиента в эту Папку, вылитает ошибка "Сервер неработоспособен" (два раза подряд вылитает), но потом все равно входит. Домен ставил с нуля. Вопрос: как эту папку скрыть вообще от глаз подальше. Что сделал не так? .... 3. Как вернуть права, чтоб локально под именем администратора на серваке эти свойства посмотреть. Куда в реестр можно залесть, чтоб обратно добавить возможность просматривать/изменять эти свойства. При открытии пункта в Программы/Администрирование/Политика безопасности - вылитает таже самя ошибка. Поможите чем сможете. Проблемма не у одного меня, в инете таких вопросом много - ответа нет. Пиво и воблу вышлю по почте. P.S. Главная заповедь админа - работает - не трогай. [/quote] 1. Естественно - они ж у тебя администраторы домена - им положено. 2. Да ну, сетевые принтера ставятся даже с урезаными правами, локальные - ставятся сами, если они PNP и в виндовсе есть драйвера - иначе - зачем обычным пользователям устанавливать принтера? А зачем ставить программы? Если уж есть такая надобность - ну так введите пользователя в локальные админы - как это сделать? да на этом форуме уже раз 100 разжевано. Что сделал не так? Дал лишние права. 3. С своей машины сделай RunAs от доменного админа для консоли политик - и правь доменные политики как хочешь. PS заповедь админа - ЧИТАЙТЕ ДОКУМЕНТАЦИЮ - в ней все есть!!!!
Еще раз: даже при удалении юзера из гурппы Администраторы домена в Active Directory, они все равно в Папку входят и могут там все менять. Вопрос не в том, как их огрничить, а в том, как эту папку совсем убрать, чтоб ее совсем не было видно. А Локальный админ на машинах настроен, но дело в том, что при подключении и авторизации в Active Directory права локальных политик компьютера считаются недействительными, все права он берет те, что ему Active Directory выдает, (а иначе зачем он нужен). А на счет 3-го ответа поподробнее можешь? Что именно в командной строке надо вписать, Run As ... а дальше.
|
) править ничего не могут - это факт!. Может у тебя делегированием обычным пользователям дано право RW на весь домен?