Есть ли какой-то стандартный способ выдать пользователю или группе пользователей домена некоторую привилегию, например "Вход в качестве службы". И ограничить ее действие одним или несколькими компьютерами?
Вариант выдавать привилегию в локальных политиках конкретного компьютера доменным пользователям не рассматривается.
Интересует любое решение: MMC консоль, PowerShell, API.
Если это принципиально невозможно для произвольной привилегии, то, может, есть какие-то специальные привилегии, которое это позволяют делать?
Ответ
Итак. Алгоритм следующий
В оснастке Active Directory - пользователи и компьютеры где-то в дереве создаем новое подразделение (Depatment)
Далее кликаем по нужному компьютеру и перемещаем его в созданное подразделение
Заходим в свойства созданного подразделения, выбираем вкладку групповые политики и жмем Открыть
В появившемся окне создаем новую групповую политику и открываем ее на редактирование
Далее мы переопределяем те политики которые нас интересуют.
После этого все компьютеры в этом подразделении и под-подразделениях получают нашу политику
Комментариев нет:
Отправить комментарий