Уважаемые администраторы WIN2000 Server! Требуется ваша помощь! Ситуация такая, установлен Server2000, и есть рабочие станции, с установленными WinNT4, и Prof2000. Мне, как админу, нужно выработать и внедрить политику разграничения доступа к ресурсам пользователей между друг с другом. До этого я никогда не связывался с Active Directory, делал максимум расшаренные папки, и все юзера были довольны. А в настоящее время поставлена задача, на всех клиентах, (один) рабочий стол, на основе моего шаблона. И шаблон хранится на сервере. Юзеров около 30, рабочих станций для них 4 (NT4 и 2000Pr). Сервер – один (Win2000Server). Между сервером и станциями хаб. То, что я пробовал делать, заводил группы, регистрировал пользователей в AD, входил потом под ними, работало не так, как хотелось бы. Изложу лучше по пунктам, что удалось сделать:
1. устанавливаю server2000, устанавливаю DNS сервер «MY-ORG».
2. Юзеров, которых успел зарегистрировать в «Управление компьютером»-«Локальные пользователи и группы», при установке, ADirectory «забрал» в свой каталог.
3. Далее делаю пользователя, на подобие которого и будет каждый из 30 наших сотрудников.
4. Пользователя сделать, сделал, а войти под его логином, на этом же сервере не могу. Делаю ему больше прав, захожу, но опять у него много полномочий… что не хотелось бы давать.
5. Ещё от этого пользователя надо скопировать шаблон… И регить других с перемещаемым шаблоном…
Сохранения, перегрузки, ещё настройки…ничего не выходит.
А план такой (по моему, у любого админа такой на 90%):
1. Я устанавливаю Server2000. DNS. AD.
2. Делаю группу пользователей для своих сотр. в AD, что бы в последующем было легко добавлять новых пользователей. Как бы ещё в эту группу сразу запихнуть ограничения на всё-всё, что можно (я искал, но никак не могу найти подобие локальной политики, но только как для этой группы) Требования: для пользователей можно работать так же, иногда и, на сервере, так же как и на рабочей станции. В случае, если раб. станции не хватает. Т.е. доступ ещё надо и на «сервере работать». Но они «погасить» сервер не могут. (как выглядит вся процедура орг. группы, политики.)
3. надо сделать политику для группы (вызываю MMC, - новая групповая политика, определяю что можно и нельзя, как сохранить в файл POL, а затем его использовать для пользователей)
4. Далее, в AD добавляю пользователя под своей новой группой. Выхожу из админа, захожу как пользователь. Настраиваю полностью его среду, а это: заставка, рабочая схема, рисунок на рабочем столе, все иконки, нужные для работы, не нужные пункты меню из «ПУСК» убираю, а это типа «Администрирование», хоть и просто так она там висит, т.к. у юзера мало прав на изменение, но всё таки, не надо, чтобы и показывалось. Убираю сеть, настройка принтеров и подобные ярлычки (как).
5. Нужен ресурс «personal», где будут храниться папка + все файлы пользователей, у каждого пользователя своя папка, и доступ в неё будет иметь только он, и админ. В этом каталоге корневые папки такие: Lena, Yura, Masha, Grisha, Gena… т.е. каждого зарегистрированного пользователя в системе.
6. Для каждого пользователя надо сделать ярлычок на свою личную папку(ссылка ярлыка типа так \\server\personal$\lena) и на общую папку фирмы.
7. Копирую схему профиля (куда, как, как потом подключить на серваке и на клиенте).
8. Юзер может войти на сервере, поработать, так и на клиентах, поработать, но рабочий стол один. И доступ к свойствам экрана не имел.
9. Админ может менять шаблон рабочих столов у всех пользователей. Например, добавить иконку, или сменить картинку. А пользователи уже будут видеть нововведения, при след. загрузке.
10. От Server2000 отключаю и убираю вообще монитор (если это только в сетапе отключить, то тогда знаю), делаю софтом (каким) полное удаленное администрирование, отключаю на выходные со своего компа (как бы ещё узнать). А включение происходит просто включением питания.
В общем, это примерно то, что хотелось бы сделать, но чую, что уме не хватает. Сейчас сажусь за книгу AD, буду пытаться, делать.
Кто может помочь! Я бы в долгу не остался, ответе,
rec@ezmail.ru, за помощь могу прислать несколько дисков с софтом, который сам собирал (много и разного), много компонент для Delphi, или деньги переведу. Интересует весь ход действий, желательно полностью с скриншотами (http://www.techsmith.com, SnagIt 6.1.1, самая лучшая программа для изготовления скриншотов, выкачать можно здесь http://www.kirov.ru/~bck/temp/snagit_6.zip 5,5мег.), будь их хоть 100 и более. Для каждого шага по скриншоту. А так же потом на пару дней, в переписке, спросить нюансы. Можно сделать так, Вы делаете у себя тоже самое, ибо трудно так пересказать ход событий, я у себя. Рядом у меня стоит отдельный комп, по которому я могу разговаривать в ICQ. Отправная точка, это установленный W2S, AD, DNS. Вариантов много, напишите, отвечу всем, лишь бы «сдать в эксплуатацию» … Заранее благодарю, Юрий.
