Домен, AD, Win 2003SP2
Господа, проблема в следующем:
Пользователь домена авторизуется на станции и работает с программной установленной на диске C.
При попытке этой программы сделать какие-либо изменения на диске, выходит отлуп в виде отказа в доступе.
Это справедливо для всех файлов, кроме содержимого папок пользователя (рабочий стол, мои документы и пр.)
Конечно можно продублировать пользователя локально в учетных записях и дать ему права локального админа (возможно и другие права результат дают, но пока не проверял)
Но как их ему назначить не прибегая к этому методу. Весь в домен может быть включены сотни компов и сотни пользователей и не очень бы хотелось устанавливать [сотни х сотни] учетных записей.

Есть мысли?
P.S. Нужной темы, увы, не нашел. Буду благодарен за ссылки.
P.P.S. Если знаете как это сделать через групповые политики, укажите ветку. Я так и не смог ее найти.

bga83tamerlan00,
ты вообще в курсе какой именно и куда нужен доступ твоей программе? Если есть четкий перечень ресурсов и прав, то все это можно запихнуть в скрипт, который через GPO повесить на логон пользователя.

Да, программа известна. Также есть несколько других программ, которые пользователь будет периодически запускать во время сеанса.

bga83Если будешь все же давать права локального админа, то я не понял при чем тут дублирование пользователя в локальных учетках, раз у тебя домен. В этом случае проще воспользоваться через GPO такой фишкой как Restricted Groups
Извини, немного неверно выразился. Сейчас пользователи домена никакими администраторами не являются. Я знаю, что приложения работают, если на локальной станции добавить доменную учетку пользователя с правами админа. Но это ж по всем компам шариться надо, что для лентяя не очень.

В идеале, хотелось бы, чтобы некоторые приложения, запускаемые доменным пользователем, получали права локального администратора (вообще-то просто нужны права на изменение файлов настроек, реестра и т.п.).

За ссылку спасибо, метод понял. Надеюсь будут решения через GPO. Help!

Khod,

Извини, но мне нужна помощь. Когда будет найдено решение я сообщу модератору, чтобы ее удалили тему, в которой это решение не содержится.

Кстати есть варианты через GPO. (+ пример скрипта, если он понадобится)

bga83tamerlan00,

ты вообще в курсе какой именно и куда нужен доступ твоей программе? Если есть четкий перечень ресурсов и прав, то все это можно запихнуть в скрипт, который через GPO повесить на логон пользователя.


Помоги если можешь. Как это сделать? Я не знаком с языком Visual Basic Scripting Edition, равно как и с JScript.
*.bat файлы дело понятное, но я не знаю можно ли их там использовать для WinXP, и, если да, то как там права назначать.

Благодарен буду за ссылку на полезную статейку по этому поводу или за кусок кода, который определяет права пользователя на некоторые ресурсы системы (папки, файлы)

bga83так и используй bat-файлы. NTFS-права раздаются через cacls
О! А вот за команду спасибо! Никогда не пользовался такой. Буду изучать.
Кстати, на будущее хотел узнать, если данная команда работает с NTFS-правами, то что делать в случае с FAT32. Или у доменных пользователей на таких системах будет все в порядке. К сожалению, нет под рукой такой системы чтобы проверить.

bga83в фате не было ограничений по правам доступа
KhodСистемы нет - проблемы нет.
Спасибо за инфу. Будут проблемы Обращусь еще =)

bga83в фате не было ограничений по правам доступа
KhodСистемы нет - проблемы нет.
Люди, спасибо Вам за помощь. Задачу я решил, добавив в логон строку вида
cacls "c:\Program Files\прога" /T /E /G "Домен\Пользователи домена":F
Но, как это и бывает, появилась новая задача. В папке приложения находится свыше 2000 файлов. Естественно запускать calcs при каждом старте логоне пользователя привете к существенному снижению производительности в начале работы, тем более что парк техники, на котором работают пользователи, далеко не новый.
Есть ли возможность проверить входит ли группа пользователей "Домен\Пользователи домена" в список объектов, которым выданы разрешения на данную папку. Думаю достаточно будет проверить права на папку, не заморачиваясь над правами содержимого папки.

Я немного покопал cacls.
Команда cacls "c:\Program Files\прога" выводит группы и пользователей с разрешениями на объект. Как опросить этой командой относительного одного пользователя или группы я не нашел.
Может есть cmd-команда, которая позволяет в результирующей строке найти заданного пользователя(группу)?

Help!

bga83findstr
Спасибо. Немного поколдовал с этими командами и сделал, то что хотел


Теперь то что надо. Спасибо огромное Вам за помощь! Нет теперь нужды в админских правах рядовым пользователям и права на нужные проги даются единожды на станции