Posso dar permissões de acesso a grupos locais de domínio a um perfil (Windows 2003 R2 SP2 / XP)?

1

Estou com problemas para conceder permissões de grupo local de domínio a um perfil de usuário obrigatório no Windows Server 2003 R2 SP2 e no Windows XP SP3.

Eu criei um grupo global chamado Sales e coloque John e Mary nesse grupo. Em seguida, criei um grupo local de domínio chamado Sales Local e coloquei o grupo Sales nele. Eu quero que John e Mary usem o mesmo perfil obrigatório.

Eu efetuei login como Administrador e fui copiar o perfil para a pasta apropriada \ server01 \ profiles \ sales e também atribuir as permissões do Local de Vendas do Grupo Local de Domínio para usar o perfil.

Inseri o caminho apropriado para o novo local do perfil e, em seguida, cliquei em Alterar em Permitido para uso e selecionei o grupo Local de vendas local do domínio (Observação: precisei clicar em Tipos de objeto e marcar Grupos para fazer isso). / p>

No lado do servidor, renomei ntuser.dat para ntuser.man e tentei fazer login como John.

O problema é que John não vê todo o perfil. Por exemplo, ele verá um arquivo de texto que coloquei na área de trabalho, mas não vê o ícone da pasta Meus documentos que adicionei à área de trabalho. Além disso, se você acessar as propriedades "Desktop- >", verá apenas uma tela preta em vez de uma seleção de temas e, se tentar adicionar uma pasta Meus Documentos à área de trabalho, receberá uma mensagem de erro indicando que o estilo visual não pôde ser definido.

Nenhum desses problemas existe se eu fizer um grupo Global de Vendas , mas achei que com o AG-DL-P não era "melhor prática" dar permissões de recursos com base em um grupo Global . Além disso, por que preciso dar um passo extra de verificação de "Grupos" para dar permissões de grupo a um perfil? Eu vi um artigo "howto" que mencionava o acesso "BUILTIN \ Users" ao perfil obrigatório. Isso não parece muito seguro.

O que estou perdendo? Isso é um erro de configuração da minha parte? Uma limitação conhecida?

    
por Adam Brand 26.07.2009 / 22:44

1 resposta

1

Aqui está um resumo do que eu fiz:

  • Gerou um padrão W2K3 R2. Edição x86 SP2 VM com um domínio do Active Directory.

  • Criada uma pasta compartilhada "Perfis" na VM do servidor. Compartilhado com permissões de compartilhamento "Todos / Controle total" e defina o NTFS como "Administradores - Controle total", "SISTEMA - Controle total" e "Usuários autenticados - Ler e executar - Somente esta pasta".

  • Criamos uma subpasta "Vendas" da pasta "Perfis".

  • Criado um grupo local de domínio chamado "Vendas (local)" e um grupo global chamado "Vendas (global)".

  • Criadas duas contas de usuário - "João" e "Maria". Deixaram intacta a associação ao grupo padrão "Usuários do domínio" e os adicionaram como membros ao grupo "Vendas (global)".

  • Conectado a uma VM do Windows XP Professional Service Pack 3 como "joão" e criou um novo perfil local. Defina a cor da área de trabalho para vermelho (para indicação visual rápida do carregamento desse perfil) e faça logoff.

  • Registrado na máquina WinXP como a conta de Administrador do domínio e usada a funcionalidade "Perfis de usuário" nas propriedades de "Meu computador" para copiar o perfil de usuário "john" recém-criado no "Profiles" compartilhar no computador servidor, concedendo "Vendas (local)" a permissão "Permitido usar".

  • De volta ao computador do servidor, modifiquei a segurança da subpasta "Vendas" da pasta "Perfis" para herdar a permissão da pasta pai e adicionei "Vendas (local) - Ler e executar". Eu apliquei novamente essa permissão a todas as subpastas.

  • Eu renomeiei o arquivo "NTUSER.DAT" na pasta "\ Profiles \ Sales" para "NTUSER.MAN".

  • Eu modifiquei as propriedades das contas de usuário "John" e "Mary" para especificar um perfil de usuário móvel em "\ SERVER \ Profiles \ Sales".

  • Eu fiz logon na máquina com Windows XP como "Mary" (que nunca havia feito logon anteriormente) e verifiquei que recebi o plano de fundo da área de trabalho vermelha. Eu modifiquei a cor do plano de fundo da área de trabalho, fiz logoff, fiz logon novamente e verifiquei se a cor vermelha da área de trabalho persistia (o que significava que o perfil de usuário obrigatório estava sendo aplicado).

  • Eu fiz o login como "João" e executei as mesmas etapas de verificação de "Maria".

Tudo funcionou como eu esperava, especificando "Sales (Local)" em todas as permissões. Não sei o que pode ser diferente sobre o que você fez. O que você vê que eu fiz diferente?

    
por 27.07.2009 / 22:09