Управление составом группы Active Directory с учетной записью неадминистратора в сервере 2008
Кроме того, iotop как предложено выше, Вам не включили LOG_ALL где-нибудь, не так ли?
Другие, вероятно, полезные подсказки:
- ищите каталоги, которые имеют самое большое количество файлов
- или это является просто ужасно большим в размере по сравнению с другими
- поиск проблем при свопинге: у Вас есть область подкачки? это включено? действительно ли Ваша память полна, и машина таким образом пытается подкачать к диску непрерывно?
- что, если Вы останавливаете некоторые процессы (как, дб). Поведение изменяется? Возможно, то, в чем Вы нуждаетесь, не должно контролировать процесс преступника, но вместо этого сделать некоторую оценку результатов деятельности на приложении (как, mysql) с соответствующими инструментами
- наконец.. Вы уверенный это не своего рода механизм входа брандмауэра из-за DoS-атаки?
Спасибо за вышеупомянутые предложения, это - то, как я закончил тем, что решил проблему.
Для ровного открытия консоли Active Directory Users и Computers MMC в Windows Server 2008 R2, пользователь должен в минимуме быть частью 'группы полномочий' операторов учетной записи.
Так, я разместил пользователя в группу и разместил ту группу в группу операторов учетной записи. Это позволило ему открывать консоль.
Для ограничения его, чтобы только управлять одной группой, в которой я нуждался, я вошел и конкретно добавил разрешение 'Отклонять-чтения' к любому OU в домене группе, в которой находится пользователь. Таким образом, когда пользователь открывает консоль ADU&C, единственной вещью, которую он видит, является один OU и одна Группа, что у него на самом деле есть административное управление.
Не точно самое изящное решение, но это работало.
На комментарии к этому вопросу Вы попытались, возможно, добавить пользователя к группе "Продвинутых пользователей"?
Кроме того, что происходит, если они просто говорят "Нет" при подсказке контроля учётных записей? Я ожидал бы, что MMC открывается правильно все еще; что не имеет место? Если это открывается все еще, Вы могли бы использовать TweakUAC для отключения подсказки.
Мое предположение - то, что выполнение ADUC понимает встроенное автоматическое правило расширения полномочий, или из того снимка - в или из mmc.exe в целом. Если бы ни одна из вышеупомянутых работ предложений, я попробовал бы вариации на выполнение инструмента: выполнение снимка - в .msc файле непосредственно, копирование .msc где-нибудь и затем выполнение это, и т.д.
Вы могли добавить managedby свойство к группе безопасности, учетная запись пользователя, кто, это имеет полномочия добавить/удалить пользователей от той определенной группы.
Добавьте пользователя в поле Разрешить локальный вход в политике контроллера домена по умолчанию.
Управление групповой политикой -> Политика контроллера домена по умолчанию
Изменить Конфигурация компьютера / Политики / Параметры Windows / Параметры безопасности / Локальные политики / Назначение прав пользователя / Разрешить локальный вход в систему
После выполнения gpupdate в командной строке войдите в DC с этой учетной записью и введите учетные данные пользователя. Теперь ваше требование будет выполнено.