Помогите с настройкой прав доступа на KSC

[GlooM]

Здравствуйте!

Есть сервер администрирования KSC-13 в котором на данный момент настроены полные права для доменной группы "Администраторы домена". Пользователи, находящиеся в данной группе успешно подключаются и работают с полным функционалом KSC при помощи консолей администрирования. Появилась следующая задача: одному из доменных пользователей  необходимо дать так же возможность использовать оснастку администрирования, но со строго ограниченными правами - единственное, что ему должно позволяться - подключаться к RDP-сеансу определенных машин, которые перемещены в соответствующую группу.

Подскажите, каким образом правильно расставить права безопасности на данную группу (у нее предварительно отключили наследование безопасности), и, если это требуется - в глобальных свойствах сервера администрирования. В идеале, если так можно - чтобы он вообще не видел иерархию групп и компы, которые лежат в других ("неразрешенных" для него группах). На данный момент, если я даю только права "разрешение на RDP-сеанс" для соответствующей группы, а глобально в сервере администрирования не даю юзеру никаких прав, то не удается даже подключиться консолью к KSC.

[GlooM]

С проблемой удалось разобраться самому, правда, в некоторой степени получилось костыльно.

Может кому пригодится - выкладываю рецепт.

1) В свойствах сервера администрирования -> "Безопасность" добавляем нужного нам "ограниченного" пользователя.

2) Снимаем у него все права, кроме "Общий функционал" -> "Базовая функциональность" -> Чтение.

3) Создаем требуемую группу, кладем в нее нужные компы, до которых надо обеспечить доступ "ограниченному пользователю".

4) У !ВСЕХ! групп в свойствах безопасности отключаем наследование!

5) У всех групп, кроме нужной, из свойств безопасности удаляем "ограниченного пользователя".

6) У "нужной" группы для "ограниченного пользователя" ставим права "Общий функционал" -> "Базовая функциональность" -> Чтение и "Управление системой" -> "Подключения" -> Запуск RDP-сессий + Подключение к существующей сессии.

В итоге, "ограниченный пользователь" подключается к консоли администрирования и в иерархии групп видит только ту, что ему предоставили. Остальное дерево групп с начинкой полностью скрыто.

Минусы - отключено наследование у всех групп. Соответственно, при добавлении дополнительных прав доступа, которые нужно будет распространить на все группы, придется эти права задавать вручную каждой группе. Если "базовую функциональность" не дать в свойствах сервера администрирования, то пользователь просто не сможет подключиться консолью администрирования к серверу. Если же эти права "пронаследовать" на все группы - то пользователь увидит все дерево иерархии групп.