Toon posts:

[XP/2003] Gebruikers mogen tijd niet wijzigen

Pagina: 1
Acties:
  • 210 views sinds 30-01-2008
  • Reageer

maandag 31 januari 2005 15:03

Acties:
  • ProCal
  • Registratie: Juni 2001
  • Laatst online: 31-08-2023

ProCal

Topicstarter
Ik heb een Windows 2003 domeincontroller en Windows XP clients. Als ik met een useraccount op het domein aanmeld (op de XP client), dan gaat dat allemaal goed. Roaming profiles enzo, geen enkel probleem.

Waar ik echter tegenaanloop is dat een gewone user bijvoorbeeld de systeemtijd niet mag wijzigen. Ook is het verboden om eigenschappen van de netwerkkaart te veranderen, waarschijnlijk zijn er nog meer zaken die niet veranderd mogen worden.

Ik heb met de default domain policy al allerlei zaken aangepast, bovenstaande dingen kan ik echter nergens terugvinden. Als ik de user admin rechten geef, kan hij/zij uiteraard wel de systeemtijd enzo wijzigen. Ik heb gewoon voor de OU "gebruikers" een policy aangemaakt, waar inheritance prohibited is..

Dit kan toch niet de bedoeling zijn neem ik aan? Kan iemand mij vertellen hoe ik kan aanpassen dat een gewone user OOK de systeemtijd en netwerkeigenschappen kan veranderen?

maandag 31 januari 2005 15:08

Acties:
  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 18:05

djluc

Maak een aantal groepen en stel daar policies op in. Default domain dus niet aanpassen alleen voor instellingen die echt altijd gelden.

[ Voor 45% gewijzigd door djluc op 31-01-2005 15:08 ]

maandag 31 januari 2005 15:08

Acties:

Verwijderd

Als het goed is staat deze dingen gewoon onder een template. Goed zoeken dus.

maandag 31 januari 2005 15:11

Acties:
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 19:21

Dennis

Ik vermoed eerder dat deze instellingen bij de local computer policy staan, op elke computer afzonderlijk dus.

maandag 31 januari 2005 15:13

Acties:
  • ProCal
  • Registratie: Juni 2001
  • Laatst online: 31-08-2023

ProCal

Topicstarter
djluc schreef op maandag 31 januari 2005 @ 15:08:
Maak een aantal groepen en stel daar policies op in. Default domain dus niet aanpassen alleen voor instellingen die echt altijd gelden.
Ik heb 1 groep gemaakt (het is voor een simpele thuissituatie en om 2k3 meer onder de knie te krijgen, niet in een bedrijf dus). De groep heet gebruikers. Daar heb ik een nieuwe policy aangemaakt (aan de hand van http://gathering.tweakers...23334///roaming%2Cprofile

In DIE policy ben ik nu dus ook alles aan het aanpassen vwb. classic look, windows update en al dat soort zaken meer. Hier kan ik dus NIETS vinden over die TCP/IP instellingen of systeemtijd. Wat er wel staat is bijvoorbeeld: Allow users to rename a networkconnection. Dat heb ik dan enabled. Maar in dat rijtje staat niets over bijvoorbeeld het veranderen van het IP adres. Wat nu dus verboden is voor een user. Systeemtijdinstellingen staan ook niet in die policy...
Sanniejj schreef:
Als het goed is staat deze dingen gewoon onder een template. Goed zoeken dus.
Jij bedoelt in diezelfde policy?.. Ik kan het niet vinden. Kun je me misschien op weg helpen? Zelfs in mijn boek Windows 2000 server staat het niet.. (of ik zoek verkeerd)..

edit:
Dennis schreef:
Ik vermoed eerder dat deze instellingen bij de local computer policy staan, op elke computer afzonderlijk dus.
Bedoel je dat ik op iedere PC afzonderlijk deze instellingen moet wijzigen? Ik hoop dat ik je verkeerd begrijp? :?

Zou wat zijn in een bedrijf met 500 computers :D

edit2: wacht.. ik zie al wat je bedoelt denk ik. Je hebt het over de Group Policy? Daar staat inderdaad een kopje "Local Computer Policy". (Kopje dat ik niet heb in mijn eigen gemaakte policy"

[ Voor 18% gewijzigd door ProCal op 31-01-2005 15:17 ]

maandag 31 januari 2005 15:16

Acties:

Verwijderd

Start > Settings > Administrative Tools > Local Security Policy

Local Policy's > Users Rights Assignments >

Change The systemtime.

Daar kan je het aanpassen.

maandag 31 januari 2005 15:19

Acties:
  • ProCal
  • Registratie: Juni 2001
  • Laatst online: 31-08-2023

ProCal

Topicstarter
Verwijderd schreef op maandag 31 januari 2005 @ 15:16:
Start > Settings > Administrative Tools > Local Security Policy

Local Policy's > Users Rights Assignments >

Change The systemtime.

Daar kan je het aanpassen.
Aahh... ik heb het gevonden (niet helemaal zoals jij zei: >> start > programs > administrative tools > domain controller security policy)

Ik ga er vanuit dat dit het is. FF kijken en dan laat ik het weten. In ieder geval bedankt :Y)

edit:

Hmm.. dit lukt nog steeds niet.
Systeemfout 1314.

Een van de vereiste bevoegdheden is niet toegekend aan de client.
Maar waarschijnlijk heb ik een conflicterende setting ergens in een andere policy. Zoiets vermoed ik tenminste. Ik ga wel ff kijken hoe en wat, ik weet nu tenminste waar ik moet zoeken.

Bedankt voor de info!

[ Voor 30% gewijzigd door ProCal op 31-01-2005 15:41 ]

maandag 31 januari 2005 15:42

Acties:
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 19:21

Dennis

Jij kijkt op de server, nogmaals, je moet het op de clients aanpassen zoals ik al zei :). Voor 500 pc's zou ik je aanraden daar een script voor te maken.

maandag 31 januari 2005 17:29

Acties:
  • ProCal
  • Registratie: Juni 2001
  • Laatst online: 31-08-2023

ProCal

Topicstarter
Dennis schreef op maandag 31 januari 2005 @ 15:42:
Jij kijkt op de server, nogmaals, je moet het op de clients aanpassen zoals ik al zei :). Voor 500 pc's zou ik je aanraden daar een script voor te maken.
Wtf... oke.. wel raar zeg, dat dat dan niet via een policy kan.
Maar goed, het gaat hier maar om 11 clients dus dat is te doen. Enneh... voor die eigenschappen van de netwerkverbinding geldt dan hetzelfde neem ik aan.

Bedankt voor je info

maandag 31 januari 2005 17:36

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 19:57

Rolfie

Waarom zou je de tijd willen aanpassen op een werkstation? Van uitgaande dat de machines lid zijn van een domain, dan heb je altijd al tijdssyncorinisatie er in zitten. De tijd wordt netjes overgenomen van de DC? Ik zie dus niet het nut in dat de gebruikers de tijd mogen aanpassen.

maandag 31 januari 2005 17:43

Acties:
  • ProCal
  • Registratie: Juni 2001
  • Laatst online: 31-08-2023

ProCal

Topicstarter
Rolfie schreef op maandag 31 januari 2005 @ 17:36:
Waarom zou je de tijd willen aanpassen op een werkstation? Van uitgaande dat de machines lid zijn van een domain, dan heb je altijd al tijdssyncorinisatie er in zitten. De tijd wordt netjes overgenomen van de DC? Ik zie dus niet het nut in dat de gebruikers de tijd mogen aanpassen.
Op de eerste plaats dit:
Systeemfout 1314.

Een van de vereiste bevoegdheden is niet toegekend aan de client.
Als in het aanmeldscript wordt uitgevoerd:
code:
1

net time \\win2k3 /set /yes


En daarbij: het is in een gewone thuissituatie, ik wil dus niet ALLES dichtzetten. Anders wordt mn vader gek :)

maandag 31 januari 2005 18:11

Acties:

Verwijderd

heb je wel een domain controller? als je die hebt zou ik maar niet gaan kutten met user de system tijd te laten aanpassen, dat kan grote problemen overleveren!
sync je dc (pdc emulator) met een ntp server op internet en de clientpc's zullen ook goed staan kwa tijd. (net time /setsntp ; net time /querysntp om te zien dat tie dat al doet met een ms time server)

edit: een net time commando hoef je niet uit te voeren! zorg dat je "Windows time" service is gestart!

[ Voor 14% gewijzigd door Verwijderd op 31-01-2005 18:13 ]

maandag 31 januari 2005 18:36

Acties:
  • ProCal
  • Registratie: Juni 2001
  • Laatst online: 31-08-2023

ProCal

Topicstarter
Verwijderd schreef op maandag 31 januari 2005 @ 18:11:
heb je wel een domain controller? als je die hebt zou ik maar niet gaan kutten met user de system tijd te laten aanpassen, dat kan grote problemen overleveren!
sync je dc (pdc emulator) met een ntp server op internet en de clientpc's zullen ook goed staan kwa tijd. (net time /setsntp ; net time /querysntp om te zien dat tie dat al doet met een ms time server)

edit: een net time commando hoef je niet uit te voeren! zorg dat je "Windows time" service is gestart!
Ja, het is een domain controller met AD en al. DC wordt reeds gesynced met time.windows.com; in het loginscript kan ik
code:
1

net time \\win2k3 /set /yes
dus verwijderen? Deed ik ook met NT4 altijd.

Kan ik het volgende doen dan? (in het loginscript):
code:
1
2
3
4
5
6
7
8

S:\>net time /setsntp:win2k3
De opdracht is voltooid.


S:\>net time /querysntp
De huidige SNTP-waarde is: win2k3

De opdracht is voltooid.


Als dit ook goed werkt dan ben ik klaar. Wat ik me alleen afvraag (gewoon ter info) waarom kan het problemen opleveren als users de tijd aanpassen en welke problemen?

Voor wat betreft die netwerkinstellingen: heb je evt. nog een tip? (aanpassen van IP adres is nu verboden tenzij ik de user ook onderdeel laat uitmaken van Domain Admins. En da's niet de bedoeling :)

[ Voor 2% gewijzigd door ProCal op 31-01-2005 18:39 . Reden: typo ]

maandag 31 januari 2005 18:45

Acties:
  • Gunner
  • Registratie: Oktober 1999
  • Niet online

Gunner

Invincibles

ProCal schreef op maandag 31 januari 2005 @ 17:43:
En daarbij: het is in een gewone thuissituatie, ik wil dus niet ALLES dichtzetten. Anders wordt mn vader gek :)
Je vader? Waarom mag die dan geen local admin zijn? Als het zijn eigen machine is zou ik dat wel raar vinden

[ Voor 10% gewijzigd door Gunner op 31-01-2005 18:46 ]

Still warm the blood that courses through my veins. | PvOutput | ARSENAL FC

maandag 31 januari 2005 18:48

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

ProCal schreef op maandag 31 januari 2005 @ 18:36:
Kan ik het volgende doen dan? (in het loginscript):
code:
1

S:\>net time /setsntp:win2k3
Niet nodig.

2000/XP clients nemen dit onderhuids over van de DC (als daar w32time op loopt tenminste).
Wat ik me alleen afvraag (gewoon ter info) waarom kan het problemen opleveren als users de tijd aanpassen en welke problemen?
Kerberos werkt op basis van tijd.
Laat je een Joe User aan de klok (of erger: datum) zitten krijg je client <> server conncetivity problemen of machine-accounts die geblokkeerd worden.
Voor wat betreft die netwerkinstellingen: heb je evt. nog een tip? (aanpassen van IP adres is nu verboden tenzij ik de user ook onderdeel laat uitmaken van Domain Admins. En da's niet de bedoeling :)
Kijk je GPO's dan ook eens goed door, staat daar wel degelijk in. Ram er desnoods een aangepaste template tegenaan.
Maar goed.
Als jij Joe User een andere (niet -DC) DNS server wil laten invoeren moet je niet raar staan te kijken als ie bij jou komt janken dat zn login zo f*** traag is.

[ Voor 4% gewijzigd door alt-92 op 31-01-2005 19:01 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 31 januari 2005 18:50

Acties:
  • ProCal
  • Registratie: Juni 2001
  • Laatst online: 31-08-2023

ProCal

Topicstarter
Gunner schreef op maandag 31 januari 2005 @ 18:45:
[...]

Je vader? Waarom mag die dan geen local admin zijn? Als het zijn eigen machine is zou ik dat wel raar vinden
Lol..
Oke.. ik zal het uitleggen. Ik heb hier thuis meerdere machines staan met mp3, video's, etc.

Wat ik wil doen is dat iedere gebruiker zich op elke pc kan aanmelden en dan zijn eigen instellingen, emails etc. behoudt. Roaming profiles dus. Dat gaat allemaal goed. Wat ik ook wil is dat de tijd van de werkstations automatisch gesynchroniseerd wordt met die van de server. Dat gaat dus kennelijk al vanzelf, met " net time \\win2k3 /set /yes " lukt dat dus niet als de gebruiker een gewone user is. Verder moet het zo zijn dat er automatisch netwerkstations worden gemount. Dat gaat ook goed.

Als m'n vader local admin is dan logt ie dus lokaal in (ik neem aan dat je dat bedoelt) en kan ik ook geen backups maken van zijn bestanden (die dus niet automatisch worden gesynchroniseerd met de server op dat moment).

Het probleem blijft dus.

maandag 31 januari 2005 18:52

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

ProCal schreef op maandag 31 januari 2005 @ 18:50:

Als m'n vader local admin is dan logt ie dus lokaal in (ik neem aan dat je dat bedoelt)
Nee, Local Admin betekent op die machine in de Administrators group staan qua rechten.

Dat kan dus ook met een roaming profile.

Betekent dus ook dat ie (onbewust) dingen kan slopen.


Verder kan je natuurlijk altijd per "taak" (zeg: een HTPC computer-account en de bijbehorende limited user) een OU nemen en daar specifieke policies/ scripts op toepassen ;)

[ Voor 8% gewijzigd door alt-92 op 31-01-2005 18:53 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 31 januari 2005 19:08

Acties:

Verwijderd

code:
1
2
3
4
5
6
7
8

S:\>net time /setsntp:win2k3
De opdracht is voltooid.


S:\>net time /querysntp
De huidige SNTP-waarde is: win2k3

De opdracht is voltooid.
via loginscript syncen behoort tot de prehistorie :). doe maar eens querysntp op een client die je net in het domain hebt gehangen en check je eventlog voor w32time entries
Zoals al iemand opmerkte is het voor kerberos (authenticatie) van essentieel belang dat de tijd van servers en clients niet teveel afwijkt, vandaar dat er een windows time service is.

standaard syncen alle clients in het domain met een dc (dc's syncen weer met de pdc emulator), binnen een site is je afwijking dan max 2 seconden en daar zal je vader toch wel mee kunnen leven, niet? sync je je pdc emulator ook nog met een ntp server (bijv de ms server) dan heb je de exacte tijd op 2 secs na

maandag 31 januari 2005 20:06

Acties:
  • ProCal
  • Registratie: Juni 2001
  • Laatst online: 31-08-2023

ProCal

Topicstarter
Oke, het probleem voor wat betreft de tijd veranderen is me nu duidelijk, daar mogen ze dan gewoon niet aanzitten. Over dat automatisch syncen van de tijd wist ik niet. Met NT4 liet ik dat altijd dmv. het login script doen.

Voor die netwerkverbindingen ga ik nog wel ff naar zoeken, het is natuurlijk logisch dat als men een andere DNS invult dat het inloggen traag of misschien helemaal niet gaat.

Wellicht laat ik dat ook zo staan. Ik heb in ieder geval weer een hoop bijgeleerd. Bedankt voor alle reacties in ieder geval!
Pagina: 1
Reageer