[2003] LocalAdmins rechten geven voor installaties (.exe) - Serversoftware en clouddiensten

zaterdag 14 januari 2006 20:56

Acties:

Broodje Bakpao Helmond

Topicstarter

Beste,

Ik heb in een Thuis netwerk een Windows 2003 server draaien met de volgende services:
- AD
- DHCP
- DNS
- IIS
- SUS
- FILE
- PRINT

Ik heb intotaal momenteel 4 clients aan het netwerk hangen (PC01-PC04), deze hangen aan het domein hmd1.startcool.nl aka STARTCOOL.

Dit domein draait stabiel, rechten ingesteld. LocalMembers (Users) kunnen:
- Niets installeren
- Niet in de user-shares (userfiles) van overige users bladeren.

LocalAdmins ("Administrators") kunnen:
- Als goed is alles installeren/aanpassen/verwijderen
- Overal in het netwerk binnen, shares remote aanpassen.

Ik zit momenteel alleen nog met een probleem, ik heb ook een groep LocalAdmins, vergelijkbaar met Administrators. Ik noem die groep LocalAdmins om onderscheid te maken tussen LocalAdmins (2 users) en Administrators (Netwerk administrator, die ook op de 2003 server kan inloggen). Ik zit met een probleem dat LocalAdmins géén rechten hebben op de clients om pakketten/updates te kunnen installeren.

Ik wil de gebruikers Remy (ik zelf) en Raymond (maat van me) de rechten geven om te kunnen installeren. Omdat dat regelmatig nodig is, om o.a. test-applicaties te kunnen installeren. Om de reactie 'Onveilig' voor te zijn, ik draai van iedere Cliënt na installatie een ghost backup, die via Ghost Enterprise over het netwerk gepompt kan worden van de cliént (Pull/Push).

Ik heb verschillende dingen geprobeerd, en heb nog eens de Policy (LocalAdmins) door gekeken, maar kom er nog steeds niet uit. Ik zou zo niet weten waar ik deze policy zou moeten kunnen instellen.

Ik heb per user-groep een policy aangemaakt:
- LocalAdmins: Hmd1.StartCool.NL-LocalAdmins
- LocalMembers: Hmd1.StartCool.NL-LocalMembers

Ik hoop dat iemand mij hiermee kan helpen.

Alvast bedankt!

Remy!

--
Heb Win2003 draaien omdat ik me ook daar veel meer in wil kunnen verdiepen, en aangezien m'n opleiding in de ICT is, is dat altijd handig om m'n opleiding stuk voor te blijven. Doe niv. 3 maar dit is eigenlijk niv. 4 stof.

-

[ Voor 5% gewijzigd door remy007 op 14-01-2006 20:58 ]

* V&A Advertenties * Systemen: Inventaris

zaterdag 14 januari 2006 21:49

Acties:

RedHead

Wat wil je nu eigenlijk?
- Een user met eigenlijk domain admin rechten die niet op een console van de server mag inloggen
of
- Een user die install rechten moet hebben

zaterdag 14 januari 2006 22:41

Acties:

Duinkonijn

Huh?

mm volgens mij is het meest simpele.

om een groep in je AD te maken.. deze lid maken van alle 4 localadmins van de pc.

en de 2 gebruikers weer lid maken van je AD groep.

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

zaterdag 14 januari 2006 22:50

Acties:

sanfranjake

Computers can do that?

Waar zijn al die groepen nu precies lid van op de lokale werkstations en in het domein? Heb je een policy met restricted groups gemaakt? Hoe staat het daar precies in? Op welke OU wordt die toegepast? Welke rechtengroepen hebben daar read/security filtering op?
Vermeld ook nog even overige relevante informatie. De door jou aangemaakte groepen zeggen ons niet zo veel

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 16 januari 2006 10:49

Acties:

remy007

Broodje Bakpao Helmond

Topicstarter

sanfranjake schreef op zaterdag 14 januari 2006 @ 22:50:
Waar zijn al die groepen nu precies lid van op de lokale werkstations en in het domein? Heb je een policy met restricted groups gemaakt? Hoe staat het daar precies in? Op welke OU wordt die toegepast? Welke rechtengroepen hebben daar read/security filtering op?
Vermeld ook nog even overige relevante informatie. De door jou aangemaakte groepen zeggen ons niet zo veel

LocalMembers: Personen die gewoon rechten hebben om in te loggen, en verder géén aanpassingen aan het systeem mogen doen (tenzij uitdrukkelijk toegestaan door administrator).
LocalAdmins: Personen die alle rechten dienen te hebben op iedere pc waar ze inloggen.

De groepen staan op de Win2003 server, als user lid... zou dit het probleem kunnen veroorzaken? Dus dat LocalAdmins lid zou moeten worden van Administrators i.p.v. Users. Zodat deze de rechten van Administrators overgenomen krijgen.

* V&A Advertenties * Systemen: Inventaris

maandag 16 januari 2006 11:05

Acties:

Duinkonijn

Huh?

remy007 schreef op maandag 16 januari 2006 @ 10:49:
[...]

De groepen staan op de Win2003 server, als user lid... zou dit het probleem kunnen veroorzaken? Dus dat LocalAdmins lid zou moeten worden van Administrators i.p.v. Users. Zodat deze de rechten van Administrators overgenomen krijgen.

nee... want dan worden ze domain admins.

dan kunnen ze alles beheren incl je server.
dit al geprobeerd? --> Duinkonijn in "[2003] LocalAdmins rechten geven voor in..."

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

maandag 16 januari 2006 11:09

Acties:

JackBol

Security is not an option!

remy007 schreef op zaterdag 14 januari 2006 @ 20:56:
Ik zit momenteel alleen nog met een probleem, ik heb ook een groep LocalAdmins, vergelijkbaar met Administrators. Ik noem die groep LocalAdmins om onderscheid te maken tussen LocalAdmins (2 users) en Administrators (Netwerk administrator, die ook op de 2003 server kan inloggen). Ik zit met een probleem dat LocalAdmins géén rechten hebben op de clients om pakketten/updates te kunnen installeren.

Je maakt hier een klein foutje. Microsoft heeft namelijk zelf al een scheiding gemaakt tussen 'lokale administrators' en 'netwerkadministrators'.

de groep 'Administrators' zijn lokale admin, terwijl de groep 'Domain Admins' netwerk admins zijn. Als je deze scheiding aan houdt, hoeft je nu ook niet met rare rechten te gaan kriegelen...

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

maandag 16 januari 2006 11:26

Acties:

Verwijderd

Dirk-Jan schreef op maandag 16 januari 2006 @ 11:09:
[...]

Je maakt hier een klein foutje. Microsoft heeft namelijk zelf al een scheiding gemaakt tussen 'lokale administrators' en 'netwerkadministrators'.

de groep 'Administrators' zijn lokale admin, terwijl de groep 'Domain Admins' netwerk admins zijn. Als je deze scheiding aan houdt, hoeft je nu ook niet met rare rechten te gaan kriegelen...

administrators op win2k3 domain controllers hebben dezelfde rechten als domain admins (ze kunnen zichzelf toevoegen aan de domain admins en andere admin groepen).

wat de ts moet doen die de domain groep "localadmins" toevoegen aan de lokale administrator groepen van de pc's. Handmatig of via een policy...

maandag 16 januari 2006 11:32

Acties:

CodeCaster

Stop AI Slop

Verwijderd schreef op maandag 16 januari 2006 @ 11:26:
[...]

administrators op win2k3 domain controllers hebben dezelfde rechten als domain admins (ze kunnen zichzelf toevoegen aan de domain admins en andere admin groepen).

wat de ts moet doen die de domain groep "localadmins" toevoegen aan de lokale administrator groepen van de pc's. Handmatig of via een policy...

TS wil volgens mij 2 mensen op iedere PC (dus _niet_ op de server) Admin rechten geven. Dan kun je uiteraard niet jezelf lid maken op de DC.

Dat is toch iets anders dan jij bedoelt lijkt me.

Maar zoals eerder al geopperd, gewoon bij Gebruikers op de PC's die personen toevoegen als Administrator should do the trick.

Afbeeldingslocatie: http://img42.imageshack.us/img42/849/computerrechten4oo.jpg

Dus, klik op iedere PC in dit scherm op toevoegen, voer gebruikersnaam en domein in, en voeg ze toe als Administrator.

[ Voor 26% gewijzigd door CodeCaster op 16-01-2006 11:38 ]

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

maandag 16 januari 2006 12:16

Acties:

Duinkonijn

Huh?

nadeel van jouw methode is dat je niet flexibel bent in je beheerders te beheren.

Op je server:
Afbeeldingslocatie: http://tweakers.net/ext/f/4f84e6e78caef377f5ae4218f21c3cd3/full.jpg

Afbeeldingslocatie: http://tweakers.net/ext/f/4f84e6e78caef377f5ae4218f21c3cd3/full.jpg

Afbeeldingslocatie: http://tweakers.net/ext/f/17d74885a7e2f92359d131994860f544/full.jpg

Afbeeldingslocatie: http://tweakers.net/ext/f/6ffb947004acaeaed1b359d615c8aa00/full.jpg

Op je clients

Afbeeldingslocatie: http://tweakers.net/ext/f/d33e257ee27311588ef7f4f636520c1d/full.jpg

Afbeeldingslocatie: http://tweakers.net/ext/f/7575490b2b5ceb447db5b648af261ef0/full.jpg

Afbeeldingslocatie: http://tweakers.net/ext/f/29807aa5e7b8e462aae3229e8a898941/full.jpg

Afbeeldingslocatie: http://tweakers.net/ext/f/73b311831d82d75da38d67fd149a2b39/full.jpg

[ Voor 81% gewijzigd door Duinkonijn op 16-01-2006 12:26 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

maandag 16 januari 2006 13:14

Acties:

remy007

Broodje Bakpao Helmond

Topicstarter

CodeCaster schreef op maandag 16 januari 2006 @ 11:32:
[...]

TS wil volgens mij 2 mensen op iedere PC (dus _niet_ op de server) Admin rechten geven. Dan kun je uiteraard niet jezelf lid maken op de DC.

Dat is toch iets anders dan jij bedoelt lijkt me.

Maar zoals eerder al geopperd, gewoon bij Gebruikers op de PC's die personen toevoegen als Administrator should do the trick.

[afbeelding]

Dus, klik op iedere PC in dit scherm op toevoegen, voer gebruikersnaam en domein in, en voeg ze toe als Administrator.

Dit werkt idd, getest op vmware + win2000 sp4, ik denk dat ik het dan zo maar ga doen...

* V&A Advertenties * Systemen: Inventaris

maandag 16 januari 2006 13:22

Acties:

CodeCaster

Stop AI Slop

Duinkonijn schreef op maandag 16 januari 2006 @ 12:16:
nadeel van jouw methode is dat je niet flexibel bent in je beheerders te beheren.

Op je server:
[afbeelding]
[afbeelding]
[afbeelding]

Op je clients

[afbeelding]
[afbeelding]
[afbeelding]
[afbeelding]

Hm... dat is inderdaad wel een leuke optie. Goed, voor m'n volgende stage dan (over 3 jaar ofzo)

Maar voor 4 PC's is dit misschien een beetje overkill. Het is wat meer werk, en in verhouding te veel.

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

maandag 16 januari 2006 13:30

Acties:

Verwijderd

CodeCaster schreef op maandag 16 januari 2006 @ 11:32:
[...]

TS wil volgens mij 2 mensen op iedere PC (dus _niet_ op de server) Admin rechten geven. Dan kun je uiteraard niet jezelf lid maken op de DC.

Dat is toch iets anders dan jij bedoelt lijkt me.

Maar zoals eerder al geopperd, gewoon bij Gebruikers op de PC's die personen toevoegen als Administrator should do the trick.

[afbeelding]

Dus, klik op iedere PC in dit scherm op toevoegen, voer gebruikersnaam en domein in, en voeg ze toe als Administrator.

inderdaad ja, maar wat is het verschil met een domain group aanmaken, deze localadmins noemen. 2 users in de localadminsgroup gooien en de localadmins group lidmaken van de administrators group op de pc's (niet op de dc dus).

juist ja, als er 1 gebruiker geen admin meer mag zijn hoef je die gebruiker slechts uit de localadmins groep te halen en niet alle pc's langs te gaan. hetzelfde geldt natuurlijk voor het toevoegen van een nieuwe gebruiker.

verder kan je natuurlijk altijd de restricted groups policy gebruiker, hoef je helemaal niet meer langs een pc te gaan (maar dan nog liefst een groep localadmins aanmaken, voor de duidelijkheid

)

edit: duinkonijn was me voor...

@ts het is niet meer werk:
1 groep aanmaken 2 users toevoegen + 4x 1 keer groep toevoegen = 7 handelingen.
4 x 2 gebruikers toevoegen = 8 handelingen
bij wijzigingen: 1 handeling ipv 4.

[ Voor 10% gewijzigd door Verwijderd op 16-01-2006 13:35 ]

maandag 16 januari 2006 13:47

Acties:

remy007

Broodje Bakpao Helmond

Topicstarter

Verwijderd schreef op maandag 16 januari 2006 @ 13:30:
[...]

inderdaad ja, maar wat is het verschil met een domain group aanmaken, deze localadmins noemen. 2 users in de localadminsgroup gooien en de localadmins group lidmaken van de administrators group op de pc's (niet op de dc dus).

juist ja, als er 1 gebruiker geen admin meer mag zijn hoef je die gebruiker slechts uit de localadmins groep te halen en niet alle pc's langs te gaan. hetzelfde geldt natuurlijk voor het toevoegen van een nieuwe gebruiker.

verder kan je natuurlijk altijd de restricted groups policy gebruiker, hoef je helemaal niet meer langs een pc te gaan (maar dan nog liefst een groep localadmins aanmaken, voor de duidelijkheid )

edit: duinkonijn was me voor...

@ts het is niet meer werk:
1 groep aanmaken 2 users toevoegen + 4x 1 keer groep toevoegen = 7 handelingen.
4 x 2 gebruikers toevoegen = 8 handelingen
bij wijzigingen: 1 handeling ipv 4.

Heb het getest, en het werkt! Gewoon bij installatie ff vast direct de groep LocalAdmins toevoegen aan de groep Administrators op de lokale pc... klaar

Thnx!

* V&A Advertenties * Systemen: Inventaris

maandag 16 januari 2006 22:33

Acties:

alt-92

ye olde farte

Zelfs dat zou je nog via een GPO kunnen doen zoals iis5_rulez aangeeft

Maar met 4 werkstations ben je net zo snel met het handje toevoegen inderdaad.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device