Windows Restricted Group GPO settings - Serversoftware en clouddiensten

zondag 22 januari 2006 16:21

Acties:

Verwijderd

Topicstarter

Hoi,

Heb een 2000 domein waar laptop gebruikers op inloggen, deze gebruikers zijn freelancers en willen dus alles op hun systeem kunnen doen, ik heb daarvoor de "Restricted Group" settings in een GPO gezet waardoor de domein users lid zijn van de lokale administrators groep.

Dit werkt naar behoren, echter hebben deze gebruikers ook nog lokale account aangemaakt op hun laptop waar ze ook mee werken, deze zijn nadat de laptops lid zijn gemaakt van het domein geen lokale beheerder meer en kunnen ze niet veel meer doen op hun eigen laptop.

Nu mijn vraag, hoe zorg ik ervoor dat alle lokale gebruikers van deze laptops lid worden van de lokale administrators groep ?

Aangezien er een GPO actief is heeft het geen zin om dit handmatig te doen, want wanneer de policy refreshed worden deze weer uit de groep gehaald.

[ Voor 16% gewijzigd door Verwijderd op 22-01-2006 16:23 ]

zondag 22 januari 2006 17:15

Acties:

Verwijderd

Topicstarter

Heb inmiddels al iets bedacht, start het volgende commando vanuit het logon script en die voegt de groep everyone van de lokale machine toe aan de groep administrators.

net localgroup "administrators" "everyone" /add

uiteraard wel de GPO uitgeschakeld anders wordt ie weer overschreven.

zondag 22 januari 2006 19:13

Acties:

Rolfie

Hou er rekening mee, dat als iedereen local Administrator is, dat iedereen \\computername\c$ kan doen.

Werkt het trouwens met everyone? Dat zou ik nooooooooooit doen, ik zou altijd voor voor domain users, of local users.

zondag 22 januari 2006 19:44

Acties:

Zwelgje

wat moet je met een local account nog

je kan toch netjes inloggen OOK als je domaincontroller niet bereikbaar is (=cached logon, per default onthoudt je workstation de laatste 10 accounts)

A wise man's life is based around fuck you

zondag 22 januari 2006 20:25

Acties:

Verwijderd

Topicstarter

het werkt wel met everyone, maar kan natuurlijk ook local users gebruiken.

Het is niet mijn keuze om local accounts te gebruiken, deze laptops zijn prive eigendom van de eigenaren en hebben tot nu toe altijd met lokale accounts gewerkt, en willen dat voorlopig ook blijven doen.

wat ik me trouwens wel afvraag of dit commando via het loginscript ook werkt bij een gewone gebruiker, ik heb dit getest met een domain admin account, dit werkt uiteraard altijd.

zondag 22 januari 2006 20:40

Acties:

Zwelgje

werkt ook bij een gewone user, mits hij maar local admin is... anders mag je geen groepslidmaatschap aanpassen

A wise man's life is based around fuck you

maandag 23 januari 2006 08:34

Acties:

paulhekje

je kunt in de policy de groep "interactive" instellen als lid van local administrators, dan is iedereen die daar inlogt local admin

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

maandag 23 januari 2006 10:21

Acties:

Verwijderd

everyone of zelfs domain users toevoegen aan de local admin group is uit de boze.

everyone (ik heb het vaker gezegt is niet iedereen, maar iedereen die op het systeem bekend is, pas als het guest account enabled is, is dit iedereen

)

domain users local admin maken op systeem A en B, houdt in dat de persoon, die werkt op systeem A volledige controle heeft op systeem B.
Dat zal de directeur niet leuk vinden als pietje van de postkamer in zijn documenten kan rommelen (oftewel alleen de user van die laptop lidmaken van de admin group).

maandag 23 januari 2006 18:20

Acties:

Zwelgje

Verwijderd schreef op maandag 23 januari 2006 @ 10:21:
everyone of zelfs domain users toevoegen aan de local admin group is uit de boze.

everyone (ik heb het vaker gezegt is niet iedereen, maar iedereen die op het systeem bekend is, pas als het guest account enabled is, is dit iedereen )

domain users local admin maken op systeem A en B, houdt in dat de persoon, die werkt op systeem A volledige controle heeft op systeem B.
Dat zal de directeur niet leuk vinden als pietje van de postkamer in zijn documenten kan rommelen (oftewel alleen de user van die laptop lidmaken van de admin group).

my documents heb je natuurlijk geredirect

dus op de C schijf staat sowieso niks boeiends, maar je punt is duidelijk

A wise man's life is based around fuck you

dinsdag 24 januari 2006 07:58

Acties:

paulhekje

en met de groep "Interactive" heb je daar geen last van, zodat je dit centraal kunt regelen.
Iedereen die op die laptop inlogt heeft local admin rechten en geen rechten als je die laptop via het netwerk benaderd.

[ Voor 25% gewijzigd door paulhekje op 24-01-2006 07:59 ]

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

dinsdag 24 januari 2006 17:11

Acties:

mbaltus

Ik vraag me zelfs af waarom je de prive-laptop van freelancers lid wilt maken van je domein. Ik zou daar als freelancer niet blij van worden en als systeembeheerder ook niet.

(als freelancer niet omdat je niet meer de baas bent over je eigen systeem. Als beheerder niet omdat je allerlei kunst- en vliegwerk moet doen om het een beetje fatsoenlijk aan de praat moet krijgen).

Als ze bij domein resources zoals shares moeten komen, dan kun je beter een useraccount voor ze aanmaken en dan met netwerkmappings werken die van "connect using a different user name" gebruik maken. Dan maken ze geen onderdeel uit van het domein, maar kunnen toch bij de juiste bestanden. Dit werkt ook voor printers en andere resources.

The trouble with doing something right the first time is that nobody appreciates how difficult it is