[2003] Gebruikers lokale rechten geven via GPO

howto;

http://www.spc.int/it/ind...task=view&id=18&Itemid=29

[ Voor 6% gewijzigd door Verwijderd op 15-11-2006 12:42 ]

"how to make domain user local admin" ?
héél erg makkelijk te vinden

de manier van las is een beetje lastig Zoek even op google en je leest dat het gewoon via een AD policy kan. Ik geloof even uit het hoofd bij Computerconfig>windows>accounts
moet je zelf even zeggen in welke group de domain users moeten. policy binden aan je userOU en hatsaa

[ Voor 102% gewijzigd door sjongenelen op 15-11-2006 12:48 ]

Nikser schreef op woensdag 15 november 2006 @ 13:12:
[...]


Dit heb ik geprobeerd, maar het uitvoeren van de batchfile geeft het volgende resultaat:


[...]

Dit komt waarschijnlijk omdat je niet elevated bent als je dat script draait. probeer het commando net user er voor te stoppen.

and again: je wilt toch niet in een domain met batchfiles blijven werken??

[ Voor 10% gewijzigd door sjongenelen op 15-11-2006 13:27 ]

het is niet echt duidelijk nee, maar het werkt wel...! wacht even, ik zoek even wat duidelijkers

EDIT: dit vond ik even snel online:

Restricted Groups

To use restricted groups:

Open Active Directory Users and Computers.

Browse to the OU that will contain the computer account objects

Open "Properties"

Select the Group Policy Tab

Create a new Group Policy Object

Edit the new object

In the Group Policy MMC, browse to:

Computer Configuration/Windows Settings/Security Settings/Restricted Groups

Right-Click and choose "Add Group"

The group name you enter will be the group that is restricted (Administrators)

Select the group and choose the allowed members.

Using Restricted Groups for the above example:

Specify "Administrator", and your administration group to the Administrators restricted group settings

Note: If you have renamed the administrator account, use the new name or the local built-in admin will be removed (as the names don't match)

Note: This only works properly if all built-in administrator accounts of the machines in the OU have the same username. (You can use the administrator account rename feature in the GPO to make

them all rename to the same value)

je zult er even mee moeten testen ja
maar niet getreurd voor policy refresh:
voor xp: gupdate /force
win2k: secedit
novell: c:\program files\novell\zenworks\WMSCHED.EXE

[ Voor 105% gewijzigd door sjongenelen op 15-11-2006 15:38 ]

Volgens de methode van LasP80

De werkstations in de OU zetten met startupscript:

net localgroup administrators "<DOMEINNAAM>\Werknemers" /add

Waar "Werknemers" een security group is waar je gebruikers weer inzitten.

[ Voor 52% gewijzigd door JasperE op 15-11-2006 19:48 ]

Neem aan dat je OFFICE\Werknemers hebt gebruikt? Wat krijg je verder voor errors in de eventlogs? Een startupscript kan natuurlijk ook, al vind ik het persoonlijk niet handig om voor alle dingen die veel makkelijker kunnen een script te gaan gebruiken. Zo heb je straks een wildgroei aan settings, die allemaal via verschillende wegen toegepast worden. In mijn optiek verlies je dan wat overzicht, zeker in grotere omgevingen.
Natuurlijk kan je niet alles met policies, maar ze zijn er om de systeembeheerder het leven makkelijker te maken. Lijkt me dat er nog meer policies niet werken als dit goed is ingesteld, en problemen met je AD zijn net als kiespijn, daar wil je zo snel mogelijk vanaf.

Heb je de gebruikers wel opnieuw laten inloggen?
Als je iemand aan een groep toevoegd dan wordt dan pas actief als die gebruiker opnieuw inlogged.

Mij wil het ook niet lukken met de restricted groups policy.

Wat mij niet duidelijk is moet de group policy betrekking hebben op een OU met Users of met Computers?

Wat moet ik invullen bij Members of this group?
En wat moet ik invullen bij This group is a member of?

PS Ook via het script lukt het niet. Ik krijg dezelfde foutmelding als de TS.

Uiteraard een OU met computers. Het is niet voor niks een computer-setting.
Bij Groupname vul je als het een lokale groep is Groepnaam in. Als het een domain-group is vul je NETBIOSDOMAIN\Groepnaam in. Zelfde bij Members of this group. En This Group is a member of: kan je enkel bij domeingroepen gebruiken vziw. Je kan op een lokale machine geen groepen lid maken van andere groepen...
Computernaam\Groepnaam wordt ook wel eens ingevuld als je via "Browse" een groep selecteert. Dit is niet handig, tenzij die policy enkel voor die specifieke machine gebruikt gaat worden. Voorbeeld: Computer1\Administrators bestaat neit op Computer2, 3, 4 enz... zonder voorvoegsel pakt Windows lokale groepen. Als de policy op een Domaincontroller wordt toegepast uiteraard domaingroepen want die kent geen lokale groepen.

[ Voor 35% gewijzigd door sanfranjake op 17-11-2006 19:54 ]

Dus als ik het goed begrijp vul ik bij Groupname in bijvoorbeeld om een domein user admin rechten te geven in: TEST\Administrators.

Bij Members of this group vul ik dan in de gebruiker die admin rechten moet krijgen: TEST\Richard

Ik zal dit maandag uit testen als ik weer aan het werk ga.

Glamdring, beter schrijf je het zelf ook goed op, zoals jij het omschrijft begrijp ik er ook niets van

tip: gebruik alleen Hoofdletters al het om een naam gaat. Beter nog: quote bepaalde teksten zodat het duidelijk is wat bij wat hoort

Het is me eindelijk gelukt om dit werkend te krijgen, waarvoor iedereen bedankt!

Er zat echter wel een addertje onder het gras, waardoor het in eerste instantie leek of het niet gelukt was: ik moest eerst het werkstation rebooten, af- en aanloggen was niet voldoende.

Wat je moet doen is gpupdate /force draaien om een refresh van group policy te forceren. Dan worden de wijzigingen toegepast. Rebooten was niet per se nodig geweest

sanfranjake schreef op maandag 20 november 2006 @ 21:22:
Wat je moet doen is gpupdate /force draaien om een refresh van group policy te forceren. Dan worden de wijzigingen toegepast. Rebooten was niet per se nodig geweest

heb ik m verteld

Het werkt bij mij via de Restricted Groups Policy, maar het heeft 1 nadeel:

De lokale gebruikers worden ook automatisch lid van de domain groep administrators, dit wil ik dus beslist niet.

Is hiet een oplossing voor?

Hoe heb je dat dan gedaan? Als je die policy op het hoogste/domeinniveau hebt misschien. Of heb je in die policy misschien perongeluk ook je groep lidgemaakt van de domainadmins?
Zoek de fout, moet ergens iets verkeerd ingesteld zijn. Heeft overigens niet veel met de oorspronkelijke vraag van topicstarter temaken.

dan heb je inderdaag de verkeerde instellingen ingevuld...!