[WIN2003] GPO admins buiten policies houden - Serversoftware en clouddiensten

vrijdag 19 januari 2007 16:05

Acties:

Verwijderd

Topicstarter

Ik heb een policy zodat de gebruikers mijn Ts servers niet kunnen afzetten.
(deze policy hangt vast aan de OU van TS SERVERS)

Natuurlijk wil ik dit als admin wel blijven doen.

Ik heb dit opgelost met een Deny regeltje voor de de admin groep.

nu lees ik op verschillende plaatsen (incluis de ms website) dat dit geen goed idee is.

waarom is dit geen goed idee?
Hoe los je dit probleem dan op?

Dus :

Hoe zorg ik ervoor dat de admins de server vlot af kunnen zetten?
zonder dat deny regeltje?

of gebruik de Group policies héél verkeerd?

vrijdag 19 januari 2007 19:20

Acties:

Zwelgje

of gebruik de Group policies héél verkeerd?

ge je eens heel snel inlezen over hoe loopback processing werkt

A wise man's life is based around fuck you

vrijdag 19 januari 2007 19:29

Acties:

WaSteiL

Je wilt normaal geen Deny rechten hebben omdat dit alles overruled wat je met policies hebt ingesteld (duh daar is Deny voor). Maakt het ook erg moeilijk om te debuggen in een situatie waar dat moet gebeuren.
Je kan het doen, maar dan moet je erg spaarzaam zijn met de leden van de betreffende groep, correctie: heel erg spaarzaam.

Damn: waarom denk ik weer eens over loopback policies heen. Gelukkig hebben we Zwelgje nog.

[ Voor 12% gewijzigd door WaSteiL op 19-01-2007 19:31 ]

vrijdag 19 januari 2007 19:51

Acties:

elevator

Officieel moto fan :)

Waarom kunnen jouw users uberhaupt je server uitzetten? Normaal hebben alleen users met meer rechten dan een normale user dat recht op een server, dus ik snap de oorsprong van je vraag niet eens

zaterdag 20 januari 2007 12:52

Acties:

Verwijderd

Topicstarter

elevator schreef op vrijdag 19 januari 2007 @ 19:51:
Waarom kunnen jouw users uberhaupt je server uitzetten? Normaal hebben alleen users met meer rechten dan een normale user dat recht op een server, dus ik snap de oorsprong van je vraag niet eens

alle gebruikers hebben toegang nodig tot regsitry dus
als snelle oplossing heb ik power users gemaakt.

dit zorgt er dus ook voor dat zij rechten hebben om de servers af te zetten.

misschien moet ik dan een oplossing zoeken om de users op een andere manier schrijfrechten te geven tot register

zaterdag 20 januari 2007 12:54

Acties:

alt-92

ye olde farte

Verwijderd schreef op zaterdag 20 januari 2007 @ 12:52:
misschien moet ik dan een oplossing zoeken om de users op een andere manier schrijfrechten te geven tot register

En waarom hebben ze rechten nodig om op een Terminal Server in HKLM te schrijven?

Brakke app dus.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 20 januari 2007 12:54

Acties:

Zwelgje

ipv mensen even snel power user te maken zou ik maar gewoon met filemon/regmon/processmon gaan kijken welke toegang zij nodig zijn tot de registry

powerusers kunnen zichzelf vrij eenvoudig promoveren tot administrators (is zelf een kb article van)

ik kan je melden: dat moet je niet willen!

* Zwelgje vindt dit rieken naar een prutsinrichting van een terminalserver

A wise man's life is based around fuck you

zaterdag 20 januari 2007 12:59

Acties:

elevator

Officieel moto fan :)

Verwijderd schreef op zaterdag 20 januari 2007 @ 12:52:
alle gebruikers hebben toegang nodig tot regsitry dus
als snelle oplossing heb ik power users gemaakt.

Ik snap sowieso niet waarom je op een terminal server 'snelle oplossingen' gebruikt? IMHO is de impact van een slecht werkende terminal server te groot om daar maar op aan te gaan prutsen

Oftewel - documenteer de exacte rechten en los het op