Toon posts:

printer security probleem met domein

Pagina: 1
Acties:

donderdag 31 juli 2008 21:07

Acties:

Verwijderd

Topicstarter
Ik heb een probleempje ivm de security die ik moet instellen op een printserver(men mag enkel afdrukken maar geen instellingen wijzigen)

op die server heb ik een domein A die alle pc's bevat, en op die pc's dient men in te loggen op de pc zelf, ik zeg nu maar iets: administrator logt zich in op pc1. heb nu bij de gebruikersaccounts gekeken en administrator staat bij domein: pc1(de computernaam dus), en pc1 is op zijn beurt dan lid van het domein A.

dus \\ A \ pc1 \ administrator

nu zou ik bij m'n security instellingen de administrator moeten kunnen toevoegen van pc1 voor gebruiksbeperking van de printserver, maar doordat deze enkel tot het niveau van A gaat, kan ik de administrator niet bereiken aangezien deze nog deel uitmaakt van pc1

mijn vraag is dus hoe geraak ik dan aan die administrator? kan toch moeilijk voor elke pc een extra domein aanmaken en trusted zetten met domein A bvb?

nu wat ik wel al geprobeerd heb is dus een domein gebruiker toevoegen op de server en deze gebruiker ook aanmaken op de pc, beide van domein A, maar het probleem is dat men dan alles kwijt is doordat men via een andere account inlogt en zo...

thx bij voorbaat

donderdag 31 juli 2008 21:16

Acties:
  • spone
  • Registratie: Mei 2002
  • Niet online

spone

Wanneer je op een domein zit, logt iedere computer in als een gebruiker op het domein en die hebben toegang (of niet).

Met andere woorden, een gebruiker op pc1 bestaat simpelweg niet op andere computers dan pc1. Het is niet voor niets een lokaal gebruikersaccount. Dus het domein heeft helemaal geen weet van de gebruikers op een individuele computer.

Hoe je het kan oplossen is dat gebruikers inloggen op het domein als domein\user1 als onderdeel van bijvoorbeeld de groep Domain Users (waar een user standaard inzit) en die groep enkel printrechten te geven op de server. Vervolgens geef je domein\Domain Admins volledige rechten op de printer.

In het simpel: een domein weet niet meer dan wat de domeincontroller weet. En aangezien een gebruikersaccount op een losse pc geen onderdeel is van een domein(controller) 'bestaat ie niet'. Hoop dat het een beetje duidelijk is :)

Overigens is dit niet echt een topic voor PNS maar dat terzijde :)

[ Voor 13% gewijzigd door spone op 31-07-2008 21:18 ]

Desktop: i5-14600K, 32GB DDR5-6000, RTX 5070 Ti; Laptop: MacBook Pro M1 Pro 14" 16/512; Server: R9-7950X, 192GB DDR5-5600

donderdag 31 juli 2008 22:46

Acties:

Verwijderd

Topicstarter
als ik ze zo laat inloggen op het domein,zijn ze dan al hun instellingen niet kwijt omdat ze met een andere account inloggen(andere desktop, andere "mijn documenten" enz)?

spreek me tegen als ik fout ben maar is het niet beter dat ik alle lokale accounts verwijder, AD installeer op de server en in AD alle nodige gebruikersaccounts aanmaak en tot slot alle gebruikerpc's op het AD domein laat inloggen ipv lokaal? want het lijkt me dat dit nooit "goed" komt met die lokale accounts...

Dan kan ik in AD de printer rechten direct instellen zonder veel gesukkel toch?

dan ben ik wel alle instellingen per gebruiker kwijt, maar dan heb ik wel een ideale basis om een gezond netwerk te hebben of niet?

[ Voor 18% gewijzigd door Verwijderd op 31-07-2008 22:51 ]

vrijdag 1 augustus 2008 01:00

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

Wat wil je uiteindelijk bereiken?

Op zich vind ik domain accts beter werken dan local accts. Maar om dit even om te gooien enkel en alleen maar voor een paar printerinstellingen dat zou ik weer niet doen.

Domain accts bieden voordelen qua beheer, maar vooral nadelen vanuit de gebruiker gezien ( local admins mogen alles op die ene pc doen, domain accts opzetten met local admin rechten op 1 pc kan wel maar is een hoop werk en leidt bijna altijd tot geknoei, domain admins is dan de makkelijkste oplossing maar dan mogen ze opeens alles overal wat weer ongewenst is... )

Als het enkel en alleen om de printers gaat zou ik er waarschijnlijk voor kiezen om deze in een aparte vlan te gooien zodat je altijd via de printserver moet gaan. Op de printserver kan je rustig rechten rechten uitdelen op basis van \\pc1\administrator in combinatie met \\domeinA\\domainadmin.

Wil je in de toekomst meer doen met je rechten en deze gaan centraliseren dan zou ik weer eerder voor een overgang naar domain kiezen, Eenmalig een onhandige overgangs-periode maar daarna een goed uitgangspunt voor de toekomst...

Sowieso zou ik er niet zo snel voor kiezen om een local acct op een pc even onderdeel te maken van een domein, dan zou ik eerst de pc formateren. Eventjes een bestaande pc in het domein hangen leidt imho altijd tot een half-half oplossing waarbij iemand 90% van zijn vroegere dingen nog steeds kan maar de laatste 10% wordt geblokkeerd / gefrustreerd door domeininstellingen / gpo's etc.
1 Format en je hebt een standaard pc en een duidelijk verhaal tegenover de gebruiker wat hij wel en niet kan ipv een gebruikerspc inclusief vage software die zo af en toe op sommige punten niet wil werken vanwege x of y wat eerst uitgezocht moet worden...

zaterdag 2 augustus 2008 09:09

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 16:15

Koffie

Koffiebierbrouwer

Braaimeneer

Move PNS > WSS

Tijd voor een nieuwe sig..

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq