[Win 2k8 & Win XP] Domein Aanmeld rechten

Medetweakers,

Ik zit met een probleem waarin ik me al een goeie 2 weken mee bezig houdt. Binnen mijn test opstelling heb ik een Windows 2008 Domain Controller. Deze heeft een machine startup script draaien die een scheduled task aanmaakt. Deze task houdt in dat als de gebruiker zich aanmeld deze wordt toegevoegd aan de Lokale groep Administrators. Het waar ik mee zit is dat de user wel wordt toegevoegd maar heeft schijnbaar niet de rechten want ik kan bijvoorbeel niet in Device Manager komen om een NIC te disabelen oid. Ik heb al geprobeerd of nadat de gebruiker volledig is aangemeld een gpupdate of gpupdate /force te draaien maar de user krijgt de rechten dan niet.

Echter als ik afmeld en ik log opnieuw aan met dezelfde user op het zelfde workstation heb ik die rechten wel. Uiteindelijk moet dit in een bedrijfs omgeving gaan draaien en is 2 keer aanmelden geen optie. Heeft iemand een idee hoe dit optelossen?

Mvg,
Dhr_Soulslayer

Ja nee daar heb ik naar gekeken maar dat is niet de oplossing.
Het punt is dat ik vantevoren niet weet welke gebruiker zich aanmeld per computer. En alleen de gebruiker die aanmeld mag lokaal admin zijn en niet de rest van de users zoals nu het geval is.

Wat ik zo snel even zie bij die link van jouw is dat het om vaste gebruikers gaat die standaard in een groep zitten. In dit geval is het elke keer iemand anders.

sanfranjake schreef op dinsdag 20 januari 2009 @ 11:08:
Refresh times van Kerberos tickets verkorten dan kan het wel

Erm wat bodoel je daar precies mee? Houdt dat in dat als ik een ticket van stel 5 min heb, dat er dan om de 5 min een nieuwe ticket wordt gemaakt met de rechten voor die gebruiker?

elevator schreef op dinsdag 20 januari 2009 @ 11:07:
Kan je dat met group policy preferences niet regelen - ik dacht dat ergens gelezen te hebben

In ieder geval - waarom zou je dit eigenlijk willen?

Ik wil dit in verband met een stukje software wat op elke pc draait. Daarvoor heeft de ingelogde gebruiker Admin rechten nodig. Nu is het zo dat de groep Domain Users toegevoegd is aan de groep Local Admins. Zodoende kan nu iedereen bij elke pc. Dit moet dus ondervangen worden op deze manier.

GJtje schreef op dinsdag 20 januari 2009 @ 12:15:
Kan je niet beter met een security groep gaan werken? Aangezien je toch met een AD zit, kan je ze makkelijk via een groep toegang geven tot de local admins groep. Gebruikers krijgen dan ongeacht op welke PC ze zich aanmelden local admin rechten.

Hmm is het dan niet zo dat User A admin rechten heeft op PC A en op PC B ondanks dat hij op PC A is ingelogt?

GJtje schreef op dinsdag 20 januari 2009 @ 12:15:
Ook kun je, als elke gebruiker local admin rechten heeft op de PC, er voor kiezen om de groep All Users toegang te geven tot local admin.

Maar dit betekend ook dat het mogelijk is dat User A op PC A, PC X met User Y remote kan uitzetten. Dit is echter ook niet de bedoeling.

GJtje schreef op dinsdag 20 januari 2009 @ 12:15:En zoals Sanfranjake vraagt, waarom zou je willen dat gebruikers lokaal admin zijn? IMO haal je dan alleen maar meer op je schouders, omdat je vaker PC's opnieuw moet inspoelen e.d., maar dat is weer een andere discussie denk ik?

Ik ben een spuit 11 zie ik, hahaha...

elevator was het ipv Sanfranjake. Das idd een andere disscussie. Dit is wel goed geregeld en daar zijn nog weinig problemen mee geweest.

GJtje schreef op dinsdag 20 januari 2009 @ 12:42:
[...]
Die volg ik niet helemaal, het is toch jouw bedoeling dat het niet uitmaakt wie zich aanmeld op een PC, dat hij local admin rechten krijgt? Als dat niet zo is, dan graag een verduidelijking van jouw bedoeling.

Dit houdt dus in dat als User A ingelogt is hij ook computers kan uitzetten van andere mensen via de commandline. Zo is het dus ook mogelijk om services te beheren en deze aan te passen.

Tot op heden is er nog niks gebeurd maar goed het is wel een beveiligingslek. Mensen geen Admin rechten geven is geen mogelijk ivm de software die hier gedraait wordt. Dit is software die specifiek voor het bedrijf geschreven is.

Daar heb ik inderdaad naar gekeken. Heb net nog even overlegt met de de projectleider en we gaan nu kijken of het mogelijk is om te kijken of de software wel draait onder Vista met UAC ingeschakeld en de user die geen Admin is.

Hopelijk werkt dat wel. Nu nog even overleggen of de overstap gemaakt wordt van XP naar Vista of dat er gewacht wordt op Windows 7.

Question Mark schreef op dinsdag 20 januari 2009 @ 13:34:
[...]

Als je er naar gekeken hebt, dan weet je toch waar de applicatie wil dat de user wat meer rechten heeft (filesystem, registry, etc). Dan is het toch een kwestie van deze rechten aanpassen en klaar...

Welke software gaat het eigenlijk over? Is het geen optie om bij de leverancier te vragen of ze aub de applicatie fatsoenlijk willen programmeren?

Het is meetsoftware die hier intern gebruikt en ontwikkeld wordt. We gaan nu idd rond de tafel zitten met de software mensen.