Gebruikers Administrator rechten geven

Heb je ze toegevoegd aan de lokale administrators groep (werkstation) of in de active directory?

Je moet ze op de werkstations ook nog administrator rechten geven.

Wat wij meestal doen is een aparte groep aanmaken ""grp-localadmin", deze voegen we via een policy toe aan de lokale administrator groep en dan kan je personen toevoegen aan deze groep. Iedereen die dan lid is van deze groep heeft dan administrator rechten (Denk er wel om dat mensen opnieuw moeten inloggen).

De aanpak van jjbstolk is inderdaad de beste. Maar ik zou nog steeds bekijken waarom iedereen local admin moet zijn. Op de server iedereen admin maken lijkt me geen goed bedrijfsbeleid. Je geeft de sleutels van de administratie en kluis ook niet altijd aan iedereen. Het lijkt me verstandig dat je voor jezelf vaststelt wat je wilt bereiken en daar een oplossing voor bedenkt.

Rechten overigens altijd via een Security groep. Een distribution groep is zo-ie-zo niet zo nuttig, dat is bestemd voor maillijsten.

mbaltus schreef op woensdag 17 juni 2009 @ 12:49:
Maar ik zou nog steeds bekijken waarom iedereen local admin moet zijn.

Die discussie is al zo oud als Active Directory zelf meen ik. Het hangt zeer sterk af van het soort gebruikers dat je hebt.
Bij ons op het werk; 40 developers + ander geek volk kunnen ze gerust local admin rechten hebben. Bij m'n vriendin op haar werk (incassobureau, pencil pushers..) beter van niet.

[ Voor 6% gewijzigd door r0b op 17-06-2009 13:01 ]

r0b schreef op woensdag 17 juni 2009 @ 13:00:
[...]
Die discussie is al zo oud als Active Directory zelf meen ik. Het hangt zeer sterk af van het soort gebruikers dat je hebt.
[...]

Helemaal mee eens! Vandaar ook mijn opmerking. In de beide gevallen die je noemt, is er dus over nagedacht.
Wij hebben zat klanten waar (nagenoeg) iedereen Local Admin is. Bijna altijd met een goede reden. Maar als je het doet omdat het dan lekker makkelijk is dat alles goed werkt, dan vraag ik me af of je goed bezig bent.

Uit de aanpak van TS vermoede ik dat hij gewoon maar rechten uitdeelde zonder te kijken of het werkelijk nodig is.

Voor de TS: kijk nog eens naar Wikipedia: AGDLP voor een goede uitleg/aanpak

Dan ontkom je inderdaad niet aan admin.rechten. Met Power User kom je nog wel een heel eind, maar lang niet bij alles wat je wilt.
Mijn advies is dan wel om vervolgens het e.e.a. terug te scopen met het zetten van beperkingen met GPO. De ervaring leert dat je anders behoorlijk wat onderhoud krijgt aan PC's die niet meer werken.

Google maar eens op Restricted Groups
(in de GPO te vinden onder Computer Configuration\Windows Settings\Security Settings\Restricted Groups)

En nadat je de wijziging hebt doorgevoerd heb je de PC waarop het terecht moet komen opnieuw opgestart?
Wat geeft een RSoP en dergelijke tools weer?

Beste Wimnele:
Het zou je ondertussen toch bekend moeten zijn dat het niet de bedoeling is om voor elke update een nieuwe post te maken. De laatste 4 posts van jou hand hadden prima in 1 post gekund. Je kan daar de edit knop voor gebuiken:

Wat betreft je probleem: Dat is vrij basic configuratie spul, wat je ook gewoon via Google had kunnen vinden.
Waarschijnlijk wil jij dat het allemaal meteen werkt, en hou jij geen rekening met het feit dat een policy aanpassing wel eens wat langer duurt om volledig door te voeren.

Verder heeft je probleem weinig te maken met Netwerken. Je had het beter in Serversoftware en Windows Servers kunnen plaatsen.

Hoe dan ook: Je topic gaat op slot