Toon posts:

Admin rechten + Exchange 2007

Pagina: 1
Acties:

vrijdag 19 juni 2009 13:13

Acties:

Verwijderd

Topicstarter
Ik probeer het nog een keer in een nieuw topic.

Ik zit met een Windows 2008 Server.
Alle gebruikers moeten installatie rechten hebben.
Maar we willen ook de Send As premissions gebruiken in Exchange 2007.

Nu heb ik uitgevoerd wat in vorige topics werdt verteld.
Ik heb dus een restricted group aangemaakt.
Group name is localAdmin en die is Member of Administrators.
Nu krijgt elke gebruiker netjes lokale administrator rechten zodat deze programma's kan installeren.

Echter wordt de groep localAdmin na een tijdje spontaan ook in eens lid van de group Administrators....
En dat uit zich weer naar Exchange 2007 waardoor direct alle Premissions daar verdwijnen.

Volgens vorige topics kon ik in policys geen installatierechten etc. geven.
(ze moeten ook bureaublad achtergrond kunnen wijzigen, bestanden lokaal kunnen verwijderen en aanmaken, datum en tijd aanpassen)

Dus de gebruiker aan lokale Administrators toevoegen was de enige oplossing.

Is wat ik wil echt niet met een policy op te lossen?
Of op een andere manier. Ik loop nu bijna dagelijks weer mailboxrechten terug te zetten...

Bedankt voor jullie tips & hulp!

vrijdag 19 juni 2009 13:42

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 10:21

mbaltus

Ik neem aan dat je bedoelt dat de localgroup ook lid wordt van de Administrators groep op je Windows Server? Ik verwacht dat de "Restricted Group" GPO dan ook voor de Server geldt..... Dat lijkt me een erg ongewenste situatie.

Je moet de betreffende GPO alleen toepassen op de machines waarvoor het geldt. Dus een aparte OU waar deze machines in staan en alleen daar de GPO aan linken.

The trouble with doing something right the first time is that nobody appreciates how difficult it is

vrijdag 19 juni 2009 13:44

Acties:
  • LuckY
  • Registratie: December 2007
  • Niet online

LuckY

Define Administrators?
Wat ik zou doen zijn de gebruikers zelf toevoegen aan de lokale administrator's account. dit doe je gewoon bij de installatie o.i.d. dit kan je doen door een script.
Als jij iedereen aan de Domain admins hebt toegevoegd heb je een worst case scenario gemaakt.
Dat moet je niet willen.
No flame intended maar als je niet weet waar je mee bezig bent besteedt het uit of ga (veel) cursussen volgen. Je zou ook niet moeten willen dat iedereen op elke pc Local administrator is.
Mocht je één virus krijgen is _alles_ infected.

vrijdag 19 juni 2009 14:15

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op vrijdag 19 juni 2009 @ 13:13:


Nu krijgt elke gebruiker netjes lokale administrator rechten zodat deze programma's kan installeren.

[...]
(ze moeten ook bureaublad achtergrond kunnen wijzigen, bestanden lokaal kunnen verwijderen en aanmaken, datum en tijd aanpassen)

Dus de gebruiker aan lokale Administrators toevoegen was de enige oplossing.

Is wat ik wil echt niet met een policy op te lossen?
Of op een andere manier. Ik loop nu bijna dagelijks weer mailboxrechten terug te zetten...
Ok, je wil dus geen beheerde PC's hebben en neemt de risico's op de koop toe.
Prima - dan beschouwen we dat nu maar even als gepasseerd station.

Zolang je je restricted Groups GPO niet op domain level maar alleen op de OU met je PC's hebt gehangen moet het werken.

Maar jij bent de enige die exact kan vertellen hoe je het gedaan hebt; doe dat dan ook een keer compleet in plaats van in vage termen te blijven steken ? :)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 19 juni 2009 15:06

Acties:

Verwijderd

Topicstarter
Mijn excuus Alt-92.
Ik zal wel niet zo forum vriendelijk zijn.

Ik heb een OU aangemaakt Groups daarin staat de Group localAdmins (Security Groep)
Daarvan is elke user member.

De "Restricted group" heb ik in de Default Domain Policy gezet.

Vervolgens ben ik bij iedereen lokaal 'gpupdate' gaan uitvoeren.

vrijdag 19 juni 2009 18:02

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op vrijdag 19 juni 2009 @ 15:06:

De "Restricted group" heb ik in de Default Domain Policy gezet.
En wat denk je dat het effect daarvan is als je de vakliteratuur erop naslaat? 8)7

Dat iedereen in je voorgaande topics over je heen valt heeft een reden, en met die regel geef je aan dat dat ook niet geheel onterecht is.

Dus bij deze:
alt-92 schreef op vrijdag 19 juni 2009 @ 14:15:
[...]
Zolang je je restricted Groups GPO niet op domain level maar alleen op de OU met je PC's hebt gehangen moet het werken.
Tenslotte wil je alleen op je werkstations je gebruikers in de Local Administrators groep hebben.
En niet op je hele domain infrastructuur.

[ Voor 54% gewijzigd door alt-92 op 19-06-2009 18:09 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 19 juni 2009 18:13

Acties:

Verwijderd

Topicstarter
Zal wel geen forum typje zijn...

Maar heb nu een OU aangemaakt met daarin een groep lokaalpc en daarvan zijn alle PC's members.
En vervolgens daarop een GPO gezet met daarin de restricted users group lokaalPC met als membergroup administrators. Vol verwachting klopt mijn hart. Excuus voor de forum overlast.

vrijdag 19 juni 2009 18:32

Acties:
  • ftpfreak
  • Registratie: November 2002
  • Laatst online: 04-02 21:06

ftpfreak

Verwijderd schreef op vrijdag 19 juni 2009 @ 18:13:
Zal wel geen forum typje zijn...

Maar heb nu een OU aangemaakt met daarin een groep lokaalpc en daarvan zijn alle PC's members.
En vervolgens daarop een GPO gezet met daarin de restricted users group lokaalPC met als membergroup administrators. Vol verwachting klopt mijn hart. Excuus voor de forum overlast.
Je moet de PC's waar je de policies op wilt toepassen in die OU zetten en niet de groep lokaalpc in de OU zetten en alleen alle pc's daar member van maken.

vrijdag 19 juni 2009 18:38

Acties:
  • Saab
  • Registratie: Augustus 2003
  • Laatst online: 06-10-2025

Saab

Ik bewonder dan wel weer wimnele's doorzettingskracht en dat van het bedrijf waar hij voor werkt. En het zijn altijd vermakelijke topics die hij aanmaakt! _/-\o_

https://www.discogs.com/user/jurgen1973/collection

vrijdag 19 juni 2009 18:38

Acties:

Verwijderd

Topicstarter
Oke. Dan staan alle PC's dus in een OU daarop zet ik de GPO. Maar bij Restricted Policy's moet ik toch wel een groep aangeven waarin alle users zich bevinden die hij als local administrator mag toevoegen?

vrijdag 19 juni 2009 18:50

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Correct.
Maar aangezien Security settings (waar Restricted Groups onder vallen) een Computer Policy zijn wil je ze dus op de Computers toepassen.
Vandaar.

En ondanks de naam Group policy worden GPO's dus NIET op groepen van kracht.

[ Voor 22% gewijzigd door alt-92 op 19-06-2009 18:51 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 19 juni 2009 18:57

Acties:

Verwijderd

Topicstarter
ok helemaal helder
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq