Server 2003 - Voledige rechten op domein

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

  • xehbit
  • Registratie: Februari 2009
  • Laatst online: 26-08 22:19
Hallo,

Ik heb een netwerk thuis met windows server 2003. Met een DHCP server DNS en ActiveDirectory.
Hier heb ik een aantal vragen over. Alles werkt, iedereen kan op het domein inloggen. Alleen als ze zijn ingelogd hebben ze maar bar-weinig rechten. Als ze iets willen installeren kan het niet, dan moet ik er weer aan komen om wachtwoord van de administrator van het domein in te voeren. Is het mogelijk om de gebruikers gewoon rechten te geven dat ze ook hebben als ze niet op het domein zitten maar gewoon in windows?
Want het is zeer irritant zo!

Acties:
  • 0 Henk 'm!

  • rdfeij
  • Registratie: September 2001
  • Laatst online: 13-09 15:20
Ik begrijp je nieuwsgierigheid gezien je eerder posts, maar wil je toch vragen eens wat meer zelf te zoeken.

Je wil local administrator rechten geven. Dat is niet zo moeilijk en veel te vinden via de zoekmachines.

Acties:
  • 0 Henk 'm!

  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 04-10 14:38
Je hebt Windows 2003 aangeschaft, een domein opgezet en je weet niet wat local admins zijn? Of lees ik je post helemaal fout? Verdiep je eens in policies, local admins enz..

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 20:39

Jazzy

Moderator SSC/PB

Moooooh!

Nog even één term meegegven, en dan kun je zelf wel weer verder zoeken: restricted groups.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • xehbit
  • Registratie: Februari 2009
  • Laatst online: 26-08 22:19
Beetje wezen googlen en informeren op school, Uiteindelijk is er uitgekomen dat ik met Group Policy kan instellen wat de accounts mogen, maar ik kan nergens vinden dat ze gewoon administrator zijn over hun eigen pc. Of ik moet het met de Administrator account doen die in het domein staat, maar daar kunnen ze ook mee inloggen op windows server 2003.

Acties:
  • 0 Henk 'm!

  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20:49
Dragon707 schreef op vrijdag 15 januari 2010 @ 15:16:
Beetje wezen googlen en informeren op school, Uiteindelijk is er uitgekomen dat ik met Group Policy kan instellen wat de accounts mogen, maar ik kan nergens vinden dat ze gewoon administrator zijn over hun eigen pc. Of ik moet het met de Administrator account doen die in het domein staat, maar daar kunnen ze ook mee inloggen op windows server 2003.
restricted groep dus :)

naja vooruit maar weer :P http://technet.microsoft....rary/cc756802(WS.10).aspx

[ Voor 8% gewijzigd door Zwelgje op 15-01-2010 15:18 ]

A wise man's life is based around fuck you


Acties:
  • 0 Henk 'm!

  • ik222
  • Registratie: Maart 2007
  • Niet online
Dragon707 schreef op vrijdag 15 januari 2010 @ 15:16:
Beetje wezen googlen en informeren op school, Uiteindelijk is er uitgekomen dat ik met Group Policy kan instellen wat de accounts mogen, maar ik kan nergens vinden dat ze gewoon administrator zijn over hun eigen pc. Of ik moet het met de Administrator account doen die in het domein staat, maar daar kunnen ze ook mee inloggen op windows server 2003.
Nee dat zijn domain admin rechten en die zou ik niet zomaar geven ;) Je moet ze local admin rechten geven.

http://www.windowsecurity...ng-Restricted-Groups.html

Acties:
  • 0 Henk 'm!

  • mrsar
  • Registratie: September 2000
  • Laatst online: 23:42

mrsar

waar een sar is,is een wodka

yup,local admin rechten.... je kan trouwens kijken of power user al niet genoeg is,daarmee zou je het meeste ook al moeten kunnen installeren.

steam: mr_sar1 / Battle.net : mrsar#2189 / xbox : mrsar1


Acties:
  • 0 Henk 'm!

  • xehbit
  • Registratie: Februari 2009
  • Laatst online: 26-08 22:19
Oke, ik neem aan met 'local admin' dat het de gewone rechten zijn op een gewone werk computer?
Verder ga ik nu even kijken wat 'power user' nou is, wel eens wat over gehoord maar nooit verder op in gegaan.

Bedankt voor de informatie alvast. Ik kom straks wel even vertellen hoe het is gegaan,

Acties:
  • 0 Henk 'm!

  • ik222
  • Registratie: Maart 2007
  • Niet online
Dragon707 schreef op vrijdag 15 januari 2010 @ 15:46:
Oke, ik neem aan met 'local admin' dat het de gewone rechten zijn op een gewone werk computer?
Ja in Windows werk je normaal standaard met admin rechten. Dus local admin rechten geven betekend dat je dan de 'normale' rechten hebt.
Verder ga ik nu even kijken wat 'power user' nou is, wel eens wat over gehoord maar nooit verder op in gegaan.
Power user is in het kort een gebruiker met meer rechten dan een normale user maar minder rechten als een local administrator. Welke rechten dat precies zijn mag je zelf googlen ;)

Acties:
  • 0 Henk 'm!

  • xehbit
  • Registratie: Februari 2009
  • Laatst online: 26-08 22:19
ik222 schreef op vrijdag 15 januari 2010 @ 15:56:
[...]

Ja in Windows werk je normaal standaard met admin rechten. Dus local admin rechten geven betekend dat je dan de 'normale' rechten hebt.
Het is gelukt een gebruiker local admin rechten te geven, maar nu kan die local admin ook de server beheren. Dat moet nou weer niet kunnen. Ik heb de gebruiker in de groep Admin gezet. http://www.visualwin.com/New-User/
ik222 schreef op vrijdag 15 januari 2010 @ 15:56:
[...]

Power user is in het kort een gebruiker met meer rechten dan een normale user maar minder rechten als een local administrator. Welke rechten dat precies zijn mag je zelf googlen ;)
'
Hier kan ik niet echt iets over vinden op google, Staat wel veel informatie, maar niet echt wat ik nodig hebt.

Acties:
  • 0 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 04-10 15:09

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

ik222 schreef op vrijdag 15 januari 2010 @ 15:56:
[...]
Ja in Windows werk je normaal standaard met admin rechten. Dus local admin rechten geven betekend dat je dan de 'normale' rechten hebt.
Juist niet ;)

Standaard werk je met restricted rechten, tenzij je zaken moet uitvoeren waar elevated rights voor nodig zijn.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • 0 Henk 'm!

  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20:49
ik222 schreef op vrijdag 15 januari 2010 @ 15:56:
[...]

Ja in Windows werk je normaal standaard met admin rechten. Dus local admin rechten geven betekend dat je dan de 'normale' rechten hebt.

[...]

Power user is in het kort een gebruiker met meer rechten dan een normale user maar minder rechten als een local administrator. Welke rechten dat precies zijn mag je zelf googlen ;)
Powerusers kunnen zich via een omweg opkrikken tot local admin... tis dat je het weet

A wise man's life is based around fuck you


Acties:
  • 0 Henk 'm!

  • xehbit
  • Registratie: Februari 2009
  • Laatst online: 26-08 22:19
Wat is dan het beste?

Want ik wil gewoon dat de gebruikers op hun eigen pc alles kunnen, Gewoon de admin rechten dus, Maar alleen niet dat ze kunnen inloggen op de server, of de server beheren.

Acties:
  • 0 Henk 'm!

  • Craven
  • Registratie: Februari 2007
  • Laatst online: 22:47
op de pc zelf de domeingebruiker/groep toevoegen aan de local administrators groep. (wat nu zo onderhand al 5 keer gezegd is).

Acties:
  • 0 Henk 'm!

  • xehbit
  • Registratie: Februari 2009
  • Laatst online: 26-08 22:19
Oke, maar als ik ze dan local admin heb gemaakt, Moet ik dat dan voor elke gebruiker dat doen? op elke pc?
Er is ook een gast account "Bezoeker", die weinig rechten mag hebben.

En dan nog een klein vraagje, Ik heb een printer (EPSON SX110 SERIES) als gedeelte printer op de server ge-instaleerd, Printen werkt. Maar op de printer zit ook een bijgebouwde scanner. Zou het mogelijk zijn om ook de scanner te delen?

Acties:
  • 0 Henk 'm!

  • _AN
  • Registratie: Mei 2009
  • Laatst online: 00:24

_AN

De groep Domain Users (alle domeingebruikers) toevoegen aan je local Admin groep. Je kunt uiteraard ook zelf een groep aanmaken met de gebruikers die Administrator rechten mogen hebben op de clients.

Edit: Te laat ;)

[ Voor 5% gewijzigd door _AN op 15-01-2010 17:36 ]


Acties:
  • 0 Henk 'm!

  • erikver
  • Registratie: Januari 2001
  • Laatst online: 03-10 13:14

erikver

Ik zeg...

Niet lullig bedoeld maar is dit niet beter voor je?
MS-Press

Het is allemaal leuk dat je een domein hebt opgezet en er leuke dingen mee gaat doen, maar ik denk dat het beter is als je je eerst meer verdiept in de materie in plaats van steeds maar weer vragen stellen die of heel eenvoudig te vinden zijn door te zoeken op GoT, Google, etc. of door je juist te verdiepen.

Life's not a Krentenbol


Acties:
  • 0 Henk 'm!

  • _AN
  • Registratie: Mei 2009
  • Laatst online: 00:24

_AN

Dragon707 schreef op vrijdag 15 januari 2010 @ 17:11:
Oke, maar als ik ze dan local admin heb gemaakt, Moet ik dat dan voor elke gebruiker dat doen? op elke pc?
Er is ook een gast account "Bezoeker", die weinig rechten mag hebben.
Je kunt ook een GPO instellen. Zoek even op Google. Klik
;)

Acties:
  • 0 Henk 'm!

  • _AN
  • Registratie: Mei 2009
  • Laatst online: 00:24

_AN

Powershell schreef op vrijdag 15 januari 2010 @ 16:21:
[...]


Powerusers kunnen zich via een omweg opkrikken tot local admin... tis dat je het weet
Oja, nooit geweten. Hoe? :)

Acties:
  • 0 Henk 'm!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

erikver schreef op vrijdag 15 januari 2010 @ 17:36:

Het is allemaal leuk dat je een domein hebt opgezet en er leuke dingen mee gaat doen, maar ik denk dat het beter is als je je eerst meer verdiept in de materie in plaats van steeds maar weer vragen stellen die of heel eenvoudig te vinden zijn door te zoeken op GoT, Google, etc. of door je juist te verdiepen.
^^

Met is :)

Dat je een keer een vraag hebt over een specifiek iets of een probleempje waar je niet zo snel uitkomt, dat kan.
Maar zoals ook overduidelijk staat in Algemene gedragsregels (Netiquette) is GoT nou niet bepaald de plek waar je aan het handje wordt gehouden en jou een persoonlijke "Hoe beheer ik een Windows AD netwerk" cursus wordt aangeboden.

Als je je kennis wil verbreden/verdiepen kan je dat net zoals ieder andere persoon hier doen door de produktdocumentatie (Technet/MSDN) en literatuur (bijvoorbeeld cursusboeken) erbij te pakken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Acties:
  • 0 Henk 'm!

  • ik222
  • Registratie: Maart 2007
  • Niet online
Question Mark schreef op vrijdag 15 januari 2010 @ 16:20:
[...]

Juist niet ;)

Standaard werk je met restricted rechten, tenzij je zaken moet uitvoeren waar elevated rights voor nodig zijn.
Ja oke nu met Windows Vista / Windows 7 misschien niet meer, vroeger met XP wel. Maar het is inderdaad net hoe je het zelf insteld. Zelf zet ik UAC bijvoorbeeld uit en werk ik ook in Windows 7 continu met admin rechten.

Acties:
  • 0 Henk 'm!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Denk eens niet in thuisgebruikertermen?
In een bedrijfsomgeving is het doodnormaal om een standard useraccount te gebruiken hoor :)
NT deed dat al jaren voordat er ook maar een gerucht over Longhorn was te vinden.

[ Voor 23% gewijzigd door alt-92 op 15-01-2010 21:30 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Acties:
  • 0 Henk 'm!

  • ik222
  • Registratie: Maart 2007
  • Niet online
alt-92 schreef op vrijdag 15 januari 2010 @ 21:29:
Denk eens niet in thuisgebruikertermen?
In een bedrijfsomgeving is het doodnormaal om een standard useraccount te gebruiken hoor :)
NT deed dat al jaren voordat er ook maar een gerucht over Longhorn was te vinden.
Ja in een bedrijfsomgeving uiteraard wel. Maar de TS had het over gebruikers in een thuisomgeving die hun 'normale' rechten terug wilden die ze niet meer hadden sinds de TS een domein had opgezet. Maar dat het in een bedrijfsomgeving wel zo is en ook moet zijn is ook de reden dat Active Directory standaard zo werkt, dus met die restricties voor normale users.

Active Directory is dan ook helemaal niet bedoeld voor een thuisomgeving. Dus als ik de TS was zou ik lekker met active directory gaan spelen in een virtuele omgeving en je huisgenoten er verder niet mee lastig vallen :+

Acties:
  • 0 Henk 'm!

  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Heeft niet eens echt iets met active directory te maken. Windows NT 4.0 maakte iedereen een normale user (en nee een normale user is geen Administrator user), Windows 2000 ook voor zover ik weet.

Windows XP maakte de eerste user Administrator maar zelfs daar staat duidelijk in de 5 pagina tellende handleiding die er bij zit dat je een aparte user moet maken om daar echt mee te werken :)

Acties:
  • 0 Henk 'm!

  • xehbit
  • Registratie: Februari 2009
  • Laatst online: 26-08 22:19
Bedankt voor de informatie, het is ondertussen gelukt met domein, en local admin rechten.

Overigens heb ik wel een andere vraag over Server 2003, Maar ik weet niet of ik er een niew topic voor kan aanmaken. (en ik heb al heeeel veeeel google gebruikt voor dat probleem. Maar norgens echt een oplossing gevonden)

Acties:
  • 0 Henk 'm!

Verwijderd

ik222 schreef op vrijdag 15 januari 2010 @ 21:27:
[...]

Ja oke nu met Windows Vista / Windows 7 misschien niet meer, vroeger met XP wel. Maar het is inderdaad net hoe je het zelf insteld. Zelf zet ik UAC bijvoorbeeld uit en werk ik ook in Windows 7 continu met admin rechten.
|:( En Microsoft maar moeite doen om een iets veiligere werkomgeving te creëren. Is er nu echt een reden waarom je constant als admin werkt? Of is dit uit "gewoonte"?

Acties:
  • 0 Henk 'm!

  • ik222
  • Registratie: Maart 2007
  • Niet online
Verwijderd schreef op zaterdag 16 januari 2010 @ 21:45:
[...]

|:( En Microsoft maar moeite doen om een iets veiligere werkomgeving te creëren. Is er nu echt een reden waarom je constant als admin werkt? Of is dit uit "gewoonte"?
Gewoon gemak inderdaad en daarbij omdat ik de enige ben die mijn pc gebruikt en ik wel weet wat ik doe. Dan wil ik niet telkens lastig worden gevallen door iets als UAC. Als ik namelijk op installeren klik bedoel ik ook dat ik het wil installeren.

Acties:
  • 0 Henk 'm!

  • Craven
  • Registratie: Februari 2007
  • Laatst online: 22:47
ik222 schreef op zaterdag 16 januari 2010 @ 22:20:
[...]

Gewoon gemak inderdaad en daarbij omdat ik de enige ben die mijn pc gebruikt en ik wel weet wat ik doe. Dan wil ik niet telkens lastig worden gevallen door iets als UAC. Als ik namelijk op installeren klik bedoel ik ook dat ik het wil installeren.
Dat is maar een klein deel van het verschil. Als jij nou spyware, adware een virus oploopt en het draait onder jou account heeft het toegang tot alles. 90% van alle malware is nutteloos als het geen admin rechten heeft. Als je dus je admin account veilig houd scheelt het zoooveeeeeeeel zooi.

Nou ben ik ook standaard admin en heb uac uit staan, dus heb niet veel rechte van spreken. Maar ik zou mn gebruikers nooit admin rechten geven op me werk. Dan kan ik namelijk ook direct de helpdeskbemanning verdubbelen en een ris server opzetten omdat ik dan een tig aantal pc's per dag opnieuw moet installeren.

Weer (enigzins) ontopic: Waarom heb je in een thuissituatie alle workstations aan een ad gekoppeld?

Acties:
  • 0 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 04-10 15:09

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

ik222 schreef op zaterdag 16 januari 2010 @ 22:20:
[...]

Gewoon gemak inderdaad en daarbij omdat ik de enige ben die mijn pc gebruikt en ik wel weet wat ik doe.
Lees anders even de tussentijds uitgebracht security advisory welke door Microsoft op 14 januari uitgegeven is:
Our investigation so far has shown that Internet Explorer 5.01 Service Pack 4 on Microsoft Windows 2000 Service Pack 4 is not affected, and that Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4, and Internet Explorer 6, Internet Explorer 7 and Internet Explorer 8 on supported editions of Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2 are vulnerable.

• In a Web-based attack scenario, an attacker could host a Web site that contains a Web page that is used to exploit this vulnerability. In addition, compromised Web sites and Web sites that accept or host user-provided content or advertisements could contain specially crafted content that could exploit this vulnerability.

An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less affected than users who operate with administrative user rights.
Oftwel, je hoeft maar een site te bezoeken die gehacked is, en de hacker heeft alle rechten op jouw systeem aangezien je standaard als admin werkt. Zou je nu gebruik maken van UAC, dan had de hacker niet meer rechten dat een normal user. En nee, hier is nog geen fix voor uitgebracht.

Zulke zaken zijn nu exact de reden dat UAC en het werken met restricted rights zo ontzettend belangrijk zijn, ook voor thuisgebruikers.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • 0 Henk 'm!

  • ik222
  • Registratie: Maart 2007
  • Niet online
Deze discussie is volledig offtopic maar nogmaals ik gebruik mijn pc niet om vage sites te bezoeken e.d. Zolang je gewoon zelf weet wat je doet kun je op je eigen thuiscomputer prima onder admin rechten werken. Doe dat al jaren en heb nog nooit een virus opgelopen, laat staan dat mijn pc gehackt is geweest.

Op een bedrijfsnetwerk is het natuurlijk een compleet ander verhaal.

Acties:
  • 0 Henk 'm!

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

offtopic:
UAC is in Windows 7 sowieso al geen security maatregel meer, maar meer een developertool om te zien of je geen admin-rechten gebruikt in je spullen. Maar dat terzijde

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1