[win7] local admin account

dinsdag 28 december 2010 10:56

Acties:

0 Henk 'm!

Topicstarter

Op een domein maak ik de gebruikers van het domein lokale admin gebruiker via een GPO. De gebruikers kunnen op deze manier iedere pc benaderen via: pcnaam\c$ bijvoorbeeld. Dit wil ik gaan voorkomen. Lokale admin was nodig voor een remote applicatie.
Is er een manier in Windows 7 in het domein om de lokale admin rechten terug te schroeven of een andere groep aan te maken die meer rechten heeft dan standard gebruiker maar bijv. niet andere pc's kan benaderen via de c$?

monta

dinsdag 28 december 2010 10:58

Acties:

0 Henk 'm!

@r!k

It is I, Leclerq

security settings in je GPO zo aanpassen zodat de gebruikers geen admin meer zijn?

Ik moest overigens wel vier keer lezen voordat ik volgens mij door had wat je bedoelt. Verduidelijk anders je vraag even.

<edit> het gaat je zo te zien alleen om het benaderen van de C$ shares, welke rechten wil je dat de gebruikers nog wel hebben? Als je ze admin maakt kunnen ze volgens mij vanzelf ook bij de C$ share dus dat gaat nietwerken.

<edit2>
Lees dit eens door http://social.answers.mic...36-4db6-a98c-b4c1aca35aaf wellicht dat je daar wat aan hebt.

[ Voor 57% gewijzigd door @r!k op 28-12-2010 11:02 ]

Een hele rij microsoft certificeringen.

dinsdag 28 december 2010 11:31

Acties:

0 Henk 'm!

monta

Topicstarter

Wat ik bedoel:

We draaien nu met Windowsxp. Op dit moment moeten de domein gebruikers built-in admin zijn op hun machine. Maar een lokale admin mag via de c$ naar andere pc's connecteren.
Ik wil dus eigenlijk de rechten terugschroeven van die gebruikers. Omdat zij lokale admin zijn is dit moeilijk. Kan wel gaan testen of de lokale admin gpo niet meer hoeft te draaien zodat gebruikers geen lokale admin zijn maar een standaard gebruiker mag weer te weinig.
Ik zoek dus eigenlijk een gouden middenweg: wel lokale admin maar toch de rechten beperken...

monta

dinsdag 28 december 2010 11:35

Acties:

0 Henk 'm!

Fish

How much is the fish

Wellicht kun je beter het probleem voorleggen waarom ze lokaal admin moeten zijn. en van daaruit proberen te werken.

Iperf

dinsdag 28 december 2010 11:35

Acties:

0 Henk 'm!

Wiethoofd

Broadcast TOM

In Windows 7 staan die C$ en IPC$ shares default ingesteld als onbenaderbaar, maar bestaan wel degelijk. Via een handmatige registerwijziging op de Windows 7 pc zijn de shares op die pc vervolgens via C$ vanaf andere computers te benaderen.

Dus ik weet niet of dat het geval is en dus gewenst is, maar ik liep daar tegenaan bij een upgrade van XP naar W7 dat m'n administrative shares ineens niet meer default werkten.

Volg me op Twitter/X & Bluesky

dinsdag 28 december 2010 11:48

Acties:

0 Henk 'm!

tc982

Ik zie het probleem niet. Maak iedereen toch gewoon terug user? Of heb ik dat echt verkeerd voor!? Een gpo die de "Domain Users" uit de Administrator groep haalt.

Trouwens je hebt dit probleem enkel en alleen maar omdat je te veel permissies zet. Maak een GPO aan die Enkel en alleen de gebruiker local admin maakt en niet een groep. Omdat iedereen enkel op zijn eigen pc admin is, kan hij niet meer aan de andere. In jouw geval maak je ineens alle gebruikers lid van de lokale amdin en kan iedereen aan alles.

Computers make very fast, very accurate mistakes.

dinsdag 28 december 2010 12:24

Acties:

0 Henk 'm!

FireDrunk

Je kan gebruikers lid maken van een groep die rechten heeft op de gehele C: schijf... Dat is vaak voor applicaties genoeg. Daarbij maak je ze poweruser, dan mogen ze ook een hoop registry instellingen aanpassen.
Admin shares werken op de Administrators groep, en zijn dus niet te benaderen met een Power User account.

Even niets...

dinsdag 28 december 2010 12:54

Acties:

0 Henk 'm!

monta

Topicstarter

Zoals ik het gelezen heb is de power user groep niet meer beschikbaar in Windows 7.

Ik ga wel testen zonder de gebruiker built in admin te maken. Kijken of Citrix werkt. Daarnaast zijn er nog andere programma's die alleen onder administrator goed werken. Dit is de reden waarom we de gebruikers built in admin hebben gemaakt.

monta

dinsdag 28 december 2010 13:00

Acties:

0 Henk 'm!

TRON

1) Maak een AD-groep aan PER machine met de naam LokaleAdmins-Computernaam
2) Stel op de machine in dat de betreffende AD-groep Administrator-rechten heeft op de betreffende machine.
3) Koppel gebruikers aan de betreffende LokaleAdmins-Computernaam-groepen waar ze rechten op nodig hebben.

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

dinsdag 28 december 2010 14:01

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows 7

Geloof dat dat nou juist niet de bedoeling was maar dat men bij voorkeur zonder admin wel hun ding kon doen.

En waarom je administrative privileges moet hebben om een Citrix client te kunnen gebruiken is mij onduidelijk, want hier lukt dat zelfs als een bog-standard usert.

[ Voor 43% gewijzigd door alt-92 op 28-12-2010 14:11 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 28 december 2010 14:03

Acties:

0 Henk 'm!

TRON

TS wil dat een local admin niet bij de admin-shares kan komen van alle computers. Dan is dit een oplossing.

't Is niet de meest nette / wenselijke oplossing.

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

dinsdag 28 december 2010 14:12

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows 7

Dan zet ik wel gewoon een firewall rule aan dat werkstations onderling niet mogen NetBT'en als je het niet erg vind

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 28 december 2010 14:27

Acties:

0 Henk 'm!

tc982

Nogmaals :

Stel je hebt twee laptops in je netwerk ( Laptop A & Laptop B ), en twee gebruikers Gebruiker A en Gebruiker B.

Scenario 1 : Domain Users zijn bij de Local Admins gevoegd

Nu heeft gebruiker A op Laptop A Admin share rechten op beide laptops aangezien allebei lid zijn van de Domain Users.

Scenario 2 : Gebruiker A rechten geven in Local Admin Group op PC Laptop A, Gebruiker B rechten geven in Local Admin Group op Laptop B.

Nu heeft gebruiker A geen rechten op Laptop B, aangezien deze enkel en alleen in Laptop B , Gebruiker B staat als admin. DUS geen rechten!

Scenario 3 :Eerst Scanario 2 en dan uitschakelen van "File and Print" optie in de firewall via GPO indien dit past in het netwerk.

Computers make very fast, very accurate mistakes.

dinsdag 28 december 2010 15:53

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows 7

Scenario 4:
Zorg dat je je software packages zonder adminrechten voor de gebruiker laat werken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 28 december 2010 15:58

Acties:

0 Henk 'm!

monta

Topicstarter

tc982 schreef op dinsdag 28 december 2010 @ 14:27:
Nogmaals :

Stel je hebt twee laptops in je netwerk ( Laptop A & Laptop B ), en twee gebruikers Gebruiker A en Gebruiker B.

Scenario 1 : Domain Users zijn bij de Local Admins gevoegd

Nu heeft gebruiker A op Laptop A Admin share rechten op beide laptops aangezien allebei lid zijn van de Domain Users.

Scenario 2 : Gebruiker A rechten geven in Local Admin Group op PC Laptop A, Gebruiker B rechten geven in Local Admin Group op Laptop B.

Nu heeft gebruiker A geen rechten op Laptop B, aangezien deze enkel en alleen in Laptop B , Gebruiker B staat als admin. DUS geen rechten!

Scenario 3 :Eerst Scanario 2 en dan uitschakelen van "File and Print" optie in de firewall via GPO indien dit past in het netwerk.

Bij scenario 2 moet je dit dus per systeem instellen. De bedoeling is dat het via AD gaat. Nu maak ik ook iedereen local admin via AD.
Ik denk dat het het makkelijkst is om iedereen na install van WIn7 lokale admin af te halen en zorgen dat het Citrix verhaal gaat werken dat overigens eeuwen oud is.

monta

dinsdag 28 december 2010 16:01

Acties:

0 Henk 'm!

@r!k

It is I, Leclerq

alt-92 schreef op dinsdag 28 december 2010 @ 15:53:
Scenario 4:
Zorg dat je je software packages zonder adminrechten voor de gebruiker laat werken.

Dit dus

Een hele rij microsoft certificeringen.

dinsdag 28 december 2010 16:21

Acties:

0 Henk 'm!

tc982

monta schreef op dinsdag 28 december 2010 @ 15:58:
[...]

Bij scenario 2 moet je dit dus per systeem instellen. De bedoeling is dat het via AD gaat. Nu maak ik ook iedereen local admin via AD.
Ik denk dat het het makkelijkst is om iedereen na install van WIn7 lokale admin af te halen en zorgen dat het Citrix verhaal gaat werken dat overigens eeuwen oud is.

Naar mijn weten heeft citrix nog nooit een client gehad die local admin rechten nodig heeft om te werken.

Computers make very fast, very accurate mistakes.

woensdag 29 december 2010 08:31

Acties:

0 Henk 'm!

monta

Topicstarter

Dat is toch echt wel bekendd, ook via google gevonden.

tc982 schreef op dinsdag 28 december 2010 @ 16:21:
[...]

Naar mijn weten heeft citrix nog nooit een client gehad die local admin rechten nodig heeft om te werken.

Dat is toch echt wel bekendd, ook via google gevonden.[quote]tc982 schreef op dinsdag 28 december 2010 @ 16:21:
[...]

monta

woensdag 29 december 2010 08:47

Acties:

0 Henk 'm!

@r!k

It is I, Leclerq

monta schreef op woensdag 29 december 2010 @ 08:31:
Dat is toch echt wel bekendd, ook via google gevonden.
[...]

Dat is toch echt wel bekendd, ook via google gevonden.[quote]tc982 schreef op dinsdag 28 december 2010 @ 16:21:
[...]

linkje?

Een hele rij microsoft certificeringen.

woensdag 29 december 2010 08:55

Acties:

0 Henk 'm!

DLX

Citrix heeft geen local admin rechten nodig. Onzin!

Verder zou ik niet weten waarom je voor programma's local admin moet zijn; dit is waarschijnlijk gewoon een kwestie van de juiste rechten op de juiste mappen en regkeys zetten!

[ Voor 63% gewijzigd door DLX op 29-12-2010 08:57 ]

The Legend Will Never Die

woensdag 29 december 2010 08:57

Acties:

0 Henk 'm!

grimson

domeingrommer

net localgroup administrators /add interactive

Bovenstaand commando maakt iedereen die interactief aanmeld, dus alleen via de PC en niet via het netwerk, lokale beheerder.
Alhoewel het niet mijn best practice is om iedereen lokale beheerder te maken is dit wel beter dan het standaard 'Domain Users' aan de 'Administrators' toe te voegen van een werkstation.

*interactive kan voor een NL OS interactief zijn als schrijfwijze.

[ Voor 51% gewijzigd door grimson op 29-12-2010 09:01 ]

Zon opbrengst http://plugwise.grimson.nl/ | Fotomeuk

woensdag 29 december 2010 09:18

Acties:

0 Henk 'm!

tc982

monta schreef op woensdag 29 december 2010 @ 08:31:
Dat is toch echt wel bekendd, ook via google gevonden.
[...]

Dat is toch echt wel bekendd, ook via google gevonden.[quote]tc982 schreef op dinsdag 28 december 2010 @ 16:21:
[...]

Ik heb al genoeg Citrix installaties gedaan, zelfs Citrix servers waar de gebruikers nog eens een externe citrix server opstarten. En dit allemaal zonder user rechten.

Het enigste dat nog maar in de buurt kan komen is dat je misschien de %appdata%\Citrix zelf moet populeren met INI files, maar daar zijn login scripts voor bedoeld.

In plaats van te googlen, volg gewoon eens een cursus!?

Computers make very fast, very accurate mistakes.

woensdag 29 december 2010 09:40

Acties:

0 Henk 'm!

monta

Topicstarter

tc982 schreef op woensdag 29 december 2010 @ 09:18:
[...]

Ik heb al genoeg Citrix installaties gedaan, zelfs Citrix servers waar de gebruikers nog eens een externe citrix server opstarten. En dit allemaal zonder user rechten.

Het enigste dat nog maar in de buurt kan komen is dat je misschien de %appdata%\Citrix zelf moet populeren met INI files, maar daar zijn login scripts voor bedoeld.

In plaats van te googlen, volg gewoon eens een cursus!?

Die is goed.... wat voor cursus?

monta

woensdag 29 december 2010 10:09

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows 7

monta schreef op woensdag 29 december 2010 @ 08:31:
Dat is toch echt wel bekendd, ook via google gevonden.[...]

Geef als je dit soort dingen zegt dan op z'n minst de bijbehorende links mee.
Beargumenteer je opmerking.

Best practice is limited user accounts, tenzij het echt niet anders kan. En dat is door zo'n beetje elke softwareboer wel onderkend, en het is ook geen rocket science om zoiets in kaart te brengen.

* alt-92 heeft weinig begrip voor blanket Administrative privileges geven omdat dat nou eenmaal zo lekker makkelijk is

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 29 december 2010 10:17

Acties:

0 Henk 'm!

dj_vibri

int(e^x) = f(u)^n

monta schreef op woensdag 29 december 2010 @ 09:40:

Die is goed.... wat voor cursus?

Ik gok zoiets:

opleiding 1
opleiding 2

*Dit is voor in Belgie :)*

Last night I lay in bed looking up at the stars in the sky and I thought to myself, where the heck is the ceiling.

woensdag 29 december 2010 13:39

Acties:

0 Henk 'm!

tc982

monta schreef op woensdag 29 december 2010 @ 09:40:
[...]

Die is goed.... wat voor cursus?

dj_vibri schreef op woensdag 29 december 2010 @ 10:17:
[...]

Ik gok zoiets:

opleiding 1
opleiding 2

*Dit is voor in Belgie :)*

Voila, zo moeilijk was dat nu toch niet hé.

Computers make very fast, very accurate mistakes.

zondag 2 januari 2011 16:52

Acties:

0 Henk 'm!

monta

Topicstarter

Ik ga iedereen standaard gebruiker maken en schijfrechten geven op C en het register. Er zullen dan wellicht niet zo veel problemen meer ontstaan met programma's.

Maar wat het beste te doen indien ik wil dat de standaard gebruiker van een client zelf programma's mag installeren of andersoortige rechten. Kan dit het beste via een GPO geregeld worden zoiets als elevated rights of een bepaalde groep maken en domain users toevoegen, vervolgens de groep toevoegen aan de "restricted group"?
Ik wil geen gebruik maken van de "runas administrator" alleen als het niet anders kan...
In het geval van de restricted group maak je gebruikers alsnog lid van de lokale administrator groep

monta

zondag 2 januari 2011 18:11

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows 7

monta schreef op zondag 02 januari 2011 @ 16:52:
Ik ga iedereen standaard gebruiker maken en schijfrechten geven op C en het register. Er zullen dan wellicht niet zo veel problemen meer ontstaan met programma's.

Waarom?
Heb je enig idee wat de standaard beschrijfbare lokaties zijn en waarom dat is?
Die info is prima op Technet te vinden als je gaat zoeken naar application compatibility testing.

Maar wat het beste te doen indien ik wil dat de standaard gebruiker van een client zelf programma's mag installeren of andersoortige rechten.

Denk nou eerst even goed na over wat je wil doen.
Desnoods zorg je ervoor dat je software via AD aanbiedt - hetzij assigned, hetzij published.

En als je een workaround wil, dan gebruik je een startup script of de restricted groups om de Local Administrator groep schoon te houden/vegen bij een reboot, dan kun je ad-hoc iemand erin zetten en bij een herstart is ie Admin af.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 2 januari 2011 18:46

Acties:

0 Henk 'm!

monta

Topicstarter

alt-92 schreef op zondag 02 januari 2011 @ 18:11:
[...]

Denk nou eerst even goed na over wat je wil doen.
Desnoods zorg je ervoor dat je software via AD aanbiedt - hetzij assigned, hetzij published.

En als je een workaround wil, dan gebruik je een startup script of de restricted groups om de Local Administrator groep schoon te houden/vegen bij een reboot, dan kun je ad-hoc iemand erin zetten en bij een herstart is ie Admin af.

Ik heb er goed over nagedacht, maar het heeft natuurlijk ook met beleid te maken. Als men nu wilt dat gebruikers zelf software mag installeren of zelf instellingen veranderen die een standaard gebruiker niet mag aanpassen of inderdaad software installeren dan moet je iedere keer een user toevoegen aan een groep en de policy enablen en vervolgens weer ongedaan maken, bij een volgende installatie weer enz enz.

Het is toch niet zo gek dat je wilt dat standaard gebruikers meer moeten kunnen zonder Buildin admin te zijn?

monta

zondag 2 januari 2011 19:59

Acties:

0 Henk 'm!

alt-92

ye olde farte

Microsoft Windows 7

monta schreef op zondag 02 januari 2011 @ 18:46:
Als men nu wilt dat gebruikers zelf software mag installeren of zelf instellingen veranderen die een standaard gebruiker niet mag aanpassen of inderdaad software installeren [...]

Dan geef je ze lekker admin en trek je je handen qua support eraf. Probleem met een PC en men heeft admin? >> reimage PC of zelf laten fixen.
En dat leg je vast in een SLA met je afnemer.

Het is toch niet zo gek dat je wilt dat standaard gebruikers meer moeten kunnen zonder Buildin admin te zijn?

Ligt er dus aan wat jij of je opdrachtgever onder 'meer moeten kunnen' verstaat.
Effe pakketje zusenzo installeren of veel voorkomende internetmeuk downloaden en installeren?
Is het uberhaupt werkgerelateerd?
En zo ja, zou je dat dan niet liever willen voorkomen door ze als managed software distributie aan te bieden?

[ Voor 15% gewijzigd door alt-92 op 02-01-2011 20:01 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Onderwerpen