Win Server 2008. Niet volledige toegang tot Active Directory

Waarom lukt het niet? Krijg je een foutmelding? En waar en wanneer krijg je die?

rinzy12 schreef op maandag 23 januari 2012 @ 11:33:
Dit soort aanpassingen kan ik niet maken met het ingebouwde administrator account. Hoe kan ik ervoor zorgen dat dit wel lukt?

Ik lees in je TS dat je inlogt als Ingebouwde administrator. Om deze aanpassing te doen, dien je ingelogd te zijn als domain admin. Kijk even of je wel met het goede admin account inlogt.

Ben je wel ingelogd met je active directory account, en niet op de lokale machine? Let er ook op dat je lid moet zijn van domeinadministrators, niet de gewone administrator groep

De ingebouwde administator moet voldoen, althans, ik kan met deze account alles doen in de active dir.

log eens in met /domain naam/administrator

is het account waarme je inlogt domain admin? dan moet het lukken...

GQAH schreef op maandag 23 januari 2012 @ 11:50:
[...]


Ik lees in je TS dat je inlogt als Ingebouwde administrator. Om deze aanpassing te doen, dien je ingelogd te zijn als domain admin. Kijk even of je wel met het goede admin account inlogt.

Of het ingebouwde admin account lid maken van de Domain Administrators groep.
Als je vanaf de client machine dingen wil aanpassen in ActiveDirectory dan heb je de Remote Server Administration Tools (RSAT) nodig.

[ Voor 14% gewijzigd door CH4OS op 23-01-2012 13:22 ]

Of dat gewoon sowieso eventjes nooit doen ?
Gewoon een aparte user aan maken met die rechten dan zit je in ieders geval nooit met problemen als dit.
Als je namelijk over meerdere servers / domeinen gaat werken met allemaal de administrator als admin account heb je echt totaal geen inzicht meer met welk account je nu waar werkt. En ook qua rechten kan het dan een zooitje worden.

Mij is dan ook aangeleerd om vanaf dag een op ieder systeem meteen te beginnen met een alternatief Administrator account. Ook nog eens omdat je de echte (zover je daar over kan spreken bij Windows) root administrator officieel een keer gebruikt en daarna de details wegstop in een kluisje.

[ Voor 27% gewijzigd door Shunt op 23-01-2012 13:27 ]

Shunt schreef op maandag 23 januari 2012 @ 13:25:
Of dat gewoon sowieso eventjes nooit doen?

Ik zie niet in waarom niet, zeker niet als ik de enige ben die van mijn Windows 2008 R2 VM gebruik maak.

Gewoon een aparte user aan maken met die rechten dan zit je in ieders geval nooit met problemen als dit.
Als je namelijk over meerdere servers / domeinen gaat werken met allemaal de administrator als admin account heb je echt totaal geen inzicht meer met welk account je nu waar werkt. En ook qua rechten kan het dan een zooitje worden.

Mij is dan ook aangeleerd om vanaf dag een op ieder systeem meteen te beginnen met een alternatief Administrator account. Ook nog eens omdat je de echte (zover je daar over kan spreken bij Windows) root administrator officieel een keer gebruikt en daarna de details wegstop in een kluisje.

Voor bedrijven is dat wellicht het devies, hebben het nu over een thuisserver van iemand. En kan me voorstellen dat er dan gewoon minder moeilijk over gedaan moet worden.

[ Voor 3% gewijzigd door CH4OS op 23-01-2012 13:33 ]

CptChaos schreef op maandag 23 januari 2012 @ 13:33:
[...]
Ik zie niet in waarom niet, zeker niet als ik de enige ben die van mijn Windows 2008 R2 VM gebruik maak.
[...]
Voor bedrijven is dat wellicht het devies, hebben het nu over een thuisserver van iemand. En kan me voorstellen dat er dan gewoon minder moeilijk over gedaan moet worden.

Imoh kan je beter overal het zelfde aan houden dan ga je hopelijk er nergens de fout mee in. Verder kan het ook voor thuis situaties voor problemen zorgen (zoals de gebruiker waarschijnlijk nu heeft )

Pfff..

Stelletje prutsers
Als je Domain Controller de enige machine is waarop je probeert in te loggen heb je niets anders dan domain accounts ter beschikking omdat AD je lokale accounts vervangt.

Dus al dat gedoe over toevoegen aan lokale groepen is nergens voor nodig. Zodra je inlogt met domain\administrator heb je je Domain Admin account al.

Enige is dat je voor privileged acties met UAC ingeschakeld taken met de context menu optie Run As Administrator moet uitvoeren.

Er is geen lokale admin op een Domain Controller.
Alleen de (domain) Administrator account.

rinzy12 welke gebruikers accounts hangen er uberhaupt aan je server?
( denk hierbij aan je domain administrators account en de overige )

[ Voor 33% gewijzigd door Verwijderd op 23-01-2012 14:59 . Reden: duidelijker gemaakt ]

CptChaos schreef op maandag 23 januari 2012 @ 13:33:
[...]
Ik zie niet in waarom niet, zeker niet als ik de enige ben die van mijn Windows 2008 R2 VM gebruik maak.
[...]

Omdat als er ooits iets misgaat met dat account, je geen enkele backup hebt.

rinzy12 schreef op maandag 23 januari 2012 @ 14:54:
dus eigenlijk gewoon inloggen met lokaal admin?

Een domeincontroller is eigenaar van het domein. Het kent uitsluitend domeinaccounts. Het domein is voor een DC de lokale pc. Je maakt dus geen onderscheid tussen lokale accounts en domeinaccounts.


Verder vraag ik me af hoe je de DC hebt geïnstalleerd. Als je gewoon het boekje volgt, sluit je jezelf niet opeens zomaar buiten. Zit je niet in de lokale policy te werken i.p.v. de domeinpolicy? Want dat verschil is er nog wel, waarbij de eerste niet zo zinvol is.

Mag je wel andere administratieve taken uitvoeren, zoals het verwijderen en installeren van hardware en het wijzigen van de systeemtijd?

[ Voor 22% gewijzigd door Eagle Creek op 23-01-2012 15:08 ]

alt-92 schreef op maandag 23 januari 2012 @ 13:54:
Enige is dat je voor privileged acties met UAC ingeschakeld taken met de context menu optie Run As Administrator moet uitvoeren.

Dat gelezen en uitgeprobeerd??

UAC is niet je probleem, vertel eens wat meer over wat je hebt gedaan. je hebt de server geinstaleerd, toen dcpromo gedraaid (of het via een rol gedaan), verder nog iets met accounts gedaan. rechten van andere accounts af gehaald? en er is een default "administrator" account heb je, met je eigen "rinzy" account ingelogd die nu alle rechten heeft?
Tevens wat je wil is een Group Policy instelling met betrekking tot "security" guidelines uitvoeren, dit stel je dus in een GPO in en niet in AD user accounts. Neemt niet weg dat je voordat je dit kan doen eerst er voor moet zorgen dat je inderdaad alle rechten tot je systeem krijgt.

antwoord op je administrator vraag..Nee
Het boeit AD niet of je 1 of 2 administrators hebt of 200000. Je moet tevens Domain Administrator zijn "domain admin" voor het aanpassen van domein zaken. Stel je gaat nog hogere dingen aanpassen in je domein bv Certificate authroity en andere zaken dan moet je Enterprise Admin zijn. Maar dat zijn dingen waar je nu niet eens over na moet denken. Kijk of je Rinzy account dus lid is van domain admins en start een shell op en voer daar: dcdiag uit hier kan je ook in een beter overzicht zien wat er allemaal speelt en wat wel of niet goed werkt.
Tevens is google je vriend in dit soort dingen.

Ik zou als ik jou was inderdaad eerst even wat meer howto's of simpele guides erbij pakken voordat je verder gaat.
Petri.co.il heeft aardig wat handige resources, kijk op technet rond, dat soort dingen.

We zijn echt niet te beroerd om te helpen, maar zoals je hier aan het werk gaat is nou niet bepaald de bedoeling (lees: 'jullie moeten mij maar vertellen wat ik moet doen' ).
Sowieso krijg ik de indruk dat je niet helemaal weet waar je aan begonnen bent, als je accounts en groepen zonder enig plan door elkaar gaat gooien.

Probeer het even opnieuw zodra je weer thuis bent en je je eigen server ook kan nakijken, want als je op je stage adres zit kun je toch weinig nuttigs aangeven.

[ Voor 13% gewijzigd door alt-92 op 23-01-2012 16:19 ]