Toon posts:

GPP niet bewaard buiten inlog domein

Pagina: 1
Acties:

maandag 22 oktober 2012 11:19

Acties:
  • 0 Henk 'm!
  • monta
  • Registratie: Januari 2004
  • Laatst online: 02-02 08:00

monta

Topicstarter
Ik heb een group policy preference gemaakt om lokale admins te defnieren. Zolang men inlogt op het netwerk blijven de accounts die bij local admin staan aanwezig maar zodra men inlogt zonder fysieke aanwezigheid van het domein verdwijnen de lokale admin groepen, er verschijnen dan sleutels bij de lokale administrator groep, geen namen of groepen meer.

Waarom worden de lokale admins groepen accounts niet bewaard / gecached wanneer men inlogt buiten de deur? Zodra je weer inlogt met een netwerkkabel op het domein staan de lokale admin accounts er weer...

Is dit met een GPP niet te bewaren buiten het domein? moet ik daarvoor perse een GPO maken?

monta

maandag 22 oktober 2012 11:48

Acties:
  • 0 Henk 'm!
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

GPP's worden gezet tijdens login. Na uitloggen worden ze niet bewaard. Dus als er geen contact is met het domein tijdens inloggen worden ze dan niet gezet. Ook al zou je daarna via VPN verbinden worden ze niet geupdate zoals GPO's.

Ik weet niet of mensen echt cached moeten inloggen maar je zou nog iets kunnen doen dan als "login with dial-up".

maandag 22 oktober 2012 11:54

Acties:
  • 0 Henk 'm!
  • monta
  • Registratie: Januari 2004
  • Laatst online: 02-02 08:00

monta

Topicstarter
Dus om de lokale admins op laptops in te stellen kun je beter geen GPP voor nemen maar GPO's. Dit had ik eerst ook maar een artikel op Internet gaf aan dat dit via Gpp's kan en dat je dan natuurlijk targeting in kunt stellen zoals lokale admin1 op pcxxx, dat kan met GPO's niet vandaar de overstap op Gpp..

monta

maandag 22 oktober 2012 13:08

Acties:
  • 0 Henk 'm!
  • monta
  • Registratie: Januari 2004
  • Laatst online: 02-02 08:00

monta

Topicstarter
Zojuist de GPP disabled en een GPO aangemaakt met add security group: domain admins enz. maar deze worden ook alleen zichtbaar bij de lokale administrator groep als je op het domein inlogt, zodra je buiten het domein linlogt krijg je sleutels te zien. Het wordt dus waarschijnlijk niet bewaard lijkt het op. Maar dit is niet altijd zo geweest..

monta

maandag 22 oktober 2012 13:15

Acties:
  • 0 Henk 'm!
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

Maar een domain admin is standaard admin op alle machines. Daar hoef je niets voor extra te doen. Een machine hoeft alleen lid te zijn van het domein.

Overigens moeten GPO's blijven werken ook buiten het domein.

maandag 22 oktober 2012 13:20

Acties:
  • 0 Henk 'm!
  • monta
  • Registratie: Januari 2004
  • Laatst online: 02-02 08:00

monta

Topicstarter
Volgens mij is standaard alleen de administrator lokale administrator en niet de domain admins.

Nu onder de GPO staan er ook sleutel nummers bij de lokale administrator groep maar het werkt wel. Zojuist geprobeerd een lokale gebruiker (die lid is gemaakt van de lokale admins maar nu niet met naam genoemd wordt bij de lokale adminstrator maar met een nummer), in te vullen in de UAC popup en dit werkt wel. Dus nummer of naam hij werkt wel bij de GPP werkte dat niet..

monta

maandag 22 oktober 2012 13:25

Acties:
  • 0 Henk 'm!
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

monta schreef op maandag 22 oktober 2012 @ 13:20:
Volgens mij is standaard alleen de administrator lokale administrator en niet de domain admins.
Domain Admins vallen meteen ook onder de local admin groep. Dit wordt automagisch geregeld zodra een machine lid wordt van een domein.

Volgens MS:
Domain Admins:

Members of this group have full control of the domain. By default, this group is a member of the Administrators group on all domain controllers, all domain workstations, and all domain member servers at the time they are joined to the domain. By default, the Administrator account is a member of this group. Because the group has full control in the domain, add users with caution.
Bron: http://technet.microsoft....ry/cc756898(v=ws.10).aspx

Dit is wel basiskennis voor wat betreft Windows. ;)

maandag 22 oktober 2012 13:42

Acties:
  • 0 Henk 'm!
  • monta
  • Registratie: Januari 2004
  • Laatst online: 02-02 08:00

monta

Topicstarter
Ok daar heb je gelijk, maar het account dat lokale admin moet krijgen, die af en toe doorgegeven wordt aan de gebruiker, is geen lid van doimain admins, dit is een account speciaal voor lokale admins gemaakt..

monta

maandag 22 oktober 2012 14:01

Acties:
  • 0 Henk 'm!
  • marc181982
  • Registratie: Augustus 2005
  • Laatst online: 06-07 09:20

marc181982

Zoek eens op GPO tattooing (Dit is waarschijnlijk wat je zoekt)

[ Voor 41% gewijzigd door marc181982 op 22-10-2012 14:02 ]

maandag 22 oktober 2012 14:17

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16-07 16:46

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

monta schreef op maandag 22 oktober 2012 @ 11:19:
Ik heb een group policy preference gemaakt om lokale admins te defnieren. Zolang men inlogt op het netwerk blijven de accounts die bij local admin staan aanwezig maar zodra men inlogt zonder fysieke aanwezigheid van het domein verdwijnen de lokale admin groepen, er verschijnen dan sleutels bij de lokale administrator groep, geen namen of groepen meer.
Dus de SID's van de groepen staan er nog steeds netjes op, deze kunnen alleen niet meer resolved worden naar een groepnaam omdat er geen verbinding met het domein is. Dat lijkt me te verwachten gedrag...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 22 oktober 2012 14:32

Acties:
  • 0 Henk 'm!
  • monta
  • Registratie: Januari 2004
  • Laatst online: 02-02 08:00

monta

Topicstarter
Question Mark schreef op maandag 22 oktober 2012 @ 14:17:
[...]

Dus de SID's van de groepen staan er nog steeds netjes op, deze kunnen alleen niet meer resolved worden naar een groepnaam omdat er geen verbinding met het domein is. Dat lijkt me te verwachten gedrag...
Dan is het toch vreemd dat zowel bij de Gpo als bij De Gpp de link naar de usernamen blijven staan maar dat de namen wel werken bij de GPO en niet bij de GPP?

monta

maandag 22 oktober 2012 15:14

Acties:
  • 0 Henk 'm!
  • monta
  • Registratie: Januari 2004
  • Laatst online: 02-02 08:00

monta

Topicstarter
marc181982 schreef op maandag 22 oktober 2012 @ 14:01:
Zoek eens op GPO tattooing (Dit is waarschijnlijk wat je zoekt)
Gekke is dat dat artikel zegt dat Group Policy Preference bewaard blijft, "the gp preference setting will be remain in registry unless otherwise configured". Zodra de Gpp buiten scope valt blijft dus de setting bewaard en dat zou bij de Gpo juist niet zijn....

monta

dinsdag 23 oktober 2012 10:58

Acties:
  • 0 Henk 'm!
  • marc181982
  • Registratie: Augustus 2005
  • Laatst online: 06-07 09:20

marc181982

Hoe heb je het ingesteld?

"Members of this group" of "This group is a member off"

dinsdag 23 oktober 2012 13:13

Acties:
  • 0 Henk 'm!
  • monta
  • Registratie: Januari 2004
  • Laatst online: 02-02 08:00

monta

Topicstarter
Het lijkt nu wel te werken met de Gpp. Er staan nog wel sleutels maar dit komt natuurlijk omdat de namen niet geverifieerd kunnen woren maar ze werken nu wel. Wellicht moet er 3 x op het netwerk aangemeld worden alvorens het geheel doorgevoerd wordt.

De Gpp blijft ook netjes staan als je niet op het domein inlogt want anders zouden de namen niet moeten werken..
De Gpo stond op this group is member off..

Maar met de Gpp is het veel beter voor ons om het in te stellen omdat je dan het targeting systeem hebt. Het werkt nu dus..

monta

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq