[Server 2003] Local admin rechten naar windows 7

Waarom moeten de PC's local admin zijn? In een normale situatie zijn clients alleen lid van de groep domain computers.

Servers willen misschien nog wel eens lid zijn van groepen, maar dat is een ander verhaal.

Je kan overigens via een GPO een groep of user toevoegen aan de lokale Administrators groep. Maar die is een group policy preference. Iets wat je nog niet hebt in Windows Server 2003.

https://www.google.com/se...official&client=firefox-a

http://community.spicewor...istrators-across-a-domain

CMD-Snake schreef op woensdag 07 november 2012 @ 16:18:
Waarom moeten de PC's local admin zijn? In een normale situatie zijn clients alleen lid van de groep domain computers.

Servers willen misschien nog wel eens lid zijn van groepen, maar dat is een ander verhaal.

Je kan overigens via een GPO een groep of user toevoegen aan de lokale Administrators groep. Maar die is een group policy preference. Iets wat je nog niet hebt in Windows Server 2003.

group policy preferences bestaat zeker wel in server 2003.
Zolang je vanaf een windows 7 pc de RSAT tools gebruikt (Remote Server Administration Tools) kun je middels de geïnstalleerde Group policy management console gewoon Group Policy Preferences gebruiken.

Alleen voor een windows XP machine moet je dan nog Client Side Extensions installeren (CSE) maar die heb je toch niet meer.

Blijft natuurlijk de vraag staan waarom een gebruiker local admin moet zijn?
Iets wat je eigenlijk niet doet tenzij er echt een legitieme reden voor is.

Crypter schreef op woensdag 07 november 2012 @ 16:21:
[...]


In windows 7 hebben ze nu nul rechten.... in de zin van het niet kunnen installeren van bijvoorbeeld skype oid.
Dat is best irritant. Het is natuurlijk ook gewoon goed als ze die rechten wel krijgen maar dan niet meteen local admin.

waarom moeten ze iets installeren? Als ze skype nodig hebben publiseer je het maar via een GPO.

[ Voor 17% gewijzigd door Wceend op 07-11-2012 16:24 ]

Crypter schreef op woensdag 07 november 2012 @ 16:21:
in de zin van het niet kunnen installeren van bijvoorbeeld skype oid.

Waarom zou een computer Skype gaan installeren? Als ze dat al doen is dat vaak door middel van een GPO, en daarvoor hoeft de computer geen extra rechten te hebben.

Als je wilt dat je gebruikers meer rechten hebben dan moet je dat zeggen

Waar heb je de GPO gelinkt in GPMC? Welke security filtering of WMI filter heb je er op staan? Kun je hier het rapport van het tabblad 'settings' (show all) neerzetten?

CMD-Snake schreef op woensdag 07 november 2012 @ 16:18:
Je kan overigens via een GPO een groep of user toevoegen aan de lokale Administrators groep. Maar die is een group policy preference. Iets wat je nog niet hebt in Windows Server 2003.

zoals al eerder vermeld in dit topic, GPO Preferences kan je wel gebruiken met Server 2003.
Behalve de manier van GPO preferences kun je ook gewoon GPO gebruiken; Restricted Groups
Description of Group Policy Restricted Groups
http://www.windowsecurity...ng-restricted-groups.html

Crypter schreef op donderdag 08 november 2012 @ 11:57:
[...]


Laat maar mensen... het is al gelukt. ik had de GPO gekoppeld aan een user-groep ipv een computer-goep.

Bedoel je gelinked aan een OU met Users ipv Computers?

Wceend schreef op woensdag 07 november 2012 @ 16:22:
[...]
waarom moeten ze iets installeren? Als ze skype nodig hebben publiseer je het maar via een GPO.

software droppen per GPO kunnen ook nadelen aan kleven. Computer uit het domein halen of GPO weg halen en je software uninstalled.
How to use Group Policy to remotely install software in Windows Server 2008 and in Windows Server 2003

[ Voor 38% gewijzigd door Razwer op 08-11-2012 17:57 ]

Razwer schreef op donderdag 08 november 2012 @ 17:52:


software droppen per GPO kunnen ook nadelen aan kleven. Computer uit het domein halen of GPO weg halen en je software uninstalled.

Ik zou dat dan weer een voordeel noemen bij het eerste (licenties op kosten van de zaak), het tweede is waarom er een optie bijzit om de management scope te beinvloeden