Toon posts:

Group Policy voor netwerk interface

Pagina: 1
Acties:

Vraag

dinsdag 18 juni 2024 11:51

Acties:
  • 0 Henk 'm!
  • Tuskermalt
  • Registratie: September 2009
  • Laatst online: 08-09 16:50

Tuskermalt

Topicstarter
Mijn vraag
...
In de windows group policy is het mogelijk dat een group gebruikers toegang kan krijgen om de instellingen van de netwerk interface aan te passen zonder dat je daar elke voor hoeft in te loggen.

Onze ICT heeft de boel nogal dichtgetimmerd. Het is een grote ergenis dat we elke keer als we iets aan de NIC willen veranderen je moet inloggen. Via fingerprint werkt ook maar haalt je toch elke keer uit je flow. Mijn collega die in de buitendienst zit heeft hier het meeste last van.

Nu weet ik zelf niet heel erg veel van policies af in windows server maar is er een groep te maken waar het niet elke nodig is dat we dit hebben.


Relevante software en hardware die ik gebruik
Windows server/ Client

Alle reacties

dinsdag 18 juni 2024 11:57

Acties:
  • 0 Henk 'm!
  • PD2JK
  • Registratie: Augustus 2001
  • Laatst online: 08:46

PD2JK

ouwe meuk is leuk

Kun je je systeembeheerder niet vragen of je lid mag worden van de local network configuration operators group? Eén minuut werk voor hem/haar.

Heeft van alles wat: 8088 - 286 - 386 - 486 - 5x86C - P54CS - P55C - P6:Pro/II/III/Xeon - K7 - NetBurst :') - Core 2 - K8 - Core i$ - Zen$

dinsdag 18 juni 2024 12:09

Acties:
  • 0 Henk 'm!
  • Tuskermalt
  • Registratie: September 2009
  • Laatst online: 08-09 16:50

Tuskermalt

Topicstarter
Dat ga ik eens vragen. En zo'n groep is die ook te gebruiken voor bijvoorbeeld het installeren van software. Nu hebben we daar een local installer account voor maar is ook omslachtig.

dinsdag 18 juni 2024 12:19

Acties:
  • +1 Henk 'm!
  • PD2JK
  • Registratie: Augustus 2001
  • Laatst online: 08:46

PD2JK

ouwe meuk is leuk

Dan wordt je al gauw power-user / local admin. Weet niet wat je rol is binnen de organisatie, maar doorsnee users geef je normaal gesproken geen local admin rechten.

Heeft van alles wat: 8088 - 286 - 386 - 486 - 5x86C - P54CS - P55C - P6:Pro/II/III/Xeon - K7 - NetBurst :') - Core 2 - K8 - Core i$ - Zen$

dinsdag 18 juni 2024 12:28

Acties:
  • 0 Henk 'm!
  • Tuskermalt
  • Registratie: September 2009
  • Laatst online: 08-09 16:50

Tuskermalt

Topicstarter
We hebben al een local admin account om software te installeren maar als je dan je AD account gebruikt werken bepaalde modules weer niet door dat je geen local admin bent. We hebben hier al best wat discussie over gehad doordat we continu hier tegen aanlopen.
We hebben binnen kort een sessie met ICT en wil weten wat er nu wel en niet kan met policies zodat ik het beter kan onderbouwen. Nu gebeurd het al als iets niet werkt dat er "geitenpaadjes" worden gebruikt.

woensdag 19 juni 2024 07:08

Acties:
  • 0 Henk 'm!
  • PD2JK
  • Registratie: Augustus 2001
  • Laatst online: 08:46

PD2JK

ouwe meuk is leuk

Als ik het goed begrijp, gebruik je een apart local account met local admin rechten als omweg?
Een domain admin kan ook jouw domain account toevoegen aan de de local admin group, of alleen de local network operators group.
Maar dat is dus de discussie met jullie ICT afdeling, danwel management als ik het zo lees.

Heeft van alles wat: 8088 - 286 - 386 - 486 - 5x86C - P54CS - P55C - P6:Pro/II/III/Xeon - K7 - NetBurst :') - Core 2 - K8 - Core i$ - Zen$

woensdag 19 juni 2024 07:18

Acties:
  • +1 Henk 'm!
  • Brokencore
  • Registratie: Juli 2002
  • Laatst online: 07:13

Brokencore

PD2JK schreef op dinsdag 18 juni 2024 @ 11:57:
Kun je je systeembeheerder niet vragen of je lid mag worden van de local network configuration operators group? Eén minuut werk voor hem/haar.
Ik ben geen expert, maar zit met mijn eigen domein account in deze lokale groep. Bij wijziging moet ik echter nog steeds een keer extra inloggen (met mijn eigen account).

Vermoed dat de TS dit ook bedoelt en de hele UAC popup wilt onderdrukken. Ik lees dan ook geïnteresseerd mee.

woensdag 19 juni 2024 07:49

Acties:
  • 0 Henk 'm!
  • PD2JK
  • Registratie: Augustus 2001
  • Laatst online: 08:46

PD2JK

ouwe meuk is leuk

UAC zouden ze dan nog op acknowledge only kunnen zetten, dan hoeft TS alleen nog maar op Ja/Nee te klikken.

Vraag is, of ICT dat wil. :p

Heeft van alles wat: 8088 - 286 - 386 - 486 - 5x86C - P54CS - P55C - P6:Pro/II/III/Xeon - K7 - NetBurst :') - Core 2 - K8 - Core i$ - Zen$

woensdag 19 juni 2024 08:32

Acties:
  • 0 Henk 'm!
  • Tuskermalt
  • Registratie: September 2009
  • Laatst online: 08-09 16:50

Tuskermalt

Topicstarter
Waarschijnlijk willen ze dit niet en die UAC pop up vind ik persoonlijk niet erg maar als je ook maar iets wil installeren/ ip adres van je nic wil veranderen admin rechten voor nodig hebt is gewoon ergelijk.

Maar als ik het goed begrijp de instellingen vanuit AD kunnen dus aangepast worden zodat we hier minder last van gaan hebben?

woensdag 19 juni 2024 12:35

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 10:16

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Tuskermalt schreef op dinsdag 18 juni 2024 @ 11:51:
Het is een grote ergenis dat we elke keer als we iets aan de NIC willen veranderen je moet inloggen.
Wat is je usecase? Waarom zou je als gebruiker regelmatig iets aan de instellingen van een nic willen veranderen?

Welke settings moeten aangepast worden? Kan dat niet met een powershell script, die evt. via Run-As opgestart worden?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 19 juni 2024 15:44

Acties:
  • 0 Henk 'm!
  • Tuskermalt
  • Registratie: September 2009
  • Laatst online: 08-09 16:50

Tuskermalt

Topicstarter
We komen bij klanten en vaak zit er geen DHCP op een technisch netwerk dan kan het gebeuren dat je vaak met de hand moet invullen om verbinding te krijgen met de apparatuur.

woensdag 19 juni 2024 16:38

Acties:
  • 0 Henk 'm!
  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 00:43

The Eagle

I wear my sunglasses at night

Je moet hem denk ik anders aanvliegen. Die UAC zit er niet voor niks; met het gebruik van elevated rights en een admin account binnen een netwerk wordt er meer gevalideerd dan alleen de user. Denk ook aan logging, auditting, doelmatig gebruik, etc.

Je zult vast niet de enige zijn met dit probleem binnen het bedrijf, maar vermoedelijk over het hele bedrijf gezien een van de weinigen.

Dus leg je functionele wens voor aan ICT: ik wil netwerksettings van de fysieke interface kunnen aanpassen op mijn laptop, want ik heb dat nodig om bij klanten te kunnen werken op hun netwerk met mijn laptop.
En niet: ik wil X want dat is een oplossing voor mijn probleem die ik zelf bedacht heb (en mogelijk tegen alle securitypolicies en guidelines van het bedrijf in gaat).

Daarbij is "het is ergerlijk" nog steeds geen valide reden om van een corporate policy af te wijken. Als het dat wel was zouden een hoop collega's ongetwijfeld het veld ruimen wegens ergerlijk gedrag ;)
Ja, sommige dingen zijn onhandig, irritant en halen je uit je flow. MFA is ook nodig, dat zul jij ook niet ontkennen. Dus deal with it :)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

woensdag 19 juni 2024 16:39

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 10:16

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Ik zou het met Powershell doen, zie hieronder voor voorbeelden.

https://4sysops.com/archi...ure-dhcp-with-powershell/

Overigens wel bijzonder dat je met je eigen kantoorlaptop op een produktie/technisch netwerk mag inprikken. Dat hoor ik niet heel vaak. De meeste klanten waar ik kom, zetten steeds meer in op OT beveiliging.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 20 juni 2024 09:25

Acties:
  • 0 Henk 'm!
  • Brokencore
  • Registratie: Juli 2002
  • Laatst online: 07:13

Brokencore

Question Mark schreef op woensdag 19 juni 2024 @ 16:39:
Overigens wel bijzonder dat je met je eigen kantoorlaptop op een produktie/technisch netwerk mag inprikken. Dat hoor ik niet heel vaak. De meeste klanten waar ik kom, zetten steeds meer in op OT beveiliging.
Het gaat bij ons vaak om storingsmonteurs welke lokaal moeten verbinden met "geïsoleerde" apparaten (vandaar ook geen DHCP).

Denk aan:
- Losse laadpaal
- PV omvormer
- Koffie automaat
- Slagboom bij de parkeerplaats

Allemaal apparaten waarbij de ethernet in die situatie enkel wordt gebruikt voor support/updates.

Zelf gebruik ik onderstaand batchscript in verschillende varianten. Maar dus wel met UAC popup.
code:
1
2
3

@echo off
netsh interface ip set address "Ethernet" static addr=192.168.1.100 gateway=192.168.1.1 mask=255.255.255.0
netsh interface ip set dns "Ethernet" static addr=192.168.1.1 primary

donderdag 20 juni 2024 09:36

Acties:
  • +2 Henk 'm!
  • Michiel313
  • Registratie: December 2009
  • Laatst online: 15-09 15:25

Michiel313

Is een tool als Simple IP Config geen uitkomst? Dan hoef je maar een keer je lokale admin account in te vullen om IP config's aan te passen van alle beschikbare netwerkadapters. Je kan ook templates opslaan van verschillende netwerken.

Als netwerkbeheerder kan ik niet meer zonder.

LAAG8 Blog

donderdag 20 juni 2024 18:44

Acties:
  • +1 Henk 'm!
  • akimosan
  • Registratie: Augustus 2003
  • Niet online

akimosan

In ons bedrijf met veel monteurs werkzaam in de telecom maken we ook gebruik van Simple IP Config.

NetSetMan Pro is nog wat vriendelijker en daar heb je als werkplekbeheerder ook de mogelijkheid om delen van de applicatie te draaien als een service en zodanig te configureren dat de service de netwerkinstellingen aanpast. Enkel het service account wat je centraal kunt beheren heeft dan de permissies om de netwerkinstellingen aan te passen, dus voor reguliere accounts kun je dan enkel gebruikerspermissies instellen.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq