Toon posts:

[Domain] Lokaal administrator, maar user op de server

Pagina: 1
Acties:
  • 1.875 views sinds 30-01-2008
  • Reageer

vrijdag 27 juni 2003 11:41

Acties:
  • 0 Henk 'm!

Anoniem: 30946

Topicstarter
Als de vraag al vele malen gesteld, excuses hiervoor, met de search heb ik er niks over kunnen vinden.

Wij hebben een Win2000 domein waarop een gebruiker steeds onder één usernaam inlogt. De gebruiker moet lokaal administrator zijn, maar op de server een user profile krijgen met beperkte rechten. Hij heeft hiervoor een user profile op de server en een administrator profile op de client pc.

Het probleem is nu als de gebruiker inlogt op het domein, de user profile toegepast wordt op het client pc. Hij verliest dus de administrator profile. Met een win2000 client konden we dit oplossen door een update sleutel in het register aan te passen, maar met een XP cliënt blijkt dit niet te werken.

Weet iemand hoe een gebruiker met één usernaam lokaal administrator kan zijn en op de server een userprofile kan krijgen.

vrijdag 27 juni 2003 11:46

Acties:
  • 0 Henk 'm!
  • Krypt
  • Registratie: April 2000
  • Laatst online: 02-06 09:31

Krypt

Hmm. wij pakken het hier anders aan..
We hebben op alle clients een Group toegevoegd in de Local Administrator group; alle users zitten in deze group.. Dus als ze aanloggen om een workstation hebben ze Local Admin rechten..

Op de servers is deze Group niet toegevoegd aan de Local Administrator group, en heeft een user (die mag aanloggen op de server) op de server hetzelfde profiel..

[edit]
Lezen is moeilijk denk ik..
Je wilt dus dat een user op de server een ander profiel heeft dan op een workstation??
Dan zou ik het niet weten..

[ Voor 17% gewijzigd door Krypt op 27-06-2003 11:47 ]

Pvouput live

vrijdag 27 juni 2003 11:46

Acties:
  • 0 Henk 'm!

Anoniem: 33167

Ik probeer hetzelfde voor elkaar te krijgen.

Je kunt het deels oplossen door bijvoorbeeld een groep Super Users (of iets dergelijks) aan te maken. Deze groep maak je ook lid van de groep Domain Users. In de GPO van de Domain Controllers en in een eventuele GPO voor andere servers stel je niets in.

In de GPO van de Client computers stel je bij de Security Settings bij alles waar Administrator staat ook Super Users in.

Tevens maak je enkele ACL's aan in de GPO in zowel het bestandssysteem als in de registry waardoor Super Users verhoogde rechten krijgt gelijk aan de Administrator.

-edit-
De uitwerking is dat Super Users wel software mogen installeren. Ook MSI pakketten zoals bijv. Office mogen ze installeren.

Alleen enkele systeeminstellingen en het installeren van drivers wil niet altijd lukken.

Een tip: Zet GPO Refresh van policies in elk geval uit, anders wordt de client PC elk half uur een minuut lang erg traag.

[ Voor 25% gewijzigd door Anoniem: 33167 op 27-06-2003 11:52 ]

vrijdag 27 juni 2003 11:49

Acties:
  • 0 Henk 'm!
  • Eastern
  • Registratie: Augustus 2000
  • Laatst online: 01-06 01:41

Eastern

Ik zet ze ook altijd in de Local Admin. Het nadeel vind ik dat ze dan ook op andere pc's in de C$ ed. kunnen kijken. Is dat te voorkomen?

vrijdag 27 juni 2003 12:27

Acties:
  • 0 Henk 'm!

Anoniem: 30946

Topicstarter
Dit moet toch simpel in te stellen zijn?

De bedoeling is dus dat de gebruiker lokaal alles mag doen, maar op de server beperke rechten heeft. Lijkt me een logische oplossing :?

vrijdag 27 juni 2003 12:33

Acties:
  • 0 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Kan je net zo goed, 2 users maken... 1 op de server... en 1 opt systeem.
Dan kan je bij options, drukken, waar de user zich aan moet melden... Op het systeem, of in het domein...

vrijdag 27 juni 2003 12:44

Acties:
  • 0 Henk 'm!

Anoniem: 33167

Anoniem: 30946 schreef op 27 June 2003 @ 12:27:
Dit moet toch simpel in te stellen zijn?

De bedoeling is dus dat de gebruiker lokaal alles mag doen, maar op de server beperke rechten heeft. Lijkt me een logische oplossing :?
De kracht van Active Directory is OU (in dit geval). Mijn bovenstaande oplossing heb ik zelf niet uitgebreid getest omdat ik Super Users nog niet volledige rechten heb gegeven maar ik ben er zeker van dat het mogelijk is om Super Users op de workstations Administrator rechten te geven en op de Server User rechten door middel van GPO's en OU's.

vrijdag 27 juni 2003 13:45

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Anoniem: 30946 schreef op 27 June 2003 @ 12:27:
Dit moet toch simpel in te stellen zijn?

De bedoeling is dus dat de gebruiker lokaal alles mag doen, maar op de server beperke rechten heeft. Lijkt me een logische oplossing :?
Daar heb je helemaal geen profiles voor nodig; je kunt op elke gebruikes PC de domain users group lid maken van local administrators -> klaar (kunnen ze lekker de boel gaan slopen)

QnJhaGlld2FoaWV3YQ==

vrijdag 27 juni 2003 13:59

Acties:
  • 0 Henk 'm!
  • Equator
  • Registratie: April 2001
  • Laatst online: 21:04

Equator

Crew Council

#whisky #barista

Brahiewahiewa schreef op 27 juni 2003 @ 13:45:
[...]

Daar heb je helemaal geen profiles voor nodig; je kunt op elke gebruikes PC de domain users group lid maken van local administrators -> klaar (kunnen ze lekker de boel gaan slopen)
* Equator snapt ook niet wat het probleem is..
Een Globale user, kan in de locale groep "Administrators" worden geplaatst. Of zoals brahiewahiewa al melde: Domain Users op elke PC in de groep "Administrators".

Wanneer de gebruiker dan inlogt heeft hij/zij zijn profile op de server, maar alle rechten op het werkstation..

Ik zoek nog een engineer met affiniteit voor Security in de regio Breda. Kennis van Linux, Endpoint Security is een pré. Interesse, neem contact met me op via DM.

vrijdag 27 juni 2003 14:20

Acties:
  • 0 Henk 'm!
  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 05-06 07:43

Grolsch

Eastern schreef op 27 June 2003 @ 11:49:
Ik zet ze ook altijd in de Local Admin. Het nadeel vind ik dat ze dan ook op andere pc's in de C$ ed. kunnen kijken. Is dat te voorkomen?
dan doe je toch echt iets verkeerd,als iemand local admin is, kannie niet op een andere z'n c$ kijken hoor......

PVOUPUT - 13.400WP - Twente

vrijdag 27 juni 2003 14:25

Acties:
  • 0 Henk 'm!

Anoniem: 30946

Topicstarter
Brahiewahiewa schreef op 27 June 2003 @ 13:45:
[...]

Daar heb je helemaal geen profiles voor nodig; je kunt op elke gebruikes PC de domain users group lid maken van local administrators -> klaar (kunnen ze lekker de boel gaan slopen)

vrijdag 27 juni 2003 14:31

Acties:
  • 0 Henk 'm!

Anoniem: 30946

Topicstarter
Brahiewahiewa schreef op 27 June 2003 @ 13:45:
[...]

Daar heb je helemaal geen profiles voor nodig; je kunt op elke gebruikes PC de domain users group lid maken van local administrators -> klaar (kunnen ze lekker de boel gaan slopen)
Er ging iets fout.

De domain user is nu lid van de local administrators. Maar nog krijg ik geen lokale rechten voor de client pc. Als ik inlog, blijf ik lokaal dezelfde rechten houden als op de server.

Ik doe nog iets fout, maar wat?

vrijdag 27 juni 2003 15:26

Acties:
  • 0 Henk 'm!
  • Equator
  • Registratie: April 2001
  • Laatst online: 21:04

Equator

Crew Council

#whisky #barista

Hoo.. De domain user moet lid worden van de groep "Administrators"op de CLIENT PC. Niet op de server..

Dus op de client draaien:
CMD: net localgroup Administrators "Domain Users" /ADD

Ik zoek nog een engineer met affiniteit voor Security in de regio Breda. Kennis van Linux, Endpoint Security is een pré. Interesse, neem contact met me op via DM.

vrijdag 27 juni 2003 15:29

Acties:
  • 0 Henk 'm!
  • Krypt
  • Registratie: April 2000
  • Laatst online: 02-06 09:31

Krypt

Grolsch schreef op 27 juni 2003 @ 14:20:
[...]


dan doe je toch echt iets verkeerd,als iemand local admin is, kannie niet op een andere z'n c$ kijken hoor......
Wel als die user Local Admin is op alle workstations; wat dus is als je de Domain Users groep in de Local Administrator groep dondert..

Pvouput live

vrijdag 27 juni 2003 16:06

Acties:
  • 0 Henk 'm!

Anoniem: 30946

Topicstarter
CyberJ schreef op 27 June 2003 @ 15:26:
Hoo.. De domain user moet lid worden van de groep "Administrators"op de CLIENT PC. Niet op de server..

Dus op de client draaien:
CMD: net localgroup Administrators "Domain Users" /ADD
De Domain User is nu Lokaal lid van de Administrators op de client pc, maar nog heb ik lokaal geen rechten als ik met de domain user inlog.

Ik heb het net ook op een Win2000 client geprobeerd en krijg nu hetzelfde probleem. Kan het niet zo zijn dat op de server een optie is om dit te vergrendelen, zodat een domain user nooit de rechten mag over nemen van een client pc?? of iets in de richting?

vrijdag 27 juni 2003 21:39

Acties:
  • 0 Henk 'm!
  • Eastern
  • Registratie: Augustus 2000
  • Laatst online: 01-06 01:41

Eastern

Krypt schreef op 27 June 2003 @ 15:29:
[...]


Wel als die user Local Admin is op alle workstations; wat dus is als je de Domain Users groep in de Local Administrator groep dondert..
Dat heb ik dus. Wat doe ik dan verkeerd? Ik wil wel graag dat iedereen overal kan werken en gewoon hardware en programma's kan installeren. Ja, sorry geen bedrijf. Maar dan nog...

[ Voor 13% gewijzigd door Eastern op 27-06-2003 21:40 . Reden: toevoeging ]

zaterdag 28 juni 2003 01:57

Acties:
  • 0 Henk 'm!
  • Krypt
  • Registratie: April 2000
  • Laatst online: 02-06 09:31

Krypt

Niets.. als je de group Domain Users bij elke client in de Local Administrator group zet, dan kan iedereen naar elke machine's $-shares connecten.. want iedereen is immers Administrator op elke pc waar de Domain Users in de Local Administrator group zit...

Als je dit dus niet wilt, moet je elke user afzonderlijk in de local administrator groep zetten..
Hoe je dit doet hangt een beetje af van de manier waarop je je client installeert.

Pvouput live

zaterdag 28 juni 2003 11:08

Acties:
  • 0 Henk 'm!

Anoniem: 33167

Krypt schreef op 28 June 2003 @ 01:57:
Niets.. als je de group Domain Users bij elke client in de Local Administrator group zet, dan kan iedereen naar elke machine's $-shares connecten.. want iedereen is immers Administrator op elke pc waar de Domain Users in de Local Administrator group zit...

Als je dit dus niet wilt, moet je elke user afzonderlijk in de local administrator groep zetten..
Hoe je dit doet hangt een beetje af van de manier waarop je je client installeert.
Dit kan wel. Ik heb net de GPO oplossing iets uitgebreider geprobeerd die ik hierboven had beschreven.

Het werkt.
De C$ Share kan namelijk alleen door Administrators worden benaderd, niet door Super Users (de lokale Administrators dus).

Het voordeel van de GPO's is dat je de werkstations in principe nooit hoeft aan te raken. De werkstations worden volledig via GPO geinstalleerd. Het enige wat je moet doen is een gebruiker een Network Service Boot te laten doen zodat je via RIS het OS kan laten installeren. De rest wordt via GPO geregeld :)

[ Voor 19% gewijzigd door Anoniem: 33167 op 28-06-2003 11:13 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq