Toon posts:

[2kserver] n00b user account vraag

Pagina: 1
Acties:

donderdag 10 juni 2004 17:12

Acties:
  • Vincent17
  • Registratie: Juni 2001
  • Laatst online: 22-04 08:55

Vincent17

Topicstarter
Ik wil een gebruik die local admin rechten moet hebben maar op het domein zelf gewoon user rechten. Ik heb de search gebruikt en daar komt het in bod maar ik begrijp het nog steeds niet. Ik moet het echt op een teletubby manier uitgelegd krijgen geloof ik.
Dus wat moet ik nou precies doen op de server en wat op de client??

donderdag 10 juni 2004 17:15

Acties:
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Op de client local admin maken en op de server gewoon domainuser. :+

Niet moeilijk, maar makkelijk. :)

donderdag 10 juni 2004 17:27

Acties:
  • Vincent17
  • Registratie: Juni 2001
  • Laatst online: 22-04 08:55

Vincent17

Topicstarter
Ok, dan kom ik alleen bij het volgende probleem wat ik ook niet wist op te lossen met de search. Als ik een user dus geen ultimate rechten geef op alles krijg ik bij het aanmelden de melding dat ik mijn niet interactief kan aanmelden door het lokale beveiligingsbeleid.

Zit dat nou in de group policy van mijn OU of moet ik een andere policy zoals onder administrative tools: "domain security policy" of "local security policy" of "domein controller security policy" aanpassen ??

Als het goed is moet je de normale user dan toevoegen bij "log on locally"
Maar ik wil natuurlijk niet dat de normale user dan ook lokaal kan aanloggen op de server zelf, dus misschien moet ik "log on locally" op de client instellen ????

Ik heb de user al bij "log on locally" gezet van de policy die ik bij de eigenschappen van de OU gebruik, maar dat haalt niks uit.

[ Voor 19% gewijzigd door Vincent17 op 10-06-2004 17:55 ]

vrijdag 11 juni 2004 13:14

Acties:
  • Vincent17
  • Registratie: Juni 2001
  • Laatst online: 22-04 08:55

Vincent17

Topicstarter
Kicking mode on!! :)

zaterdag 12 juni 2004 12:14

Acties:
  • Vincent17
  • Registratie: Juni 2001
  • Laatst online: 22-04 08:55

Vincent17

Topicstarter
Echt niemand ??
Het is waarschijnlijk 1 gierige instelling, als ik de user bij de "administrators" groep gooi dan kan die wel aanmelden maar zodra de user alleen een "domain user" is dan kan het niet.

zaterdag 12 juni 2004 12:26

Acties:

Verwijderd

Wat je moet doen is het handigste via de GPO te doen.

Je kunt via de Computer Configuration \ Windows Settings \ Restricted Groups policy hetvolgende doen.

Maak de INTERACTIVE groep lid van Administrators. Wat je hiermee bereikt is dat wanneer de GPO wordt toegepast de lokale Administrators groep wordt uitgebreid net de INTERACTIVE groep. Dit heeft tot gevolg dat *IEDEREEN* die op dit werkstation inlogd local admin is. Vanzelfsprekend ben je dat alleen op het betreffende werkstation en niet in het domain.

(Let op, je kunt INTERACTIVE niet via Browse kiezen, je moet dit zelf intypen!!!)

Dit vindt je nergens terug op het internet, ik ben er zelf tijden mee beziggeweest. Eerst heb ik de Domain Users gekoppeld aan de Administrators groep, maar dan treedt onderstaand verschijnsel op:

Let op, je zou wellicht denken dat je de groep Domain Users (of een andere domain groep) moet toevoegen aan de administrators groep. Hiet zit echter een addertje onder het gras. Via het domain model vloeien deze rechten naar iedereen door die behoort tot de betreffende groep. Vervelend randverschijnsel is dat ook iedereen gebruik kan gaan maken van de administrative shares (C$, D$, etc). Het domain is immers " globaal". Iedereen kan dus op elkaars werkstation grappen gaan uithalen. Ik ben er door schade en schande achtergekomen, maar bespaar jezelf deze ellende.

Dus.. De INTERACTIVE groep (is een lokale groep waar iedereen die inlogt member van is) is het enige middel. Je kunt alleen niet per user aangeven wie local admin is en wie niet, maar wel per werkstation.

Oh, ik zou het bijna vergeten. De plaats van de GPO, daar vroeg je ook iets over. Het handigste is het om je werkstations in een aparte OU te zetten. Op deze OU zet je een policy waarbij je bovenstaande instellingen hanteert. Zet dit soort grappen niet in de Default Domain Policy. Je wilt immers geen gerotzooi op je servers (die krijgen deze namelijk ook door). Ook logon locally e.d. niet aanpassen. Laat de Default Domain policy wat betreft het openzetten van security asjeblieft ongemoeid. Deze is wel van belang voor andere zaken. Devies, maak een aparte policy voor werkstations.

[ Voor 62% gewijzigd door Verwijderd op 12-06-2004 12:48 ]

zaterdag 12 juni 2004 14:08

Acties:
  • Vincent17
  • Registratie: Juni 2001
  • Laatst online: 22-04 08:55

Vincent17

Topicstarter
Ja ik begrijp er een deel van. Ik had in ieder geval al een OU genaamd thuisgebruikers, daar heb ik toen dus ook een policy ingezet. De GPO dus. Daar heb ik nu dan ook de Restricted Groups gevonden, maar wat moet ik daar nou doen?? Ik begrijp het stukje van een interactive groep niet echt. Ik kan daar add group doen en dan interactive typen en dan voegt ie hem toe, maar is het dan al klaar??
Misschien kan je het in "klik hier en klik daar" taal uitleggen :)

Owja, in in de thuisgebruikers OU heb ik de volgende users:

User 1: "Administrators", "Domain Admins" en die is ook nog lid van een eigen gemaakte groep "System Operators" en die groep is weer lid van "Administrators"

User 2: "Domain Users" en ook nog wat een eigen gemaakte groep "Normal User" die weer lid is van "Users"


Bij User 1 werkt dus alles goed, bij User 2 heb ik dus het probleem. Zo staat het nu dus.

[ Voor 7% gewijzigd door Vincent17 op 12-06-2004 14:08 ]

zondag 13 juni 2004 15:15

Acties:
  • Vincent17
  • Registratie: Juni 2001
  • Laatst online: 22-04 08:55

Vincent17

Topicstarter
Het zit denk ik toch echt in de GPO. Als ik een user aanmaak in de default Users OU dan is er niks aan de hand maar als ik hem toevoeg in de eigen gemaakte OU waarin dus ook de GPO zit dan doetie het niet.

[ Voor 82% gewijzigd door Vincent17 op 13-06-2004 17:02 ]

Pagina: 1
Reageer