[Løst]Gi brukere Local Admin rettigheter

[cregeland]

Hei!

Server: W2k3 Std Server R2 som er DC.

Client OS: Vista Business SP1

 

Er en liten bedrift hvor vi ønsker at brukerne har mulighet til å installere programvare,drivere osv fra egen brukerkonto. Lurer på hvordan jeg kan gi enkelte brukere som er medlem av en gruppe lokale admin rettigheter på sin maskin.

 

Har prøvd å opprette en Restricted Group gjennom GPO, men dette gir såvidt jeg kan se brukerne admin rettigheter over hele nettverket. Oppdaget for eksempel at hvis jeg installerte Win2k3 Administration Tools på en av bruker maskinene så kunne jeg gjøre endringer som om jeg var domain admin.

 

Er det altså noen mulighet for å gi brukeren kontroll over kun sin egen maskin, eventuelt gi brukere rettigheter mer lignende de gode gamle "power users" istedenfor å gi alle admin rettigheter?

 

Takker for tips

[sunnhetsmannen]

Du kan jo bruke restricted groups og bare pushe policyen til maskinene du vil det skal gjelde for.

[cregeland]

Takk for svar! Men vil ikke dette fortsatt gjøre at denne maskinen kan konfigurere DC gjennom Administration Tools?

 

Var litt overrasket over at dette går an uten å være domain admin.

[sunnhetsmannen]

Du skal jo ikke kunne gjøre domain admin oppgaver uten å være domain admin. Lokal admin gjør deg bare til administrator lokalt på maskinen.

Hvilke konfigurasjoner på DC gjorde du som vanlig bruker som du mener ikke burde gå?

Om Restricted groups:

 

Dersom du skal bruke Restricted Groups for å delegere rettigheter for enkeltbrukere til enkeltmaskiner, blir det veldig mange policyer å holde styr på. Det blir en policy per bruker, som må delegeres ved hjelp av security filter, til hver maskin brukeren skal ha rettigheter over:

 

Policy-bruker1 -> Delegert til maskin-bruker1

Policy-bruker2 -> Delegert til maskin-bruker2

osv..

 

Dersom du gir admin rettigheter til en gruppe, vil alle medlemene av gruppen ha rettigheter til alle maskinene policyen er delgert til.

 

Dersom du gir admin rettigheter til enkeltbrukere, vil brukerene få admin rettigheter over alle maskiner som policyen er delegert til.

[cregeland]

Nok en gang takk for kjapt svar! Ser nå at jeg tok feil, får bare startet group policy editor'en men får ikke gjort endringer:)

 

Men er det noen forskjell på Local Admin og Administrators? I restricted groups har jeg satt at en gruppe er medlem av "Administrators", som befinner seg under domain.local. Det er ingenting som heter Local Admin eller lignende.

 

Jeg har hørt mye om at det ikke er lurt å gi brukere admin, men er det noen andre måter å la brukere installere programmer osv uten å være admin? Burde jo være en mellomting mellom standard user og admin...

[Gjest Slettet-t8fn5F]

Lar du brukerne få innstallere programmer over en lav sko, så ber du om problemer. De vil før eller siden og uten unntak gjøre maskinen ubrukelig.

Beste løsning er å lage programpakker som du som administrator distribuerer ut gjennom AD...

Om brukerne kjører som lokale administratorer, er sjansen for virus på maskinen økt med ca 95%...

Endret 13. mai 2009 av Slettet-t8fn5F

[sunnhetsmannen]

Høres riktig ut det du har gjordt til nå.
Administrators er gruppen Administrators på maskinen policyen blir gjeldende for. Altså er det snakk om den lokale administratorgruppen.
Husk å legge til Administrator som medlem av den gruppen, ellers blir ikke den lokale administratorkontoen lenger administrator på maskinen. Domain Admins bør også ligge der.
Har lagt ved en screenshot av en av våre policyer.


* har ett viktig poeng som han nevner ovenfor. Lokal admintilgang bør ikke gis til alle og enhver.

Endret 11. november 2019 av Øystein

[cregeland]

Kjempeflott, takk for tips her, nå er alt i orden