Gunn@r Skrevet 10. oktober 2014 Del Skrevet 10. oktober 2014 (endret) Jeg vil ikke at lokal admin skal ha muligheten til å legge til eksterne brukere ved å for eksempel trykke på "Velg eksterne brukere" under fanen "Eksternt" i "Systemegenskaper". I tillegg vil jeg ikke at lokal admin (ingen andre enn domain admins) skal ha muligheten til å koble seg til maskinen via eksternt skrivebord. Dette skal helst gjøres via group policy. Noen som har noen forslag/løsning? :-) Nettverket er Windows 7-klienter og domenekontroller Windows 2008 R2 Server. Endret 10. oktober 2014 av Gunn@r Lenke til kommentar
xClaymanx Skrevet 10. oktober 2014 Del Skrevet 10. oktober 2014 Som standard så er jo default gruppa satt opp til å kunne logge på via remote. Dersom du begrenser hver bruker til hvilken maskin de skal få logge seg på med vil du jo kvitte deg med deler av problemet. Men sålenge du har gitt en bruker lokaladmin over maskinen så er han i grunnen tilgang til å kunne endre på stort sett alt 1 Lenke til kommentar
Gunn@r Skrevet 10. oktober 2014 Forfatter Del Skrevet 10. oktober 2014 Som standard så er jo default gruppa satt opp til å kunne logge på via remote. Dersom du begrenser hver bruker til hvilken maskin de skal få logge seg på med vil du jo kvitte deg med deler av problemet. Men sålenge du har gitt en bruker lokaladmin over maskinen så er han i grunnen tilgang til å kunne endre på stort sett alt men selv om brukere er lokale admin på maskinene sine, så har man jo muligheten via GPO å begrense tilgangen til diverse ting, som for eksempel begrense tilgangen til windows brannmur, slik at brukeren, selv om han er lokal admin, ikke får muligheten til å for eksempel deaktivere den. På samme måte vil jeg hindre at lokal admin kan legge til andre brukere for å logge på eksternt, og også helst hindre at lokal admin får logget på eksternt. Men samtidig vil jeg at domeneadministrator skal kunne ha muligheten til å logge på via remote desktop, så kan ikke deaktivere tjenesten heller :-( Lenke til kommentar
St. Anders Skrevet 10. oktober 2014 Del Skrevet 10. oktober 2014 Legger ved bilde fra GPO, her kan du begrense rettigheter, men veldig viktig at du ikke setter dette direkte på viktige servere, men anbefaler sepparat policy for klient datamaskiner. Lenke til kommentar
Gunn@r Skrevet 10. oktober 2014 Forfatter Del Skrevet 10. oktober 2014 Legger ved bilde fra GPO, her kan du begrense rettigheter, men veldig viktig at du ikke setter dette direkte på viktige servere, men anbefaler sepparat policy for klient datamaskiner. tilgang til remote desktop.JPG Ja har sett på denne. Men vil ikke dette gi tilgang til de gruppene/brukerne man spesifiserer i denne regelen, pluss de som allerede har tilgangen på den aktuelle PCen, som lokal admin og den lokale gruppa eksterne brukere?! Lenke til kommentar
St. Anders Skrevet 10. oktober 2014 Del Skrevet 10. oktober 2014 Husker ikke lenger, er bare å teste på en datamaskin. Dessverre kan jo lokal admin melde datamaskin ut av domenet, så på mange måter er det dumt du trenger lokal admin til flere oppgaver, selv om dette har blitt bedre etter Windows 7. Det beste er jo om du har mulighet til ingen lokal admin, men det krever massive GPOer og god planlegging pluss muligens retningslinjer for bruk av datamaskiner i organisasjonen. Lenke til kommentar
St. Anders Skrevet 10. oktober 2014 Del Skrevet 10. oktober 2014 Forresten første gang den aktiveres synes jeg og huske at alt som finnes forsvinner fra listen, men husker ikke om lokal admin kan endre listen etterpå eller om GPO låser posten. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå