ITdrift Skrevet 7. desember 2015 Del Skrevet 7. desember 2015 Hei, Vi har en kunde som har endel PC-er rundt om kring i Norge. Vi ønsker nå å fjerne alle som har tilgang til lokal admin, å legge inn 1 lokal bruker og domain admins. Via Restricted Groups i GPO får jeg til å overskrive eksisterende lokale admins med Domain admin, men får ikke gitt den lokale brukeren tilgang. Noen som har noen tips her? Lenke til kommentar
Snylter Skrevet 8. desember 2015 Del Skrevet 8. desember 2015 Jeg synes det høres ut som en merkelig måte å løse ting på, jeg ville heller hatt en domenebruker med slike tilganger. Lokale brukerkontoer er det sjelden noen grunn til å bruke i det hele tatt på maskiner som er med i et domene. Lenke til kommentar
ITdrift Skrevet 8. desember 2015 Forfatter Del Skrevet 8. desember 2015 Jeg synes det høres ut som en merkelig måte å løse ting på, jeg ville heller hatt en domenebruker med slike tilganger. Lokale brukerkontoer er det sjelden noen grunn til å bruke i det hele tatt på maskiner som er med i et domene. Hei, Grunnen til at jeg ønsker å ha en lokal bruker er rett og slett fordi jeg har en sjelden gang opplevd at en PC plutselig ikke får logget seg inn fordi den ikke får tak i domenekontrolleren, og at man da må melde den inn og ut. Uten en lokal bruker da sitter jeg ganske fast. Bruker selvfølgelig ellers alltid domene bruker. Ellers så har jeg løst problemet: Satte opp en policy som aktiverte lokal admin brukeren og satte opp så den aldri utgår, for så å gi denne og domain admins lokal admin via restriced groups. Lenke til kommentar
Snylter Skrevet 8. desember 2015 Del Skrevet 8. desember 2015 Det er selvsagt en måte å løse det på, men min anbefaling er klar.. Deaktiver lokal admin, og ta merarbeidet den sjeldne gangen feil oppstår. Dersom det skjer ofte at maskinens klareringsforhold til domenet blir ødelagt er det andre problemer dere har, og da bør dere finne årsaken til dette fremfor å lure dere rundt det. Dersom dere først skal ha en lokal adminkonto bør denne inngå i det samme passordregimet som alle andre kontoer. 1 Lenke til kommentar
ITdrift Skrevet 11. desember 2015 Forfatter Del Skrevet 11. desember 2015 (endret) Det er selvsagt en måte å løse det på, men min anbefaling er klar.. Deaktiver lokal admin, og ta merarbeidet den sjeldne gangen feil oppstår. Dersom det skjer ofte at maskinens klareringsforhold til domenet blir ødelagt er det andre problemer dere har, og da bør dere finne årsaken til dette fremfor å lure dere rundt det. Dersom dere først skal ha en lokal adminkonto bør denne inngå i det samme passordregimet som alle andre kontoer. Hei, Har opplevd at dette har skjedd 2 ganger i mine 3 år i bedriften. Likevel er det kjipt for brukeren som må sende dataen sin til oss, som fort kan bli på andre siden av landet. Er det noen grunn til at du mener det er dumt å ha en lokalbruker på alle PC-ene? Denne er jo selvfølgelig passordbeskyttet. Endret 11. desember 2015 av ITdrift Lenke til kommentar
Snylter Skrevet 11. desember 2015 Del Skrevet 11. desember 2015 Å resette passordet for denne lokale brukerkontoen er svært enkelt for de som ønsker det, helt uten annen informasjon enn brukernavnet. En slik lokal konto fratar deg kontroll, og i realiteten har du i verste fall brukere som har lokal admintilgang gjennom denne kontoen. Hva jeg helst gjør med lokale administratorkontoer? Gir de nytt navn, random passord, og deaktiverer så kontoen. 1 Lenke til kommentar
Norp Skrevet 21. januar 2016 Del Skrevet 21. januar 2016 Jeg er ikke enig at det å deaktivere administrator kontoen er en god løsning. Hva gjør hvis du plutselig får den typiske feilen "The trust relationship between the workstation and the domain controller and client machine is broken"? Evt om brukeren før ødelagt windows-profilen og man trenger å opprette en ny? Vi bruker selv følgende løsning på jobb, for at det skal være så trygt som mulig med lokal administrator. https://code.msdn.microsoft.com/windowsapps/Solution-for-management-of-ae44e789 Lenke til kommentar
Snylter Skrevet 21. januar 2016 Del Skrevet 21. januar 2016 At godkjenningsforholdet mellom maskin og domene ryker er sjelden med normal bruk av maskinen. På virtuelle maskiner som ofte rulles tilbake til snapshop er det noe helt annet. En ødelagt windows-profil gir ikke behov for å logge på med lokal administrator, det er kun et ødelagt godkjenningsorhold mellom maskin og domene som gir dette behovet. Hvis man sliter med at godkjenningsforholdet ryker ofte bør man heller finne ut av problemet fremfor å lappe på med dårlige løsninger. På min arbeidsplass har vi ikke hatt en eneste slik sak de siste tre årene, men vi har jo ikke mer enn ca 1500 klienter heller da. Hvis man først skal ha en lokal adminkonto bør definitivt passord byttes regelmessig ja, der er vi enige. Problemet er bare at behovet for kontoen i realiteten ikke er der, og med en slik løsning som du skisserermå du også ha oversikt over historiske passord siden det godt kan være at det er forrige adminpassord som brukes på den aktuelle maskinen. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå