Gå til innhold

Gruppepolicy for lokal adminrettigheter

pytrehau

Av pytrehau
i Datamaskiner

Anbefalte innlegg

pytrehau

pytrehau

Skrevet
Skrevet

er ganske fersk med AD, men skal nå sette opp slik at en bruker med bærbar PC som logger seg på domene via Telenor OutOffice skal få lokal adminrettigheter slik at han kan endre system/skjerminnstillinger lokalt på den bærbare.

 

Noen som kan fortelle meg hvordan jeg kan sette dette opp slik at han får høyere rettigheter til å gjøre endringer på maskinen enn alle andre brukerne i AD.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
BlackH

BlackH

Skrevet
Skrevet
Hos oss bruker vi bare å sette alle bærbar brukere til lokale administratorer.

 

Enkelt og greit.

7855008[/snapback]

Hvordan blir dette om en ansatt prøver å logge seg på en annen sin bærbar pc med sitt eget brukernavn og passord?

 

Vil han da komme rett inn, og få FULL tilgang til ALLE filene på den pc'n?

Lenke til kommentar
joachimsandvik

joachimsandvik

Skrevet
Skrevet
er ganske fersk med AD, men skal nå sette opp slik at en bruker med bærbar PC som logger seg på domene via Telenor OutOffice skal få lokal adminrettigheter slik at han kan endre system/skjerminnstillinger lokalt på den bærbare.

 

Noen som kan fortelle meg hvordan jeg kan sette dette opp slik at han får høyere rettigheter til å gjøre endringer på maskinen enn alle andre brukerne i AD.

7796239[/snapback]

 

 

Måten vi har gjort dette på er å legge wen AD gruppe inn i administrators på hver enkelt pc. Skal en bruker være lokal admin så melder vi han rett og slett inn i AD gruppen.

Lenke til kommentar
BlackH

BlackH

Skrevet
Skrevet
er ganske fersk med AD, men skal nå sette opp slik at en bruker med bærbar PC som logger seg på domene via Telenor OutOffice skal få lokal adminrettigheter slik at han kan endre system/skjerminnstillinger lokalt på den bærbare.

 

Noen som kan fortelle meg hvordan jeg kan sette dette opp slik at han får høyere rettigheter til å gjøre endringer på maskinen enn alle andre brukerne i AD.

7796239[/snapback]

 

 

Måten vi har gjort dette på er å legge wen AD gruppe inn i administrators på hver enkelt pc. Skal en bruker være lokal admin så melder vi han rett og slett inn i AD gruppen.

7870651[/snapback]

 

Hvorfor bruker dere ikke bare restricted groups som nevnt over her? Da trenger dere ikke gjøre endringen fysisk på hver pc, og det gir samme resultat.

 

Ellers synes jeg det kunne vært fint om noen kunne belyse problemstillingen angående sikkerhet. Om man har bærbare pc'er med domene-pålogging. Hvordan sikrer dere at kun brukeren av pc'n har tilgang?

Lenke til kommentar
joachimsandvik

joachimsandvik

Skrevet
Skrevet
er ganske fersk med AD, men skal nå sette opp slik at en bruker med bærbar PC som logger seg på domene via Telenor OutOffice skal få lokal adminrettigheter slik at han kan endre system/skjerminnstillinger lokalt på den bærbare.

 

Noen som kan fortelle meg hvordan jeg kan sette dette opp slik at han får høyere rettigheter til å gjøre endringer på maskinen enn alle andre brukerne i AD.

7796239[/snapback]

 

 

Måten vi har gjort dette på er å legge wen AD gruppe inn i administrators på hver enkelt pc. Skal en bruker være lokal admin så melder vi han rett og slett inn i AD gruppen.

7870651[/snapback]

 

Hvorfor bruker dere ikke bare restricted groups som nevnt over her? Da trenger dere ikke gjøre endringen fysisk på hver pc, og det gir samme resultat.

 

Ellers synes jeg det kunne vært fint om noen kunne belyse problemstillingen angående sikkerhet. Om man har bærbare pc'er med domene-pålogging. Hvordan sikrer dere at kun brukeren av pc'n har tilgang?

7871058[/snapback]

 

På våre laptoper har vi installert SafeGuard Easy som krypterer disken, dette for å gi sikkerhet på filnivå.

 

Videre er det kommunisert at kun p:\ området skal inneholde personlige data. Dette område blir ved av og pålogging synkronisert med p:\ området til brukeren på filserveren.

 

Grunnen for at vi ikke bruker restricted group er at vi baserer oss på 2 ghost images på våre 120 pc'er, derfor legges AD grupper "ws managers" i administrators kun når vi bygger et image, og slik har vi gjort det i 7år. :)

Lenke til kommentar
  • 3 uker senere...
BlackH

BlackH

Skrevet
Skrevet (endret)
Koble den til en PC med skjermkort med HD støtte og kjør bildet ut via DVI, så skal du nok se at bildet blir enda bedre enn via Xbox360'en.

8012509[/snapback]

Hvis du har kraftig nok pc hvertfall :roll:

 

Edit: Ellers MÅ man ikke ha HDCP støtte, man kan bruke programvare som Any DVD HD for å slippe unna.

8014700[/snapback]

 

Jeg forstår det sånn at SafeGuard Easy er knytta til brukeren av pc'n slik at andre ikke vil få tilgang?

 

Er det noen andre bra forslag for sikring ved bruk av windows?

(Skal helst være litt lettvint)

 

Ved vanlig domenepålogging kan alle brukere i domenet logge på maskina om det ikke er noen sikkerhetsinnstillinger. Jeg er ute etter en enkel funksjon for å restricte brukerpålogging ved hjelp av grupper/brukere. F.eks. Allow Kåre og admin gruppa, deny alle andre.

 

 

Edit: Det jeg har tenkt på er f.eks. å kjøre en restricted group policy setting på OU med personlige bærbare, som gjør at KUN brukere i en viss gruppe har tilatelse til å bruke disse. For så å gå inne på hver profil for disse brukerene å si at de KUN får bruke "denne" maskinen, og en gruppe som inneholder resten utenom personlige.

 

Problemet der er at jeg må ha alle vanlige maskiner i en bestemt gruppe, jeg må være påpasselig med å oppdatere brukerprofiler i den gruppa med restricted groups. Om jeg glemmer å bestemme hvilken pc brukeren kan logge på, så kan denne brukeren plutselig bruke hvilken som helst pc, og når jeg da i tillegg har gitt denne gruppe admin aksess til pc'ene, så vil brukeren kunne gå inn i mine dokumenter til personen som har pc'n selv om de er beskytta med ntsf. (Hjelper jo ikke når man er admin)

 

Absolutt beste løsningen ville vært å kunne bestemme for hver enkelt maskin hvem som skal få lov å bruke denne. Jeg har ikke kommet over noen slik innstilling enda, men hvis noen har det, så rop ut!

Endret av BlackH
Lenke til kommentar
BlackH

BlackH

Skrevet
Skrevet

Jeg kan alltids bruke GPO saken "Allow to log on locally", men problemet er at det er en GP sak, og jeg kan ikke legge den til en bestemt maskin, så da må jeg enten legge den til en bestemt gruppe som maskina må være medlem av, eller så må jeg koble den til et OU som jeg må putte maskina i.. så... enten blir det haugetall av grupper, en for hver privat maskin, eller det blir haugevis av OU's.

 

Er det ingen måte som går mer direkte på selve maskina? Ser etter en tilsvarende funksjon som det er for brukere. Der kan man bestemme hvilke maskiner de kan logge på. Jeg vil bestemme vilke brukere som skal kunne logge på en bestemt maskin.

 

Metoden over funker fint på grupper av maskiner, men blir tungvint når det skal gjøres for hver eneste.

Lenke til kommentar
BlackH

BlackH

Skrevet
Skrevet (endret)
WMI-filter lar deg ha langt mer avansert behandling av GPO enn kun OU.

8023113[/snapback]

Jeg ser ikke helt hvordan WMI filtere vil løse problemet. Du kan bruke WMI filter for å bestemme om GPO greier skal gjelde eller ikke for bestemte maskiner eller brukere, men jeg må uansett ha forskjellig GPO innstillinger. Så etter min mening vil det bli enda mer tungvindt enn de andre metodene jeg har ramset opp før.

 

Men hvis du har en løsning ved hjelp av WMI som er enklere, så er det fint om du forklarer det for meg den.

 

 

Edit: Man kan lage GPO for hver bruker, legge alle disse til et ou, og så bruke WMI for å tildele hver GPO til riktig maskin. Det er en mulighet. Det er mulig det er det GPMC gjør automatisk når man velger at en GP kun skal gjelde for en bestemt bruker/gruppe.

Endret av BlackH
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...