Behörighet per klient

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Apr 2005

Behörighet per klient

Är det möjligt att via GPO (Windows 2008 Server) ställa in så att alla användare som loggar in på en specifik dator inom domänen också har lokala administratörsrättigheter på just den datorn?

Jag vet hur man gör det per användare och användare i en grupp men hur gör man det för alla användare när de använder en specifik klient?

Problemet ligger i att vi använder Pagero Autogiro Pro för autogirohantering och det programmet kräver administratörsrättigheter, något användarna givetvis inte kan vara över hela domänen. Däremot kan man "offra" en klient istället som större del av tiden ändå står inlåst på ett kontor.
Tanken var då att man ska kunna använda Pagero från just den datorn men ändå inte kunna påverka övriga klienter med sin administratörsbehörighet.

Jag har provat att lägga in klienten/datorn i en grupp som via en GPO-regel för "Restricted Groups" ska tillhöra Administrators men det verkar inte funka.

Trädvy Permalänk
Medlem
Plats
Värnamo
Registrerad
Sep 2005

Enligt mina erfarenheter så blir den första användaren till att logga in på en nyinstallerad/nydeployad maskin också lokal administratör. Vad jag vet kan man ej göra så att alla som loggar in på datorn blir lokala administratörer.

Bara ni tillåter era användare att vara lokala administratörer på era maskiner så borde ju allt vara fixat. Men alla har kanske inte en egen arbetsstation?

Att ni har en dator och ett konto på den datorn som sköter allt fungerar ju med.. Men kanske lite jobbigt. Jag vet inte.

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Apr 2005

Det är det som är problemet. Alla har tillgång till allas datorer då merparten av datorerna är receptionsdatorer.

Trädvy Permalänk
Medlem
Plats
Värnamo
Registrerad
Sep 2005

Det finns säkert någon snygg lösning men här är min fullösning.

Lägg till allas personer involverande som lokala administratörer. Jag antar du vet ur man gör Inte så smidigt men det löser problemet. Men nu kanske du menar att det är flera hundra datorer eller iaf 50 detta ska göras på isf. Ja då är det ju inte så smidigt helt plötsligt. Beroende på hur många anställda det är också.

Finns även andra lösningar med men fortfarande måste du lägga till alla användare lokalt på dem datorerna någonstans. Har du ej problem att dem blir lokal administratörer så kan du göra på det sättet jag sa. Om inte får du leta upp vilka filer/mappar och registry keys dem behöver rättigheter till och skapa en grupp I AD:et med dem användarna och lägga till den gruppen hos allt det dem behöver rättigheter till, då bör det funka efter lite googlande.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Apr 2004

Ja det går att ställa in GPO så att alla som loggar in på datorn blir local admin.

Computer Configuration Policies Windows Settings Security Settings Restricted Groups

Du lägger till gruppen "Administrators". I den policyn lägger till grupperna NTAUTHORY\INTERACTIVE samt valfri nyskapad/gammal grupp där datorerna ligger som skall ha local admin.
Kolla bilderna(Jag skrev fel på bilden, de ska stå INTERACTIVE) :

[Moderkort: ASRock Z87 Extreme4 ATX] - [CPU: Intel i7 4770K @ 4.4 with Phanteks PH-TC14PE] - [Minnen: Corsair 4st*4GB=16GB-1600Mhz VENGEANCE LP] - [GPU: Asus GTX 780 3GB DirectCU II [SSD: Samsung EVO 256GB] - [Nätdel: be quiet! Straight Power E9 680W - [Chassi: Corsair Obsidian 550D] - [OS: Windows 7 Ultimate 64bit] - [Skärm: BenQ XL2420t]

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Jun 2004

Bravo Gonjer

GPO plus interactive är helt rätt väg att lösa det på

Arbetsdator: HFX Mini. Core-i5 2405S, Radeon 6570, Asus P8P67-M . Skärm: Dell 2407
HTPC: HFX Classic, E8500, Radeon 3450, P5K/EPU, Floppydtv-s2
Hyper-V Server: E6750 8GB minne 2X3TB Raid1 samt 2X1TB raid 1

Trädvy Permalänk
Medlem
Plats
Falun
Registrerad
Jul 2001

Eller så lägger man bara in Domain Users i den lokala Administrators-gruppen (om man inte vill pyssla med policys för en engångsgrej).