Active Directory, ge ett konto admin på klient maskiner, men inte på servern

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Mar 2007

Active Directory, ge ett konto admin på klient maskiner, men inte på servern

Tjolahopp! Jag är ganska ny med att administrera en domän och tänkte därför fråga istället, för här finns det garanterat någon som vet.

Vi har en Windows 2012 R2 domän. Två servrar 1 som DC och en som kör webbserver och även kommer få hosta en maskin med ett gammalt orderprogram som bara fungerar på Windows 2003 och XP. (Vi kör Windows 10 på alla klienter, utom min som är en Mac mini.)

Jag behöver alltså få det såhär:
Administrator access till allt - Klart
Klienter - Vanliga användare - Klart

Mitt konto vill jag kunna göra Administrativa åtgärder på klient maskiner, men inte på servern. Där vill ja fortsätta använda administratör kontot. (För att separera på det.) Följde en guide för att göra en användare till lokal administratör över klient/klienter. En group policy för Local Admin.
Denna: https://social.technet.microsoft.com/wiki/contents/articles/7...

Problemet är att om jag lägger till mig i denna grupp, då kunde jag helt plötsligt också logga in med mitt konto via rdp på servern och då var jag administratör där också (ganska givet eftersom gruppen "Remote Desktop Users: Administrator" ligger med. Hur löser man detta?

Skulle vilja ha ett konto som användare kan få använda när de behöver installera ett program som kräver administratör. Helst något annat än mitt.

Sedan undrar jag hur man gör så att klienter tillåts installera typsnitt själva, för det görs nästan dagligen.

Trädvy Permalänk
Medlem
Plats
Värmland
Registrerad
Aug 2012

Hej.

Enklast är att klienterna ligger i ett eget OU i AD.
Sen kan du skapa en grupp för klientadmin som du lägger på detta OU.
Medlemmarna blir admin på datorerna i detta OU men inte på servrarna som ligger i eget OU.

\\Rhames

Redeigering, Du kan också tillfälligt lägga användarna i gruppen som då blir admin på klient.
När dom är klara tar du bara ur deras användarkonto ur gruppen.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2009

Hur man normalt delar upp och styr behörighet.

Hej,

Om jag inte tolkar dig fel så vill du skapa separata konton som får utföra administrativa åtgärder på klientdatorer men som inte har någon behörighet att göra det på servern?

Baserat på vad guiden sa så skulle jag gissa att effekten blir att de konton som är med i gruppen "local admin" kan logga in via rdp och administrera alla datorer utom din domänkontrollant? Stämmer det?

Anledningen till det skulle vara att alla datorer har lokala grupper UTOM domänkontrollanter.

Ett enkelt sätt att lösa det hela skulle vara att du sätter ett filter på din GPO så att den bara appliceras på klientdatorer med t.ex. windows 10 eller alternativt på sen speciell OU där du har alla datorkonton för klienter men inte servrar. Efter att du gjort ändringen så kan det vara så att du manuellt måste logga in på servern och ta bort "local admin" ur administrator-gruppen på servern.

Lycka till!

Trädvy Permalänk
Medlem
Plats
Nacka
Registrerad
Sep 2013

Dela på servrarna och klientdatorerna med OU's och skapa en grupp för lokal admin på klienterna,
GPOn lägger du sen i OU'n där du har klientdatorerna och sen lägger du till gruppen för lokal admin.

Om du inte redan gjort det (är lite oklart i texten) så sätt upp ett separat konto till dig själv med domain admin access, lokal admin ska man helst aldrig använda.

Ett hett tips; sätt upp en till server som kan vara extra DC, det är INTE kul när något går fel med ens enda DC.
Jag har en DC på en egen låda och sen har jag en annan DC som körs på en Hyper-v server t.ex.

4930k | R9 290 CF | Gskill Ares 2133MHz 16GB | Asrock x79 Extreme4-m | Corsair AX1200i | Parvum s2.0 Extended | EK Supremacy EVO | EK-FC Original CSQ Nickel | 360+240 | EK D5+EK-D5 X-RES 140
Bygglogg: Chandra | by lowngcawt
Galleri: Aether | Chandra

-=CITERA FÖR SVAR=-

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Feb 2011
Skrivet av lowngcawt:

Dela på servrarna och klientdatorerna med OU's och skapa en grupp för lokal admin på klienterna,
GPOn lägger du sen i OU'n där du har klientdatorerna och sen lägger du till gruppen för lokal admin.

Om du inte redan gjort det (är lite oklart i texten) så sätt upp ett separat konto till dig själv med domain admin access, lokal admin ska man helst aldrig använda.

Ett hett tips; sätt upp en till server som kan vara extra DC, det är INTE kul när något går fel med ens enda DC.
Jag har en DC på en egen låda och sen har jag en annan DC som körs på en Hyper-v server t.ex.

Av nyfikenhet, är inte jätte insatt i detta men varför ska man helst aldrig använda LA?

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Mar 2007

@Rhames: När du säger klienterna, menar du då klient datorerna eller klient kontona? Datorerna ligger i default (som är en mapp) som heter "Computers" och klient användarna ligger i en "OU" som heter "Kontor". Skall jag flytta datorerna till en OU istället och göra om min GPO så att den istället ligger under den nya dator "OU"et?

@Radix_Lectis: Se mitt ovanstående svar om jag fattat det rätt?

@lowngcawt: Jo, funderat lite på det där med en till DC, tänkte att jag kanske skall sätta den andra servern som DC2 och lägga webbservern på en hyper-v istället på samma maskin. (Har väldigt begränsade resurser tyvärr, så får jobba med grejerna jag har.)

Trädvy Permalänk
Medlem
Plats
Nacka
Registrerad
Sep 2013
Skrivet av Dekkan:

Av nyfikenhet, är inte jätte insatt i detta men varför ska man helst aldrig använda LA?

Av säkerhetsskäl.
Du ska inte heller använda ditt domain admin konto dagligen på klientburkarna för den delen heller

Skrivet av SupaBeast:

@Rhames: När du säger klienterna, menar du då klient datorerna eller klient kontona? Datorerna ligger i default (som är en mapp) som heter "Computers" och klient användarna ligger i en "OU" som heter "Kontor". Skall jag flytta datorerna till en OU istället och göra om min GPO så att den istället ligger under den nya dator "OU"et?

@Radix_Lectis: Se mitt ovanstående svar om jag fattat det rätt?

@lowngcawt: Jo, funderat lite på det där med en till DC, tänkte att jag kanske skall sätta den andra servern som DC2 och lägga webbservern på en hyper-v istället på samma maskin. (Har väldigt begränsade resurser tyvärr, så får jobba med grejerna jag har.)

Licenserna för windows server låter dig köra Hyper-V och sen två virtuella maskiner där i så länge du inte använder hosten till något annat än Hyper-V.
Så på den andra servern är det smartast att köra Hyper-V på bare metal och sen sätter du upp två VM's där ena är en DC och den andra kan vara din webbserver

4930k | R9 290 CF | Gskill Ares 2133MHz 16GB | Asrock x79 Extreme4-m | Corsair AX1200i | Parvum s2.0 Extended | EK Supremacy EVO | EK-FC Original CSQ Nickel | 360+240 | EK D5+EK-D5 X-RES 140
Bygglogg: Chandra | by lowngcawt
Galleri: Aether | Chandra

-=CITERA FÖR SVAR=-

Trädvy Permalänk
Medlem
Plats
127.0.0.1
Registrerad
Mar 2007

Fick till så att mitt konto är admin klient datorer och inte server, MEN! Eftersom mitt konto fortfarande är delvis länkat till administrators så kan jag fortfarande se och gå in i andra användares "Home" folder. Varje användare har en egen mapp under "Users" på filservern. Skulle helst vilja att min login bara listade min mapp (som det var innan jag gjorde mitt konto till klient admin).

Trädvy Permalänk
Medlem
Plats
Värmland
Registrerad
Aug 2012
Skrivet av SupaBeast:

@Rhames: När du säger klienterna, menar du då klient datorerna eller klient kontona? Datorerna ligger i default (som är en mapp) som heter "Computers" och klient användarna ligger i en "OU" som heter "Kontor". Skall jag flytta datorerna till en OU istället och göra om min GPO så att den istället ligger under den nya dator "OU"et?

@Radix_Lectis: Se mitt ovanstående svar om jag fattat det rätt?

@lowngcawt: Jo, funderat lite på det där med en till DC, tänkte att jag kanske skall sätta den andra servern som DC2 och lägga webbservern på en hyper-v istället på samma maskin. (Har väldigt begränsade resurser tyvärr, så får jobba med grejerna jag har.)

Mappen computers som du skriver är ett OU i AD.
Skapa ett nytt OU som du kan döpa till t.ex. clients.
På detta OU lägger du din GPO.
Flytta klienterna in i detta OU.
Den grupp du skapat som kanske heter: ClientAdmin som du refererar till i din GPO, där lägger du in de användarkonto som ska vara admin på klienter.

Du kan göra lika för servrar i ett eget OU med egen GPO med egen grupp.

På så vis kan du sedan styra allt genom att bara administrera användarkonto och gruppmedlemskap.

Rekommendation att ni alltid använder egna kontot till alla operationer, du kan styra behörigheter via grupperna.
Kontot: administrator rekommenderar jag att du avaktiverar i domänen.
Se bara till att något annat konto är domain admin.

//Rhames

Skickades från m.sweclockers.com