Forum Datorer och system Server Tråd

Active Directory, ge ett konto admin på klient maskiner, men inte på servern

1
Skriv svar
Permalänk
Medlem

Active Directory, ge ett konto admin på klient maskiner, men inte på servern

Tjolahopp! Jag är ganska ny med att administrera en domän och tänkte därför fråga istället, för här finns det garanterat någon som vet.

Vi har en Windows 2012 R2 domän. Två servrar 1 som DC och en som kör webbserver och även kommer få hosta en maskin med ett gammalt orderprogram som bara fungerar på Windows 2003 och XP. (Vi kör Windows 10 på alla klienter, utom min som är en Mac mini.)

Jag behöver alltså få det såhär:
Administrator access till allt - Klart
Klienter - Vanliga användare - Klart

Mitt konto vill jag kunna göra Administrativa åtgärder på klient maskiner, men inte på servern. Där vill ja fortsätta använda administratör kontot. (För att separera på det.) Följde en guide för att göra en användare till lokal administratör över klient/klienter. En group policy för Local Admin.
Denna: https://social.technet.microsoft.com/wiki/contents/articles/7...

Problemet är att om jag lägger till mig i denna grupp, då kunde jag helt plötsligt också logga in med mitt konto via rdp på servern och då var jag administratör där också (ganska givet eftersom gruppen "Remote Desktop Users: Administrator" ligger med. Hur löser man detta?

Skulle vilja ha ett konto som användare kan få använda när de behöver installera ett program som kräver administratör. Helst något annat än mitt.

Sedan undrar jag hur man gör så att klienter tillåts installera typsnitt själva, för det görs nästan dagligen.

Redigera
Citera flera Citera
Permalänk
Medlem

Hej.

Enklast är att klienterna ligger i ett eget OU i AD.
Sen kan du skapa en grupp för klientadmin som du lägger på detta OU.
Medlemmarna blir admin på datorerna i detta OU men inte på servrarna som ligger i eget OU.

\\Rhames

Redeigering, Du kan också tillfälligt lägga användarna i gruppen som då blir admin på klient.
När dom är klara tar du bara ur deras användarkonto ur gruppen.

Redigera
Citera flera Citera
Permalänk
Medlem

Hur man normalt delar upp och styr behörighet.

Hej,

Om jag inte tolkar dig fel så vill du skapa separata konton som får utföra administrativa åtgärder på klientdatorer men som inte har någon behörighet att göra det på servern?

Baserat på vad guiden sa så skulle jag gissa att effekten blir att de konton som är med i gruppen "local admin" kan logga in via rdp och administrera alla datorer utom din domänkontrollant? Stämmer det?

Anledningen till det skulle vara att alla datorer har lokala grupper UTOM domänkontrollanter.

Ett enkelt sätt att lösa det hela skulle vara att du sätter ett filter på din GPO så att den bara appliceras på klientdatorer med t.ex. windows 10 eller alternativt på sen speciell OU där du har alla datorkonton för klienter men inte servrar. Efter att du gjort ändringen så kan det vara så att du manuellt måste logga in på servern och ta bort "local admin" ur administrator-gruppen på servern.

Lycka till!

Redigera
Citera flera Citera
Permalänk
Medlem

Dela på servrarna och klientdatorerna med OU's och skapa en grupp för lokal admin på klienterna,
GPOn lägger du sen i OU'n där du har klientdatorerna och sen lägger du till gruppen för lokal admin.

Om du inte redan gjort det (är lite oklart i texten) så sätt upp ett separat konto till dig själv med domain admin access, lokal admin ska man helst aldrig använda.

Ett hett tips; sätt upp en till server som kan vara extra DC, det är INTE kul när något går fel med ens enda DC.
Jag har en DC på en egen låda och sen har jag en annan DC som körs på en Hyper-v server t.ex.

Visa signatur

R5 3600 | 5700 xt | XPG SPECTRIX 3200MHz 16GB | B450i Aorus Pro WIFI | Corsair SF750v2 | Evolv Shift Air |
Galleri: Aether | Chandra

-=CITERA FÖR SVAR=-

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av lowngcawt:

Dela på servrarna och klientdatorerna med OU's och skapa en grupp för lokal admin på klienterna,
GPOn lägger du sen i OU'n där du har klientdatorerna och sen lägger du till gruppen för lokal admin.

Om du inte redan gjort det (är lite oklart i texten) så sätt upp ett separat konto till dig själv med domain admin access, lokal admin ska man helst aldrig använda.

Ett hett tips; sätt upp en till server som kan vara extra DC, det är INTE kul när något går fel med ens enda DC.
Jag har en DC på en egen låda och sen har jag en annan DC som körs på en Hyper-v server t.ex.

Gå till inlägget

Av nyfikenhet, är inte jätte insatt i detta men varför ska man helst aldrig använda LA?

Visa signatur

MB:Asus B550-I Gaming ROG Strix CPU:Ryzen 5600X RAM:G.Skill Trident Z 32gb@3200 SSD:Samsung 970 EVO Plus 1TB GPU:3080 FE PSU:Corsair SF600 CASE:Louqe ghost s1

Redigera
Citera flera Citera
Permalänk
Medlem

@Rhames: När du säger klienterna, menar du då klient datorerna eller klient kontona? Datorerna ligger i default (som är en mapp) som heter "Computers" och klient användarna ligger i en "OU" som heter "Kontor". Skall jag flytta datorerna till en OU istället och göra om min GPO så att den istället ligger under den nya dator "OU"et?

@Radix_Lectis: Se mitt ovanstående svar om jag fattat det rätt?

@lowngcawt: Jo, funderat lite på det där med en till DC, tänkte att jag kanske skall sätta den andra servern som DC2 och lägga webbservern på en hyper-v istället på samma maskin. (Har väldigt begränsade resurser tyvärr, så får jobba med grejerna jag har.)

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Dekkan:

Av nyfikenhet, är inte jätte insatt i detta men varför ska man helst aldrig använda LA?

Gå till inlägget

Av säkerhetsskäl.
Du ska inte heller använda ditt domain admin konto dagligen på klientburkarna för den delen heller

Skrivet av SupaBeast:

@Rhames: När du säger klienterna, menar du då klient datorerna eller klient kontona? Datorerna ligger i default (som är en mapp) som heter "Computers" och klient användarna ligger i en "OU" som heter "Kontor". Skall jag flytta datorerna till en OU istället och göra om min GPO så att den istället ligger under den nya dator "OU"et?

@Radix_Lectis: Se mitt ovanstående svar om jag fattat det rätt?

@lowngcawt: Jo, funderat lite på det där med en till DC, tänkte att jag kanske skall sätta den andra servern som DC2 och lägga webbservern på en hyper-v istället på samma maskin. (Har väldigt begränsade resurser tyvärr, så får jobba med grejerna jag har.)

Gå till inlägget

Licenserna för windows server låter dig köra Hyper-V och sen två virtuella maskiner där i så länge du inte använder hosten till något annat än Hyper-V.
Så på den andra servern är det smartast att köra Hyper-V på bare metal och sen sätter du upp två VM's där ena är en DC och den andra kan vara din webbserver

Visa signatur

R5 3600 | 5700 xt | XPG SPECTRIX 3200MHz 16GB | B450i Aorus Pro WIFI | Corsair SF750v2 | Evolv Shift Air |
Galleri: Aether | Chandra

-=CITERA FÖR SVAR=-

Redigera
Citera flera Citera
Permalänk
Medlem

Fick till så att mitt konto är admin klient datorer och inte server, MEN! Eftersom mitt konto fortfarande är delvis länkat till administrators så kan jag fortfarande se och gå in i andra användares "Home" folder. Varje användare har en egen mapp under "Users" på filservern. Skulle helst vilja att min login bara listade min mapp (som det var innan jag gjorde mitt konto till klient admin).

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av SupaBeast:

@Rhames: När du säger klienterna, menar du då klient datorerna eller klient kontona? Datorerna ligger i default (som är en mapp) som heter "Computers" och klient användarna ligger i en "OU" som heter "Kontor". Skall jag flytta datorerna till en OU istället och göra om min GPO så att den istället ligger under den nya dator "OU"et?

@Radix_Lectis: Se mitt ovanstående svar om jag fattat det rätt?

@lowngcawt: Jo, funderat lite på det där med en till DC, tänkte att jag kanske skall sätta den andra servern som DC2 och lägga webbservern på en hyper-v istället på samma maskin. (Har väldigt begränsade resurser tyvärr, så får jobba med grejerna jag har.)

Gå till inlägget

Mappen computers som du skriver är ett OU i AD.
Skapa ett nytt OU som du kan döpa till t.ex. clients.
På detta OU lägger du din GPO.
Flytta klienterna in i detta OU.
Den grupp du skapat som kanske heter: ClientAdmin som du refererar till i din GPO, där lägger du in de användarkonto som ska vara admin på klienter.

Du kan göra lika för servrar i ett eget OU med egen GPO med egen grupp.

På så vis kan du sedan styra allt genom att bara administrera användarkonto och gruppmedlemskap.

Rekommendation att ni alltid använder egna kontot till alla operationer, du kan styra behörigheter via grupperna.
Kontot: administrator rekommenderar jag att du avaktiverar i domänen.
Se bara till att något annat konto är domain admin.

//Rhames

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara