הרשאות למשתמש מסויים

[Arielvista]

הרשאות למשתמש מסויים

יש אצלי בדומיין פוליסי על פיו אין למשתמשי קצה אפשרות להתקין\לעדכן כמעט כלום על המחשב המקומי שלהם, הכל צריך סיסמת אדמין.
אני רוצה להקים משתמש בדומיין שלא יהיו לו הרשאות אדמין מלאות אלא רק המינימום שנדרש כדי למלא את הפונקציה הזאת, של התקנות\עדכונים מקומיים.
השאלה היא, איזה הרשאות\הגדרות אני צריך לתת למשתמש כזה?

 

[kitt]

תוסיף אותו לאדמין מקומי של התחנה. אין דרך אחרת כי הסיבה

שמשתמש רגיל לא יכול להתקין תוכנות היא שאין לו הרשאה לרשום ב Program Files וברג'יסטרי, ואת זה יש רק לאדמין.

 

[Arielvista]

קודם כל תודה על התגובה

שנית, הרעיון הוא משתמש שיש לו הרשאות התקנה לכל התחנות בארגון, לא תחנה-תחנה.
האם יש לזה פתרון אחר?

 

[kitt]

דרך GPO להוסיף אותו לכל ה Local Admnistrators במחשבים.

 

[Arielvista]

סליחה על העיכוב בתשובה, אבל...

קודם כל זה עובד. הגדרתי את המשתמש דרך GPO להיות local admin בכל התחנות והוא אכן מופיע.
אבל...
אם אני לוקח תחנה ועושה לוגין עם אותו משתמש - יש לו גישה לכל הדומיין, כולל תיקיות וקבצים שמשתמש "רגיל" לא אמור להגיע אליהם (פיננסים, משפטי, הנהלה, כ"א וכו')
בדקתי ב AD, המשתמש שייך לקבוצות Domain Users ו Local Admin בלבד.
מישהו יכול לכוון אותי לגבי מה קורה פה?

 

[kitt]

תבדוק מה קורה בהרשאות של התיקיות האלה, שמישהו לא הוסיף

שם משהו שלא אמור להיות, כמו כן, אם הוא local admin על השרתים אז משם הוא מקבל גישה לכל הספריות של השרת. תןציא את השרתים ל OU נפרד שלא מקבל את הGPO שהבחור בו הופך לאדמין ותסיר אותו מה local admin של כל השרתים.

 

[Arielvista]

הממ....לא חשבתי על זה

שגם השרתים מקבלים את אותו GPO.
תודה

 

[Arielvista]

האם הפתרון המצורף יעבוד?

כבל מה שקראתי, לא מומלץ להעביר DC ל OU אחר.
מצאתי מאמר איך למנוע GPO להיות מוחל על קבוצה מסויימת.
http://www.grouppolicy.biz/2010/05/...sers-or-computers-from-a-group-policy-object/
אם אחיל את זה על קבוצת enterprise domain controllers, שאני מניח ש ה DC כלול בה, האם זה יעבוד,זה עלול לשבש משהו אחר?

 

[kitt]

ברגע שהשרת קיבל Enable על משהו, עד שלא תפעיל עליו GPO

של DISABLE הוא יזכור את הEnable.
במקרה שלך, מספיק לשים את השרת עם do not inherate על ה GPO מלמעלה.
אם מדובר ב DC, בין כה הוא מקבל GPO מיוחד שלו מהOU של ה Domain controller.
הבעיה בסיפור, של DC אין local admin, אז צריך לבדוק ב AD לאן הוא בדיוק צורף...

 

[Arielvista]

מצאתי את הבעיה...

קבוצת local admin הייתה כלולה בקבוצת domain admin....
תודה על העזרה וההכוונה.

 

[kitt]

בכיף

 

[kitt]

תוודא שהאדמיניסטרטור של הדומיין עדיין ב domain admin, הוא

מגיע מהאדמיניסטרטור המקומי של ה DC לפני שהוא DC.