09. maj 2007 - 14:53Der er
13 kommentarer og 1 løsning
Tilføj lokal administrator til domæne-gruppe
Hej Eksperter,
Er det muligt, og i såfald hvordan, at tilføje en lokal administrator på én maskine, der er tilmeldt et domæne, til en gruppe der er oprettet i samme domæne? Jeg forestiller mig, at det er sådan jeg kan løse nedenstående opgave.
Formålet med opgaven er, at gøre det muligt for én lokal administrator på maskine A at skrive til en mappe på en anden maskine der er tilføjet domænet, maskine B.
det vil ikke løse dit problem, sålænge det kun er lokalt vedkommen er administrator, har han/hun ingen forhøjede rettigheder på andre maskiner, det nemmeste vil være at tilføje denne bruger under det delte drev på maskine b med skriverettigheder.
Okay. Dvs., at oprette en domænekonto (i AD) og så tildele rettigheder på normal vis? Eller misforstår jeg?
Eksisterer der slet ikke andre muligheder? Det er jo ellers yderst simpelt at melde en domæne-bruger til en lokal gruppe på en maskine. Hvad med trust/delegation? Jeg har ikke megen forstand på sidstnævnte, så dette må meget gerne afkræftes som et brugbart løsningsforslag.
nej på maskine b (altså på den maskine brugeren skal kunne skrive til) giver du brugeren læse/skrive rettigheder til, der er ingen grund til at give brugeren administrator rettigheder på domæne niveau (det vil give ham /hende adgang til ALT!), det er jo altså kun fil deling vi taler om, og der er ingen grund til at gøre det mere besværligt end det er ;)
Godt, jeg tror du misforstod mig; hvorfra har du, at jeg ville tilmelde maskine A's lokale administrator til administratorer på maskine B? Og hvem nævnte administrator-rettigheder?:) Nej, det forsøges også såvidt at holdes overskueligt.
Hvordan hiver du den lokale administrator på maskine A over på maskine B, således at denne kan bruges her? Han eksisterer jo ikke på den pågældende maskine før han oprettes, og han eksisterer vel heller ikke i AD? Medmindre naturligvis, at det gør sig gældende, at han er medlem af Administratorer på sin lokale maskine, og denne gruppe er medlem af domain admins, og at han derfor kan hives ned.
Grunden til, at der er tale om den lokale administrator er, at der kører en service på maskine A under denne bruger (årsagen er ukendt, og sagen uvedkommende), som skal skrive til en mappe på maskine B.
Jeg er bange for, at vi taler forbi hinanden? Du har fuldkommen ret; logger man på domænet, må man nødvendigvis være oprettet heri. Men det gælder jo ikke for administratoren på den pågældende maskine (altså "Administrator"-kontoen , og altså ikke domæne-administrator, eller brugere der er tildelt administrator-rettigheder). Husk på, at servicen kører under den pågældende _lokale_ bruger.
Endvidere kan det konkluderes, at administratoren på den pågældende maskine ikke eksisterer i AD, hvorfor det af naturlige årsager heller ikke er muligt at tildele vedkommende skriverettigheder på den anden maskine (B).
Jeg er overbevist om, at intet dødeligt kan formulere spørgsmålet tydeligere. Dog tror jeg nærmere, at svaret er sværere at komme til, eller tankegangen man er nødt til at sætte sig ind i synes mere kryptisk, da det øjensynligt ikke er en helt almindelig opgave med et helt almindeligt svar. Det er nemt at finde en måde hvorpå man kan tilmelde en domæne-gruppe til en lokale gruppe, men ikke den anden vej rundt?
Der logges ikke på maskinen, da der er tale om en service der kører i baggrunden. Jeg kan dog oplyse, at maskinen er tilføjet et domæne. Ja, naturligvis kan en service afvikles i selvom der logges på domænet. Det er indlysende. Men hvad gør man i tilfældet af, at denne service initieres og ejes af den lokale administrator og at servicen forsøger at tilgå maskine B for at skrive i en mappe? Brugeren eksisterer ikke på den pågældende maskine, og kan derfor ikke tildeles rettigheder.
Én løsning kunne være, at oprette en domæne-bruger, som så benyttes til at initiere og eje den pågældende service, hvorefter vedkommende tillades skrivning til den pågældende mappe på maskine B. Dette var nogenlunde dén løsning du foreslog, men du udelod "opret en domæne-bruger, og kør den pågældende service under denne domæne-bruger". Dette ville også være muligt, men er altså ikke løsningen jeg søger. I bedste fald kan den overvejes, som det er gjort tidligere, men jeg postede mit spørgsmål herinde i håb om, at en anden løsning måske var mulig?
hvorfor opretter du så ikke en AD bruger med lokal administrator retttigheder på den maskiner og afvikler den service fra den konto ? jetg synes det virker lidt som det skal være så besværligt som muligt, men på samme tid så simpelt som muligt ?
Jeg begriber ikke forskellen på, at tilmelde en domæne-gruppe til en lokal gruppe på en maskine der er tilføjet samme domæne, og så at det modsatte ikke også kan lade sig gøre? Men du har vel egentlig ret; hvorfor ønske at bebyrde sig selv mere end nødvendigt. Det må blive på den første måde jeg kom på til trods for, at det andet fortsat vil plage mig.
blueprint -> Du skal forstå at hver enkelt maskine har en database over brugernavne og tilhørende passwords. Ud over dette findes der en fælles central database, Active directory. Man kan til enhver tid skrive et brugernavn og password fra en af baserne, og få adgang til de resourcer som er tildelt kontoen. De hverken erstatter eller udelukker hinanden, men kører helt sideløbende.
Så hvis du fra maskine A skal have adgang til en resource (fil, folder, printer - whatever) som ligger på maskine B, så skal du skrive et lokalt brugernavn og password som ligger i maskine B's base. Såfremt kontoen på maskine B har adgang til den ønskede resource lokalt på maskinen, så vil det fungere. Længere er den sådan set ikke.
Men hvis dette drejer sig om 2 maskiner som er i det samme domæne, så er dette absolut nonsense at gøre. Det er jo selve ideen med AD at man laver een fælles sikkerhedsafgrænsning for en række maskiner og indenfor den placerer de resourcer som skal tilgåes. Det er formålet med en directory service.
Hvilket også giver fuldkommen mening. Der bliver bare i forbifarten nævnt noget omkring trusts? Kan du eventuelt uddybe? Så løsningen vil altså under alle omstændigheder være, at oprette en domæne-bruger og benytte denne som ejer af den pågældende service på maskine A, og så dernæst tildele vedkommende passende rettigheder til mappen på maskine B? Bare en sidste bekræftelse.
trusts kommer først ind i billedet når vi taler mellem 2 forskellige domains.
ja det vil være løsningen. (og gøre denne bruger lokal administrator på den maskine hvor servicen skal afvikles)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.