Bruger ved admin rettigheder til enkelte servere

Virker det ikke, hvis du opretter brugeren som "Local User" på de 2 servere?

Eller melder Ad-brugeren ind i administratorgruppen på de 2 servere.
Problemet er nok bare at denne slettes af Group Policy.

Alternativet er at oprette en ny konto til brugeren som er administrator og sætte logon to til de 2 servere.
Problemet med denne er så at brugeren som administrator kan mappe sig til drev på de øvrige servere, samt vist også nogle få andre ting.
Men det er vel et spørgsmål om tillid til brugeren.

Som jeg har lavet det lige nu, er brugeren blevet oprettet som "Domain User" i AD'et. Derudover er han medlem af "Remote Desktop Users".

Det var bare ikke nok, så jeg har tilføjet ham som remote user, på de enkelte berørte servere, men har han så fuld administrator på de berørte servere?

Hejsa,

Hvorfor nøjes du ikke bare med at oprette brugeren i AD og så tilføje brugere til den lokale administrator gruppe på de to terminal servere? Det skulle løse dit problem!

Du kan også gøre det mere komplekst ved at oprette brugeren i AD, og oprette en gruppe, fx. "Administratorer på Terminal Servere A og B" og så smide brugeren i denne gruppe. Derefter giver du gruppen administrator rettigheder på den lokale maskine ved at smide AD gruppen du lige har lavet ind i Administrators gruppen.

Der er ingen group policies som piller ved dette gruppemedlemskab, med mindre man har pillet selv :)

Jakob H. Heidelberg
MVP:Enterprise Security

http://www.it-experts.dk
Dit personlige netværk til viden om IT

Brug et OU til at "delegate control"

http://windowsitpro.com/article/articleid/22555/delegation-of-control.html

Delegate Control er lidt "overkill" efter min mening - da det vil kræve et OU til disse 2 servere alene. Dog er en delegation langt bedre hvis man blot vil tildele specifikke rettigheder til en gruppe af brugere - uden at give dem den alt for magtfulde administrator rolle - i dette tilfælde beder man dog specifikt om administrator rettigheder, derfor er gruppe approachet umiddelbart bedst.

Jakob H. Heidelberg
MVP:Enterprise Security

http://www.it-experts.dk
Dit personlige netværk til viden om IT

jeg læser det som om at lsskaarup har en bruger der skal udføre administrator-ligende opgaver.
Og at det eneste som lsskaarup umiddelbart kender til er at gøre brugeren til administrator for at han får de rigtige rettigheder.

Derfor ser jeg det som en bedre løsning at bruge et OU end at give en bruger fuld administrator rettighed over serverne.

(vil meget gerne høre dit indput på det...)

Hej Henrik,

Jeg er helt enig med dig i, at Delegate Control er den mest elegante løsning ved tildeling af specifikke rettigheder (hvis man kan finde dem) - ingen tvivl om det :)

Jakob H. Heidelberg
MVP:Enterprise Security

http://www.it-experts.dk
Dit personlige netværk til viden om IT

Glad for at jeg ikke helt har misforstået MS  ;o)

Henrik Svendsen
MCSA,MCSE,MCITP

Heh - så længe vi er enige om, at disse delegerede rettigheder har effekt på AD siden, og ikke direkte på den lokale maskine, så har du ret i, at du har forstået MS korrekt :)

OT: kender du www.it-experts.dk - det er primært for MS kyndige på IT Pro niveau?


Jakob H. Heidelberg
MVP:Enterprise Security

http://www.it-experts.dk
Dit personlige netværk til viden om IT

Det ser da interessant ud ! kigger nærmere på det.

Hmm, overvejer at bruge Delegate Control, men faktisk er det flere brugere, jeg skal have oprettet. Problemet er at de ikke skal have samme rettigheder alle sammen.

Jeg havde så regnet med at smide dem alle i samme OU, men så kan jeg vel ikke styre rettighederne på selve OU'et?

kun hvis de alle skal have samme rettigheder.
Men du kan jo lave et ou inden i et andet ou...

Men overstyrer top ou'et så ikke rettighederne?

du laver et top ou. "admin delegated rights"
i denne laver du 2 ou, og tildeler dem de nødvendige delegeringer.

Var det ikke på tide at du skrev hvilke rettigheder disse brugere skal have - jeg er stadig i tvivl om Delegate Control er det rigtige at bruge i dit tilfælde... Hvad er det disse brugere skal kunne på serverne?

Jakob H. Heidelberg
MVP:Enterprise Security

http://www.it-experts.dk
Dit personlige netværk til viden om IT

Jo, altså én (den jeg starter med at spørge om), skal have almindelig login til systemet, med administratorrettigheder over 2 server.

Så har jeg nogle andre brugere som skal være domain administrator.

Hvis jeg så smider domain administratorerne i top ou'et, og en derunder med rettigheder til kun 2 server, vil "top" ou'et så ikke override "under" ou'et?

Hvis du ikke kan komme det nærmere (dvs. udpenslet i f.eks. "rettighed til at nedlukke serveren" el. lign.) ifht. person 1, som bare skal have administratorrettigheder over 2 servere, så put dog brugerens AD konto ind i Administrator gruppen lokalt på de givne servere. Jf. min første post i denne tråd - done deal!

De andre brugere du har skal være "domain administrator", og hvis du heller ikke kan komme det nærmere (som f.eks. "rettighed til at oprette nye brugere" el. lign.), så smid brugernes AD konto ind i Domain Administrators gruppen (og bed til at de ved hvad hulen de laver) - dog er det at foretrække, at disse brugere får en separat konto til administrations opgaver (fx. "brugernavn_adm" el. lign.). Hvis brugerne ikke ved hvordan de skal håndtere det, så skal de slet ikke være domain admins!

Deletage Control skal du KUN bruge, hvis du er i stand til, i detaljen, at sige hvad de enkelte brugere skal have rettigheder til i Active Directory (AD)!!!

Jakob H. Heidelberg
MVP:Enterprise Security

http://www.it-experts.dk
Dit personlige netværk til viden om IT

I øvrigt - almindelige "brugere" skal som udgangspunkt ALDRIG være Domain Administrators! Det er kun kvalificeret personale fra IT afdelingen som skal have slige rettigheder - og så skal man være helt kold og klam overfor hvad en (inkompetent) ledelse ellers beder om, de ved jo ikke hvad de i virkeligheden beder om, nemlig: nedetid og driftsproblemer ;-)

Sikkerhed handler om, at minimere ALLES rettigheder til systemerne, Principle of Least Privilege, samt kun at aktivere disse rettigheder når det er absolut nødvendigt! Jeg har en rigtig dårlig fornemmelse i maven omkring hvad din opgave egentlig går ud på når du skriver: "Så har jeg nogle andre brugere som skal være domain administrator" - det er lige før jeg får mavesår på dine vegne :)

Jakob H. Heidelberg
MVP:Enterprise Security

http://www.it-experts.dk
Dit personlige netværk til viden om IT

Jeg kan kun give zilent ret.

Okay, jeg har droppet delegate control, da jeg umiddelbart ser det som et administrationshelvede. Hvis jeg tog tiden dertil, kunne jeg såmænd nok definere rettighederne, men det er den ikke til...

Men Henrik Svendsen og Zilent (Jakob), I bragte en interessant diskussion frem og udvidede mig horisont, så jeg vil lige se, om man stadig kan ændre pointene, så I kan få 30 point hver.

Nå, Svendsen har ikke lagt noget spørgsmål, så Zilent du får dem alle