Avatar billede Burgdorf Nybegynder
07. september 2011 - 16:14 Der er 8 kommentarer

Flytning fra NT4 til 2008 domæne

Hvad gør man, hvis man har ved en fejl kommet til at køre klienter fra gammel Win serv 2003 (DC) direkte over til nyt domæne på en Win serv 2008 r2 maskine med 2008 domæne?

Jeg kæmper nemlig med rettighederne, da de er begrænsede på alle maskiner. Jeg har kørt dem helt ud i workgroup og så ind i det nye, men når man skal installere noget, så beder den på win 7 maskiner om admin info og på Win xp afviser den bare brugeren.

Det der yderligt undre mig, er at jeg har kørt 2 nye laptops i det nye domæne (som ikke var i det gamle), men de har også begrænsede rettigheder (Ingen sletning af genvej, eller installering af programmer såvel afinstallering). Jeg har også et par enkelte nye desktop, hvor den spørger efter admin info til installering af program.

Der er ikke oprettet nogen GPO til at begrænse brugerne.

Jeg forhørte mig og blev fortalt at jeg skulle have oprettet nyt NT4 domæne, og efterfølgende løfte den til 2008 domæne.
Avatar billede riversen Nybegynder
07. september 2011 - 17:52 #1
som udgangspunkt når du melder en pc i et domæne, er det kun domain admins, der bliver administratorer på maskinen. Så det er nok det, der er problemet

Dvs. du kan vælge manuelt at smide fx domain users i administrators gruppen lokalt, eller lave en GPO der sørger for det.
Avatar billede Burgdorf Nybegynder
07. september 2011 - 17:54 #2
Ok, så hvis jeg bare kan ændre samtlige brugere til at være lokal administrator, så er vi et stort skridt videre?

Du har vel ikke lige et par ord omkring hvordan den GPO bliver opsat?

På forhånd tak.
Avatar billede riversen Nybegynder
07. september 2011 - 20:09 #3
computer configuration --> Windows settings --> security settings --> restricted groups. Her kan du styre hvilke grupper der skal have hvilke medlemmer.
Avatar billede Burgdorf Nybegynder
08. september 2011 - 08:42 #4
Mange tak.

Jeg fik rent faktisk lavet en GPO der ligner den du beskrver i går. Nu er jeg kun deltid så næste gang jeg kommer på arbejde så må vi se om det virker :)
Avatar billede Burgdorf Nybegynder
12. september 2011 - 18:33 #5
Desværre virkede det ikke. Selv på nye maskiner beder den om administrator kode, trods den aldrig har været på det gamle netværk. Skal man virkelig give samtlige bruger domain admins rettigheder? Vil det ikke være for risikabelt?
Avatar billede riversen Nybegynder
12. september 2011 - 19:37 #6
nej, det er slet ikke nødvendigt.

Har du verificeret at gpo bliver applied som forventet. Og at den faktisk gør det du forventer?
Avatar billede Burgdorf Nybegynder
14. september 2011 - 12:03 #7
Jeg forsøgte med gpupdate /force på maskinerne og er ikke umiddelbart klar over hvordan jeg kan se det på mit AD om maskinen er berørt af GPO reglen. Ved du forresten hvilke gruppe en bruger skal være medlem af for den rette rettighed til at blive lokal admin. Jeg kan ikke se nogen builtin konto som gør det muligt.
Avatar billede riversen Nybegynder
18. september 2011 - 08:23 #8
du kan køre gpresult på maskinen for at se hvilke gpo'er der bliver applied. I Group Policy Management konsollen kan du også bruge "Group Policy Results" til præcists at se hvilke indstililnger der træder i kraft etc.

Computer Policies kræver en genstart, så gpupdate er ikke nok
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester