Hvad gør man, hvis man har ved en fejl kommet til at køre klienter fra gammel Win serv 2003 (DC) direkte over til nyt domæne på en Win serv 2008 r2 maskine med 2008 domæne?
Jeg kæmper nemlig med rettighederne, da de er begrænsede på alle maskiner. Jeg har kørt dem helt ud i workgroup og så ind i det nye, men når man skal installere noget, så beder den på win 7 maskiner om admin info og på Win xp afviser den bare brugeren.
Det der yderligt undre mig, er at jeg har kørt 2 nye laptops i det nye domæne (som ikke var i det gamle), men de har også begrænsede rettigheder (Ingen sletning af genvej, eller installering af programmer såvel afinstallering). Jeg har også et par enkelte nye desktop, hvor den spørger efter admin info til installering af program.
Der er ikke oprettet nogen GPO til at begrænse brugerne.
Jeg forhørte mig og blev fortalt at jeg skulle have oprettet nyt NT4 domæne, og efterfølgende løfte den til 2008 domæne.
som udgangspunkt når du melder en pc i et domæne, er det kun domain admins, der bliver administratorer på maskinen. Så det er nok det, der er problemet
Dvs. du kan vælge manuelt at smide fx domain users i administrators gruppen lokalt, eller lave en GPO der sørger for det.
computer configuration --> Windows settings --> security settings --> restricted groups. Her kan du styre hvilke grupper der skal have hvilke medlemmer.
Jeg fik rent faktisk lavet en GPO der ligner den du beskrver i går. Nu er jeg kun deltid så næste gang jeg kommer på arbejde så må vi se om det virker :)
Desværre virkede det ikke. Selv på nye maskiner beder den om administrator kode, trods den aldrig har været på det gamle netværk. Skal man virkelig give samtlige bruger domain admins rettigheder? Vil det ikke være for risikabelt?
Jeg forsøgte med gpupdate /force på maskinerne og er ikke umiddelbart klar over hvordan jeg kan se det på mit AD om maskinen er berørt af GPO reglen. Ved du forresten hvilke gruppe en bruger skal være medlem af for den rette rettighed til at blive lokal admin. Jeg kan ikke se nogen builtin konto som gør det muligt.
du kan køre gpresult på maskinen for at se hvilke gpo'er der bliver applied. I Group Policy Management konsollen kan du også bruge "Group Policy Results" til præcists at se hvilke indstililnger der træder i kraft etc.
Computer Policies kræver en genstart, så gpupdate er ikke nok
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.