Ciao a tutti.
Ho un server win2003 configurato come domain controllers.
ho definito i vari utenti e gruppi.
la mia domanda è questa:
come faccio a definire un gruppo di amministratori di dominio e avere tutti i pc client con utenze non admin?
pensavo di definire gli utenti come iniziale nome e cognome.
username max 8 lettere e relativa password.
mentre per gli amministratori mettere:
username : ad_xxxxx
password : 8 lettere
fino a quì nessun problema.
ora io creo 2 gruppi: administrator e creo gli admin
user e creo gli utenti generici
come facci oa dire che gli utenti non sono admin?
quando li creo prendono solo il gruppo domain user logicamente.

Grazie a tutti

Se ho capito bene la riposta te la sei già data: i nuovi utenti vengono definitivi domain users, e va bene così.
Per gli admin, ti basta aggiungerli anche al gruppo domain admins.

cioè vuoi dire che tutti quelli dentro a domain admin sono tutti amministratori di dominio.
ma per far diventare un utente solo amministratore ma senza che possa agire sulla creazione di utenti di dominio ecc.. oppure che possa installarsi i programmi come diavolo vuole come devo fare?

io su server uso administration pack 2003.
lì c'è la gestione utenti di active directory.
se uno è administrator può o no metterci le mani?

il problema è che ad alcuni collaboratori ho dato la console ma non vorrei che avessero il controllo completo di creazione utenti, inserimento di utenti in gruppi, cancellazione o altro.
grazie per l'aiuto.


grazie

La differenza è che gli "administrators" hanno privilegi elevati sul computer locale, mentre domain admins in tutto il dominio.
Esiste un terzo gruppo, enterprise admins, che hanno privilegi di root su tutta la forest di AD (su tutti i domini in pratica).

Comunque sarebbe meglio non concedere loro alcun diritto di admin, magari crea un gruppo un po' meno restrittivo, ma non farli amministratori (non si sa mai che danni possano compiere).

meno amministratori ci son in una rete meglio è

detto questo, se ho capito bene procedi così:

sul server, credi i due gruppi come detto prima

administrators (domani admins etc etc)
gruppo_utente (inserisci gli utenti "semplici)

sui client (con xp prof, almeno)

pannello controllo
strumenti amministrazione
gestione computer
utenti e gruppi
gruppi
aggiungi al gruppo administrators (che è locale del pc) il gruppo: gruppo_utente

in questo modo, chi appartiene al gruppo_utente ha i diritti di amministratore locale della macchina (quando vi accede tramite dominio, naturalmente)

per aggiungere o togliere privilegi, basta che vai sul server ed aggiungi o togli gli utenti dal gruppo: gruppo_utente

Ho provato e funziona tutto correttamente.
Grazie a tutti per l'aiuto.

una cosa, quando provo a creare una unit organisation all'interno della cartella users mi dice che non puo' essere creata e da un messaggio d'errore.

La mia idea era di creare all'interno della cartella user in AD delle sottocartelle per esempio: amministratori, utenti speciali ecc ma non riesco a crearle.
riesco a crearle solo partendo dal nome di dominio e facendo tasto dx -> crea unità organizzativa ma questo la crea sull'albero di ad, provo a spostarla in users e mi da il messaggio d'errore.
serve qualche permesso speciale?
preciso che sono entrato nel server con l'utente amministrativo di dominio.

altra cosa: un utente normale( domain user) puo' aggiungere un pc al dominio?
io ho provato e, quando chiede un utente autorizzato ad aggiungere un pc al dominio, scrivo un normale utente e dice: ok aggiunto il pc al dominio.
è normale?

grazie mille
:)

Non credo tu possa creare una U.O all'interno di un'altra, avresti casini con i permessi assegnati ad ognuna. Un domain user non può validare pc al dominio, se lo fà hai qualche inghippo....

Ho provato ma un domain user riesce ad aggiungere un pc al dominio...
dove sbaglio?

io ho creato un semplice utente membro di: domain users.
da un pc non in dominio vado x aggiungerlo nel dominio e, quando chiede l'utente autorizzato ad aggiungere il pc, inserisco l'utente normale e mi da l'ok dell'avvenuta aggiunta al dominio.

Ho provato ma un domain user riesce ad aggiungere un pc al dominio...
dove sbaglio?

io ho creato un semplice utente membro di: domain users.
da un pc non in dominio vado x aggiungerlo nel dominio e, quando chiede l'utente autorizzato ad aggiungere il pc, inserisco l'utente normale e mi da l'ok dell'avvenuta aggiunta al dominio.

Ciao TeoP84,
devi controllare nei criteri di protezione sia del dominio che del controller di dominio la relativa voce che permette l'aggiunta di una workstation nel dominio, i gruppi utente che sono riportati ed eliminare/aggiungere quelli che ti interessano.

Scusami se non sono stato chiaro, ma attualmente non ho un server sottomano ;)

Grazie.
guarda, un momento dopo che ho scritto sul forum mi sono ricordato delle policy e proprio di quella in questione.

comunque ho una domanda: le policy del dominio con che intervallo si propagano sui client? e da dove posso vederlo ed eventualmente settarlo? io so che ogni 90 minuti i client vengono monitorati dalle policy del domain controller. è corretto?

Grazie a tutti per il prezioso aiuto.

Grazie.
guarda, un momento dopo che ho scritto sul forum mi sono ricordato delle policy e proprio di quella in questione.

comunque ho una domanda: le policy del dominio con che intervallo si propagano sui client? e da dove posso vederlo ed eventualmente settarlo? io so che ogni 90 minuti i client vengono monitorati dalle policy del domain controller. è corretto?

Grazie a tutti per il prezioso aiuto.

Si esatto, mentre per i controller di dominio il tempo di refresh è di 5 minuti.

Cmq è possibile forzare l'aggiornamento dei criteri tramite il comando gpupdate /force da riga di comando.

ma quindi non si può modificare il tempo...

il comando gpupdate /force non si può lanciare da server in modo da non doverlo fare da ogni client?

grazie

Prova a leggere qui: http://support.microsoft.com/kb/203607/it