|
|||||||
|
_L.jpg)
|
|
 |
|
|
Strumenti |
31-08-2018, 10:25
|
#1 |
|
Senior Member
Iscritto dal: May 2003
Città: Padova
Messaggi: 1220
|
amministratore locale ma non di dominio
domanda un po' particolare: vorrei creare un utente di dominio, diciamo adminlocal, che sia administrator dei pc MA non del dominio: c'è un modo agevole per farlo che non sia quello di aggiungerlo manualmente ai vari pc? con le policy forse?
|
|
|
|
01-09-2018, 06:53
|
#2 |
|
Senior Member
Iscritto dal: Feb 2006
Messaggi: 394
|
Non so risponderti con esattezza ma probabilmente posso darti l'imput per trovare poi la soluzione.
Se le macchine sono gia in dominio puoi abilitare gli script di accesso (che magari gia usi per le unità di rete) Magari ci puoi aggiungere qualche riga per la creazione automatica di un nuovo utente che si può fare anche da cmd con net user net user NomeUtente 12345 /add net user [NomeUtente] [password] /add e poi new localgroup administrators [NomeUtente] /add e lo rendi amministratore locale. Ma prendi con le pinze magari la sinstassi la sbaglio.. Poi una volta che tutti i pc si sono loggati almeno una volta e han eseguito la rimuovi, ( e devi valutare cosa succede poi nel caso che l'utente sia gia creato e venga eseguito nuovamente lo script) Spero di averti dato un punto di partenza.
__________________
Intel CoreI7 6700k, Gigabyte GA-Z170X-UD3, DDR4 G.Skill TridentZ 3000Mhz 2*8GB, ZOTAC GTX980 AMP! edition, SSD Samsung 850 Evo 500GB + 850 M.2 500GB, Thermaltake Suppressor F51 Window, EVGA SuperNOVA GS 550W. Trattative positive con: 88rio88, Jas2000, darione77 |
|
|
|
|
01-09-2018, 08:35
|
#3 |
|
Member
Iscritto dal: Nov 2001
Città: Milano
Messaggi: 164
|
gpo con i restricted groups
fai un gruppo AD, ci piazzi dentro gli utenti amministratori locali poi questo gruppo lo associ nel restricted group BUILTIN\Administrators e la policy la attivi nelle OU dove sono presenti le macchine che questi utenti devono amministrare PS con script di accesso di AD è stata deprecata la possibilità di creare di impostare password agli utenti, in quanto quest script risiedono sulla SYSVOL accessibile agli authenticated users
__________________
Coolermaster Stacker + SIRTEC HPC560 560Watt | Asus Z87-A | Intel i5 4670k | DDR3 Corsair 4x4GB 1600Mhz Vengeance LP Blue | Gigabyte GeForce GTX 1060 Windforce OC 6G | Asus Xonar D1 | DTT3500 | LG 34UB67-B | Logitech G105 | Razer Copperhead |
|
|
|
|
01-09-2018, 21:41
|
#4 | |
|
Senior Member
Iscritto dal: Jun 2001
Città: Gorizia/Trieste/Slovenia
Messaggi: 4338
|
Quote:
In tal modo usi un utente di dominio "delegato" a workstation admin per le attività regolari. Nel caso in cui ti serva la password dell'amministratore locale del pc devi guardare su AD l'oggetto computer. LAPS ti protegge dai lateral movement. I restricted groups no, ma ti rendono la vita "possibile".
__________________
Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak) |
|
|
|
|
|
10-09-2018, 13:51
|
#5 | |
|
Senior Member
Iscritto dal: May 2003
Città: Padova
Messaggi: 1220
|
Quote:
|
|
|
|
|
|
14-09-2018, 08:45
|
#6 |
|
Member
Iscritto dal: Nov 2001
Città: Milano
Messaggi: 164
|
group -> metti il gruppo AD degli admin locali
member of -> BUILTIN\Administrators
__________________
Coolermaster Stacker + SIRTEC HPC560 560Watt | Asus Z87-A | Intel i5 4670k | DDR3 Corsair 4x4GB 1600Mhz Vengeance LP Blue | Gigabyte GeForce GTX 1060 Windforce OC 6G | Asus Xonar D1 | DTT3500 | LG 34UB67-B | Logitech G105 | Razer Copperhead |
|
|
|
|
21-09-2018, 15:00
|
#7 |
|
Senior Member
Iscritto dal: May 2003
Città: Padova
Messaggi: 1220
|
non ci sono riuscito
o meglio, ho creato il restricted group come in questo video: https://www.youtube.com/watch?v=oYFk_UFPFCc però così facendo l'utente è amministratore di tutte le macchine e se da una di queste apro "Utenti e computer di Active Directory" riesce a modificare anche le utenze di dominio, mentre io invece non voglio questo. ho provato anche a creare un nuovo oggetto di gruppo limitato solo ad alcuni pc, ma comunque applica i permessi di amministratore dappertutto |
|
|
|
|
21-09-2018, 16:10
|
#8 | |
|
Senior Member
Iscritto dal: Jun 2001
Città: Gorizia/Trieste/Slovenia
Messaggi: 4338
|
Quote:
al 99% sono diventati domain admin :-)
__________________
Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak) |
|
|
|
|
|
21-09-2018, 18:57
|
#9 |
|
Senior Member
Iscritto dal: May 2003
Città: Padova
Messaggi: 1220
|
eh infatti
ho provato anche, come scritto, a fare un oggetto legato solo a certi pc ma non cambia, applica la policy a tutto devo dire però che non conosco molto la teoria dell'AD, sicuramente mi sfugge qualcosa intanto cmq grazie, ci riproverò di nuovo lunedì credo |
|
|
|
|
22-09-2018, 11:00
|
#10 | |
|
Senior Member
Iscritto dal: Jun 2001
Città: Gorizia/Trieste/Slovenia
Messaggi: 4338
|
Quote:
2 - se devi cambiare i setting di tali policy aggiungi una policy e linkala in maniera più precisa (per ou, per gruppo, per oggetto, come ti serve) Quello che devi fare tu è creare una nuova policy con i restricted groups, linkarla sulla ou dove stanno gli oggetti pc (e per carità di dio spostali dal default di Computers) e filtrala per un pc di test. Quando hai verificato che funziona fai in modo che la gpo venga presa anche dagli altri pc. Per padroneggiare le gpo ti raccomando di tirarti su un laboratorio per fare prove. Se ti mancano un paio di cose le gpo su win7 vengono prese un po' quando vogliono. Da 8/8.1 in poi con le "ottimizzazioni" che hanno rischi di ritrovarti con la situazione ancora peggio.
__________________
Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak) |
|
|
|
|
|
|
_S.jpg){kind=small}
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 13:08.
_XXL.jpg)
