amministratori e gruppi

TeoP84 · 28-05-2009, 20:07

Ciao a tutti.
Ho un server win2003 configurato come domain controllers.
ho definito i vari utenti e gruppi.
la mia domanda è questa:
come faccio a definire un gruppo di amministratori di dominio e avere tutti i pc client con utenze non admin?
pensavo di definire gli utenti come iniziale nome e cognome.
username max 8 lettere e relativa password.
mentre per gli amministratori mettere:
username : ad_xxxxx
password : 8 lettere
fino a quì nessun problema.
ora io creo 2 gruppi: administrator e creo gli admin
user e creo gli utenti generici
come facci oa dire che gli utenti non sono admin?
quando li creo prendono solo il gruppo domain user logicamente.

Grazie a tutti

bgpop · 29-05-2009, 12:13

Se ho capito bene la riposta te la sei già data: i nuovi utenti vengono definitivi domain users, e va bene così.
Per gli admin, ti basta aggiungerli anche al gruppo domain admins.

TeoP84 · 01-06-2009, 14:34

cioè vuoi dire che tutti quelli dentro a domain admin sono tutti amministratori di dominio.
ma per far diventare un utente solo amministratore ma senza che possa agire sulla creazione di utenti di dominio ecc.. oppure che possa installarsi i programmi come diavolo vuole come devo fare?

io su server uso administration pack 2003.
lì c'è la gestione utenti di active directory.
se uno è administrator può o no metterci le mani?

il problema è che ad alcuni collaboratori ho dato la console ma non vorrei che avessero il controllo completo di creazione utenti, inserimento di utenti in gruppi, cancellazione o altro.
grazie per l'aiuto.

grazie

bgpop · 01-06-2009, 18:02

La differenza è che gli "administrators" hanno privilegi elevati sul computer locale, mentre domain admins in tutto il dominio.
Esiste un terzo gruppo, enterprise admins, che hanno privilegi di root su tutta la forest di AD (su tutti i domini in pratica).

Comunque sarebbe meglio non concedere loro alcun diritto di admin, magari crea un gruppo un po' meno restrittivo, ma non farli amministratori (non si sa mai che danni possano compiere).

samu76 · 08-06-2009, 08:40

meno amministratori ci son in una rete meglio è

detto questo, se ho capito bene procedi così:

sul server, credi i due gruppi come detto prima

administrators (domani admins etc etc)
gruppo_utente (inserisci gli utenti "semplici)

sui client (con xp prof, almeno)

pannello controllo
strumenti amministrazione
gestione computer
utenti e gruppi
gruppi
aggiungi al gruppo administrators (che è locale del pc) il gruppo: gruppo_utente

in questo modo, chi appartiene al gruppo_utente ha i diritti di amministratore locale della macchina (quando vi accede tramite dominio, naturalmente)

per aggiungere o togliere privilegi, basta che vai sul server ed aggiungi o togli gli utenti dal gruppo: gruppo_utente

TeoP84 · 02-08-2009, 21:24

Ho provato e funziona tutto correttamente.
Grazie a tutti per l'aiuto.

una cosa, quando provo a creare una unit organisation all'interno della cartella users mi dice che non puo' essere creata e da un messaggio d'errore.

La mia idea era di creare all'interno della cartella user in AD delle sottocartelle per esempio: amministratori, utenti speciali ecc ma non riesco a crearle.
riesco a crearle solo partendo dal nome di dominio e facendo tasto dx -> crea unità organizzativa ma questo la crea sull'albero di ad, provo a spostarla in users e mi da il messaggio d'errore.
serve qualche permesso speciale?
preciso che sono entrato nel server con l'utente amministrativo di dominio.

altra cosa: un utente normale( domain user) puo' aggiungere un pc al dominio?
io ho provato e, quando chiede un utente autorizzato ad aggiungere un pc al dominio, scrivo un normale utente e dice: ok aggiunto il pc al dominio.
è normale?

grazie mille

shingo · 03-08-2009, 14:06

Non credo tu possa creare una U.O all'interno di un'altra, avresti casini con i permessi assegnati ad ognuna. Un domain user non può validare pc al dominio, se lo fà hai qualche inghippo....

TeoP84 · 10-08-2009, 18:45

Ho provato ma un domain user riesce ad aggiungere un pc al dominio...
dove sbaglio?

io ho creato un semplice utente membro di: domain users.
da un pc non in dominio vado x aggiungerlo nel dominio e, quando chiede l'utente autorizzato ad aggiungere il pc, inserisco l'utente normale e mi da l'ok dell'avvenuta aggiunta al dominio.

windowsolution · 11-08-2009, 11:19

Quote:

Originariamente inviato da TeoP84

Ho provato ma un domain user riesce ad aggiungere un pc al dominio...
dove sbaglio?

io ho creato un semplice utente membro di: domain users.
da un pc non in dominio vado x aggiungerlo nel dominio e, quando chiede l'utente autorizzato ad aggiungere il pc, inserisco l'utente normale e mi da l'ok dell'avvenuta aggiunta al dominio.

Ciao TeoP84,
devi controllare nei criteri di protezione sia del dominio che del controller di dominio la relativa voce che permette l'aggiunta di una workstation nel dominio, i gruppi utente che sono riportati ed eliminare/aggiungere quelli che ti interessano.

Scusami se non sono stato chiaro, ma attualmente non ho un server sottomano

TeoP84 · 11-08-2009, 19:53

Grazie.
guarda, un momento dopo che ho scritto sul forum mi sono ricordato delle policy e proprio di quella in questione.

comunque ho una domanda: le policy del dominio con che intervallo si propagano sui client? e da dove posso vederlo ed eventualmente settarlo? io so che ogni 90 minuti i client vengono monitorati dalle policy del domain controller. è corretto?

Grazie a tutti per il prezioso aiuto.

windowsolution · 11-08-2009, 20:12

Quote:

Originariamente inviato da TeoP84

Grazie.
guarda, un momento dopo che ho scritto sul forum mi sono ricordato delle policy e proprio di quella in questione.

comunque ho una domanda: le policy del dominio con che intervallo si propagano sui client? e da dove posso vederlo ed eventualmente settarlo? io so che ogni 90 minuti i client vengono monitorati dalle policy del domain controller. è corretto?

Grazie a tutti per il prezioso aiuto.

Si esatto, mentre per i controller di dominio il tempo di refresh è di 5 minuti.

Cmq è possibile forzare l'aggiornamento dei criteri tramite il comando gpupdate /force da riga di comando.

TeoP84 · 11-08-2009, 20:21

ma quindi non si può modificare il tempo...

il comando gpupdate /force non si può lanciare da server in modo da non doverlo fare da ogni client?

grazie

windowsolution · 11-08-2009, 20:48

Prova a leggere qui: http://support.microsoft.com/kb/203607/it

28-05-2009, 20:07	#1
TeoP84 Member Iscritto dal: Mar 2007 Messaggi: 33	amministratori e gruppi Ciao a tutti. Ho un server win2003 configurato come domain controllers. ho definito i vari utenti e gruppi. la mia domanda è questa: come faccio a definire un gruppo di amministratori di dominio e avere tutti i pc client con utenze non admin? pensavo di definire gli utenti come iniziale nome e cognome. username max 8 lettere e relativa password. mentre per gli amministratori mettere: username : ad_xxxxx password : 8 lettere fino a quì nessun problema. ora io creo 2 gruppi: administrator e creo gli admin user e creo gli utenti generici come facci oa dire che gli utenti non sono admin? quando li creo prendono solo il gruppo domain user logicamente. Grazie a tutti

08-06-2009, 08:40	#5
samu76 Senior Member Iscritto dal: Mar 2005 Città: trento Messaggi: 1318	meno amministratori ci son in una rete meglio è detto questo, se ho capito bene procedi così: sul server, credi i due gruppi come detto prima administrators (domani admins etc etc) gruppo_utente (inserisci gli utenti "semplici) sui client (con xp prof, almeno) pannello controllo strumenti amministrazione gestione computer utenti e gruppi gruppi aggiungi al gruppo administrators (che è locale del pc) il gruppo: gruppo_utente in questo modo, chi appartiene al gruppo_utente ha i diritti di amministratore locale della macchina (quando vi accede tramite dominio, naturalmente) per aggiungere o togliere privilegi, basta che vai sul server ed aggiungi o togli gli utenti dal gruppo: gruppo_utente __________________ <<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo

11-08-2009, 20:48	#13
windowsolution Junior Member Iscritto dal: Mar 2009 Messaggi: 13	Prova a leggere qui: http://support.microsoft.com/kb/203607/it __________________ WindowSolution.org

29-05-2009, 12:13	#2
bgpop Senior Member Iscritto dal: Nov 2000 Città: Hinterland (MI) Messaggi: 1414	Se ho capito bene la riposta te la sei già data: i nuovi utenti vengono definitivi domain users, e va bene così. Per gli admin, ti basta aggiungerli anche al gruppo domain admins.

01-06-2009, 14:34	#3
TeoP84 Member Iscritto dal: Mar 2007 Messaggi: 33	cioè vuoi dire che tutti quelli dentro a domain admin sono tutti amministratori di dominio. ma per far diventare un utente solo amministratore ma senza che possa agire sulla creazione di utenti di dominio ecc.. oppure che possa installarsi i programmi come diavolo vuole come devo fare? io su server uso administration pack 2003. lì c'è la gestione utenti di active directory. se uno è administrator può o no metterci le mani? il problema è che ad alcuni collaboratori ho dato la console ma non vorrei che avessero il controllo completo di creazione utenti, inserimento di utenti in gruppi, cancellazione o altro. grazie per l'aiuto. grazie

01-06-2009, 18:02	#4
bgpop Senior Member Iscritto dal: Nov 2000 Città: Hinterland (MI) Messaggi: 1414	La differenza è che gli "administrators" hanno privilegi elevati sul computer locale, mentre domain admins in tutto il dominio. Esiste un terzo gruppo, enterprise admins, che hanno privilegi di root su tutta la forest di AD (su tutti i domini in pratica). Comunque sarebbe meglio non concedere loro alcun diritto di admin, magari crea un gruppo un po' meno restrittivo, ma non farli amministratori (non si sa mai che danni possano compiere).

02-08-2009, 21:24	#6
TeoP84 Member Iscritto dal: Mar 2007 Messaggi: 33	Ho provato e funziona tutto correttamente. Grazie a tutti per l'aiuto. una cosa, quando provo a creare una unit organisation all'interno della cartella users mi dice che non puo' essere creata e da un messaggio d'errore. La mia idea era di creare all'interno della cartella user in AD delle sottocartelle per esempio: amministratori, utenti speciali ecc ma non riesco a crearle. riesco a crearle solo partendo dal nome di dominio e facendo tasto dx -> crea unità organizzativa ma questo la crea sull'albero di ad, provo a spostarla in users e mi da il messaggio d'errore. serve qualche permesso speciale? preciso che sono entrato nel server con l'utente amministrativo di dominio. altra cosa: un utente normale( domain user) puo' aggiungere un pc al dominio? io ho provato e, quando chiede un utente autorizzato ad aggiungere un pc al dominio, scrivo un normale utente e dice: ok aggiunto il pc al dominio. è normale? grazie mille

03-08-2009, 14:06	#7
shingo Senior Member Iscritto dal: Nov 1999 Città: Bolzano Messaggi: 7315	Non credo tu possa creare una U.O all'interno di un'altra, avresti casini con i permessi assegnati ad ognuna. Un domain user non può validare pc al dominio, se lo fà hai qualche inghippo....

10-08-2009, 18:45	#8
TeoP84 Member Iscritto dal: Mar 2007 Messaggi: 33	Ho provato ma un domain user riesce ad aggiungere un pc al dominio... dove sbaglio? io ho creato un semplice utente membro di: domain users. da un pc non in dominio vado x aggiungerlo nel dominio e, quando chiede l'utente autorizzato ad aggiungere il pc, inserisco l'utente normale e mi da l'ok dell'avvenuta aggiunta al dominio.

11-08-2009, 19:53	#10
TeoP84 Member Iscritto dal: Mar 2007 Messaggi: 33	Grazie. guarda, un momento dopo che ho scritto sul forum mi sono ricordato delle policy e proprio di quella in questione. comunque ho una domanda: le policy del dominio con che intervallo si propagano sui client? e da dove posso vederlo ed eventualmente settarlo? io so che ogni 90 minuti i client vengono monitorati dalle policy del domain controller. è corretto? Grazie a tutti per il prezioso aiuto.

11-08-2009, 20:21	#12
TeoP84 Member Iscritto dal: Mar 2007 Messaggi: 33	ma quindi non si può modificare il tempo... il comando gpupdate /force non si può lanciare da server in modo da non doverlo fare da ogni client? grazie

Strumenti
Mostra una versione stampabile Invia questa pagina per email