» »

kako nastaviti oddaljen dostop

kako nastaviti oddaljen dostop

fabio1 ::

Z oddaljenim računalnikom bi rad dostopal do določenega programa na d disku na strežniku. kreiral sem novega uporabnika mu določil (Member of) remote deskto users, vendar ko se hočem preko ip povezat kot ta nov uporabnik mi ne dovoli in pravi da nimam dovoljenja. Če mu dam administratorske pravice lahko normalni dostopam, vendar bi mu rad čimbolj omejil dostp, samo nujno potrebno.Kje nastavim ta dostop. Če se da čimbolj podrobno.
lp

ToniT ::

Ima nov uporabnik geslo?

fabio1 ::

ima .

AndrejS ::

Kaj bi ti rad nastavil remote desktop ali bi rad prišel samo do podatkov na disku - share ? To je velika razlika

fabio1 ::

Postavjen imam strežnik (domenski), ki ima na disku program za poslovanje (še dosovski), rad bi nastavil , da bi lahko iz druge lokacije zaganjal ta program in seveda delal na njem (ljubljana-MB).

Microsoft ::

Ce imas Windows Server 2003, odpri GPO, potem se sprehodi po do Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Allow log on through Terminal Services in dodaj tega uporabnika.
Ce imas pa Windos 2000, tega ni. Tam jim dodas pravico Allow log on locally.

Potem pa, ce imas Windows Server 2003, gres isto v GPO (vsakic v tist GPO, ki je za tega userja), Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies > Security Levels. Tu nastavis Dissalowed z Set by default, potem gres pa v Additional Rules in dodas path do tistega exeja, katerega hocis poganjat.
Ce imas Windows 2000, pa si pomagas z Appsec.exe, ki je v Windows 2000 Resource kit. Uporaba je opisana v KB320181.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

fabio1 ::

Hvala za izčrpno navodilo, ali mi lahko poveš kako odprem GPO za določenega userja

Microsoft ::

Tezko. Uporabnik dobi pravice, ki jih nastavis v GPO. Samo je odvisno, kje je uporabnik, v katerem OU. Najprej je Local GPO, potem je v domeni na vrhu Site GPO, potem je Domain GPO, potem je OU GPO. Spet odvisno, ce postis overrride ali ne. Itn.

Za zacetek lahko pozenes gpresult, da vidis, katere GPOje je dobil computer in katere user.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

fabio1 ::

Potem pa, ce imas Windows Server 2003, gres isto v GPO (vsakic v tist GPO, ki je za tega userja), Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies > Security Levels. Tu nastavis Dissalowed z Set by default, potem gres pa v Additional Rules in dodas path do tistega exeja, katerega hocis poganjat.

Ko natavim (Tu nastavis Dissalowed z Set by default, potem gres pa v Additional Rules in dodas path do tistega exeja, katerega hocis poganjat.) mi to velja za vse uporabnoike ne samo ze določenega. Jaz pa rabim za samo nekaj uporabnikov, drugi pa imajo full dostop.

Microsoft ::

No sej, to je odvisno, kako strukturo imas ti.
Recimo, ena od moznosti je ta, da v OU, kjer je ta uporabnik, dodas novo GPO in nastavis tako, kot sem ti predlagal. Pri tem pa za sam GPO nastavis Read in Apply pravice samo za uporabnika, kateremu hoces to nastavit.
Druga moznost je, da naredis nov OU, das uporabnika v ta OU in v tem OU nastavis nastavitve.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

fabio1 ::

Se opravičujem, ampak mi lahko prevedeš (OU)in kako dodas novo GPO.
lp

Microsoft ::

OU - Organizational Unit

Nov OU dodas tako, da izberes ze obstojec OU ali domeno, desno kliknes nanj, izberes New in potem izberes Organizational Unit.

Nov GPO dodas tako, da desno kliknes na OU, izberes Properties, potem pa gres na tab Group Policy, kliknes New, das ime, potem pa Edit in urejas.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

fabio1 ::

POMOČ prosim!!! Naredil sem nov OU dodal uporabnika, nato pa seigral z GPO. Nevem točno kaj sem naredil (mislim, da sem izklopil no override na domenskem GPO), sedaj ne morem nič zagnat, mi napiše it has been prevented by a software restriction policy. Kaj lahko naredim??
NUJNO
lp

Microsoft ::

mislim, da sem izklopil no override na domenskem GPO
U pizdi si! Pa pomoje si ravno to vklopil, ker je po default iklopljeno. S tem si tisto, kar si nastavil v tem GPO, forcal vse, ki so "pod" tem GPO, da to upostevajo.
Ti bi moral samo dodati GPO za novo kreiran OU in nastaviti, da uporabnikom v tistem OU ne dovolis zaganjat ostalih programov. Ostale pustis primeru.

Kaj pa sploh lahko zazenes? Do kam lahko prides?


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

fabio1 ::

Uh! spet deluje. Nastavljeno imam takole. domena je ***.local če kliknem lastnosti in group policy imam default domail controllers policy in obkljukano no overrid (ne vem če je bilo po deafultu). Če kliknem lastnosti Domain Conrtollers imam spet pod group policy (default domail controllers policy tudi ne vem kako je bilo pred mojim "posegom" :) ). Pod domain controllers sem dodal nov OU . In določil userja kot si napisal. Tle se mi pa majčken ustavi. Ne vem kater group polcy naj mu določim. Če mu dam (default domail controllers policy) vplivajo nastavitve na vse uporabnike, če mu pa naredim novega pa ni efekta. Hvala za odgovor!
lp

Microsoft ::

Ok. Lej, najprej pobrisi vse, kar se spomnes, da si naredil danes. Ta OU, uporabnika prestavi nazaj tam, kjer sta bla. Ko to naredis, v Command Prompt vpisi gpupdate /force, da takoj spremenis stanje.

Potem pozeni ntbackup.exe in naredi System State backup nekam na disk. Ker, ce tega nimas, potem te lahko taksne stvari po nepotrebnem stanejo dost casa in se cesa. Backup vrzi nekam na disk, lahko tudi na drug server ali na CD. Ampak, samo da imas nekaj, v primeru, da se kaj podobnega zgodi.

Tacas pa bom jst zrisal zadevo pa jo dal semle gor, da bos videl, kako bi naj stvar izgledala.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

Microsoft ::

No, zdej sem nekaj naslikal, ce bo kaj bolj jasno. Tvoja domena bi naj izgledala nekako takole: shema.

Zdej, najprej je potrebno dodati DOS OU. To naredis tako, da na nivoju domene!!! dodas nov OU. Desno kliknes na sivo ikono (verjetno poimenovana TvojaDomena.locla), kliknes New in potem izberes Organizational Unit, ter ji das ime.

Nato desno kliknes na to novo OU, izberes Properties, se pomaknes na tab Group Policy, kliknes New in tako dodas novo GPO, ki bo v tej novi OU. Vse skupaj izgleda nekako takole.

Nato kliknes na Properties in odpre se ti okno, v katerem dodas kljukico pred Disable Computer Configuration settings. S tem bos malenkost pridobil na hitrosti, saj v tej OU ne bos imel nastavitev za racunalnik, ker bos imel tu samo uporabnike.

Sledi tisto, kar sem ti ze visje napisal. V oknu z lastnostmi DOS OU, kjer imas prikazano DOS Policy, klikni na Edit.
Poleg tega pa se lahko pregledas lastnosti za Default Domain Controllers Policy in Default Domain Policy na noviju domene in za Domain Controllers OU. Lastnosti teh dveh so po defaultu, kot kaze na tej sliki. Ce niso, je skoraj sigurno, da so spremembe od danasnjega dela.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

fabio1 ::

Hvala. Bom poskusil (šele jutri). Ti javim!
lp

fabio1 ::

Sem poskusil. Pregledal sem Group policy pa imam v (mojadomena.local)namesto default domail policy default domail controllers policy če pa mu določim default domail policy mi omeji dosto , tudi administratorju. Verjetno imam porušeno efault domail policy, ker ko grem v nastavitve imam pri večini opcijah nastavljeno not definet. Ali lahko kako ta GPO nastavim na deafoult nastavitve . Verjetno se je spremenil pri mojih prejšnjih poskusih. sedaj imam nastavljen domail controllers policy, sicer ne javlja napake, vendar ko nastavim nov OU in GPO kot si mi napisal v zadnjem postu se ne zgodi nič, ko se hočem prijaviri kot ta nov user mi javi you must be granted the allow log on throuseh Term. services...., čeprav sem te pravice določil v novi DOS policy. Kakšna ideja?
lp

fabio1 ::

Ja pa tudi v tej novi DOS policy imam v večini opcijah not definet.
lp

ToniT ::

Problem je v tem, da to delaš na domain kontrolerju. Zato moraš dovoliti svojemu novemu uporabniku lokalno prijavo. To narediš tako, da odpreš Domain Controller Security Policy, potem greš na Security Settings -> Local Policies -> User Rights Assignment -> Log on Locally in tam dodaš svojega uporabnika oz. še boljše grupo.

Microsoft ::

Mislim, da Log on Locally rabis nastavit, ce imas Windows 2000, za Windows Server 2003 je dovolj, da nastavis Allow log on through Terminal Services.

In Not definet je nekaj povsem normalnega. Tudi taksna vrednost je lahko po defaultu. In to ni prav redkost. Ti le glej, da tam kjer moras nekaj ekpslicitno nastavit, izberes enable/disbale.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

WSUS ne najde mašin

Oddelek: Programska oprema
163110 (2508) NeMeTko
»

Windows 2003 - kako konfigurirati GPO za OU

Oddelek: Operacijski sistemi
121623 (1493) pirx
»

SUS; kako nastavit, da na clinet PCju Windows Update kaze na lokalni SUS server?

Oddelek: Operacijski sistemi
131763 (1557) Microsoft
»

Limited user (w2k)

Oddelek: Operacijski sistemi
8932 (874) alesrosina
»

Group Policy; kako nastavit GPO za OU?

Oddelek: Operacijski sistemi
382907 (2579) Microsoft

Več podobnih tem