Forum » Operacijski sistemi » windows 2016 server
windows 2016 server
Blisk ::
Imam 4 strežnike, ki so v domeni. Uporabniki se torej dodajajo preko domene in nimajo nekih pravic namestitev česarkoli.
Kako bi naredil uporabnika, ki bi imel administratorske pravice samo na enem od teh strežnikov in nima dostopa do drugih strežnikov ali clientov?
Kako bi naredil uporabnika, ki bi imel administratorske pravice samo na enem od teh strežnikov in nima dostopa do drugih strežnikov ali clientov?
ToniT ::
Naj bo LocalAdmin na dotičnem strežniku in se naj prijavi kot IMESTREZNIKA\LocalAdmin.
To ne dela na domain kontrolerju.
To ne dela na domain kontrolerju.
ToniT ::
Res je...
Narediš domenskega navadnega uporabnika brez pravic in ga nastaviš kot LocalAdmin na dotičnem strežniku.
Narediš domenskega navadnega uporabnika brez pravic in ga nastaviš kot LocalAdmin na dotičnem strežniku.
HotBurek ::
1- Kreiraš domain user account.
2- Kreiraš GS grupo DanyLogonLocallyExceptServerX in dodaš userja v to grupo
3- Kreiraš GPO na nivoju domene, ki ima pod Computer Configuration > Policies > Security Settings > Local Policies > User Rights Assignment v "Deny log on locally" dodano grupo DanyLogonLocallyExceptServerX
4- Za GPO nastaviš Deny read+apply za server x computer account
5- gpupdate /force
6- testing...
2- Kreiraš GS grupo DanyLogonLocallyExceptServerX in dodaš userja v to grupo
3- Kreiraš GPO na nivoju domene, ki ima pod Computer Configuration > Policies > Security Settings > Local Policies > User Rights Assignment v "Deny log on locally" dodano grupo DanyLogonLocallyExceptServerX
4- Za GPO nastaviš Deny read+apply za server x computer account
5- gpupdate /force
6- testing...
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
Blisk ::
SasoS ::
Server ima vedno lokalne accounte, razen če je DC.
Če je DC, potem mu ne moreš kaj dosti omejiti ker bo imel admin dostop do tega DC-ja in bo lahko počel praktično karkoli tudi na celi domeni.
Če je DC, potem mu ne moreš kaj dosti omejiti ker bo imel admin dostop do tega DC-ja in bo lahko počel praktično karkoli tudi na celi domeni.
AngelOfDeath ::
Saj sem napisal da je v domeni, zato pa rabim način kako ga omejiti!
Jaz mislim da vaše podjetje nujno potrebuje sistemskega administratorja. Ali pa nekoga, ki vsaj približno ve kako stvari delujejo.
Dobil si nekaj dobrih nasvetov, ampak ker se ne spoznaš na zadeve ne veš kaj govorijo.
Lp
edit: Slovnica
urosh ::
AngelOfDeath ima prav. CE je doticni server DC (Domain Controller, ne ce je v domeni!), potem lokalnih uporabnikov ni. Na vseh ostalih serverjih seveda so. Imas pa ocijo, kot ti jo je napisal @HotBurek. Ce si prelen, da bi to naredil, nimas pojma kaj delas, potem je res najbolje, da izvajanje Sysadmin nalog prepustite komu drugemu. Ali pa zaposlite nekoga, ki mu je jasno za kaj se pri celotni stvari gre. Tebi ocitno ni. Zal.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | WSUS ne najde mašinOddelek: Programska oprema | 2889 (2287) | NeMeTko |
| » | kako nastaviti oddaljen dostopOddelek: Operacijski sistemi | 1939 (1539) | Microsoft |
| » | Group Policy; kako nastavit GPO za OU?Oddelek: Operacijski sistemi | 2782 (2454) | Microsoft |
| » | iz workgroup na domainOddelek: Programska oprema | 1176 (991) | matic |
| » | MrežaOddelek: Pomoč in nasveti | 1395 (1259) | sasox |