Lokal admin på egen PC, men ikke på andres PC

13 innlegg i emnet

Skrevet

Hei,

Jeg har 800 bærbare datamskiner, og 800 brukere. De har vært sin bærbare datamaskin. 50-50 Vista og XP. Jeg vil gjerne at de skal være lokal admin på sin egen maskin, uten at de skal være det på andres. Hvordan gjør jeg det enklet mulig? Manuelt er uaktuelt.

Forslag?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Dersom hver enkelt bruker kun har en maskin og kun skal bruke den ene maskinen så er det mulig å låse hver enkelt bruker til sin maskin, og deretter legge samtlige bruker til i gruppen "Lokal administrator" (AD) som skal gi dem de riktige tilgangene på sin maskin.

Eneste muligheten jeg kommer på i farten, utenom manuelt oppsett.

Vet ikke hvilket system du sitter med, men dersom det er snakk om Win2k3 servere eller nyere og AD så skal det ikke være noe problem og sette opp et lite login script som henter ut maskinnavnet første gang du logger på, og deretter legger denne maskinen til under den riktige tag'en i AD som sier at du kun skal få lov til å logge på denne/disse maskinene.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Noe jeg fant etter et raskt søk, om du kan bruke denne løsning avgjør du selv, har ingen innsikt i problemet. :D

Using Restricted Groups

If you are a medium or large sized organization, you might have thousands of clients and hundreds of servers that you need to manage.

Manually trying to manage all of the local groups on all of these computers is difficult, and almost impossible.

http://www.windowsecurity.com/articles/Usi...ted-Groups.html

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg forstår. Det var den eneste løsningen jeg kom på selv også, men jeg syntes den er litt dum. Synd hvis det er nødvendig og låne datamaskin av noen andre.

Ja, Win2k3.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Enig i at det ikke er en fullverdig løsning, og den ble i sin tid implementert for større bedrifter med faste kontor, altså før bærbare og mobile løsninger.

Den enkleste måten og gi folk lokale admin rettigheter på er ved hjelp av lokal admin gruppen i AD, men er det nødvendig?

Tenker da spesielt på din andre post her på forumet i dag.

Drift og vedlikehold av maskiner er krevende nok for de som skal klargjøre, teste og rulle ut programvare, og dersom det er snakk om så store antall maskiner så ville jeg personlig gått for 2 muligheter.

1. Tanking /ghosting for hurtig installasjon på hver maskin, og samtlige brukere i lokal admin gruppe. (Ingen support dersom ting krasjer pga brukerfeil/overflod av "drittprogrammer") - Ny installasjon uten spørsmål

2. Ingen admin rettigheter dersom det ikke er 100% nødvendig (ikke bare, kansje jeg skulle hatt det?!) og full support da du/dere har full kontroll på hva som er på samtlige maskiner til enhver tid.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Vista er et stort eventyr.

Grunnen til at jeg vil dette er at det er mer jobb å installere "Telenor mobil Internett", hjemme printere og diverse... Enn det er å legge inn image på nytt hvis det er noe feil.

Vi skal etterhvert få docking-stasjoner og SCCM-server, eller no. Og da kan brukere bare legge inn image når som helst på egenhånd. Så..

Hele IT-staben her er ny, så alle image er utarbeidet av tidligere ansatte.

F.eks. så kan man ikke aktivere/deaktivere LAN-tilkoblingen uten å være lokal admin. Jeg ser nå, etter at 300 brukere har fått bærbare pcer med Windows Vista at mange av de har den deaktivert. Når de ikke har kontakt med det trådløse nettverket. Da får jeg ikke aktivert LAN-tilkoblingen med brukere dems, pga "ingen tilgjenglige påloggingsservere" fordi min domene-admin-konto ikke har vært logget inn der før.

Dårlig forklaringer her, men håper folk forstår.

Ja, jeg skulle gjerne laget gode nok image til at folk slapp å røre noe som vista mener er admin-rettigheter. Men i min hverdag er det litt for mye brannslukking om dagen, så tid til det finnes ikke nå.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Kjenner godt til problemet med brannslukking ja :s

Tror den letteste løsningen for å begrense den verste stormen akkurat nå vil være å legge samtlige til i lokal admin gruppe, dersom det da ikke er spesielle grunner til at du vil låse de til lokal admin kun på egen maskin.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Tenkt den tanken også, men vil ikke at de skal være lokal admin på hverandres maskin. Da kan de jo titte i hverandres brukerprofil. Det er ganske dumt :P

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Da sitter ihvertfall mitt hode igjen på den løsningen hvor du lager /redigerer login scriptet for å legge til maskinen de logger på direkte til instillingene for maskiner de kan koble seg til.

Skal se om jeg kommer på andre mulige løsninger, men hode mitt går litt på tomgang i dag pga mangel på næring.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Dette er et AutoIT script som hadde virket hvis det ikke var for UAC i Vista.. Det er en linje lenger ned som bestemmer at det kun vil kjøre hvis det er Windows Vista. Hvis noen vil bruke det på Windows XP må det fjernes..

;Local admin script by us-jole, modified Stian Johansen
Opt("RunErrorsFatal",0)
Opt("TrayIconHide",1)

Func _netadd()
RunWait("net.exe localgroup Administratorer "&@LogonDomain&"\"&@UserName&" /add",@SystemDir,@SW_HIDE)
EndFunc

Func _localadmin()
;we check if the current loged on user is a local administrator
If IsAdmin() Then
;we exit because the user already is a local administrator
Exit
Else
;we set the local administrator user credentials
RunAsSet("username", "domain", "password")
;we add the current user to the local administrator group
_netadd()
;the first password failed so we try another pass
If @error Then
RunAsSet("Administrator", @Computername, "alt.password")
_netadd()
;no password match, we exit because we don't know the password so we can add the user as a local administrator
If @error Then Exit
EndIf
;we reset the runas credentials
RunAsSet()
;we create a popupbox with a message
MsgBox(4160,"Lokal Administrator","Klikk OK og logg inn igjen for å fullføre prosessen.")
;we log the user off
Shutdown (4)
EndIf
EndFunc

;Check if OS is Vista
If @OSBuild = "6000" or "6001" Then
;check if the logon domain is correct and not a local login
If @LogonDomain = "SKOLE" Then
;checks if computername contains the logged on users username
If StringInStr(@ComputerName , @UserName) Then
;we call the localadmin function if the logondomain is SKOLE
_localadmin()
Else
;exits because compuername dosn't contain username
Exit
EndIF
Else
;we exit because the logon domain is wrong
Exit
EndIf
Else
;Exit because OS is not Vista
Exit
EndIF[/codebox]

EDIT:

Dette kan kanskje være en mulighet, hvis noen vet hvordan man scripter den så det kun skjer hvis datamaskinnavnet inneholder brukernavnet. Forslag?

http://www.enterpriseitplanet.com/resource...cle.php/3083571

EDIT:

Nå jobber jeg litt med dette.. Scriptet kjører, den logger ut og når jeg logger inn på nytt så er det ingen endring. Forslag..?

[codebox];
; AutoIt Version: 3.0
; Language: English
; Platform: Vista
; Author: Stian Johansen
;
; Script Function:
; test
;

;Opt("RunErrorsFatal",0)
Opt("TrayIconHide",1)

;user info with admin access
$domainAdminUser = "username"
$domainAdminPassword = "password"
$domain = "domene" ;@ComputerName for localadmin

Func _netadd()
RunAsWait ( $domainAdminUser, $domain, $domainAdminPassword, 0, "net.exe localgroup Administratorer "&@LogonDomain&"\"&@UserName&" /add" , @SystemDir ,@SW_HIDE )
EndFunc

Func _localadmin()
;we check if the current loged on user is a local administrator
If IsAdmin() Then
;we exit because the user already is a local administrator
Exit
Else
;we add the current user to the local administrator group
_netadd()
;we create a popupbox with a message
MsgBox(4160,"Lokal Administrator","Klikk OK og logg inn igjen for å fullføre prosessen.")
;we log the user off
Shutdown (4)
EndIf
EndFunc

;Check if OS is Vista
If @OSBuild = "6000" or "6001" Then
;check if the logon domain is correct and not a local login
If @LogonDomain = $domain Then
;checks if computername contains the logged on users username
If StringInStr(@ComputerName , @UserName) Then
;we call the localadmin function if the logondomain is right
_localadmin()
Else
;exits because compuername dosn't contain username
Exit
EndIF
Else
;we exit because the logon domain is wrong
Exit
EndIf
Else
;Exit because OS is not Vista
Exit
EndIF

Endret av DalliuS
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Fant du en løsning?

Tenker bare på vist du lagrer all brukerinformasjon og personlige dokumenter på et servershare og gir kun den enkelte adgang. Da kan jo du gi dem lokal admin tilgang. Også regner jeg med at de som har laptoper ikke deler de så mye med andre.

Forøvrig kan det gjøres i AD, "Home folder" så skriver du bare \\server\%username% (rettighetene blir da gitt automatisk)

Endret av chhaukas
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Du kan skripte ut så brukerne blir medlem av en interaktiv gruppe som gjør at man bare er administrator på den maskinen man er logget på.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Home folder er ikke en god nok løsning. Vi har allerede det. Vi har alt for mange brukere, med alt for mye filer til at alt kan synkroniseres over trådløst nettverk. Og KUN homefolder er ikke bra nok, fordi da må de overføre frem og tilbake ettersom de ikke jobber PÅ huset. Ellers takk chhaukas :-)

Kan du forklare litt mer om det thorep?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive