Divieto per Amministratori locali

[210corso]

Come posso creare un account con i diritti amministrativi per la gestione del pc in locale ma limitando l' accesso alla rete nel contempo ?

Con NT4
Mi loggo come amministratore sulla macchina e se tento di accedere alla rete mi chiede le credenziali. Ottimo.

Con Win2000 (user:administrator, domain:NomePC)
Ora invece mi ritrovo, oltre ad avere pieno controllo sul pc sul quale mi sono loggato(OK), anche a poter scorrazzare liberamente per il dominio e fare quello che voglio.

Insomma non riesco ad impostare un account con i diritti di amministratore per la gestione del pc in locale e basta, senza dare diritti amministrativi per il dominio etc etc.

OS client: tutti Win2000 Prof.
Server : Win2000 Server
AD installato

[fabio309]

In teoria infatti non dovrebbe accadere, se non ricordo male anche w2k dovrebbe chiedere utente e password di rete.
prova a controllare in account utente--> avanzate--> Gestione password
cancella tutto quello che non ti serve e riprova ad aprire la rete

Ciao ciao

[210corso]

Originariamente inviato da fabio309
In teoria infatti non dovrebbe accadere, se non ricordo male anche w2k dovrebbe chiedere utente e password di rete.
prova a controllare in account utente--> avanzate--> Gestione password
cancella tutto quello che non ti serve e riprova ad aprire la rete

Ciao ciao

Scusa ma non ho ben capito dove dovrei guardare....

[fabio309]

Guarda in pannello di controllo--> Account utente--> Avanzate--> Gestione password
Quando tenti di aprire una cartella di rete tipo le condivisioni nascoste come c$\ ipc$\ admin$\ viene chiesto utente e password sotto c'è un flag con il quale si consente di salvare le informazioni per ogni successivo tentativo.
Può essere che una volta ti sei collegato in locale hai aperto le risorse di rete e windows ti ha chiesto utente e password gliele hai date salvando le informazioni, quindi ad ogni successivo tentativo non ha bisogno di chiederti di nuovo utente e password, ma ti aprre direttamente la cartella desiderata.

A me è successo così!

Ciao ciao

[210corso]

Scusa ma il problema è un altro(quelle sono le condivisioni a scopo amministrativo)

Situazione:
C'è un gruppo di utenti che ha bisogno di avere privilegi
amministrativi sulla macchina in locale. Peccato però
che con questi privilegi riescano ad amministrare anche il
dominio E' ciò non è buono.

Con NT4 questo non succedeva(meno male) e non capisco dove
è lo sbaglio.

[madorg]

Originariamente inviato da 210corso
Scusa ma il problema è un altro(quelle sono le condivisioni a scopo amministrativo)

Situazione:
C'è un gruppo di utenti che ha bisogno di avere privilegi
amministrativi sulla macchina in locale. Peccato però
che con questi privilegi riescano ad amministrare anche il
dominio E' ciò non è buono.

Con NT4 questo non succedeva(meno male) e non capisco dove
è lo sbaglio.

Non dovrebbe succedere, se sono Amministratori della macchina sono nel gruppo Administrators locale mica nel gruppo Domain Admins.

Ciao

[210corso]

Ebbene lo pensavo pure io, finche non ho letto questo(dalla guida Windows 2000 server)

In un dominio Windows 2000, l' utente locale Administrator è, per default, membro del gruppo Domain Admins. Pertanto, se qualcuno accede ad un computer come amministratore e il computer è membro del dominio, l' utente avrà totale accesso a tutte le risorse nel dominio stesso. Per evitare che questo avvenga, è possibile rimuovere l' account locale dal gruppo Domain Admins


Ok adesso l' amministratore locale non è più amministratore di dominio però le porcate sulla rete è in grado di farle lo stesso e ciò non voglie che accada

[madorg]

O.K. in un Windows 2000 Server Controller di Dominio ma non succede in Windows 2000 Professional dove l'Administrator del Dominio è nel Gruppo Administrators locale e non viceversa.

Se poi accedi come Administrator del Dominio in una workstation è ovvio che amministri il Dominio

Ciao

[210corso]

Originariamente inviato da madorg
Se poi accedi come Administrator del Dominio in una workstation è ovvio che amministri il Dominio

Ciao

Ma se ti ho detto che accedo alla macchina come amministratore locale e addirittura riesco a smanettare con l' eventviewer del controller di dominio....

[madorg]

Originariamente inviato da 210corso
Ma se ti ho detto che accedo alla macchina come amministratore locale e addirittura riesco a smanettare con l' eventviewer del controller di dominio....

Me ne sono ricordato dopo aver postato che accedi come amministratore locale. Comunque che io ricordi non mi è mai successo in nessuna delle reti in cui ho lavorato, sia che fosse stato fatto un upgrade da Windows NT sia ex novo con Windows 2000.
Non sono in ufficio ma domani proverò.