Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailemVyřešeno Doménový uživatel jako administrator vlastního PC (Windows Server 2016)

Dobrý den, používám system Windows server 2016 a chtěl bych všem uživatelům povolit administrační práva svého vlastního počítače, dosud jsem přiřazoval tyto práva na každém PC zvlášť příkazem "NET LOCALGROUP administrators UserName /add", ale já bych to chtěl pořešit už na serveru, zkoušel jsem to přes tento https://social.technet.microsoft.com/wiki/contents /articles/7833.how-to-make-a-domain-user-the-local -administrator-for-all-pcs.aspx tutorial, ale takto uživatel dostane práva domain admin a ten má přístup do všech sdílených složek a může měnit přístupová práva a to je nežádoucí.
Poradí mi prosím někdo řešení?

Předmět Autor Datum
to záleží na tom, jak to chceš udělat - zda pro jednoho usera nastavit admina jen na jeho vlastním P…
touchwood 20.03.2017 18:19
touchwood
Chtěl bych, aby všichni uživatelé měli admin přístup ke svým počítačům. Zkoušel jsem použít ten druh…
MatesP 20.03.2017 21:24
MatesP
když mají uživatelé admošit pouze na svém pc, tw ti radil první způsob.
lední brtník 20.03.2017 21:58
lední brtník
Skript je výhodný v tom že nemusím obíhat všechna PC, ale pořád je tam musím vypsat všechna PC. Není…
MatesP 20.03.2017 22:08
MatesP
ale pořád je tam musím vypsat všechna PC jestli dobře rozumím tvému požadavku i tomu skriptu, jedná…
lední brtník 20.03.2017 22:45
lední brtník
Tak ještě jednou: pokud chceš KONKRÉTNÍMU uživateli nastavit KONKRÉTNÍ PC s admin právy, nic jiného…
touchwood 21.03.2017 06:06
touchwood
Díky moc za podrobnější vysvětlení, teď už je mi to jasnější. Literaturu si určitě chci nějakou načí… poslední
MatesP 21.03.2017 07:05
MatesP

to záleží na tom, jak to chceš udělat - zda pro jednoho usera nastavit admina jen na jeho vlastním PC, nebo na všech PC v doméně vyjma serverů.

To první budeš muset naskriptovat, na to druhé můžeš použít GPO.

Chtěl bych, aby všichni uživatelé měli admin přístup ke svým počítačům. Zkoušel jsem použít ten druhý způsob, ale uživatelé dostali práva domain admin a dostali se do včech sdílených složek což nechci.

ale pořád je tam musím vypsat všechna PC

jestli dobře rozumím tvému požadavku i tomu skriptu, jedná se jen o konkrétní kombinace compname,username
to jde mít jako seznam a jen načíst do proměnných?

Tak ještě jednou: pokud chceš KONKRÉTNÍMU uživateli nastavit KONKRÉTNÍ PC s admin právy, nic jiného než jmenný seznam kombinací computer-user ti nezbývá. Nikdo kromě admina domény totiž nemůže rozhodnout, který PC patří kterému uživateli, LEDA by se počítače jmenovaly nějakou odvozeninou od uživatele, tj. např. uživatel Matlafous měl PC pojmenované PC-Matlafous (zde máš ovšem problém, protože hostname může být dlouhé max. 13 znaků) - pak by to šlo relativně jednoduše naskriptovat.

Druhá varianta, tedy že všem doménovým stanicím nastavíš admin práva pro nějakou grupu (např. contoso_users) má nepříjemnou vlastnost v tom, že si uživatelé navzájem uvidí na lokální data, protože admin má kontrolu a přístup do profilů jiných uživatelů, a to i přes síť.

Proč do toho neustále pleteš doménového admina a server je mi záhadou, o doméně a jejích právech tu přece není vůbec řeč a "administrovat" doménu takovým způsobem je hodně amatérské - doporučil bych do toho nešahat do doby, než pochopíš alespoň základní záležitosti a/nebo si přečteš odpovídající literaturu.

Díky moc za podrobnější vysvětlení, teď už je mi to jasnější. Literaturu si určitě chci nějakou načíst, kdyby byly tipy na nějakou osvědčenou budu rád za doporučení, jinak toto téma považuji za uzavřené. Ještě jednou díky moc za Váš čas.

Zpět do poradny Odpovědět na původní otázku