Domena - lokalni uzivatele
Zdravim, mam dotaz ohledne fungovani domenovych uctu a rozdilu mezi lokalnimi a domenovymi uzivateli.
Dejme tomu ze mame domenu CELOSVETOVAFIRMA a jsem na jednom pocitaci lokalni administrator. Kdyz se pres tento pocitac podivam na manage - local users and groups a dale na nasledujici cleneni
Users: zde mam ucet pro helpdesk, a ucet SOFTWARE ktery slouzi pro nejake aplikace asi
nemam zde zadny svuj jmeny ucet
Groups:
Administrators - zde je opet ucet helpdesk pak CELOSVETOVAFIRMA/Ja
Backup Operators
Guests
Power Users
Users - obsahuje ASPNET, NT Authority
...
Znamena to ze se na tento pocitac prihlasim ja jako lokalni administrator + pak nekdo z helpdesku? Kdybych nebyl ve skupine administrators a jen napr v Users, tak se prihlasim bez moznosti delat privilegovane akce? Ale prihlasi se nekdo jiny na muj pocitac pod svym vlastnim uzivatelskym jmenem a uctem? Pokud ho zde nikde nevidim tak to chapu ze ne? Unika mi pak vyhoda domeny na co to vlastne je dobre?
Diky za osvetleni
Domena je dobra na to aby sa dalo nastavovat PC na dialku, ci uz instalacie programuv, upgrady, politiky alebo restrikcie na cokolvek.
Snad si nemyslis ze vo firme so 4000 peckami bude admin chodit nastavovat pocitace tak, ze ich bude obchadzat po jednotlivych pracoviskach. Kedy by to tak asi stihol?
Znamena to, ze na svem pocitaci mas pomoci domenoveho uctu prava lokalniho administratora. Stejne tak i ucet HELPDESK
Pokud bys byl ve skupine USERS, byl bys na svem pocitaci neprivilegovany uzivatel.
Na tvuj pocitac se prihlasi kdokoliv, kdo ma domenovy ucet, stejne tak ty se prihlasis na jakykoliv pocitac v domene svymi prihlasovacimi udaji. Ale oni na tvem i ty na jinem pocitaci budete pouze USERS.
Na tvem pocitaci budou administratori ti, kteri jsou DOMAIN ADMINS - to ty nejsi.
Osobne se divim, ze spravce domeny nechava uzivatelum neomezeny pristup na lokalni pocitac. Asi ma spoustu volneho casu na opravy...
to je v pořádku. schopnosti a čas centrální správy it pro všechny pc v doméně končí u prefabrikovaných uživatelů sap a ms office.
je to dáno omezenými programátory pod windows, kteří své produkty netestovali pod jiným než administrátorským účtem. jsou tak vychovaní microsoftem a nikdy je nenapadlo, že něco jako users účet vůbec existuje.
pokud v doméně - třeba v libovolné fabrice - narazíš na oddělení která se živí něčím výš než jsou powerpointové prezentace, díky "kvalitě" těch aplikací jim musíš dát lokální admošská práva.
proto pak ve skupině admoš group najdeš:
"Na tvem pocitaci budou administratori ti, kteri jsou DOMAIN ADMINS ...."
"Administrators - zde je opet ucet helpdesk pak CELOSVETOVAFIRMA/Ja"
jistě, když si s tím chceš vyhrát, možná tu debilní aplikaci rozchodíš i pod omezeným účtem. ale na to nemá centrální it čas, a ty jako uživatel jim to rozmlouvat nebudeš.
a to nemluvím o skvěle zadoménovaných noteboocích s půl tunou firemních aplikací a geniálních omezení, každý měsíc ještě o něco vytuněnějších. pak takový kousek vyneseš na práci domů mimo doménu, a dostaneš nefunkční šrot který kolikrát ani není schopný dokončit logon.
ať neztrácíme čas vymyšlenými příklady: dělal jsem ve firmě siemens-vdo, divize dnes spadá pod continental automotive. ale z občasných komentářů tady vidím, že je to jinde stejné nebo u větších firem ještě horší.
my jsme třeba lokální adminy zrušili mnoho let tomu nazad, a zatím vše OK. Většinu aplikací lze ke korektnímu userovskému chování donutit, dokonce i takový kus sračky, jako je libovolná verze Autocadu
Neni treba to nejak moc lamat. Typické problémy těchto aplikací - zápis do adresáře s aplikací se dá řešit buď nastavením práv na konkrétní adresář pro domain users nebo instalací aplikace mimo program files, třeba do adresáře "C:\zprasene_aplikace"
Všechno jsi schopný ošetřít na úrovni domény, včetně nastavování práv na adresáře.
A přinese mi to mnohem míň problémů, než když nechám uživateli admin přístup na počítač.
jojo, oba máte pravdu. ale naše it přemlouvat nebudu.
těm je naopak třeba asertivně zdůvodnit, proč lokálního admina potřebuju - nejlépe na něčem co nemají čas instalovat a zkoumat.
oni jsou spokojeni že je pak neotravuju, a já jsem spokojen že oni jsou spokojeni.
teď jsem se díval: abych vůbec mohl provozovat starou verzi neustále "vytuněnější" firemní instalace po přenesení notebuka domů = aby se vůbec windows mimo doménu dokázaly přihlásit, a aby win během provozu neustále nezatuhávaly, musel jsem pozabíjet 21 procesů a služeb a odmazat vždy asi 10 síťových zástupců na kterých průzkumák kolaboval (jen při procházení nabídky start). a to jsem jim nehrabal do antiviru, s admin právy na netu vítám že tam je.
jejich nová instalace je mnohem lepší, startovní batka doma pošle k čertu jen 12 procesů.
ovšem jako neadmoš bych si mohl chuchnout.
Diky za odpoved hned mi to je jasnejsi. Takze lokalni admini treba v pripade serveru nebo PC maji na starost ten jeden PC a jinam se dostanou pouze jako bezni uzivatele.
Zajimave je ze i kdyz mam lokalniho administratora, na nektere veci nemam opravneni. Napr. zmenit systemovy cas/restricted software.
Asi budu vypadat jeste jako vetsi lama nez vypadam ted, ale kdyz teda rikate, ze se i ostatni uzivatele domeny mohou ke me prihlasit jako bezni uzivatele. Dale je ma predstava ze je nekde na serveru treba seznam uzivatelu v jednotlivych skupinach a nastaveni prav techto skupin. Ale kdyz jsem odpojen ze site, kde se zjisti tato informace? Napr.skupinu Domain Admins vidim ve svych lokalnich uzivatelich v ramci ADMINISTRATORS, ale dale uz Domain Admins rozkliknout nejdou a tak nevidim ja (a ma predstava ze ani WIndows), kdo je clenem teto skupiny. Pokud bych byl pripojen k siti, pochopim ze v okamziku prihlaseni se zkontroluje vuci serveru ze ten kdo se hlasi na muj PC je clenem Domain Admins a ziska tedy na mem PC privilegovane opravneni. Ale pokud jsem odpojen(offline) od vsech siti, kde se tato informace vezme.
Dekuji za kazdou odpoved
Informace se cachují na tvém počítači. Záleží pouze na správci domény, jakou dobu povolí. Může to být nastaveno tak, že když bude počítač odpojený od sítě, tak se jako doménový uživatel nepřihlásíš vůbec. Nebo naopak klidně můžeš pracovat několik dní, aniž by ses musel vůči doméně ověřovat.
Skupinu Domain Admins si nerozklikneš, protože na ni nemáš právo. Ty nejsi doménový admin, takže na doménové skupiny se nedostaneš.
Diky moc za vysvetleni
Zdravím,
vím, že toto vlákno už je poměrně staršího data, ale měl bych jednu otázku ohledně školní domény s Windows 10. Doménový admin mi na mém pracovním notebooku kromě mého doménového účtu (omezeného) přidal lokální účet administrator, abych si mohl instalovat software, čistit PC atd. sám, ale po čase (nemám přesně vysledováno kdy a proč) se mi tento lokální admin přepne na účet guest. Nevíte někdo proč a hlavně jak zajistit, aby se to nestávalo? Protože pak stejně pořád otravuju domain admina, aby mi znovu nastavil lokání účet na administrátorská práva.
Pokud se najde někdo, kdo mi odpoví, budu moc rád.
Díky předem za odpověď.
předpokládám, že jsi zástupce pekla (takoví ti troli s rohama).
ať už to překlopení na guest účet činí kdokoli, dobře činí.
včera jsem si slíbil, že po návratu z hospody budu zdvořilý. tak si další trefné komentáře nechám od cesty.
místo pidlikání s ubohými kancelářskými aplikacemi mě živí průmyslové pc, které vyžadují přístup k hw a tudíž administrátorská práva. a ať si uživatel - údajně vzdělaný technik - o sobě myslí co chce, je to nabubřelý omyl a tupý šiřič virů.
takže lamy, které mají potřebu "čistit pc", nemají s administrátorskými právy u pc vůbec co dělat.
Co když to souvisí s vracením bodu obnovení do stavu, kdy ten účet ještě nebyl lokálním adminem?
Případně to souvisí s nějakým čistícím nebo "optimalizačním" programem, který používáš...