none
Změna oprávnění uživatele v AD

    Dotaz

  • Dobrý den,

    chtěl bych se zeptat, v doméně změním u uživatele XY oprávnění z Domain Admins na Domain User, odhlásím se, znovu přihlásím, a uživatel je stále Domain Admin, po restartu stanice to samé, oprávnění se změní na Domain User až v okamžiku kdy pro provedu gpupdate /force /boot

    Jedná se o WS16 + W7

    Mohl by my mně někdo prosím nasměrovat, jak z toho ven ?

    Děkuji O.V.


    středa 20. prosince 2017 9:09

Všechny reakce

  • Replikuje se ti spravne domena (kolik mas radicu)? Jak mas nastavenou politiku "Always wait for network...", tedy minimalizovani sance, ze se k prihlaseni pouziji nakesovane lokalni informace?

    MP

    středa 20. prosince 2017 10:01
    Vlastník
  • Děkuji za reakci

    DC je jen jeden, ..čekání na síť.. mám také nastaveno, navíc jsem teďka zjistil, že se práva nezmění asi u 99% userů ani s tím gpupdate /force /boot - když jsem zkusil změnit uživatele z Domains Users na Domains admins, pořád jsou to uživatelé.

    Dále jsem zkusil "klist purge" a taky nic. A ještě jsem se dopátral, že je zde nastaveno ověřování přes Kerberos (vytvořeno přes účet počítače) namísto NTLM, přiznám se že netuším, jestli to má souvislost...

    EDIT:

    Když spustím gpresult + whoami / groups tak vidím, že je uživatel ve správné skupině, která je nastavena na DC, v kartě uživatele...

    OV


    středa 20. prosince 2017 10:21
  • Kerberos je OK, NTLM je kvůli zpetne kompatibilite.

    Muzes zkusit restart DC, zda není problém na nem? DCDIAG zadny problém?

    MP

    středa 20. prosince 2017 10:28
    Vlastník
  • Tyto varianty už jsem prověřoval a server jsem restartoval, u dcdiag nebyla žádná chyba, ještě zkusím nainstalovat jednu stanici znovu, jak se to pak bude chovat....

    OV

    středa 20. prosince 2017 10:47
  • A členství v oněch speciálních skupinách je řízeno jenom přímým členstvím ve speciálních skupinách? Není někde delegované nějaké oprávnění nebo skrytá skupina či nejsou Domain Administrators falešná skupina a ve skutečnosti je členství řízeno jinou? Jakmile byly uživatelé v této skupině, mnoha věcem v AD se nedá věřit, že jsou skutečně ve výchozím a bezpečném stavu.
    sobota 30. prosince 2017 13:13
    Vlastník