none
utente help desk RRS feed

  • Domanda

  • Salve a tutti ,

    ho un dominio su 2008srv, e volevo creare un gruppo di utenti ai quali dare le autorizzazioni per la sola join a dominio dei nuovi user e l'installazione del software. Esiste un qualche gruppo Buili in che non dia tutti i permessi di domain admin, oppure devo settarli con le policy?

    grazie

    mercoledì 23 marzo 2016 11:59

Risposte

  • Ciao, qui trovi i gruppi builtin, secondo me l'account operators può fare al caso tuo.

    https://technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx

    Ciao.

    A.

    mercoledì 23 marzo 2016 14:15
    Moderatore
  • Salve a tutti ,

    ho un dominio su 2008srv, e volevo creare un gruppo di utenti ai quali dare le autorizzazioni per la sola join a dominio dei nuovi user e l'installazione del software. Esiste un qualche gruppo Buili in che non dia tutti i permessi di domain admin, oppure devo settarli con le policy?

    grazie

    Per "join a dominio dei nuovi user" intendevi il join di computer o l'aggiunta di utenti in Active Directory?

    Nel primo caso, per impostazione predefinita, tutti gli user possono eseguire il join a dominio di massimo 10 computer. Per cambiare questo comportamento devi agire sul valore "ms-DS-MachineAccountQuota" tramite ADSIedit portandolo a zero oppure cambiare direttamente le impostazioni di sicurezza:

    https://technet.microsoft.com/en-us/library/cc780195%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Nel secondo caso invece puoi creare una delega oppure utilizzare il gruppo suggerito da Alessandro.

    Per quanto riguarda invece l'installazione di software nei computer la cosa è più complessa: non esiste un privilegio particolare per l'installazione dei software, semplicemente dipende da dove l'installer andrà a copiare i file o scrivere le chiavi. Quindi se l'utente deve poter eseguire solo una particolare installazione puoi provare a concedere privilegi selettivi con le Group policy o script, in caso contrario l'utente di dominio deve come minimo appartenere al gruppo degli amministratori locali al client (il che espone comunque a rischi, anche se sicuramente inferiori a quelli di un account amministratore di dominio).


    mercoledì 23 marzo 2016 21:47
    Moderatore

Tutte le risposte

  • Ciao, qui trovi i gruppi builtin, secondo me l'account operators può fare al caso tuo.

    https://technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx

    Ciao.

    A.

    mercoledì 23 marzo 2016 14:15
    Moderatore
  • Salve a tutti ,

    ho un dominio su 2008srv, e volevo creare un gruppo di utenti ai quali dare le autorizzazioni per la sola join a dominio dei nuovi user e l'installazione del software. Esiste un qualche gruppo Buili in che non dia tutti i permessi di domain admin, oppure devo settarli con le policy?

    grazie

    Per "join a dominio dei nuovi user" intendevi il join di computer o l'aggiunta di utenti in Active Directory?

    Nel primo caso, per impostazione predefinita, tutti gli user possono eseguire il join a dominio di massimo 10 computer. Per cambiare questo comportamento devi agire sul valore "ms-DS-MachineAccountQuota" tramite ADSIedit portandolo a zero oppure cambiare direttamente le impostazioni di sicurezza:

    https://technet.microsoft.com/en-us/library/cc780195%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Nel secondo caso invece puoi creare una delega oppure utilizzare il gruppo suggerito da Alessandro.

    Per quanto riguarda invece l'installazione di software nei computer la cosa è più complessa: non esiste un privilegio particolare per l'installazione dei software, semplicemente dipende da dove l'installer andrà a copiare i file o scrivere le chiavi. Quindi se l'utente deve poter eseguire solo una particolare installazione puoi provare a concedere privilegi selettivi con le Group policy o script, in caso contrario l'utente di dominio deve come minimo appartenere al gruppo degli amministratori locali al client (il che espone comunque a rischi, anche se sicuramente inferiori a quelli di un account amministratore di dominio).


    mercoledì 23 marzo 2016 21:47
    Moderatore