none
Accesso ad un Domain Member Server "limitato" RRS feed

  • Domanda

  • Buongiorno,

    ho una domanda per una particolarità che non rieso a gestire e avrei bisogno del vostro aiuto.

    Devo predisporre per un'azienda esterna con accesso remoto attraverso VPN, con autenticazione LDAP, un server Windows 2008 dove dovranno eseguire del lavoro. Per eseguirlo avranno necessità di essere amministratori del server. Io non vorrei creare un'utenza di dominio "domain admins" per eseguire il lavoro, ma se lo lascio "domain users", e lo aggiungo nel server tra gli amministratori locali e remote desktop users non mi permette comunque  neanche l'accesso locale al server, si blocca perennemente dopoaver inserito la password e mi va in loop.

    Se uso un domain admins non ho nessun problema.

    Spero nel vostro aiuto,

     

    Grazie!!


    L'informatica non riguarda i computer più di quanto l'astronomia riguardi i telescopi. (Edsger Wybe Dijkstra)
    martedì 13 dicembre 2011 10:39

Risposte

  • hum...già che mi dici "installare" vuol dire che di permessi ne devono avere parecchi, perchè la possibilità di mettere su software è una prerogativa solo di chi amministra il server (anche perchè se no tutti metterebbero su roba). Oltretutto, penso che dovendo installare un applicativo IIS dovranno poi avere possibilità di startare o restartare servizi...e anche li...prerogativa degli amministratori. Secondo me non hai molte soluzioni se non disabilitare il loro account a lavoro finito. Se è una app IIS avrà poi una consolle di gestione web ed useranno quella.

    Capisco il tuo disagio, anche a me piace poco quando amministro un server dare l'accesso ad altri, ma a volte non ci sono soluzioni, in alcuni casi faccio io le installazioni, in altri do gli accessi temporanei e poi disabilito gli utenti.

    In caso invece sia una cosa continuativa è un discorso diverso, li entra anche in gioco un discorso di responsabilità su eventuali blocchi del server...in questi casi invece metto le mani avanti col titolare dell'azienda.

    A.

    martedì 13 dicembre 2011 12:52
    Moderatore

Tutte le risposte

  • Ciao, dovremmo capire che tipo di lavoro devono eseguire...perchè anche come remote desktop users e le relative policy modificate si può fare molto. Chiaro che se devono accedere alle cartelle syswow64 od al system32 anche se sono utenti con permission fai prima a dargli domain admins...quindi sapere che tipo di lavori debbano eseguire sulla macchina ci può aiutare a capire se si può fare qualcosa.

    P.s gli Adminstrators sono già abilitati al remote desktop...toglili dal gruppo "remote desktop users", non serve. Forse è per quello che ti looppa.

    A.

    martedì 13 dicembre 2011 11:22
    Moderatore
  • Ciao,

    ho richiesto informazioni; devono installare un software con struttura tipo Sito web, quindi devono installare e configurare Internet Information service, e avere accesso ad una cartella con permessi di scrittura e lettura su di un'unità.

    Ho provato a togliere l'utente dai remote desktop users locali del server ma il problema persiste :( non riesco ad accedere...

     

    Grazie per l'aiuto!

     


    L'informatica non riguarda i computer più di quanto l'astronomia riguardi i telescopi. (Edsger Wybe Dijkstra)
    martedì 13 dicembre 2011 12:04
  • hum...già che mi dici "installare" vuol dire che di permessi ne devono avere parecchi, perchè la possibilità di mettere su software è una prerogativa solo di chi amministra il server (anche perchè se no tutti metterebbero su roba). Oltretutto, penso che dovendo installare un applicativo IIS dovranno poi avere possibilità di startare o restartare servizi...e anche li...prerogativa degli amministratori. Secondo me non hai molte soluzioni se non disabilitare il loro account a lavoro finito. Se è una app IIS avrà poi una consolle di gestione web ed useranno quella.

    Capisco il tuo disagio, anche a me piace poco quando amministro un server dare l'accesso ad altri, ma a volte non ci sono soluzioni, in alcuni casi faccio io le installazioni, in altri do gli accessi temporanei e poi disabilito gli utenti.

    In caso invece sia una cosa continuativa è un discorso diverso, li entra anche in gioco un discorso di responsabilità su eventuali blocchi del server...in questi casi invece metto le mani avanti col titolare dell'azienda.

    A.

    martedì 13 dicembre 2011 12:52
    Moderatore
  • Grazie per l'interessamento!

    Hai capito bene la mia problematica, quindi eseguirò quanto dici : gli darò un account per installare, poi ad ogni successivo accesso per la manutenzione ad esempio gli cambierò password.

     

    Ciao:)


    L'informatica non riguarda i computer più di quanto l'astronomia riguardi i telescopi. (Edsger Wybe Dijkstra)
    martedì 13 dicembre 2011 13:53