none
Enterprise admins group in Local administrators RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao a tutti.... ho un problema di questo tipo:

    Ho una foresta con un dominio e un sottodominio (pippo.com e paperino.pippo.com). Devo fare in modo che administrator del dominio radice (pippo.com) sia in automatico amministratore di tutti i pc e server anche del dominio paperino.pippo.com.
    In teoria administrator del dominio pippo.com fa parte dell' enterprise admin e quest' ultimo fa parte del gruppo administrators del dominio paperino.pippo.com. Ma administraors di paperino.pippo.com non lo posso inserire nel gruppo locale dei pc win 7 administrators perchè è di tipo "local domain" e non "global"

    Mi potete aiutare a far in modo che ad es. enterprise admin faccia parte del gruppo "domain admins" del dominio paperino.pippo.com ? in modo che questi possano automaticamente amministrare anche i pc e i server non dc del dominio "paperino.pippo.com" ?

    Grazie

    venerdì 4 novembre 2011 16:25
    |

Risposte

Tutte le risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    potresti aggiungere usando le group policy uno "startup script" (es. add_local_adm.cmd)

    che aggiunge gli "enterprise admins" al gruppo locale  "administrators" di ogni singolo pc

    ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
    :: Batch  add_local_adm.cmd
    ::
    ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
    (net localgroup administrators|find /i "enterprise")||(net localgroup administrators "pippo.com\enterprise admins" /add) 

    :: fine

     

    Ciao Gas

    Gastone Canali - http://www.armadillo.it/

     

     

     

    sabato 5 novembre 2011 15:30
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    puoi certamente seguire il suggerimento di Gastone. mi sembra però molto strano che nel tuo caso gli administrators di dominio non siano automaticamente membri del gruppo administrators dei clients locali. qui in dettaglio l'articolo della kb

    http://support.microsoft.com/kb/555026

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    sabato 5 novembre 2011 16:19
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Concordo con Edoardo sulla stranezza e raccomando di leggere la kb in inglese, la traduzione dello script in italiano va bene per Halloween!!

     

    ' Questa è la versione adattata a pippo.com
    'get main objects/variables
    Set ws = WScript.CreateObject ( "WScript.Shell" )
    compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )
    Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" )
     
    'add domain groups to local admin group
    adGrp.Add ( "WinNT://pippo.com/enterprise Admins,group" )
     
    'End of the Script

     

    Ciao Gas

    Gastone Canali - http://www.armadillo.it/

     

    sabato 5 novembre 2011 16:53
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Grazie a tutti per le risposte...
    Ok per lo script, non penso che sia strano.. mi spiego meglio...
    Io ho un fominio principale... pippo.com e un sotto dominio paperino.pippo.com. Per entrambi questi domini il gruppo administratorsdi dominio fa parte del gruppo domain admins...  domain admin fa parte del gruppo locale computer administrators... correttamente...

    Il mio problema è che voglio far diventare amministratori dei pc locali del dominio paperino.pippo.com gli appartenenti del gruppo di foresta enterprise admin e quindi gli amministratori del dominio root pippo.com. Quindi se io ho un utente amministratore del dominio pippo.com, questo deve essere amministratore anche dei pc locali del dominio paperino.pippo.com oltre che del dominio pippo.com.

    Il problema sta nel nesting dei gruppi domain local, enterprise, ecc....

    Spero di essere stato abbastanza chiaro nella spiegazione del mio problema...

     

    lunedì 7 novembre 2011 08:54
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    gli enterprise admin sono membri dei domain admin di pippo.com ?

    i domain admin di pippo.com sono membri dei domain admin di paperino.pippo.com ?

    se la risposta ad entrambe le domande è si allora gli enterprise admin di pippo.com dovrebbero essere anche local admin dei clients di paperino.pippo.com.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 7 novembre 2011 12:36
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Purtroppo non è così...

    il domain admins di pippo.com fa parte dell' enterprise admin
    il domain admins di paperino.pippo.com fa parte dell' enterprise admin

    il domain admins di pippo.com fa parte del gruppo administrators dello stesso dominio
    il domain admins di paperino.pippo.com fa parte del gruppo administrators dello stesso dominio

    Il fatto è che non posso inserire enterprise admin in domain admins perchè i tipi di gruppi non sono compatibili per il nesting

    mercoledì 9 novembre 2011 13:51
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Purtroppo non è così...

    il domain admins di pippo.com fa parte dell' enterprise admin
    il domain admins di paperino.pippo.com fa parte dell' enterprise admin

    questo perchè qualcuno nel tuo dominio l'ha configurato così ma di default non è così: i domain admin non sono membri di enterprise admin.

    il domain admins di pippo.com fa parte del gruppo administrators dello stesso dominio
    il domain admins di paperino.pippo.com fa parte del gruppo administrators dello stesso dominio

    i domain admin fanno parte del gruppo Administrators che è un gruppo builtin del server stesso.

    le attuali impostazioni le puoi pure cambiare.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 9 novembre 2011 14:44
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Chiaro...

    ma il fatto è che io voglio far diventare in automatico (e senza script) l' utente administrator di pippo.com membro del gruppo administrators locale di ogni pc  o server del dominio paperino.pippo.com

    mercoledì 9 novembre 2011 15:04
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Chiaro...

    ma il fatto è che io voglio far diventare in automatico (e senza script) l' utente administrator di pippo.com membro del gruppo administrators locale di ogni pc  o server del dominio paperino.pippo.com


    "Chiaro" ma continui a non afferrare il concetto che ti ho scritto: devi solo rimuovere una membership e non fare uno script.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 15 novembre 2011 13:01
    |
    Moderatore