Topic: controller di dominio e utenze windows

[crisdev77]

salve a tutti,
sto usando un sme server come controller di dominio. Mi chiedevo come poter definire dei gruppi di utenti che, una volta effettuato il login su client windows, possano ottenere determinati privilegi (sulla macchina locale e sul dominio stesso). Ho letto nella documentazione in inglese che bisognerebbe creare dei gruppi  e usare come loro descrizione alcune label standard indicanti il livello di permessi (ad es.: Administrators o Power Users): a parte il fatto che ho provato ma a me non funziona, mi trovo con l'esigenza di avere utenti che appartengano a più gruppi (dal momento che devo poter associare un utente a più i-bay). Come fare dunque? Qualcuno ha implementato queste features?

Grazie

Cristiano

[cherno]

In realtà nella label di descrizione non devi utilizzare le nomenclature windows locali, come Administrator
piuttosto che Power User, ma bensì utilizzare quelle di Active Directory: Domain Admins, Domain Users ecc ecc..

Per la tua seconda domanda: un utente può appartenere a più gruppi, pertanto una volta creati i gruppi
che ti servono, associ gli utenti

[crisdev77]

Grazie della tempestiva risposta...
il problema e che i gruppo che ho creato sono finalizzati a poter concedere o meno l'accesso alle ibays e non a   definire i privilegi utente.

Ad esempio ho due gruppi, commerciale e tecnici, dove al primo appartengono i commerciali dell'azienda al secondo i tecnici. Questa divisione mi permette di creare delle cartelle (ibays) dedicate ai due gruppi: ad una cartella possono accedere solo gli utenti appartenenti al gruppo associato alla cartella.

Detto questo, come faccio ad associare un determinato privilegio ad un utente? Se l'unico modo è associare un determinato privilegio ad un gruppo dovrei fare una cosa del genere:

commerciale -> domain admin
tecnici-> domain users
ma se un'utente deve poter accedere sia alla cartelle dei tecnici che a quella dei commerciali cosa succede? Diventa domain admin o domain user?

O forse devo fare altri gruppi, non associandoli alle ibays, da usare solo per i privilegi ed associare un'utenza  sia ai gruppi finalizzati alla condivisione dei files e poi a quelli atti a definirne i privilegi?

Grazie ancora

Cristiano

[cherno]

Direi che ti conviene tenere separati i gruppi per i privilegi ed i gruppi per l'accesso alle i-bay

[crisdev77]

Bene!!! Sembra funzionare.
Ancora una domanda. La cosa funziona con Domain Admins e non con Administrators: ma non sono entrambi gruppi di Active Directory? Mi sai elencare allora le tipologie di gruppo che posso utilizzare?

Grazie ancora
Cristiano

[cherno]

Purtroppo non conosco a memoria tutti i gruppi di Active Directory per
quanto riguarda i domini, posso provare a dare un'occhiata domani a lavoro
e farti una minilista.
Credo comunque che Administrators sia un gruppo locale di Windwos e credo
anche che l'utente Administrator, in active directory, faccia comunque riferimento
ai Domain Admins, o comunque è un utente speciale di 2003 Server.

In ogni caso sulla documentazione online di Microsoft trovi tutto a riguardo, dagli
un'occhiata.

[Milano1971]

Vediamo se dopo 5 anni ci sono novità su questa minilista..

Nel frattempo chiedo ai più espeti: inserire un utente nel gruppo domain admins equivale a fargli fare join nel dominio ed ottenere i permessi di administrator sulla macchima locale.
Quale gruppo sarebbe possibile creare per far in modo che l'utente al join nel dominio ottenga i permessi di "power user" sulla macchina locale?
Domain users potrebbe essere un gruppo da tenere in considerazione?

[nicolatiana]

Un po' di ordine

Quando fai il Join al dominio del PC devi essere necessariamente un amministratore del dominio (= admin) tanto quanto quando il PDC è Windows Server.
Al termine della procedura di Join ti viene offerto di aggiungere localmente (al pc) un utente (del dominio) che stabilisci a quale gruppo (locale) appartiene (---> permessi).
Il caso sopra citato (assegnazione diritti utente anche locali sulla base del gruppo nel pdc) direi che vale solo quando ti loggi sulla macchina senza avere aggiunto l'utente localmente (questo forse ti fa perdere qualche cosa in termini di caching delle credenziali).
Il gruppo Power Users esiste solo su Windows (2000 e successivi fino a 8 )e non come utente del dominio, quindi devi inserire localmente l'utente del dominio come Power user; non sono convinto (da ricordi ormai lontani) che questo funzioni:

You can also create a less privileged group "Power Users"

vedi: http://wiki.contribs.org/SME_Server:Documentation:Administration_Manual:Chapter9#Setting_Windows_Admin_Rights ma si può sempre provare.

E' comunque meglio dividere in due il discorso tra permessi locali e permessi sulla rete se no è difficile combinare le cose; se non si ha l'esigenza che su ogni PC accedano tutti i possibili utenti della rete è opportuno crearsi la griglia di gruppi  utile per controllare gli accessi alle iBay e poi aggiungere localmente gli utenti di dominio al PC con il livello di permessi (locale) che si ritiene opportuno. Oppure si gioca con i roaming profiles, arma a doppio/triplo taglio.

Nicola

[Milano1971]

Infatti, io mi riferivo a quando ci si logga sulla macchina senza aver aggiunto l'utente localmente.
Nel momento in cui ci si logga un utente del pcd inserito nel gruppo domain admins sulla macchina locale tale utente risulta amministratore. Nel momento in cui ci si logga un utente che sul pdc appartiene al gruppo domain user, come risulta sulla macchina locale?

[nicolatiana]

Credo al livello più basso di "Utente con restrizioni (Gruppo Users)"; puoi verificare se è vero quanto detto sulla possibilità di mettere "Power Users" nella descrizione e verificare se così loggato riesci a fare le operazioni previste come possibili per un power user.
 
Nicola

[Milano1971]

Power users nella descrizione del gruppo su sme non funzionerebbe, in quando occorre utilizzare nome gruppi di active directory. Ecco perchè mi chiedevo, creando un gruppo domain admins su sme potremmo aggiungerci gli utenti amministratori, gli altri in quale gruppo li inseriamo per renderli simili ai power users sulle macchine?
Ovviamente la soluzione ideale sarebbe quella di inserire gli utenti "user" del dominio sme anche come power users nella macchina locale, ma se questo non fosse possibile farlo su tutti i client, il gruppo domain users non sarebbe una soluzione?

[nicolatiana]

Dipende se per te è accettabile: quel tipo di utente non può installare praticamente nulla e con qualche applicazione mal scritta (o semplicemnete vecchia) a volte non riesci neppure a salvare le impostazioni del software installato (a memoria qualche versione non troppo vecchia di Autocad aveva problemi simili).
Se non hai molte macchine e nel 95% l'utente A accede sempre alla stessa macchina, inserisci gli utenti localmente assegnadogli i diritti di PU o comunque quelli più opportuni, punto e basta; io faccio così da tutti i miei clienti.
Eventuali accessi estemporanei ad altre macchine diverse dalla propria postazione di lavoro di solito servono solo per aprire un documento in rete o copiarlo, o stamparlo e quindi l'utente in quel caso può perfino essere un guest.
Comunque il manuale (al punto citato nel mio post) direbbe che funziona anche con PU: prova, al massimo non va . . .
 
Nicola

[Milano1971]

Vado a memoria, ma tanto tempo fa ho provato a creare un gruppo e nella descrizione scrivere "power users", ma quegli utenti sui client venivano visti come se non fossero inseriti in alcun gruppo.
Proprio gli utenti di sme non inseriti in nessun gruppo, di default, sulle macchine locali come vengono identificati? domain users? domain guest?   a me sembra domain users...
La parte del manuale che mi hai linkato la conoscevo già, e parla di domain admins, domain users e domain guest...

[Danysoft]

Io di solito nel momento in cui metto la macchina del dominio, metto nel gruppo locale Power User o administrators (dipende dalle esigenze), il gruppo Domain Users, così non ci sono problemi in futuro se cambia l'utente che deve accedere alla macchina locale.