Okay, wat meer uitleg voor diegene die niet alles gevolgt hebben.
Eigenlijk zijn er twee Administrator op een PC os Server die in een Domain staan, of moet ik zeggen 3.
Het machtigste account is de Enterprise Administrator. Dit account wordt nooit gewijzigt, het password van dit account gaat in een brief aan de eigenaar van het bedrijf waar je voor werkt en in de kluis. Dus is van de Klant.
Tweede Administrator is eigenlijk geen account maar een Group, in deze groep staan de Domain Admins. Deze group is altijd lid van de lokale Administrators group. Dus hebben dezelfede rechten als de lokale Administrator.
De lokale administrator, dit is een account dat je via da Active Directory renamed naar een andere naam en daar wordt dan ook een password aan gehangen.
Voor op een server te kunnen werken moet je minimaal Domain Admin zijn. Maar die mag niet alles hoor, een Domain Admin kan niet in Personal data van gebruikers kijken, dat kan alleen de gebruiker. Ik spreek hier even niet over de Backup groups, die kunnen daar wel wat.
De PC.
daar zijn 3 groepen op gemaakt, Administrators, Powerusers en Users. De Users zijn duidelijk, de gewone gebruikers.
Powerusers zijn mensen van de helpdesk, die mogen dan iets meer, behalve aan het netwerk klooien.
Administrators mogen alles op een PC.
Op een dergelijk PC kan je nl het Administrator password wijzigen, zoals ik al eerder vertelde, maar ook op een server.
Maar vaak blijven goede policies actief als je lokaal inlogt, waardoor je nog steeds niet als Administrator kunt inloggen, als je het password niet weet.
Als je nu met een ander operating systeem boot WinPE of zo, dan gelden de policies niet meer, dan kun je het admin password wijzigen, als je ook de login naam van de adminstrator weet. Normaal bij goede instellingen is dat gewijzigd.
En nu hou ik echt op er over, idderdaat wat The Wizzard zei klopt wel een beetje. MCSE of MCSA wil niet zeggen dat je alles weet, alleen dat je een papiertje hebt. Kennis moet je dagelijks gebruiken, vaak is dat niet het geval, dan verdwijnd die kennis.
Groetjes Bert
PS Policy in een AD zijn enorm veel regels, als je daar wat meer over wilt weten ga dan maar eens bij Microsoft kijken. 80 to 100 Duizend regels heb ik zelfs niet in mijn hoofd.
Wat is nu het moraal van dit alles, nogal simpel.
Richt je PC in zoals jij het wilt, dit moet onder het Admin account. Maak dan een norma;e user aan en ga daarmee op jou PC werken. Ja je kan dan niet meer alles alleen werken met de programma's die er op staan. Maar het belangrijkste is dat, jij als gewone user ook nix kapot kan maken, Dus ook kan een virus zich net verspreiden of een Throjans Horse kan niet binnen kan komen.
Dus XP of W2K is niet lek, maar de user die als administrator er gebruik van maakt, die maakt het zo lek als een zeef.
