Lokalni admin ne moze izbaciti racunar sa domene

Lokalni admin moze uraditi sve sa lokalnim PC-em... pa samim tim moze ga izbaciti iz domena, promeniti mu ime...

Tacno tako, to kaze i MS ali sam ja vido svojim ocima na zeleznici da local administrator ne moze da unjoin comp s domena, a bilo je i ovde na ES-u rasprava oko toga.

@boxikg

Nisam verovao da cu da cujem ovako nesto ali ako predpostavimo da to nisu svi korisnici onda ih na kraju krajeva prebacish u administrators OU ili neku svoju sa tim pravima pa im eventualno ogranicish neke mogucnosti i to ti je to (nemam bash server pri ruci) ovako odokativno..

Peace

Moguce je da postoji neki policy koji moze "privremeno" da spreci local admina da unjoin-uje... ali ako nadjes taj policy, uklonis ga... i uradis sta ti je volja...

Igor

Lokal admin nema šta da traži u domenu, kada dodaješ u domen ili izbacuješ mašinu iz domena uvek dobiješ prozor za autorizaciju gde treba da uneseš user/pass domenskog korisnika koji ima privilegije da dodaje/izbacuje mašine.

Proces dodavanja mašine u domen je najbolje posmatrati kao *gradjenje poverenja* sa nekom grupom koja ima svoja odredjena pravila ponašanja. To što si ti u svojoj kući glavni baja neće ti pomoći da udješ u tu grupu, da bi izgradio poverenje potrebno je da *poznaješ* nekog iz te grupe ko može u nju da te ubaci. Ista priča važi i za izlazak iz grupe.

Pozd.

To bi znachilo da jednom kada udjesh u grupu, zatvoren si zauvek dok te grupa ne pusti napolje :) Znachi ako DC pukne i reinstalirate ga, reshenje je shta, reinstalacija i svih chlanova domena jer niko ne mozhe da izadje iz starog? :) Lokalni administrator mozhe da ukloni referencu na sopstvenom rachunaru ka domenu i da predje u workgroup. On ne mozhe da ukloni computer account iz AD jer nema privilegije za to, ali to ne znachi da ne mozhe nishta drugo da uradi.

Svako dobro.

Tako je stsung.
To sto se trazi domain acount/password prilikom izbacivanja racunara iz domena sluzi samo da ako imas privilegije i hoces da uklonis account iz AD-a da to mozes uraditi.

Igor

Da, u pravu ste što se tiče odjavljivanja, malo pre sam probao jedan i prošao je. U suštini, sasvim je i normalno što su tu napravili presedan za local admina, jer u slučaju havarije na domenu bi zaista ostao locked in.

Pozd.

Tehnichki nije u pitanju presedan. Lokalni administrator ima normalnu ulogu, a to je da mozhe da radi shta hoce na rachunaru, u shta spada i izmena network pripadnosti. Ako pogledash, taj rachunar koji si izbacio iz domena na taj nachin, i dalje ce imati svoj computer account u AD, jer lokalni administrator naravno nema mogucnost da to promeni.

Svako dobro.

Da, ali ne zaboravi da kada je mašina unutar domena i za njega se menjaju pravila, to jest njegove privilegije teorijski a i praktično postaju ipak ograničene. Domenske polise rade override nad lokalnim, tako da izraz "može da radi šta hoće" jako lako (i veoma često) kroz GPO bude prebačen u "ono što mu se dozvoli". Gledajući iz tog ugla, ako korisnik kojem domen admin nije dozvolio da radi unjoin ipak može (u posebnim okolnostima) da ga uradi, onda to po meni ipak jeste neka vrsta presedana. Možda nije tehnički, ali nekakav ipak jeste :)
Pozdrav!

Pozd.

Ko shto rekoh tehnichki nije baash tako, zavisi u stvari kako gledash na to. Ti na primer kao administrator mozhesh da setujesh na svom accountu "user cannot change password". I zaista, necesh to moci. Ali ti si administrator, i mozhesh da tu opciju ponovo promenish, shto obichan korisnik ne mozhe. Isto tako politike domena, one setuju neka podeshavanja, ali ti ih mozhesh promenuti (iako ce biti ponovo aplicirane) ili mozhesh da se sklonish iz domena, shto obichan korisnik ne mozhe ni na koji nachin. Ti si jelda administrator i to je to, ne mozhe te neko sprechiti da uradish neshto na svom rachunaru :)

Svako dobro.