---

Jeg høre konstant, at man under ingen omstændigheder må gøre brugere
medlem af den lokale administrator gruppe (så brugeren er lokal
administrator på sin maskine).

Jeg har igennem flere år kørt med denne politik, at brugeren er lokal
admin. Jeg køre i et Windows 2003 AD miljø, hvor brugere bliver
autoriseret og får diverse adgang til netværket. Jeg køre også enkelte
MSI pakker ud igennem GPO, men det er generelle pakker som alle skal have.

Vores scenarie er, at den lokale bruger også er primær bruger på
maskinen - dvs. vi har ikke maskiner der har flere brugere.


Fordele ved at lade brugere være lokal admin:

1) Brugere kan selv installere diverse små-programmer som de måtte finde
brugbare. Arbejde er mere end hård slid og hvis en bruger vil have
installeret RealPlayer i nyeste version fordi han så kan høre lige hans
yndlings radio station, ja så synes jeg der skal gode argumenter til
hvorfor det ikke kan lade sig gøre.

2) Det sker at der er programmer som kræver lokal admin rettigheder før
de kan køre. Det gælder f.eks. vores Trend AV og vores VPN klient. Man
kan klart nok argumentere at man burde skifte de programmer men ét eller
andet sted, så ér programmerne købt og de bør tjene sig selv ind igen,
før man kan overveje alternativer.

3) Man kan nemmere argumentere overfor brugerene, at de ikke skal gemme
lokale data på deres computer. Det sker jo, at en PC skal om-installeres
(netop pga. brugeren er lokal admin) og det er nemt nok, hvis brugeren
ikke har lokale data liggende.

4) Brugeren kan selv lave diverse små-justeringer mht. udseende og
program tilpasninger. Alt kan sikkert styres via GPO m.v. men det tager
evigheder at opsætte og det er svært at gøre alle tilpas (nogen vil have
det på én måde og andre på en anden).

5) Administratoren slipper for en masse administration mht. ikke at
skulle lave MSI pakker og program opdateringer m.v. Brugeren kan selv
installere programmet eller opdateringen (evt. automatisk men hvor det
igen kræver lokal admin rettighed).


Ulemper:

1) Brugeren er meget mere udsat for diverse svagheder i Windows (f.eks.
med en usikker IE på en grim webside). Det løses dog langt hen af vejen
med en uptodate PC (automatisk Windows Update installering).
Endvidere er det jo naturligvis en selvfølge, at brugeren har
installeret en uptodate antivirus.

2) Brugeren kan selv installere diverse små-programmer, som han absolut
ingen idé har om de er sikre eller ej. Det er det største problem synes
jeg men det har aldrig været et reelt problem (men det kan det
selvfølgelig blive).

3) Computeren bliver helt sikkert sløv med tiden. Efter et år eller
deromkring er PC'en blevet så labgsom efter diverse installeringer, at
den skal ominstalleres.

4) Der kan opstå mange forskellige fejl fordi fejlene kan være person
relateret (forkert opsætning).


Jeg kan dog godt lide idéen om, at brugeren ikke er lokal admin og jeg
véd som sådan også godt, "at det er det eneste rigtige at gøre", men jeg
synes bare at det rent praktisk giver alt alt for meget arbejde til mig!
Men modbevis mig gerne (det er jo det jeg ligger op til)

Lidt om mig selv. Jeg har arbejdet som sysadmin prof. i 5 år. Jeg
administrere selv 30-40 brugere med mindst lige så mange (forskellige)
workstations. Jeg køre rent Win2003 server med WinXP klienter.

Anders.

---

Anders Jensen wrote:
> 1) Brugere kan selv installere diverse små-programmer som de måtte finde
> brugbare. Arbejde er mere end hård slid og hvis en bruger vil have
> installeret RealPlayer i nyeste version fordi han så kan høre lige hans
> yndlings radio station, ja så synes jeg der skal gode argumenter til
> hvorfor det ikke kan lade sig gøre.

Du kommer selv med dem under ulemper.

Jeg vil anbefalde at bruge et system til at distriburer applikationer
softwaren. Denne kører med en service som har de rigtige rettigheder i
systemet for at kunne installere applikationer.

ZENworks fra Novell er min farvorit.

De applikationer brugerne virkelig har brug kan du nu pakke ind, og
brugeren kan selv installere det igennem "Application launcheren" ...
det er en Novell applikation der sætter bruger istand til at starte
installationen af en applikation, første gang brugeren har brug for
applikationen.

> 2) Det sker at der er programmer som kræver lokal admin rettigheder før
> de kan køre. Det gælder f.eks. vores Trend AV og vores VPN klient. Man
> kan klart nok argumentere at man burde skifte de programmer men ét eller
> andet sted, så ér programmerne købt og de bør tjene sig selv ind igen,
> før man kan overveje alternativer.

Symantec VPN klient, kommer med en fejl over den ikke kan skrive i
logfilen, da installationen er udført af administrator, og denne har
lavet en tom logfil kun admin kan skrive i.

Dette kan rettes ved at give brugeren skrive adgang til logfilen.

Herefter virker VPN klienten.

De fleste applikationer har i virkelighed ikke brug for administrator
adgangen. Men er desværrer kodet uden krav om at skulle tage hensyn til
problemstillingen.

Jeg gætter på det også er tilfældet med din antivirus klient...spørg
evt. din leverandør (det vil dog ikke undre mig de ikke fatter hvad du
snakker om).

Sæt evt. eventloggen op til at give dig information om hvilke problemmer
applikationerne har med at tilgå filer...måske kan systeminternals.com
også bruges (mener de har en util til at overvåge adgang til et filsystem).

> 3) Man kan nemmere argumentere overfor brugerene, at de ikke skal gemme
> lokale data på deres computer. Det sker jo, at en PC skal om-installeres
> (netop pga. brugeren er lokal admin) og det er nemt nok, hvis brugeren
> ikke har lokale data liggende.

Offline folders.

> 4) Brugeren kan selv lave diverse små-justeringer mht. udseende og
> program tilpasninger. Alt kan sikkert styres via GPO m.v. men det tager
> evigheder at opsætte og det er svært at gøre alle tilpas (nogen vil have
> det på én måde og andre på en anden).

Backup af brugerens profil. Eller måske placering af deres profil i
deres offline folder (har ikke prøvet det).

> 5) Administratoren slipper for en masse administration mht. ikke at
> skulle lave MSI pakker og program opdateringer m.v. Brugeren kan selv
> installere programmet eller opdateringen (evt. automatisk men hvor det
> igen kræver lokal admin rettighed).

Hvis det er for besværligt at lave MSI pakke, så brug et nemmere system.

Program opdateringer kan jeg ikke se en "nem" løsning på. Udover at lave
en "diff" imellem den oprindelig applikation og opdateringen, og sende
denne ud.

> Jeg kan dog godt lide idéen om, at brugeren ikke er lokal admin og jeg
> véd som sådan også godt, "at det er det eneste rigtige at gøre", men jeg
> synes bare at det rent praktisk giver alt alt for meget arbejde til mig!
> Men modbevis mig gerne (det er jo det jeg ligger op til)

Du får maskiner der kører meget mere stabilt. Vi bruger ikke længere tid
på de bærbar uden administrator adgang...før skulle vi rode med
pillefinger brugerne, og det var hele tiden påstand imod påstand. At
nogle af dem ikke bor i udlandet hjalp ej.

> Lidt om mig selv. Jeg har arbejdet som sysadmin prof. i 5 år. Jeg
> administrere selv 30-40 brugere med mindst lige så mange (forskellige)
> workstations. Jeg køre rent Win2003 server med WinXP klienter.

Da jeg arbejdede på en handelsskole havde vi ca 250 pc'er og ca. 1200
elever. Eleverne var gode til at pille i alt. Novell ZENwork sørgede for
de installeret applikationer var sat rigtigt op når de skulle bruges.

På administrationen havde jeg ikke midler til at købe
distributionssoftware, og brugte istedet winzip og regedit (brugte
snapshot fra Novell til at finde de intressante filer og
registringsnøgler), i nogle batchscript...det kørte fornuftigt, de var
også "kun" 20-30 brugere. Jeg brugte 3 dage, på at lave en
grundinstallation der kunne hældes ud med ghost, og lave zip/reg filer
til 20-30 applikationer, et excel ark til at holde styr på hvem der skal
bruge hvad.

I dag ville jeg nok havde brugt en applikation som
http://www.eytcheson.com/mrrc.htm hvis midlerne er små. Filer kan også
hældes på via c$ sharet.

---

Christian E. Lysel wrote:
> Hvis det er for besværligt at lave MSI pakke, så brug et nemmere
> system.

Såsom?

> Da jeg arbejdede på en handelsskole havde vi ca 250 pc'er og ca. 1200
> elever. Eleverne var gode til at pille i alt.

Jeg tror folks valg af administrationstype ligger i hvem brugergruppen er,
OG om IT-afdelingen har den nødvendige magt/opbakning til at vælge! Jeg kan
på ingen måde overbevise min direktør (lille firma, 1½ mand i IT-afd) om at
jeg ikke synes han skal have admin-kodeord og fri råderet over hans bærbare.
Derudover kommer ting såsom at han derhjemme gerne vil køre netbank (gider
jeg *slet* ikk røre ved), datteren skal kunne spille Pixeline når de er på
ferie osv. Det kan bare ikke lade sig gøre, at give ham frihed uden lokal
admin rettigheder. Og argumentet med "jeg gider ikke re-installere din pc
igen og igen"..... holder bare ikke overfor direktøren! Ghost pc'en, og lad
brugeren gøre hvad han vil - det er den politik jeg er kommet længst med. En
stram kørt IT-afd. skaber ingen synergi for et lille firma, hvorimod det
meget vel kan være tvingende nødvendigt i større firmaer og koncerner.

IMHO.

--
Mvh
///M

---

///M wrote:
> Christian E. Lysel wrote:
>
>>Hvis det er for besværligt at lave MSI pakke, så brug et nemmere
>>system.
>
>
> Såsom?

Novell ZENwork Snapshot. Det er en selvstændig applikation, der ligger
på deres demo CD'er.

Kør programmet, installere applikationen, kør programmet og den generere
en datafil som beskriver ændringer i filsystemet, ini-filer og reg.

Under installationen af applikationen kan man bruge variable navne på
objekter i Novells AD (som er integret med Microsofts AD).


Symantecs Ghost i den nyeste enterprise version, har også lige fået en
ligende feature der bygger en .exe fil af et snapshot.

>>Da jeg arbejdede på en handelsskole havde vi ca 250 pc'er og ca. 1200
>>elever. Eleverne var gode til at pille i alt.
>
> Jeg tror folks valg af administrationstype ligger i hvem brugergruppen er,
> OG om IT-afdelingen har den nødvendige magt/opbakning til at vælge! Jeg kan

Ja, sådan er det og desværre tit.

Nogle steder løser det sig selv, når det er chefen der sprede virus...
Læs evt.
http://groups.google.com/groups?q="Jeg%20har%20set"&selm=slrnbdvgfr.rfq.chel%40weebo.dmz.spindelnet.dk
det interessante afsnit er markeret med gult.

Konsulenter har tit vmware installeret for at teste diverse testmiljøer,
det virker godt....regner dog ikke med din chef gider starte en
applikation for at kunne kører egne applikationer.

> på ingen måde overbevise min direktør (lille firma, 1½ mand i IT-afd) om at
> jeg ikke synes han skal have admin-kodeord og fri råderet over hans bærbare.

Kan du ikke bede ham at køre som en almindelig bruger, og kun bruge
administrator rettighederne når han har brug for det?

> admin rettigheder. Og argumentet med "jeg gider ikke re-installere din pc
> igen og igen"..... holder bare ikke overfor direktøren! Ghost pc'en, og lad

På handelsskolen kørte jeg i administrationen med..."jeg gider ikke
bruge tid på problemmer du selv har lavet...så du får en ny maskine fra
hylden".

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:421cd893$0$268$edfadb0f@dread11.news.tele.dk...
> Læs evt.
> http://groups.google.com/groups?q="Jeg%20har%20set"&selm=slrnbdvgfr.rfq.chel%40weebo.dmz.spindelnet.dk

Linket virker ikke hos mig? Får bare Google's News forside.


>> på ingen måde overbevise min direktør (lille firma, 1½ mand i IT-afd) om
>> at jeg ikke synes han skal have admin-kodeord og fri råderet over hans
>> bærbare.
>
> Kan du ikke bede ham at køre som en almindelig bruger, og kun bruge
> administrator rettighederne når han har brug for det?

Jo - det er sådan det er. :)

>> admin rettigheder. Og argumentet med "jeg gider ikke re-installere din pc
>> igen og igen"..... holder bare ikke overfor direktøren! Ghost pc'en, og
>> lad
>
> På handelsskolen kørte jeg i administrationen med..."jeg gider ikke bruge
> tid på problemmer du selv har lavet...så du får en ny maskine fra hylden".

Kræver jo at man har en "hylde", og så er det alligevel ikke nok. For kender
jeg ham ret, så beder ham mig sætte hans nye pc op, sådan som han helst vil
have det - her tænker jeg program-indstillinger, offline files, Outlook bla
bla bla. Det er en pest, og selvom det er nemt for ham at lære, skal han
bruge sin tid på at lede firmaet, ikke være superbruger <-- hans argument
altså :)



--
///M

---

///M wrote:
> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
> news:421cd893$0$268$edfadb0f@dread11.news.tele.dk...
>
>>Læs evt.
>>http://groups.google.com/groups?q="Jeg%20har%20set"&selm=slrnbdvgfr.rfq.chel%40weebo.dmz.spindelnet.dk
>
>
> Linket virker ikke hos mig? Får bare Google's News forside.

Min newsreader se desværrer kun http://groups.google.com/groups?q= som
linket....men det er hele adressen.

>>På handelsskolen kørte jeg i administrationen med..."jeg gider ikke bruge
>>tid på problemmer du selv har lavet...så du får en ny maskine fra hylden".

> Kræver jo at man har en "hylde", og så er det alligevel ikke nok. For kender
> jeg ham ret, så beder ham mig sætte hans nye pc op, sådan som han helst vil
> have det - her tænker jeg program-indstillinger, offline files, Outlook bla
> bla bla. Det er en pest, og selvom det er nemt for ham at lære, skal han
> bruge sin tid på at lede firmaet, ikke være superbruger <-- hans argument
> altså :)

Hans indstillinger ligger i c:\documents and settings\<brugernavn\ husk
at tage backup af disse.

---

"Christian E. Lysel" wrote:
>
> ///M wrote:
> > "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
> > news:421cd893$0$268$edfadb0f@dread11.news.tele.dk...
> >
> >>Læs evt.
> >>http://groups.google.com/groups?q="Jeg%20har%20set"&selm=slrnbdvgfr.rfq.chel%40weebo.dmz.spindelnet.dk
> >
> >
> > Linket virker ikke hos mig? Får bare Google's News forside.
>
> Min newsreader se desværrer kun http://groups.google.com/groups?q= som
> linket....men det er hele adressen.

Det kan være den her virker bedre
http://groups.google.com/groups?q=%22Jeg%20har%20set%22&selm=slrnbdvgfr.rfq.chel%40weebo.dmz.spindelnet.dk

--
Kasper Dupont

---

Kasper Dupont wrote:
> "Christian E. Lysel" wrote:
>>
>> ///M wrote:
>>> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in
>>> message news:421cd893$0$268$edfadb0f@dread11.news.tele.dk...
>>>
>>>> Læs evt.
>>>> http://groups.google.com/groups?q="Jeg%20har%20set"&selm=slrnbdvgfr.rfq.chel%40weebo.dmz.spindelnet.dk
>>>
>>>
>>> Linket virker ikke hos mig? Får bare Google's News forside.
>>
>> Min newsreader se desværrer kun http://groups.google.com/groups?q=
>> som linket....men det er hele adressen.
>
> Det kan være den her virker bedre
> http://groups.google.com/groups?q=%22Jeg%20har%20set%22&selm=slrnbdvgfr.rfq.chel%40weebo.dmz.spindelnet.dk

Ja Tak -

--
Mvh
///M

---

Christian E. Lysel wrote:
> ///M wrote:
>> Kræver jo at man har en "hylde", og så er det alligevel ikke nok.
>> For kender jeg ham ret, så beder ham mig sætte hans nye pc op, sådan
>> som han helst vil have det - her tænker jeg program-indstillinger,
>> offline files, Outlook bla bla bla. Det er en pest, og selvom det er
>> nemt for ham at lære, skal han bruge sin tid på at lede firmaet,
>> ikke være superbruger <-- hans argument altså :)
>
> Hans indstillinger ligger i c:\documents and settings\<brugernavn\
> husk at tage backup af disse.


Du formoder han kører WinXP! Desuden ligger der også mange ting i
registreringsdatabasen.

--
Mvh
///M

---

///M wrote:
> Du formoder han kører WinXP! Desuden ligger der også mange ting i
> registreringsdatabasen.

Eller Windows 2000 - men ja, der ligger også en masse guf i
registreringsdatabasen. :)


--
Anders Lund - anders@andersonline.dk
Take back the web - www.mozilla.org/firefox
I have plenty of Gmail invites - just ask!

---

///M wrote:
> Du formoder han kører WinXP! Desuden ligger der også mange ting i
> registreringsdatabasen.

NT/2K/XP, hvilket også giver mening hvis han ikke kører som admin.

De ting i registeringsdatabasen du snakker om, ligger der en kopi af i
nævnte katalog!

(filen hedder NTUSER.DAT)

---

Christian E. Lysel wrote:
> De ting i registeringsdatabasen du snakker om, ligger der en kopi af i
> nævnte katalog!
> (filen hedder NTUSER.DAT)

Det er jo vrøvl! Visse programmer skriver ting i reg-db som ligger på
machine-gruppen - de ligger ikke hos brugeren på nogen måde. Der findes
samtidig masser af programmer som gemmer indstillinger i dens egen
installationsmappe eller i Windows-biblioteket i INI-filer.

--
Mvh
///M

---

On Fri, 25 Feb 2005 01:31:40 +0100, ///M wrote:

> Det er jo vrøvl! Visse programmer skriver ting i reg-db som ligger på
> machine-gruppen - de ligger ikke hos brugeren på nogen måde. Der findes
> samtidig masser af programmer som gemmer indstillinger i dens egen
> installationsmappe eller i Windows-biblioteket i INI-filer.

Det lyder som programmer der alligevel kræver administratorrettigheder.

--
Morten Bakkedal
http://www.bakkeland.dk/

---

///M wrote:

> Det er jo vrøvl! Visse programmer skriver ting i reg-db som ligger på
> machine-gruppen - de ligger ikke hos brugeren på nogen måde. Der findes

Hvilke programmer skriver hvilke ting i HKEY_LOCAL_MACHINE?

Hvis det er tilfældet er det kun ændringer der kan fortages som
administrator (hvis der ikke er pillet for meget i
registeringsdatabasens rettigheder).

Største delen ligger sig i HKEY_CURRENT_USER.

> samtidig masser af programmer som gemmer indstillinger i dens egen
> installationsmappe eller i Windows-biblioteket i INI-filer.

Nix, du snakker om registeringsdatabasen ikke om INI filer.

---

Christian E. Lysel wrote:
> Hvilke programmer skriver hvilke ting i HKEY_LOCAL_MACHINE?

Alle programmer der tilbyder at gemme deres indstillinger pr. maskine, ikke
pr. bruger...

> Hvis det er tilfældet er det kun ændringer der kan fortages som
> administrator (hvis der ikke er pillet for meget i
> registeringsdatabasens rettigheder).
>
> Største delen ligger sig i HKEY_CURRENT_USER.

Rigtigt, men ikke det vi snakker om - der er undtagelser.

>> samtidig masser af programmer som gemmer indstillinger i dens egen
>> installationsmappe eller i Windows-biblioteket i INI-filer.
>
> Nix, du snakker om registeringsdatabasen ikke om INI filer.

Hvordan ved du hvad jeg snakker om? Der findes masser programmer der bruger
ini-filer frem for reg-db, specielt lidt ældre programmer. Snakker vi helt
forbi hinanden? Jeg har ikke nævnt hvilke programmer der diskuteres (?) -
taler blot om teori. Det lyder som om du snakker ret specifikke og
Microsoft-udviklede programmer.

--
Mvh
///M

---

///M wrote:
> Alle programmer der tilbyder at gemme deres indstillinger pr. maskine, ikke
> pr. bruger...

Hvilke?

> Rigtigt, men ikke det vi snakker om - der er undtagelser.

Så scripte disse undtagelser. Exportere den gren af træet der indeholder
indstillingerne.

> Hvordan ved du hvad jeg snakker om? Der findes masser programmer der bruger

...."Du formoder han kører WinXP! Desuden ligger der også mange ting i
registreringsdatabasen. "...

---

Christian E. Lysel wrote:
> ///M wrote:
>> Alle programmer der tilbyder at gemme deres indstillinger pr.
>> maskine, ikke pr. bruger...
>
> Hvilke?

Nu gider jeg ikke finde et eksempel - vi snakker teori. Men jeg er f.eks.
pt. igang med at udvikle en applikation i .Net som flere brugere skal bruge.
Det er derfor naturligt at gemme applikationens indstillinger i
MACHINE-delen af registry.

>
>> Rigtigt, men ikke det vi snakker om - der er undtagelser.
>
> Så scripte disse undtagelser. Exportere den gren af træet der
> indeholder indstillingerne.

Alt for besværligt. Resourcerne der skal investeres for at finde alle
indstillinger i et tilfældigt program, svarer ikke til udbyttet i forhold
til blot at installere og konfigurere programmet.

>> Hvordan ved du hvad jeg snakker om? Der findes masser programmer der
>> bruger
>
> ..."Du formoder han kører WinXP! Desuden ligger der også mange ting i
> registreringsdatabasen. "...

Her er jeg så stået af... Jeg argumenterede netop at han ikke kører WinXP
(og at problemstillingen med at gemme programindstillinger mellem
re-installationer ikke er nemt ved ikke-standard MS-programmer).

--
Mvh
///M

---

///M wrote:
>>Hvilke?
> Nu gider jeg ikke finde et eksempel - vi snakker teori. Men jeg er f.eks.
> pt. igang med at udvikle en applikation i .Net som flere brugere skal bruge.

Hvilket kræver brugerne har administrator rettighed eller at du tillade
almindelige brugere at pille i et deltræ.

Var formålet med denne tråd ikke at undgå ovenstående?

> Det er derfor naturligt at gemme applikationens indstillinger i
> MACHINE-delen af registry.

Er det naturligt at det en bruger piller i har indflydelse for de andre
brugere?

>>Så scripte disse undtagelser. Exportere den gren af træet der
>>indeholder indstillingerne.
> Alt for besværligt. Resourcerne der skal investeres for at finde alle
> indstillinger i et tilfældigt program, svarer ikke til udbyttet i forhold
> til blot at installere og konfigurere programmet.

Men du brokker dig over at konfigurationerne forsvinder:

...."For kender jeg ham ret, så beder ham mig sætte hans nye pc op, sådan
som han helst vil have det - her tænker jeg program-indstillinger,
offline files, Outlook bla bla bla. Det er en pest"...

Din løsning på din pest er at tage backup af data...Du laver en positiv
liste hvad din backup skal indeholde...dette er da det mest naturlige.

>>>Hvordan ved du hvad jeg snakker om? Der findes masser programmer der
>>>bruger
>>
>>..."Du formoder han kører WinXP! Desuden ligger der også mange ting i
>>registreringsdatabasen. "...
>
>
> Her er jeg så stået af... Jeg argumenterede netop at han ikke kører WinXP

...."NT/2K/XP, hvilket også giver mening hvis han ikke kører som admin."...

> (og at problemstillingen med at gemme programindstillinger mellem
> re-installationer ikke er nemt ved ikke-standard MS-programmer).

Vi snakker om registeringsdatabasen ikke om ini filer.

---

Christian E. Lysel wrote:
> Hvilket kræver brugerne har administrator rettighed eller at du
> tillade almindelige brugere at pille i et deltræ.

Det kræver mig bekendt ikke admin-rettighed for at læse indstillingerne - de
bliver sat ved installationen - ikke senere :)

> Var formålet med denne tråd ikke at undgå ovenstående?

Nej, det var oprindeligt en diskussion om hvad der blev brugt rundt omkring,
og hvorfor. Mit indledende argument var at det i nogle tilfælde er for
besværligt ikke at give brugeren lokale admin-rettigheder.

>> Det er derfor naturligt at gemme applikationens indstillinger i
>> MACHINE-delen af registry.
>
> Er det naturligt at det en bruger piller i har indflydelse for de
> andre brugere?

I dette tilfælde ja - en af indstillingerne er hvilken printer der skal
bruges, en anden hvilken sqlserver der skal bruges. Det er kun adminbrugere
i applikationen der kan ændre noget.


Resten af vores indlæg er vist ved at være OT og jeg tror ikke vi snakker om
det samme alligevel :)

--
Mvh
///M

---

///M wrote:
> Christian E. Lysel wrote:
>>Hvilket kræver brugerne har administrator rettighed eller at du
>>tillade almindelige brugere at pille i et deltræ.
> Det kræver mig bekendt ikke admin-rettighed for at læse indstillingerne - de
> bliver sat ved installationen - ikke senere :)

Du skrev "Visse programmer skriver ting i reg-db som ligger på
machine-gruppen" og nu snakker du om installationens programmet.

Mener du installationsprogrammet eller programmet?

>>Var formålet med denne tråd ikke at undgå ovenstående?
>
>
> Nej, det var oprindeligt en diskussion om hvad der blev brugt rundt omkring,
> og hvorfor. Mit indledende argument var at det i nogle tilfælde er for
> besværligt ikke at give brugeren lokale admin-rettigheder.

Anders spørger til fordele og ulemper ved at kører som admin.

Du kan stadigvæk bede din direktør ikke om at kører som admin når det
ikke er nødvendigt, hvilket jeg også kan forstå du gør.

Peter gav også et link til SU, der gør opgaven endnu nemmere med
applikationer der ikke er bygget til ikke at kører som admin.

At du så syntes det er en pest...kan løses ved at tage backup af
indstillingerne, og du kommer rigtigt langt ved at tage en backup af
HKEY_CURRENT_USER...hvis du mener der andre ting der skal tages backup,
så tag backup af dem. Hvis det er svært at identificere hvor
indstillingerne bliver gemt kan snapshot bruges se evt.

http://www.novell.com/documentation/zenworks65/dmadmin/data/a84rvv1.html

Den ligger frit tilgændelig på diverse eval kits. Jeg ringede til Novell
og bestilte eval til novell 5.

>>>Det er derfor naturligt at gemme applikationens indstillinger i
>>>MACHINE-delen af registry.
>>
>>Er det naturligt at det en bruger piller i har indflydelse for de
>>andre brugere?
>
>
> I dette tilfælde ja - en af indstillingerne er hvilken printer der skal
> bruges, en anden hvilken sqlserver der skal bruges. Det er kun adminbrugere
> i applikationen der kan ændre noget.

Du snakker om maskin specifike indstillinger...ikke indstillinger der
bliver sat fra applikationer.

> Resten af vores indlæg er vist ved at være OT og jeg tror ikke vi snakker om
> det samme alligevel :)

---

On Sat, 26 Feb 2005 11:39:48 +0100, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>///M wrote:
>> Christian E. Lysel wrote:
>>>Hvilket kræver brugerne har administrator rettighed eller at du
>>>tillade almindelige brugere at pille i et deltræ.
>> Det kræver mig bekendt ikke admin-rettighed for at læse indstillingerne - de
>> bliver sat ved installationen - ikke senere :)
>
>Du skrev "Visse programmer skriver ting i reg-db som ligger på
>machine-gruppen" og nu snakker du om installationens programmet.
>
>Mener du installationsprogrammet eller programmet?
>
Adobe Pagemaker skal man være lokal admin på maskinen for at kunne
køre. Photoshop har problemer med en del af filtrene, specielt hvis
man vil installere det centralt via AD. Cleaner fra Discreet skal man
være minimum poweruser for at kunne bruge, det samme gælder 3D Stdio
Max, også fra Discreet. Nero kan man i standart version ikke bruge
uden at være admin, de har så dog lavet deres burnrights plugin. Men
hvis man er i en AD struktur, så er der jo Microsoft Elevated
Privileges Application Launcher som kan løse en del af problemerne
selv om det er en nødløsning.
http://www.microsoft.com/technet/prodtechnol/windows2000serv/downloads/epal.mspx

--
jda^fx

---

jda^fx wrote:
> Adobe Pagemaker skal man være lokal admin på maskinen for at kunne
> køre. Photoshop har problemer med en del af filtrene, specielt hvis
> man vil installere det centralt via AD. Cleaner fra Discreet skal man
> være minimum poweruser for at kunne bruge, det samme gælder 3D Stdio
> Max, også fra Discreet. Nero kan man i standart version ikke bruge
> uden at være admin, de har så dog lavet deres burnrights plugin. Men
> hvis man er i en AD struktur, så er der jo Microsoft Elevated
> Privileges Application Launcher som kan løse en del af problemerne
> selv om det er en nødløsning.
> http://www.microsoft.com/technet/prodtechnol/windows2000serv/downloads/epal.mspx

Hvilke dele af HKEY_LOCAL_MACHINE kræver programmerne adgang til under
installationen, og under almindelig brug?

---

On Sat, 26 Feb 2005 12:18:27 +0100, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>jda^fx wrote:
>> Adobe Pagemaker skal man være lokal admin på maskinen for at kunne
>> køre. Photoshop har problemer med en del af filtrene, specielt hvis
>> man vil installere det centralt via AD. Cleaner fra Discreet skal man
>> være minimum poweruser for at kunne bruge, det samme gælder 3D Stdio
>> Max, også fra Discreet. Nero kan man i standart version ikke bruge
>> uden at være admin, de har så dog lavet deres burnrights plugin. Men
>> hvis man er i en AD struktur, så er der jo Microsoft Elevated
>> Privileges Application Launcher som kan løse en del af problemerne
>> selv om det er en nødløsning.
>> http://www.microsoft.com/technet/prodtechnol/windows2000serv/downloads/epal.mspx
>
>Hvilke dele af HKEY_LOCAL_MACHINE kræver programmerne adgang til under
>installationen, og under almindelig brug?

SOFTWARE plus at Adobe programmerne ikke nøjes med at læse men også
skal have skrive rettigheder pga. filtrene til HKEY_CLASSES_ROOT Lidt
ligesom nogle af de gamle programmer udviklet til Win '98 eller før
man kan finde som skal have skriverettigheder til deres .ini filer

--
jda^fx

---

jda^fx wrote:
>>Hvilke dele af HKEY_LOCAL_MACHINE kræver programmerne adgang til under
>>installationen, og under almindelig brug?
>
>
> SOFTWARE plus at Adobe programmerne ikke nøjes med at læse men også
> skal have skrive rettigheder pga. filtrene til HKEY_CLASSES_ROOT Lidt
> ligesom nogle af de gamle programmer udviklet til Win '98 eller før
> man kan finde som skal have skriverettigheder til deres .ini filer

Er det ikke blot muligt at give brugerne adgang til de nødvendige dele
af træerne?

---

On Sat, 26 Feb 2005 17:27:18 +0100, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>jda^fx wrote:
>>>Hvilke dele af HKEY_LOCAL_MACHINE kræver programmerne adgang til under
>>>installationen, og under almindelig brug?
>>
>>
>> SOFTWARE plus at Adobe programmerne ikke nøjes med at læse men også
>> skal have skrive rettigheder pga. filtrene til HKEY_CLASSES_ROOT Lidt
>> ligesom nogle af de gamle programmer udviklet til Win '98 eller før
>> man kan finde som skal have skriverettigheder til deres .ini filer
>
>Er det ikke blot muligt at give brugerne adgang til de nødvendige dele
>af træerne?

Jeg ved faktisk ikke om det er praktisk muligt at få træet delt så
detaljeret op. For Adobe programmernes vedkommende HKEY_CLASSES_ROOT
skal de have adgang til, HKEY_LOCAL_MACHINE_SOFTWARE adobemappen self.
Apple mappen fordi der er brug for Quicktime codec, Macromedia mappen
af samme grund, så er der Classes mappen inde i software. Jeg tror
ikke at der er meget tilbage når man er færdig. Så kan man starte
forfra med at få det til at fungere for Discreets programmer

--
jda^fx

---

On Sat, 26 Feb 2005 12:18:27 +0100, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>jda^fx wrote:
>> Adobe Pagemaker skal man være lokal admin på maskinen for at kunne
>> køre. Photoshop har problemer med en del af filtrene, specielt hvis
>> man vil installere det centralt via AD. Cleaner fra Discreet skal man
>> være minimum poweruser for at kunne bruge, det samme gælder 3D Stdio
>> Max, også fra Discreet. Nero kan man i standart version ikke bruge
>> uden at være admin, de har så dog lavet deres burnrights plugin. Men
>> hvis man er i en AD struktur, så er der jo Microsoft Elevated
>> Privileges Application Launcher som kan løse en del af problemerne
>> selv om det er en nødløsning.
>> http://www.microsoft.com/technet/prodtechnol/windows2000serv/downloads/epal.mspx
>
>Hvilke dele af HKEY_LOCAL_MACHINE kræver programmerne adgang til under
>installationen, og under almindelig brug?

Når man snakker om Adobes programmer er vi i øvrigt tilbage ved
trådens udgangspunkt. Gider administratoren lette r**** hver gang en
grafiker er blevet kreativ og er kommet i tanke om at han lige skal
have installeret en ny font? Eller at sammenhængen mellem de delte
filtre i Photoshop og After Effects ikke lige passer eller
videoredigeringsprogrammer fra helt tredie producenter? Og har en IT
administrator nok indsigt i avancerede grafikprogrammer til at kunne
fintune dem til grafikernes behov? Hvis man arbejder dedikeret med 3 D
Studio Max i et år hvor man også får undervisning, så er man ved at
kunne det.

--
jda^fx

---

jda^fx wrote:
> Når man snakker om Adobes programmer er vi i øvrigt tilbage ved
> trådens udgangspunkt. Gider administratoren lette r**** hver gang en
> grafiker er blevet kreativ og er kommet i tanke om at han lige skal
> have installeret en ny font? Eller at sammenhængen mellem de delte
> filtre i Photoshop og After Effects ikke lige passer eller
> videoredigeringsprogrammer fra helt tredie producenter? Og har en IT

Er grafiker ikke så specielle at de kører MAC? :)

---

On Sat, 26 Feb 2005 17:28:21 +0100, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>jda^fx wrote:
>> Når man snakker om Adobes programmer er vi i øvrigt tilbage ved
>> trådens udgangspunkt. Gider administratoren lette r**** hver gang en
>> grafiker er blevet kreativ og er kommet i tanke om at han lige skal
>> have installeret en ny font? Eller at sammenhængen mellem de delte
>> filtre i Photoshop og After Effects ikke lige passer eller
>> videoredigeringsprogrammer fra helt tredie producenter? Og har en IT
>
>Er grafiker ikke så specielle at de kører MAC? :)

Det kunne selvfølgelig være en løsning bare at smide MS ud. :¤) Man
betaler sig ud af mange problemer ved at bruge MAC, men hardwaren er
væsentlig dyrere. På den anden side er de fleste af de viruser der er
i omløb skrevet til MS så måske kunne man sove mere roligt om natten.
Med MACs er der heller ikke de samme problemer med plug-ins, der
trækker man dem bare ind i en mappe og vupti. Det virker endda uden
genstart. Ikke alt muligt installeringsværk for et lille plug-in

--
jda^fx

---

///M skrev:

> Derudover kommer ting såsom at han derhjemme gerne vil køre netbank
> (gider jeg *slet* ikk røre ved), datteren skal kunne spille
> Pixeline når de er på ferie osv.

Overvej at kigge lidt på SUperior SU (husk at hente opdateringerne på
den dertil indrettede webside):

http://www.stefan-kuhr.de/supsu/main.php3
--
History books in Ireland and Scotland are littered with the 'wrong'
spelling, and there is no law that tells you how to spell whisky. The
Welsh even spell it 'chwisgi', which makes sense after two or three
large ones. - from http://uk.glenfiddich.com/world/faqs/