مهمترین تنظیمات Group Policy در شبکه چیست؟ عزیزان و همکارانی که در زمینه شبکه فعالیت می کنند حتما با واژه Group Policy آشنایی دارند ، در این مقاله جامع قصد دارم شما را تا جای ممکن با امکانات این سرویس بسیار کاربردی آشنا کنم و در این راستا از ابتدای مسئله شروع خواهیم کرد ، Group Policy در ساده ترین تعریف امکان اعمال تغییرات امنیتی و نظارت امنیتی بر روی کلیه شبکه های عضو دامین ما را به مدیر شبکه می دهد و شما می توانید تنظیمات خود را بصورت متمرکز انجام دهید .
در مقاله ای تحت عنوان معرفی کنسول Group Policy Management در ویندوز سرور 2008 در رابطه با این کنسول و نحوه اعمال تغییرات در آن صحبت شده در این مقاله تصمیم داریم با تنظیماتی که در Group Policy Object ها میتوان انجام داد آشنا شویم ، تعداد Policy هایی که در این کنسول وجود دارد بسیار زیاد هستند و شما بیشتر می بایست بر حسب نیاز به دنبال Policy مورد نظر نیاز خود بروید ، هر کدام را که باز کنید در پنجره باز شده یک سری توضیحات برای آن نوشته شده که شما را در استفاده از آن راهنمایی می کند. در اینجا سعی بر این داریم که یک اشاره بسیار مختصر و گذرا به سیاست های Group Policy داشته باشیم و در آخر چند مورد مثال می زنیم.
در Group Policy دو نوع تنظیمات وجود دارد شما می توانید این تنظیمات را برای کاربران ، کامپیوترها و یا هر دو آنها انجام دهید User Configuration کاربران و Computer Configuration کامپیوترهای موجود در شبکه را تحت تاثیر قرار می دهد . برای مثال زمانی که Computer Configuration را برای یک کامپیوتر اعمال می کنید بدون در نظر گرفتن اینکه چه کاربری به آن کامپیوتر لاگین می کند این Group Policy بر روی آن اعمال خواهد شد همچنین با اجرای User Configuration برای یک کاربر خاص ، این Group Policy بدون توجه به اینکه کاربر از چه کامپیوتری در شبکه به آن لاگین کند بر روی او اعمال خواهد شد ، حال با هم نگاهی بسیار مختصر به Policyهای موجود می اندازیم:
معرفی تنظیمات کامپیوتر یا Computer Configuration در گروپ پالیسی
وارد زیر شاخه Policies می شویم
- Administrative Templates : محل انجام تنظیمات رجیستری و تنظیمات اساسی ویندوز همچنین تنظیمات مربوط به دسکتاپ ، ظاهر و نحوه عملکرد آن می باشد.
- Software Setting : در اینجا شما میتوانید برنامه های مورد نظر خود را نصب ، حذف و یا پشتیبانی نمایید. شما میتوانید نرم افزارهایی با پسوند msi و zap را نصب کنید ، دقت داشته باشید که در Computer Configuration تنها قابلیت نصب msi وجود دارد . فایلهای msi را میتوانید بصورت آماده تهیه کنید و فایلهای zap را میتوانید درست کنید که به فایل exe اشاره کند.
دقت داشته باشید که پوشه ای که در آن نرم افزار مورد نظر وجود دارد باید Share شده باشد و کاربر مورد نظر باید دسترسی های لازم را به آن داشته باشد. برای نصب نرم افزار وارد Software Settings شده و بر روی Software Installation راست کلیک کنید و New و بعد Package را بزنید
همانطور که مشاهده میکنید بدلیل اینکه بنده از مسیر User Configuration وارد شده ام میتوانم نرم افزارهایی با پسوند msi و zap را نصب کنم. در ادامه آدرس فایل مورد نظر را وارد میکنیم(برای مثال یک فایل با پسوند msi) و بعد از انتخاب فایل با پنجره زیر روبرو میشویم
- Published : در این حالت پس از Log on نمودن کاربر تنها در صورت اجرای یک فایل که دارای پسوند مربوط به برنامه مورد نظر باشد آن برنامه نصب میگردد در این حالت نام برنامه در قسمت Add Remove Program قابل مشاهده است.
- Assigned : در این حالت پس از Log on نمودن آیکون فایل مورد نظر بر روی دسکتاپ همچنین درون استارت منو قرار میگیرد و کاربر با کلیک بر روی آن میتواند برنامه مورد نظر را نصب کند.
- Advanced : در این حالت به کاربر امکان انتخاب دو حالت Published و Assigned داده می شود.به این نکته توجه داشته باشید که در حالت Computer Configuration تنها گزینه Assigned قابل استفاده می باشد.
- Windows Settings : شامل تنظیمات ویندوز از جمله تنظیمات امنیتی و Script ها میباشد که در زیر به آنها اشاره میکنیم
- Script : با استفاده از این قسمت میتوانید scriptهایی را اعمال کرد که بطور اتوماتیک در زمان روشن شدن و خاموش شدن کامپیوتر اجرا شوند شما میتوانید Scriptهای خود را به زبانهای برنامه نویسی مختلفی که درون ویندوز پشتیبانی میشود مانند vb script و یا java script بنویسید .
- Security Settings : قوانینی است که میتوانید بر روی یک یا چندین کامپیوتر اعمال کنید تا از منابع موجود از شبکه محافظت نمایید، Security Setting میتواند اعمالی همچون نحوه شناسایی کاربران در شبکه و یا نوع منابعی که کاربران اجازه استفاده از آنها را دارند ، نوع اطلاعاتی که باید درون Event viewer ذخیره گردد و همچنین عضویت در گروههای مختلف را کنترل نماید حال گره Security Settings را باز میکنیم :
- Account Policies : امکان کنترل چگونگی ایجاد و مدیریت رمز عبور را فراهم میکند (در زیر مورد بررسی قرار می دهیم)
- Local Policies : مربوط به سیاستهاییست که بر سیستم Local انجام میشود (در زیر مورد بررسی قرار می دهیم)
- Event Log : تنظیمات مربوط به Log برداری Event viewer
- Restricted Groups : که مربوط به عضویت در گروههای مختلف میباشد و در آن میتوانید کاربران را عضو گروهی کرده و یا همان گروه را عضو گروهی دیگر کنید.
- System Service : برای مدیریت سرویسها و محدود کردن دسترسی آنها برای کاربران.
- Registry : کاربرانی که عضو دامین هستند بصورت پیشفرض اجازه تغییرات در رجیستری ویندوز را ندارند ، شما در این قسمت میتوانید مجوز دسترسی یا ویرایش یک کلید یا کلیدها را برای کاربران صادر کنید
- File System : در این قسمت می تونید آدرس فولدر و یا فایل مد نظرتون رو بدید و برای اون NTFS Permissions تعیین کنید.
- Windows Firewall with Advanced Policy : که در اینجا میتوانید مدیریت فایروال کامپیوتر مد نظر خود را در دست بگیرید.
- Wireless Network : در مقاله ای تحت عنوان "کنترول کلاینتهای تحت دامین در اتصال به شبکه های وایرلس" راجع به این پالیسی توضیح داده ام.
- Software Restriction Policies : که در این قسمت شما میتوانید یک فایل یا فولدر و یا ... را معرفی کنید و از آن لحظه به بعد ، دیگر آن فایل قابل اجرا نخواهد بود. جهت آشنایی بیشتر و نحوه استفاده از این پالیسی میتوانید به مقاله جلوگیری از اجرای ویروس ها و نرم افزارهای غیرمجاز به وسیله Software Restriction از مهندس نصیری مراجعه کنید .
- Application Control Policy : برای اعمال محدودیتهایی در نرم افزارها .
خوب در ادامه وارد قسمت Account Policies می شویم
- Password Policy : برای تنظیمات مربوط به رمز گذاری
- Account Lockout Policy : در این قسمت شما میتوانید تعیین کنید که اگر کاربر به تعداد مشخصی رمز عبور اشتباه وارد کرد سیستم چه واکنشی نشان دهد.
- Kerberos Policy : مربوط به سرویس Kerberos میباشد و بدلیل اینکه خارج از محدوده این مقاله است در مقالات دیگر به توضیح آن می پردازیم.
معرفی تنظیمات پسورد یا Password Policy در گروپ پالیسی
- Enforce Password History : در صورت فعال کردن این قسمت لیستی از کلمات عبوری که قبلا برای خود استفاده نموده اید ذخیره شده و به شما اجازه استفاده دوباره از آن کلمه عبور را نمی دهد ، شما میتوانید در آن تعداد کلمات عبور نگهداری شده در حافظه را مشخص کنید.به عنوان مثال اگر این عدد را 4 بگذارید به معنی این است که رمز عبور کاربر نباید بین 4 رمز قبلی او باشد ، کمترین عددی که میتوانید برای آن در نظر بگیرید صفر (که در واقع غیر فعال میشود) و همچنین بیشترین مقدار 24 میتواند باشد.استفاده از این مورد برای جلوگیری از انتخاب رمزهای تکراری توسط کاربران انتخاب مناسبی میباشد همچنین افزایش مقدار آن باعث افزایش امنیت میشود.
- Maximum password age : هر پسوردی میتواند تاریخ مصرفی داشته باشد در این قسمت شما میتوانید تعداد روزهایی که این پسورد جدید یا پسورد عوض شده معتبر است را مشخص کنید ، بعد از گذشت این زمان ، سیستم از کاربر تغییر رمز عبور او را در خواست میکند و کاربر تا زمانی که پسورد خود را تغییر نداده نمیتواند Log in کند. در صورتی که این عدد را صفر بگذارید به این معناست که پسورد هیچگاه منقضی نمیشود
- Minimum password age : در این قسمت شما میتوانید حداقل زمان معتبر بودن پسورد را مشخص کنید ، به عنوان مثال اگر این عدد را 5 بگذارید کاربر تا 5 روز دیگر نمیتواند پسورد خود را عوض کند. در صورتی که این عدد را صفر بگذارید کاربر میتواند در هر زمانی که تمایل دارد پسورد خود را عوض کند.
- Minimum password length : مقدار عددیست بر حسب تعداد کاراکتر ، که حداقل تعداد کاراکتر برای تعیین پسورد را مشخص میکند ، به عنوان مثال اگر این عدد را 5 بگذارید از آن لحظه به بعد کاربر هر گاه بخواهد پسورد خود را تغییر دهد باید رمز عبوری با حداقل 5 کاراکتر را انتخاب کند. در صورتی که این مقدار را صفر در نظر بگیرید کاربر میتواند بدون پسورد وارد شود که ( Password Blank) که بسیار کار اشتباهیست و باعث بروز مشکلات امنیتی در شبکه میشود .
- Password must meet complexity requirement : اگر این گزینه Enable شود کاربر نمیتواند پسورد ساده ای انتخاب کند و باید کلمات عبور از پیچیدگی قابل قبولی برخوردار باشند ، پسورد خوب باید ترکیبی از اعداد – حروف بزگ – حروف کوچک – و علامتها باشد مانند P@ssw0rd
- Store Passwords Using Reversible Encryption : این گزینه برای احراز هویت برای نرم افزارهای خاصی میباشد یعنی وقتی آن را فعال کنیم رمز عبور شما به صورت متنی در آمده و امنیت آن به شدت کاهش پیدا می کند پس سعی کنید همیشه آن را غیر فعال کنید ( به صورت پیش فرض هم غیر فعال هست )
به Account Policies برگشته و این بار وارد Account Lockout Policy میشویم ،
همانطور که گفته شد در این قسمت شما می توانید تعیین کنید که اگر کاربر به تعداد مشخصی رمز عبور اشتباه وارد کرد سیستم چه واکنشی نشان دهد.
- Account lockout duration: در این قسمت شما مشخص میکنید که زمانی که یک حساب کاربری قفل شد پس از چند دقیقه دوباره فعال شود. در صورتی که این مقدار را صفر قرار دهید حساب کاربری قفل شده تنها بدست مدیر شبکه و بصورت دستی فعال میشود
- Account lockout threshold : این قسمت مشخص میکند که کاربر حداکثر چند بار میتواند رمز عبور اشتباه وارد کند. اگر آن را صفر قرار دهید کاربر هیچ محدودیتی در وارد کردن رمز اشتباه نداشته و هیچگاه حساب او قفل نمیشود . پیشنهاد میشود که هیچ گاه عدد یک را برای این مورد انتخاب نکنید زیرا کاربر ممکن است گاهی به اشتباه رمز عبور خود را وارد کند
- Reset account lockout counter after : هر گاه کاربری رمز خود را اشتباه وارد میکند این ورود ناموفق به صورت موقت در سیستم ثبت شده و پس از گذشت زمانی این ورودهای ناموفق نادیده گرفته میشوند. برای این که این این زمان را مشخص کنیم در این قسمت عدد مورد نظر خود را (به دقیقه) وارد میکنیم ، این عدد از مورد Account lockout duration میتواند کمتر یا مساوی باشد ولی بیشتر نمیتواند باشد.
حال به Security Settings برگشته و با هم نگاهی کوتاه به وظایف Local Policy می اندازیم
- Audit Policy : این قسمت مربوط به ثبت گزارشات امنیتی می باشد، از جمله این گزارشات میتوان ورود های موفق و ناموفق کاربران ، گزارشات سیستمی ، تغییرات در پالیسی ها ، همچنین استفاده از فایلها و ویرایش آنها را نام برد . در این رابطه مقاله ای تحت عنوان معرفی فرآیند Auditing در شبکه نوشته شده که میتوانید مطالعه کنید.
- User Rights Assignment : در این قسمت شما میتوانید مجوزهای دسترسی به برخی تنظیمات را برای کاربران مشخص کنید ، برای مثلا ، Access this computer from the network برای مشخص کردن اینکه چه کاربرانی اجازه دسترسی به شبکه را دارند ، و یا Change the system time برای اینکه چه کاربرانی اجازه تغییر ساعت را دارند
Security Options : در این قسمت یک سری اختیارات امنیتی دیگر وجود دارد مثلا :
- Accounts: Rename administrator account: برای تغییر نام کاربر مدیر (که پیشنهاد میشود برای افزایش امنیت حتما انجام دهید)
- Accounts: Rename guest account : برای تغییر نام کاربر Gust ( کاربر مهمان )
همچنین میتوانید بوسیله Policyهای زیر پیغامی را در نظر بگیرید که قبل از ورود کاربر نمایش داده شود
- Interactive logon: Message text for users attempting to log on : محل نوشتن متن مورد نظر
- Interactive logon: Message title for users attempting to log on : نوشتن عنوان مطلب
تا به حال نگاهی کوتاه به قسمت Policies داشتیم
بعد از ویندوز سرور 2003 در Group Policy ویندوز سرور 2008 ، Preferences اضافه شده که خود بنده از کار کردن با آن واقعا لذت بردم ، در این قسمت شما میتوانید برخی تنظیمات ویندوز رو با راست کلیک بر روی گزینه مربوطه و انتخابNew ، پنجره تنظیمات منتخب خود را مشاهده و تغییرات مورد نظر را انجام دهید یکی از مزیتهای آن رابط کاربری بسیار ساده آن است به عنوان مثال اگر در قسمت Folder Options ، New را انتخاب کنید یک پنجره مانند Folder Options برای شما نمایان میشود و شما هر تغییراتی را که روی آن اعمال می کنید در کامپیوتر مد نظر خود اعمال میشود ، همچنین میتوانید سرویسهای کامپیوتر مد نظر خود را مدیریت کنید
در Group Policy برای تغییرات در رجیستری شما مبایستی از فایلهای ADM استفاده کنید و یک کلید را در رجیستری ایجاد کنید ولی بدلیل اینکه ساختن اینگونه فایلها کار چندان ساده ای نیست ، بیشتر از فایلهای آماده و ساخته شده استفاده میشود ولی در ویندوز سرور 2008 در قسمت Preferences شما میتوانید به سادگی و با صرف زمان کمی یک کلید رجیستری را برای کاربر و یا کامپیوتری در شبکه ایجاد ، ویرایش و یا حذف کنید
معرفی تنظیمات کاربر یا User Configuration در گروپ پالیسی
همانطور که در اول مقاله اشاره شد User Configuration تنها کاربران موجود در شبکه را تحت تاثیر قرار میدهد که شامل تنظیمات ویندوز و ظاهر تنظیمات کنترل پنل و قابلیت محدودسازی آن ، قابلیت نصب نرم افزار برای یوزرها ، قابلیت اجرای Script و غیره میباشد ولی چون Script ، به کاربر اختصاص داده شده در زمان Logon و Log off از آن استفاده میشود همچنین بسیاری امکانات دیگر هست که دیگر به آنها اشاره نمیکنیم
دو قسمت در اینجا اضافه شده و بیشتر به چشم میخورد که تنها به این دو اشاره می کنیم
- Internet Explorer : با استفاده از آن میتوانید تنظیمات مربوط به نرم افزار اینترنت اکسپلورر و نحوه اجرای آن برای کاربران را مشخص کنید
- Folder Redirection : برای مدیریت بهتر اطلاعات مهم مانند محتویات My Document , Desktop و سایر فولدرهای مهم میتوانید از این گزینه استفاده نمایید و این فولدرها را به یک محل خاص مثل یک پوشه اشتراک گذاری شده در شبکه انتقال دهید تا کاربران پس از لاگین بر روی هر کلاینتی بتوانند به اطلاعات خود دسترسی داشته باشند. در این خصوص مقاله ای با عنوان معرفی Folder Redirection و روش پیاده سازی آن نوشته شده که میتوانید برای آشنایی بیشتر با این پالیسی به آن مراجعه کنید .
معرفی چند Policy پرکاربرد و روش فعالسازی آنها
خوب حالا برای اینکه تاثیر Group Policy رو در محیط ویندوز بیشتر احساس کنید چند مثال برای شما گذاشتم
تغییر Homepage در Internet Explorer
User Configuration ==> Policies ==> Windows Setting ==> Internet Explorer Maintenance ==> URLs
وارد Important URLs شده و Customize page URL را تیک دار کرده و در پایین آدرس URL مورد نظر خود را ( به همراه http ) وارد میکنیم مانند :
https://tosinso.com/
آموزش تغییر تصویر دسکتاپ از طریق گروپ پالیسی
User Configuration ==> Policies ==> Administrative Templates: ==> Desktop ==> Desktop
وارد Desktop Wallpaper شده و پس از Enabled کردن در قسمت Wallpaper Name: آدرس UNC فایل مورد نظر خود را مینویسید به عنوان مثال \\servername\Share folder name\filename.jpg و در قسمت Wallpaper Style میتوانید نوع Style خود را انتخاب کنید دقت داشته باشید در صورتی که آدرس در شبکه را وارد کنید لازم است فولدر مد نظر Share شده و دسترسی مناسب برخوردار باشد.
آموزش فعال یا غیر فعال کردن Remote Desktop از طریق گروپ پالیسی
Computer Configuration ==> Policies ==> Administrative Templates: ==> Windows Components ==> Remote Desktop Services ==> Remote Desktop Session Host ==> Connections
اگر شما Allow users to connect remotely using Remote Desktop Service را Enabled کنید ریموت کامپیوتر مورد نظر فعال و اگر Disabled کنید ریموت غیر فعال میشود.
آموزش خاموش یا روشن کردن Firewall از طریق گروپ پالیسی
در بالا به بخش مربوط به Ruleها و تنظیمات پیشرفته اشاره شد ولی با رفتن به آدرس زیر میتوانید فایروال را به کل خاموش یا روشن کنید
Computer Configuration ==> Policies ==> Administrative Templates: ==> Network ==> Network Connections
بر حسب نیاز در Domain Profile و یا Standard Profile وارد شده و Windows Firewall: Protect all network connections را Enabled یا Disabled میکنیم
جلوگیری از آپدیت شدن اتوماتیک ویندوز , جلوگیری از اجرا کردن Command Prompt و جلوگیری از اجرا کردن Register
User Configuration ==> Policies ==> Administrative Templates: ==> System
- Prevent access to the command prompt : Enabled برای جلوگیری از اجرا کردن Command Prompt
- Prevent access to registry editing tools : Enabled برای جلوگیری از اجرا کردن Registry
- Windows Automatic Updates : Disabled برای جلوگیری از آپدیت شدن اتوماتیک ویندوز
آموزش جلوگیری از ذخیره تنظیمات پس از خروج از ویندوز در گروپ پالیسی
اگر دقت کرده باشید زمانی که یک کابر تغییراتی در دسکتاپ خود ایجاد میکند (البته بعضی از تغییرات) از جمله موقعیت پنجره ها و اندازه آنها ، همچنین اندازه و موقعیت نوار وظیفه ، پس از خروج از آن ، آن تغییرات در حافظه ثبت شده و در استفاده در دفعات بعد آن تغییرات را مشاهده میکند ، با ورود به مسیر زیر وEnabled کردن Don't save setting at exit میتوانید کاری کنید که این تغییرات ثبت نشده و کاربر نقشی در تغییر آن تنظیمات نداشته باشد .
User Configuration ==> Policies ==> Administrative Templates: ==> Desktop
همچنین در همین مسیر به توضیح چند مورد دیگر می پردازیم، اگر Hide and disable all items on the desktop را انتخاب و Enabled کنید ، بدینوسیله تمامی آیتم های دسکتاپ را مخفی و غیر فعال می کنیم . سپس برای اعمال تغییرات ریستارت کنید.
برای برداشتن My Computer از روی دسکتاپ Remove My Computer icon on the desktop را Enable کنید
برای برداشتن My Documents از روی دسکتاپ Remove My Documents icon on the desktop را Enable کنید
برای برداشتن Recycle Bin از روی دسکتاپ Remove Recycle Bin icon from desktop را Enable کنید
به مسیر زیر بروید
Computer Configuration ==> Policies ==> Windows Settings ==> Security Settings ==> Local Policies ==> Security Options
برای غیر فعال کردن CTRL + ALT + DELدر محیط دامین قبل از آنکه کاربر احراز هویت کند (Username و Password را وارد کند) Interactive logon: Do not require CTRL+ALT+DEL را Enabled میکنیم
برای آنکه Username وارد شده توسط کاربری که دفعه قبل در سیستم لاگین کرده هم در استفاده های بعدی نمایش داده نشود Interactive logon: Do not display last user name را Enabled میکنیم.
تعرفی اختیارات در CTRL + ALT + DEL توسط گروپ پالیسی
در مسیر زین میتونید تعیین کنید که کاربر بعد از زدن CTRL + ALT + DEL در محیط ویندوز چه اختیاراتی داشته باشد
User Configuration ==> Policies ==> Administrative Templates: ==> System ==> CTRL + ALT + DEL Options
آموزش محدود کردن دسترسی به کنترل پنل با گروپ پالیسی
در آدرس زیر
User Configuration ==> Policies ==> Administrative Templates: ==> Control Panel
اگر Hide specified Control Panel applets را Enabled کنید و دکمه Show را بزنید لیستی که در پنجره بازشده میتوانید ایجاد کنید و از آن پس کاربر دیگر نمیتواند ابزارهای معرفی شده را مشاهده و یا حتی اجرا کند. همچنین از طریق Show only specified Control Panel میتوانید لیستی را وارد کنید و کاربر تنها میتواند آن لیست را مشاهده کند .اگر Prohibit access to the Control Panel را Enabled کنید اجازه دسترسی به Control panel بطور کامل از او سلب می شود.
زمانی که شما یک فلش مموری را برای اولین بار وارد میکنید ویندوز بصورت اتوماتیک اقدام به نصب درایور آن میکند ، وارد مسیر زیر شوید
Computer Configuration ==> Policies ==> Administrative Templates: ==> System ==> Device Installation ==> Device Installation Restrictions
شما میتوانید با Enabled کردن Prevent installation of removable device حق نصب درایور رو از کامپیوتر مد نظر بگیرید ، در نتیجه دیگر درایور هیچ فلشی در آن کامپیوتر نصب نخواهد شد.همچنین اگر Hardware ins یک فلش مموری را بدست آورید ، میتوانید وارد Prevent installation of device that math any of these device IDs شده و در پنجره باز شده Enabled و بعد Show را بزنید و در آن آدرس Hardware ins را بدهید ، از آن پس فلش مموری با این Hardware ins دیگر اجازه استفاده در سیستم را ندارد. شاد و پیروز باشید .
باعرض ادب و احترام خدمت تمام مهندسین عزیز
یه سوالی دارم از حضورتان
من داخل سرور پوشه ای دارم به اسم Share For All و تمامی کلاینت ها به آن دسترسی دارن
و می توانن فولدر ایجاد کنند ،تغییر نام بدهند و پاک کنند! حالا من می خوام دسترسی رو جوری تغییر بدم که کسی نتونه فایل یا فولدری پاک کند و فقط بتونن فولدر ایجاد کنند و یا تغییر نام بدهند!می خواستم بدونم این محدودیتی رو به چه صورت اعمال کنم؟
در ضمن ویندوز سرور 2008 روی سیستم نصب می باشد و اینکه تمامی کلاینت ها دسترسی Administrator را دارند
متشکرم
با سلام
اتفاقا من هم این مسئله رو بررسی کردم و به نتیجه نرسیدم
لطفا برای مطح کردن پرسش از گزینه "سوال بپرسید" استفاده کنید تا سوالتون در صحفه اول وب سایت درج بشه و دوستان اون رو ببینن و بتونن پاسخ بدن
با تشکر
سلام من می خوام برای یکسری از یوزرها که توی یک ou هستند دسترسی به تنظیم کارت شبکه رو باز کنم برای اینکار پالیسی های قسمت
User Configuration ==> Policies ==> Administrative Templates ==> Network ==> Network connection
رو فعال کردم ولی بازم جواب نمیده همه پالیسی های این بخش رو تست کردم فعال کردم بازم جواب نمیده البته چک هم کردم پالیسی دیگه ای نباشه که با این تداخل داشته باشه ولی بازم اوکی نمیشه می خواستم ببینم دوستان کسی راه حلی داره برای این رفع این مشکل ؟؟؟
لطفا سوالتون رو در قسمت پرسش و پاسخ مطرح کنید.
با تشکر
سلام مهنسید عزیز. میخواستم بدونم چرا وقتی من یک یوزر را جزو domain user قرار میدهم پالیسی ها روی ان اعمال نمیشود و باید همان یوزر را جزو backup operators هم قرار بدهم تا پالیسی ها اعمال شود. ممنون
سلام،یه شبکه دامین دارم و کاربرا عضو دامین یوزر هستند.ولی تو سیستم خودشون بهشون دسترسی administrator دادم(عضو گروه admin) .حالا یه چند تا policy میخوام رو یوزرام اعمال کنم ممنون میشم راهنمایی کنین
1-بستن system configuration(msconfig.exe)
2-بستن services
لطفا سوال رو در تالار گفتگو مطرح کنید.
با تشکر
عالی بود
در تنظیمات user config جهت اسکریپت لاگ ان یه bat file باید ایجاد کنیم مثلا برای نمایش یک عکس هنگام لاگ ان کردن یوزرها. میشه لطفا نحوه ایجاد اون bat file را توضحیح دهید من هرچی مینویسم جواب نمیده، ویندوز سرور دامین 2012 می باشد.
جناب ary7543 اگر از شبکه Domain استفاده میکنید میتونه دلیلش این باشه که از سمت سرور ، شما پالیسی های فوق رو دریافت میکنید به همین دلیل امکان تغییر اون پالیسی ها در کلاینتها وجود نداره ( چون پالیسی که از سرور اعمال شده دارای اولویت بالاتری هست) و همین باعث میشه که شما پالیسی ها رو بتونید باز کنید اما تنظیمات به رنگ خاکستری بوده و غیر قابل تغییر میباشد.
دوستان عزیزم من جواب دوستمون رو بصورت کوتاه دادم ولی معمولا برای پاسخگویی به سوالات فنی تا زمانی که مشکل رفع بشه ممکنه پستهای زیادی ثبت بشه و کمی شلوغ کاری بشه و ثبت این پستها در زیر مقالات جای مناسبی نیست . در سایت تالار گفتمان قرار داده شده تا شما عزیزان بتونید سوالات فنی خودتون رو مطرح کنید و دوستان متخصص در اون زمینه به سوالاتتون پاسخ بدن و شما رو راهنمایی کنند لذا خواهش میکنم ازتون که سوالات فنی رو صرفا در تالار گفتمان مطرح کنید تا در صفحه اول سایت قرار بگیره و اعضاء بیشتری بتونند سوالتون رو بخونند و پاسخ بدن .
ممنونم از همکاریتون . تیم مدیریت ITPRO
در cridential هر دو تا سیستم ip هاشونو و یوز سیستم رو تعریف کن. مثلا در سیستم که پرینتر به صورت لوکالی متصل هست ip یوزر و پسورد سیستمی که میخواد از طریق شبکه ارسال کنه رو بده و به عکس.
از مسیر کنترل پنل - cridential manager