سلام دوستان ، یه سوالی که برای ادمین شبکه پیش میاد اینه که به کاربر help desk چطوری دسترسی بدم که فقط به کلاینت ها دسترسی کامل داشته باشه. مدتها به این موضوع فکر کردم تا یه راه مطلوب پیدا کردم که با شما دوستان به اشتراک میزارم.
توی این راهکار یه حساب کاربری برای نفر help desk توی اکتیو دایرکتوری ایجاد می کنیم. توجه کنید که توی دامین این کاربر یه کاربر کاملا عادی باشه و دسترسی خاصی هم نباید بهش بدیم حالا روی تک تک کلاینت ها باید اون کاربر رو عضو گروه administrator لوکال بکنیم.
برای این راهکار یه حساب کاربری برای نفر help desk توی اکتیو دایرکتوری ایجاد می کنیم. بعد به این کاربر دسترسی domain admin میدیم (با این کار کاربر مورد نظر به تمام شبکه دسترسی ادمین داره). حالا میخوایم کاری کنیم که به سرور ها نتونه متصل بشه. برای این کار توی اکتیو دایرکتوری یه OU می سازیم و تمام سرورهای جوین شده به دامین رو توی اون OU قرار میدیم.حالا توی group policy یک GPO درست می کنیم و اونو به این صورت Edit می کنیم ، توی gpo وارد مسیر زیر میشیم :
Computer configuration \ Policies \ Windows settings \ Security settings \ Local policies \ User Rights Assignment
در این مسیر گزینه Deny log on locally میشیم و با زدن دکمه add user or group کاربری که نمیخوایم به سرور ها دسترسی داشته باشه رو مشخص می کنیم و در همون مسیر وارد گزینه Deny log on through remote desktop service میشیم و با زدن دکمه add user or group کاربری که نمیخوایم به سرور ها دسترسی داشته باشه رو مشخص می کنیم حالا اون gpo رو که ساختیم و edit کردیم رو به اون ou که سرور ها رو توش قرار دادیم لینک می کنیم.
نهایتا برای اعمال تغییرات و حصول اطمینان تک تک به تمام سرور ها لاگین می کنیم و کامند زیر رو اجرا می کنیم :
gpupdate /force
امیدوارم این مطلب بدرد دوستان بخوره
نویسنده : مهرداد پورخیری
منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو
هر گونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.