شاید برای شما هم پیش آمده باشد که به عنوان یک مدیر شبکه در جایی مشغول به کار هستید و چندین نفر نیز به عنوان دستیار شبکه یا همان Help Desk در کنار شما مشغول به کار هستند. این افراد می بایست به کامپیوترهای موجود در شبکه دسترسی مدیریتی داشته باشند اما نباید بتوانند بر روی سرورها هیچگونه تغییراتی اعمال کنند .

پیشنیاز یادگیری دوره های شبکه ، دوره آموزش نتورک پلاس است

معمولا مدیران شبکه این افراد را در گروه Domain Admins قرار می دهند تا بتوانند براحتی کارهای خود را انجام دهند اما توجه داشته باشیم که با قرار دادن این افراد در گروه Domain Admins در حقیقت این امکان را به آنها داده ایم که هرگونه تغییری را در شبکه ما ایجاد کنند. و این خود می تواند یکی از مهمترین مشکلات امنیتی در سازمان شما باشد .

یادگیری لینوکس این روزها برای مدیران شبکه در سطح دوره آموزش لینوکس اسنشیالز یک الزام است

اما راهکار چیست ؟ شما می بایست این افراد را در گروه Local Administrators ‌یا کاربران مدیر محلی قرار دهید ، به این شکل که شخص بر روی هر کامپیوتری که به شبکه عضو شده است دسترسی مدیریتی دارد و این در حالی است که بر روی سرور هیچگونه دسترسی نخواهد داشت . برای اینکار می توانید پشت تک تک سیستم های شبکه خود نشسته و این کاربران را عضو گروه کاربری Local Administrators کنید . اما آیا این حرکت منطقی است ؟

پیشنیاز یادگیری دوره های مهندسی شبکه مایکروسافت ، دوره آموزش MCSA است

به هیچ عنوان !! در شبکه های متوسط و بزرگ اینکار عملا غیر ممکن است و می بایست از راهکار های متمرکز استفاده کرد. شما برای اینکه بتوانید به شکل اصولی اینکار را انجام دهید می بایست یک گروه به نام Helpdesk ‌در ساختار Active Directory خود ایجاد کنید که از نوع Global خواهد بود و بعد آنرا عضو گروه Local Administrators کنید. برای انجام اینکار سه روش وجود دارد که به ترتیب به بررسی و آموزش آنها خواهیم پرداخت :

  1. روش اول : استفاده از اسکریپت : شما می توانید براحتی با استفاده از یک اسکریپت که در هنگام login ‌یا Start-up ‌سیستم و با استفاده از دستور زیر در قالب یک فایل bat و استفاده از طریق GPO ‌آنرا اعمال کنید :
net Localgroup Administrators “Domain\Deferred Processor” /add
  1. روش دوم : استفاده از قابلیت Restricted Group در Group Policy : یک قابلیت در Group Policy ‌به نام Restricted Group وجود دارد که به وسیله آن می توان بصورت مرکزی Domain Global Group ‌را به عضویت Local Administrators در آورد. کاری که Restricted Group ‌ انجام می دهند دقیقا همانی نیست که نامش آنرا معرفی می کند ، حتی مایکروسافت هم در این مقاله نوانسته کاربرد درست این قابلیت رو شرح بدهد . در اینجا کاربرد عملی این قابلیت را به شما نشان می دهم ، شما می توانید از طریق مسیر زیر به قسمت Restricted Group ‌دسترسی پیدا کنید :
Configuration/Windows Settings/Security Settings/Restricted Groups
  • بعد از اینکه وارد این مسیر شدید بر روی اون راست کلیک کنید و گزینه Add Group ‌رو انتخاب کنید .
  • در این قسمت نام گروه local که می خاهید گروهتان را در آن عضو شود را وارد کنید ، مثلا Administrators .
  • توجه داشته باشید که به هیچ عنوان از Browse ‌ استفاده نکنید و صرفا نام آن گروه Local‌ را دستی تایپ کنید.
  • در ادامه گروه های دیگری را که می خواهید به عنوان Local Administrators ‌در شبکه فعالیت کنند را نیز در این لیست وارد کنید.
  • نکته : بصورت پیشفرض در Active Directory ‌گروه های کاربری Domain Admins و Enterprise Admins به عضویت گروه Local Administrators‌در آمده اند اما توجه داشته باشید که به محض اینکه شما Policy بالا را اعمال کنید تمامی گروه ها و کاربرانی که در این گروه قرار گرفته اند به عنوان Local Administrator ‌شناخته شده و سایرین از گروه حذف می شوند . پس همیشه گروه های َDomain Admins و Enterprise Administrators‌را به Restricted Group ‌اضافه کنید .