شاید برای شما هم پیش آمده باشد که به عنوان یک مدیر شبکه در جایی مشغول به کار هستید و چندین نفر نیز به عنوان دستیار شبکه یا همان Help Desk در کنار شما مشغول به کار هستند. این افراد می بایست به کامپیوترهای موجود در شبکه دسترسی مدیریتی داشته باشند اما نباید بتوانند بر روی سرورها هیچگونه تغییراتی اعمال کنند .
پیشنیاز یادگیری دوره های شبکه ، دوره آموزش نتورک پلاس است
معمولا مدیران شبکه این افراد را در گروه Domain Admins قرار می دهند تا بتوانند براحتی کارهای خود را انجام دهند اما توجه داشته باشیم که با قرار دادن این افراد در گروه Domain Admins در حقیقت این امکان را به آنها داده ایم که هرگونه تغییری را در شبکه ما ایجاد کنند. و این خود می تواند یکی از مهمترین مشکلات امنیتی در سازمان شما باشد .
یادگیری لینوکس این روزها برای مدیران شبکه در سطح دوره آموزش لینوکس اسنشیالز یک الزام است
اما راهکار چیست ؟ شما می بایست این افراد را در گروه Local Administrators یا کاربران مدیر محلی قرار دهید ، به این شکل که شخص بر روی هر کامپیوتری که به شبکه عضو شده است دسترسی مدیریتی دارد و این در حالی است که بر روی سرور هیچگونه دسترسی نخواهد داشت . برای اینکار می توانید پشت تک تک سیستم های شبکه خود نشسته و این کاربران را عضو گروه کاربری Local Administrators کنید . اما آیا این حرکت منطقی است ؟
پیشنیاز یادگیری دوره های مهندسی شبکه مایکروسافت ، دوره آموزش MCSA است
به هیچ عنوان !! در شبکه های متوسط و بزرگ اینکار عملا غیر ممکن است و می بایست از راهکار های متمرکز استفاده کرد. شما برای اینکه بتوانید به شکل اصولی اینکار را انجام دهید می بایست یک گروه به نام Helpdesk در ساختار Active Directory خود ایجاد کنید که از نوع Global خواهد بود و بعد آنرا عضو گروه Local Administrators کنید. برای انجام اینکار سه روش وجود دارد که به ترتیب به بررسی و آموزش آنها خواهیم پرداخت :
- روش اول : استفاده از اسکریپت : شما می توانید براحتی با استفاده از یک اسکریپت که در هنگام login یا Start-up سیستم و با استفاده از دستور زیر در قالب یک فایل bat و استفاده از طریق GPO آنرا اعمال کنید :
net Localgroup Administrators “Domain\Deferred Processor” /add
- روش دوم : استفاده از قابلیت Restricted Group در Group Policy : یک قابلیت در Group Policy به نام Restricted Group وجود دارد که به وسیله آن می توان بصورت مرکزی Domain Global Group را به عضویت Local Administrators در آورد. کاری که Restricted Group انجام می دهند دقیقا همانی نیست که نامش آنرا معرفی می کند ، حتی مایکروسافت هم در این مقاله نوانسته کاربرد درست این قابلیت رو شرح بدهد . در اینجا کاربرد عملی این قابلیت را به شما نشان می دهم ، شما می توانید از طریق مسیر زیر به قسمت Restricted Group دسترسی پیدا کنید :
Configuration/Windows Settings/Security Settings/Restricted Groups
- بعد از اینکه وارد این مسیر شدید بر روی اون راست کلیک کنید و گزینه Add Group رو انتخاب کنید .
- در این قسمت نام گروه local که می خاهید گروهتان را در آن عضو شود را وارد کنید ، مثلا Administrators .
- توجه داشته باشید که به هیچ عنوان از Browse استفاده نکنید و صرفا نام آن گروه Local را دستی تایپ کنید.
- در ادامه گروه های دیگری را که می خواهید به عنوان Local Administrators در شبکه فعالیت کنند را نیز در این لیست وارد کنید.
- نکته : بصورت پیشفرض در Active Directory گروه های کاربری Domain Admins و Enterprise Admins به عضویت گروه Local Administratorsدر آمده اند اما توجه داشته باشید که به محض اینکه شما Policy بالا را اعمال کنید تمامی گروه ها و کاربرانی که در این گروه قرار گرفته اند به عنوان Local Administrator شناخته شده و سایرین از گروه حذف می شوند . پس همیشه گروه های َDomain Admins و Enterprise Administratorsرا به Restricted Group اضافه کنید .
با سلام خدمت تمامی دوستان
من در تکمیل این مقاله میخواستم مطالبی را اضافه کنم اصولا در تمامی مقالات و ویدیو های یوتیوب این روش عنوان می شود و درست است اما در انتها یه چیز فراموش میشه عنوان بشه و بسیار بسیار بسیار خطرناکه و اون هم اینه که اگر با استفاده از بحث فیلتر در پالیسی اکتیو دایرکتوری یوزر ها را محدود نکنید تمامی یوزرهای که به صورت Local Administrator معرفی می کنید قدرت ریموت به سرور را پیدا خواهند کرد.
موفق باشید
روش سوم استفاده از Group Policy Preferences هست که در قسمت مطالب مرتبط وجود داره.
روش سوم؟؟؟
دوست عزیز سئوالتون رو لطفا از قسمت سئوال بپرسید مطرح کنید با تشکر
سلام و خسته نباشید ، من این restricted group رو روی ou مورد نظر اضافه کردم و حالت ارث بری رو که از default domain policy پالیسی نگیره رو فعال کردم بعد کار نمیکنه ولی به وقتی که روی default domain policy ست میکنم کار میکنه راهنمایی می فرمائید.
بستگی داره به اینکه این پالیسی به چه کامپیوترهایی اعمال بشه. با اعمال پالیسی فوق ، کاربر تنها بر روی کامپیوترهایی که این پالیسی بهشون اعمال شده دسترسی مدیریتی داره.
یک سوال، وقتی از restricted group استفاده میکنیم و یک کاربر رو با این روش دسترسی ادمین بهش میدیم، اون کاربر روی تمام کامپیوترهای عضو دامین همچین دسترسی خواهد داشت؟یا اینکه به scope اون پالیسی بستگی داره؟
با تشکر از دوستان
ممنون مهندس ... اون موقع که به این مشکل برخورده بودم با کنسول گروپ پالیسی و نحوه اعمال پالیسیها آشنا نبودم . مشکل من در نحوه اعمال پالیسیها بود .
سعید جان، یک Restricted Group به اسم Administrators ایجاد کن. این گروه عملا جایگزین Local Administrators روی کلاینت ها میشه.
حالا برای اضافه کردن اعضا، گزینه Add رو بزن و کلمه Administrator رو تایپ کن...با این کار عملا Local Administrator روی کلاینت ها عضور گروه Administrators میشه.حالا User و Group های مورد نظرت رو به این Administrators که ایجاد کردی، اضافه کن. مثلا یه گروه به اسم Managers درست کن (برای مدیرانی که میخوای Local Admin باشن)، یه گروه به اسم Help Desk ایجاد کن (برای بچه های پشتیبانی شبکه و سخت افزار) و ...