در شبکه هایی که از ساختار اکتیودایرکتوری استفاده میشود راههایی برای دور زدن محدودیتهای ایجاد شده برای کلاینتها وجود دارد گرچه به طور قطعی نمیشود جلوی آن را گرفت ولی شما به عنوان مدیر شبکه باید تا حد ممکن این عمل را برای کاربران در شبکه سخت تر کنید ، یکی از راههای دور زدن این محدودیت لاگین کردن کاربران از طریق Local Administrator و یا هر یوزر لوکالی که عضو گروه Administrators هست میباشد.
کاربران همانگونه که قبل از عضویت در دومین بصورت Local لاگین میکردند بعد از عضویت در دومین باز هم به همینصورت میتوانند لاگین کنند و با دسترسی مدیریتی وارد کامپیوتر خود شوند و هر کاری که میخواهند انجام دهند شما بایستی قبل و یا همزمان با عضویت کلاینت به Domain رمز کاربران Local کلاینت را عوض کنید و یا در صورت تمایل آنها را Disable کرده ، حذف و یا تغییر نام دهید
در این مطلب تصمیم داریم روش انجام این کار را به زبانی ساده از طریق کنسول Group Policy و بصورت متمرکز بدون محدودیت تعداد کلاینت آموزش دهیم لازم به ذکر است که این کار در ویندوزهای سرور 2008 یا بالاتر امکانپذیر هست. برای اینکار در سرور به کنسول گروپ پالیسی رفته ( gpmc.msc ) و یک GPO ایجاد کرده و آن را به کلاینتهای مورد نظر خود Assign کنید . آن را Edit کرده و به مسیر زیر بروید
Computer Configurations => Preferences => Control Panel Settings => Local Users and Groups
با راست کلیک بر روی Local Users and Groups و انتخاب New => Local Users پنجره ای به شکل زیر باز خواهد شد :
در این پنجره شما نام یوزر لوکال کلاینت را نوشته و تنظیمات آن را بنا به نیاز انجام دهید ، در قسمت Action میتوانید نوع رفتار این پالیسی را در هر بار بروزرسانی پالیسی کلاینت تعیین کنید موارد قابل انتخاب Create , Replace , Update , Delete میباشند که در پایین به توضیح آنها میپردازیم.
- Create : با هر بار بروزرسانی ، Userای با این نام در کامپیوتر کلاینت چک میشود ، در صورت عدم وجود چنین Userای از قبل ، User جدیدی با مشخصات تعیین شده ساخته میشود و در صورت وجود User ای با این نام ، هیچگونه تغییراتی اعمال نمشود و User موجود با همان تنظیمات قبلی خود میماند.
- Replace : با هر بار بروزرسانی User قبلی در صورت وجود حذف شده ( با تمامی تنظیمات ) و User جدید با تنظیماتی که شما تعیین کرده اید جایگزین میشود . و در صورت عدم وجود User قبلی ، User جدیدی با مشخصات تعیین شده ساخته خواهد شد.
- Update : با هر بار بروزرسانی در صورت وجود User قبلی ، تنها تنظیماتی که در پالیسی تعیین کرده اید بر روی User کلاینت Set خواهد شد و مابقی تنظیماتی که در پالیسی تعیین نشده بر تنظیمات User کلاینت بدون هیچ تغییری به حالت قبل باقی میماند ، همچنین در صورتی که از قبل چنین Userای وجود نداشت ، User جدیدی با این نام و تنظیمات ساخته خواهد شد .
- Delete : با هر بار بروزرسانی User نام برده شده در صورت وجود حذف خواهد شد.
همچنین تنظیمات دیگر را در صورت تمایل در این پنجره میتوانید انجام دهید و در نهایت OK را زده تا تنظیمات ثبت شود، بدینصورت میتوانید رمز کاربران لوکال و یا تنظیمات دیگر را در صورت تمایل به صورت متمرکز بر روی کلاینتها در شبکه خود تغییر دهید.همچنین کاربرانی که از ویندوز سرور 2003 و یا پایینتر و یا از کلاینت هایی با ویندوز XP یا پایینتر استفاده میکنند برای تغییر رمز میتوانند به مقاله زیر مراجعه کنند.
سلام
دوتا سوال داشتم از عزیزان. ممنون میشم راهنمایی بفرمایید.
1. چرا در حالت Create تمامی گزینه ها غیرفعال میشه؟
2. چرا در حالت Update، امکان تغییر نام کاربر هست ولی امکان تغییر رمز عبور نیست؟ (فیلد رمز عبور غیرفعال میشه)
سلام
شما نوشتید قبل یا همزمان با جوین کردن کاربران
حالا جایی که از قبل یوزرها با کاربری ادمین ((یوزر بنامخودشونه و دسترسی ادمین لوکال داره)) بثورت لوکال وارد میشدن و در عین حال برای اتصال به شیرینگموجود یه یوزر و پسورد ( یوزر و پسوورد با نام کاربری لوکال کاملا یکسانه از نظر نوشتاری ) دارند و استفاده میکنند
در اینحالت چه راهی پیشنهاد میکنید؟؟ با توجه به اینکه تمام یوزرها اطلاعات رو دسکتاپ و قسمتهای مربوط به یوزرذخیره کردند
به دلیل حفره امنیتی ، این قابلیت رو ماکروسافت در ویندوز سرور 2012 به بالا غیر فعال کرده . پیشنهاد میکنم در این خصوص به مطالب زیر مراجعه کنید :
سلام. با توجه به غیر فعال بودن قسمت پسورد ، چطور میتوان اون رو از حالت غیر فعال در آورد؟
به دلیل حفره امنیتی این قسمت غیر فعال شده است.جهت اطلاعات بیشتر به لینک زیر مراجعه کنید:
دوستان عزیز من از همین مسیر استفاده میکنیم ولی قسمت password و confirm password خاموش و غیر فعال میباشد. ممنون میشم راهنمایی کنید. حتما باید پسورد ادمین لوکالی کلاینتها را عوض کنم.
با سلام
من از این روش استفاده کردم،دیروز رمز عبور رو خواستم تغییر بدم،که این پیام رو داد:
this password is stored as part of the gpo in sysvol and is discoverable
بعد اومدم فیلدی رو که قبلا ساخته بودم رو پاک کردم تا از اول بسازم،ولی الان تو فیلدی که ساختم
قسمت Password در حالت غیر فعال هست،یعنی نمیتونم رمزعبور رو عوض کنم.
چیکار باید کنم؟
با سلام
به نظر وقتی یک کامپیوتر عضو دامین میشود کاربران موجود روی آن با پسورد خودشان میتوانند وارد دامین شوند حال اگر بخواهیم که نتوانند لوکال وارد شوند با غیر فعال بودن پالیسی allow logon localy بصورت پیش فرض امکان local logon نیست نمیدانم این مطلب همیشه درست است یا خیر؟
شما اگر بخواهید دستور حذف یا Replace رو به اعضاء گروه Built-in بدید بایستی در Combo box به جای نوشتن نام User ، بر روی فلش کلیک کرده و کاربر عضو Built-in مورد نظر خود رو انتخاب کنید ، به محض انتخاب با پیغام خطای زیر مواجه میشوید که مبنی بر عدم امکان حدف چنین کاربرانی هست .
دوست عزیز طبق گفته شما در حالت Replace با هر بار بروز رسانی User قبلی به همراه تنظیمات مربوط به آن حذف می شود و User جدید ساخته می شود ، خوب با توجه به اینکه کاربران Built-in رو نمیتونیم حذف کنیم ، اگر این Policy رو برای کاربران Built-in اجرا کنیم چه اتفاقی میوفته ؟ اونها که نمیتونن Delete بشن ؟