جلوگیری از لاگین کردن لوکال کاربران در شبکه های دامین
سلام ، چطور می تونم از log in locally کاربرانم زمانی که dc در دسترس نیست جلوگیری کنم ؟
19 پاسخ
کافیه شما فقط قابلیت Cached Credentials رو از عدد 10 به عدد 0 در Policy زیر تغییر بدید تا دیگه نتونن زمانیکه DC در دسترس نیست رو سیستم Login کنند :
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options Interactive logon: number of previous logons to cache (in case domain controller is not available)
همچنین Policy زیز رو هم فعال کنید.
Configuration\Windows Settings\Security Settings\Local Policies\Security Options Network Access: Do not allow storage of credentials or .NET Passports for network authentication
خوب شما رو سرور gpupdate بزنین پالیسی اعمال میشه . . .. و به خواستتون میرسین . . . لطفا شکیبا باشین :-)
خوب من این کار رو هم کردم
اما وقتی dc رو تو vm ، pause میکنم
هنوز با یوزر login میکنه
با دو بار restart شدن درست شد
:::::::::::::::::::::::::::::)
شاید تو لوکال پالیسی میرین توی دامین پالیسی نمیرین . . . gpedit.msc میزنین یا gpmc.msc ?
این دیگه سئوال دیگه ای هست باید در قالب یک تاپیک جدید مطرح بشه.
موفق باشین . . .
خروجی HTML نداره که؟!!!!
دوست عزیز راهکار ارائه داده شده لطفا با مباحث غیر فنی تاپیک رو پر نکنید، Policy مورد نظر همونهایی هست که ارائه شدند بنابراین مشکل از Policy نیست ، شاید شما دارید Policy رو به GPO ای اعمال می کنید که اصلا به کاربرا و Computer های شما اعمال نمیشه این دیگه یک بحث دیگه هست بررسی کنید ببینید اصلا Policy شما اعمال میشه یا خیر چون راهکار همین هست و بارها هم تست شده ، یه Gpresult بگیرید از کلاینت ببینید Policy مورد نظر اعمال شده یا خیر.
من دقیقا همینکار رو کردم اخه
در حاشیه عرض کنم که بعد از تغییرات در پالیسی باید
gpupdate /force
بزنید وگرنه با gpupdate تنها ، باید حتما سرور رو ریست کنید تا پالیسی اعمال بشه
اول Policy رو update کنید بعد تست کنید.
طبق مراحل بنده و اقای نصیری انجام بدین و درست انجام بدین حل میشه . .. ..
من هدفم اینه که زمانی که dc من offline هستش کاربران دامین من مثلا ali@parsian.local نتونه روی ویندوز 7 لاگین بشه
حالا اگر بخوایم یه RODC داشته باشیم و زمانی که rodc و dc ما offline هستن
کاربران نتونن لاگین کنن چی؟
دوست عزیز شما می تونید دستورات زیر رو توی CMD وارد کرده و نتیجه رو مشاهده کنید.
C:\> Gpresult -z > result.txt یه فایل به نام result.txt در درایو سی ساخته میشه
C:\> Gpresult -z > result.html یه فایل به نام result.txt در درایو سی ساخته میشه
سلام
این که خروجی به صورت html باشه آیا تفاوتی داره؟تاثیرش چه چیزی می تونه باشه؟
ممنون
سلام دوستان همه گفتنی ها رو گفتن مخصوصاً مهندس نصیری
فقط یه نکته هم این که، بعد از GP update کردن برای این که مطمئن بشین کاربرتون دارن چه پالیسی هایی رو دارن می گیرن از دستور GP result با خروجی HTML استفاده کنین تا ببینین به یوزرتون چه Policy داره اعمال میشه!
منظورتون gpupdate ؟
اینکار رو کردم
من این policy رو روی یه ou انجام دادم که داخلش کاربرام و کامپیوتر اکانت هام هستش