محدود کردن دسترسی مدیر شبکه به یک OU یا گروه در اکتیودایرکتوری
سلام و وقت بخیر ، دوستان چگونه میتوانم یک مدیر برای دامین تعریف کنم که فقط به یک GP یا OU خاص دسترسی مدیریتی داشته باشه ؟ میخوام برای هر مدیریت یک مدیر تعریف کنم تا در مجموعه خودشون مدیریت کنن و زیر مجموعه مدیر اصلی دامین باشند و دسترسی اضافه هم نداشته باشند !!! در خصوص تعریف کاربرها برای هر مدیریت یک GP ایجاد کنم یا OU ؟
7 پاسخ
با تشکر از توضیحات دوستان
منظورتون رو در خصوص member server متوجه نشدم . میشه بیشتر راهنمایی بفرمایید ؟
member server
ویندوز سرور در دو نوع طبقه بندی مختلف در شبکه ایفای نقش می کند ، اول در نقش کنترل کننده دامنه یا Domain Controller و دومین نقش به عنوان سرور عضو یا Member Server مورد استفاده قرار می گیرد . در واقع هیچ چیز خاصی در مورد سرور عضو یا Member Server وجود ندارد . یک سرور عضو یا Member Server در حقیقت یک کامپیوتر است که ویندوز سرور بر روی آن نصب شده و به شبکه متصل شده است . یک Member Server میتواند به عنوان یک انبار فایل یا File Repository و یا بهتر بگوییم یک File Server و یا به عنوان Print Server در شبکه استفاده شود . Member Server ها همچنین به عنوان سرورهای نرم افزارهای کاربردی نیز مورد استفاده قرار می گیرند ، برای مثال شرکت مایکروسافت محصولی را به عنوان نرم افزار سرور ایمیل با عنوان اکسچنج سرور معرفی کرده است که میتواند در شبکه بر روی یک Member Server نصب شده و در شبکه به عنوان Mail Server فعالیت کند. در حقیقت Member Server ه میتوانند به هر عنوانی در شبکه مورد استفاده قرار بگیرند
منبع: تفاوت Workstation و Server در چیست؟ تفاوت کلاینت و سرور
سلام من میخوام یک نرم افزار روی سرور راه اندازی کنم و یک ou بسازم که فقط یوزرهای عضو این ou بتونن به این نرم افزار دسترسی داشته باشن ودسترسی دیگه ای به سرور نداشته باشن جیکار کنم؟
توضیح آقا سعید به اندازه کافی کامل هست در ادامه صحبت ایشون:
اگر یک member server هم در شبکه داشته باشید دیگه نیازی به نصب RSAT نیست و میتونید بدون اینکه دسترسی Login به DC به limited users بدهید، یوزرهایی که delegate به آنها داده اید در آن member server لاگین کنند و مدیریت خود را انجام دهند.
و در Windows 8 نیز میتوانید feature ای که در turn Windows features on or off با نام ADLDS (Active Directory Lightweight Domain Services) وجود دارد را نصب کنید تا یوزرهایی که به آنها delegate داده اید بتوانند OU مورد نظرشون رو در AD مدیریت کنند.
سلام
برای اینکه دسترسی مدیریتی برای مدیریت یک ou به کاربری بدهید به صورت زیر عمل کنید:
در کنسول dsa.msc بر روی ou مربوطه right click کرده و گزینه delegate control را انتخاب کنید.
و بعد مراحل را طبق نیازتان (بر اساس سطح دسترسی به هر شخص که می خواهید بدهید) پیش ببرید.
شما با استفاده از Delegation میتونید از جانب مدیر به کاربران محدود وکالت بدین که بتونند یک سری کارهای مدیریتی رو انجام بدن
همونطور که خودتون اشاره کردید ممکنه که شما نخواهید که یک سری کاربر رو در شبکه ادمین کنید و تمامی دسترسیها رو بهشون بدین ، در چنین مواقعی شما با استفاده از Delegation یک سری کارها رو به کاربرتون واگذار میکنید ، به عنوان مثال به یک کاربر تنها اجازه ایجاد و حذف کاربر رو در یک OU خاص در اکتیو دایرکتوری میدید و یا به یک کاربر تنها اجازه تغییر رمز عبور رو میدید ،
برای دادن مجوز به کاربر در کنسول Active Directory Users and Computers در منوی View گزینه Advanced Feature رو فعال کنید . از OU مورد نظر Properties بگیرید و در پنجره باز شده در تب Security کاربر مورد نظر رو اضافه و دسترسی مورد نظر رو براش تعیین کنید . در کنسول Group policy management در ویندوز 2008 به بالا هم برای این کار با کلیک بر روی هر کدام از Object ها میتونید در سمت چپ این پنجره به تب Delegation رفته دسترسی کاربر رو برای ویرایش ، ایجاد و یا حذف آنها تعیین کنید ... شما از این امکان میتونید برای تعیین سطح دسترسی کاربر به DNS و یا بعضی تنظیمات دیگر در شبکه استفاده کنید
پس شما برای هر کدام از این کاربران یک یوزر Limit درست کنید و با توجه به توضیحات بالا Delegate کنید . این کاربران تنها در ویندوز سرور میتونند به این کنسولها دسترسی پیدا کنند پس باید در گروپ پالیسی ویندوز سرور اجازه لاگین کاربران Limit داده بشه تا بتونند لاگین کنند . اگر هم نخواهید این کار رو انجام بدید میتونید در ویندوز کلاینت RSAT رو نصب کنید تا دیگه نیاز به لاگین بر روی ویندوز سرور هم نداشت باشند .
...و در تکمیل صحبت های آقا فرهاد اینکه اگر کامپیوتری که ویندوز سرور روی آن نصب است Join to Domain باشد member server و اگر همان کامپیوتر در یک شبکه Workgroup باشد Standalone Server گفته می شود.