محدود کردن کاربر به دسترسی فقط به AD Users and Computers
با سلام خدمت دوستان ، یک یوزری هست که میخواهیم که در سرور دامین فقط به بخش Active Directory users and computers دسترسی داشته باشد ، آیا با ایجاد Delegation Control می توان این کار رو انجام داد؟
#active_directoey #اکتیو_دایرکتوری #delegation_control
15 پاسخ
سلام ، وارد کنسول مدیریتی AD Users and Computers بشید و یک گروه از نوع Security بسازید و کاربری که میخواید فقط بتونه کنسول ADUC رو مدیریت کنه رو داخلش عضو کنید. بعد روی دامین تون راست کلیک کنید و Delegate Control رو بزنید ، در پنجره باز شده روی Next کلیک کنید و گروهی که ایجاد کردید رو اضافه کنید. در قسمت Tasks to Delegate همه تیک ها رو بزنید و Next رو بزنید و Finish. حالا وارد کنسول GPMC بشید و GPO ی Default Domain Controllers Policy رو Edit کنید و در قسمت User Right Assignments روی پالسی Allow logon locally دابل کلیک کنید و گروهی که ایجاد کردید رو Add کنید. حالا روی OU ی Domain Controllers توی کنسول GPMC راست کلیک کنید و Group Policy Update رو بزنید و مطمئن بشید که پالسی روی DC اعمال میشه. حالا با یوزری که داخل اون گروه عضو کردید به DC لاگین کنید و کنسول ADUC رو باز کنید. تمومه ! حالا میتونید کار هایی رو که میشه توی این کنسول انجام داد رو انجام بدید. در ضمن اگه خواستید از طریق یه سیستم ریموت کنسول ADUC رو مدیریت کنید RSAT رو روی اون سیستم نصب کنید و از طریق mmc کنسول ADUC رو Add کنید و کارهاتون رو انجام بدید . موفق باشید
بله میشه! منتها یه ذره متفاوت. ینی شما باید ابتدا از طریق ویزاد Delegation دسترسی هایی رو که مد نظرتون هست به اون یوزر بدین، و بعد یه MMC رو خودتون شخصی سازی کنین که تنها شامل Active Directory users and computers بشه و با نصب RSAT روی کامپیوتر کلاینت به یوزر این دسترسی رو بدین.
داداش شرمنده زیاد سوال می پرسم
سوال آخر: الآن که به یوزره مربوطه Delegate دادیم حالا چجوری می تونیم Delegate رو از یوزره بگیریم؟
ممنون
آیا توی بخش Domain and Trusts هم به همین منوال هست؟
برای اینکه یوزر بتونه OU هم ایجاد کنه باید از Custom Tasks استفاده کنید. لینک زیر رو ببینید :
https://www.experts-exchange.com/questions/28393513/I-want-to-delegate-the-creation-of-sub-OU-for-an-OU-in-my-AD-What-is-the-name-of-this-Active-Directory-permission.html
آیا تو خوده ویزارد Delegation همچین دسترسی هست که بشه به یوزره معمولی دامین داد منظورم دسترسی به بخش Directory users and computers.
حالا MMC رو روی سرور دامین شخصی سازی کنیم؟
طبق روشی که گفتید جلو رفتم و با یوزره مربوطه لاگین کردم زمانیکه خواستم وارد کنسولADUC بشوم از من user namepassword خواست و من هم user namepassword مربوط به یوزره مربوطه را دادم نه یوزره Domain Admin آیا این حالت درسته؟
در ضمن من می خواستم فقط وارد کنسول ADUC بشوم در صورتی که وارد کنسول مثلا Active Directory Sites and services هم تونستم بشم.
مهندس تو کنسول ADUC جالبه فقط می تونیم user ایجاد کنیم OU نمی تونیم ایجاد کنیم.
بله درسته Credentials یوزری که ایجاد کردید رو باید وارد کنید. وارد سایر کنسول ها هم میتونید بشید ولی نمیتونید Object ایجاد کنید. میتوند تست کنید ، توی کنسول dssite.msc سعی کنید یه Subnet درست کنید ببینید اجازه میده ؟
بله ، همونطور که ملاحظه می کنید گزینه New Subnet وجود نداره توی Context menu
بله همه جا به جز کنسول ADUC که دسترسی کامل دارید
منظورتون اینجوری هست
سلام و با تشکر از شما
بعد از اینکه از Default Domain Controller Policy همانا Edit گرفتیم وارد بخش User Configuration بشویم؟
حالا اگه این مورد درست بود پالیسی Allow logon locally رو باید از کدام بخش انتخاب کنیم؟
خواهش می کنم ، ممنون میشم پست رو به عنوان جواب انتخاب کنید و سئوال جدیدتون رو در قالب پست جداگانه مطرح کنید. متشکرم
مسیرش کاملش اینه :
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment