طریقه جلوگیری از دسترسی سیستم کلاینت به پوشه sysvol و پالیسیها
با سلام
در حال حاضر ، از سیستم کلاینت میشه به پوشه sysvol و پالیسیها دسترسی داشت و مثلا میتونه بچ فایل را ادیت و فقط محتواشو ببینه
این از لحاظ امنیتی درسته؟
چطوری میشه جلوی دسترسیشو به پالیسیها گرفت
چون من اگه بخوام از طریق بچ فایل و با فرمت vbs طبق دستور زیر پسورد لوکال ادمین را بر روی کلاینتها فعال کنم هر یوزری یک کم بلد باشه میتونه اون فایل را ویرایش و محتواشو که پسورد داخلشه ببینه
Set WshNetwork = WScript.CreateObject("WScript.Network")
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator,user")
objUser.SetPassword " " ' Enter new password between brackets
objUser.SetInfo
راه کارش چیه؟
5 پاسخ
خب دلیلش اینه که دسترسی Read داره ! اگه این سطح دسترسی رو نداشته باشه چجوری میتونه Policy روش اعمال بشه ! منطقی هست ؟
یوزر نباید دسترسی Write داشته باشه به محتویات SYSVOL share. دسترسی Read براش کافیه تا Policy رو بخونه.
دسترسی write نداره اما میتونه روی فایل اسکریپت راست کلیک و ادیت را بزنه و اون پسورد داخل فایل را مشاهده کنه
راهکارش چیه
پیشنهاد من استفاده از LAPS هست. مایکروسافت هم این راهکار رو جزو Best Practice هاش قرار داده در این حوزه. دوره آموزشیش هم در این سایت هست.
پس شما برای لوکال ادمین بر روی کلاینتها در سرور 2016 چه پیشنهادی دارین؟