نصب RSAT توسط HELP DESK
سلام .زمانی که یک کاربر help desk را عضو لوکال یا همان restict می کنیم می تواند نرم افزار نصب کند بنابراین یوزر این توانایی را دارد که RSAT را نصب کند و دسترسی به دامین کنترلر داشته باشد . ایا این نقض امنیت نیست؟ چه راه حلی پیشنهاد می شود؟
5 پاسخ
سلام
خب خودتون دارین میگین؛ فقط RSAT رو نصب میکنه!
اما از خودتون بپرستین آیا بدون پسوورد ادمین شبکه میتونه کانکت بشه به سرور DC؟
اینکه یوزر تونسته RSAT رو روی سیستم نصب کنه دلیلی بر این نیست که بتونه توی AD تغییرات اعمال کنه. شما توی کنسول ADUC باید به OU مورد نظر Delegate بدید به یوزر Help Desk تا بتونه Object های توی اون OU رو مدیریت کنه. تا Delegate ای انجام ندید یوزر هیچ کاری روی AD object ها نمیتونه انجام بده.
ضمنا این مسِله وجود داره که اون شخص که شما بهش دسترسی میدین باید کاملا مورد trust شما باشه.ضمنا همونطور که دوستان گفتن میشه کاری کرد که سیاست های اعمال شده روی افراد مختلف و کامپیوتر های مختلف دیده نشه.
سلام
دوست عزیز شاید بشه این موارد رو از طریق گروپ پالیسی بیشتر محدود کرد اما بلاخره این یوزر دسترسی بالاتری داره و به نظر من دیدن اکتیو دایرکتوری برای یوزر help کاربرد زیادی در شبکه داره ، شما ممکنه سیاستتون این باشه که نبینه اما در خیلی از شبکه ها ممکنه سیاست این باشه که ببینه ....
خب الان من تست کردم RSAT نصب شد و تو قسمت TURN WINDOWS FEATURES ON OR OFF تونستم ACTIVE DIRECTORY USERS AND COMPUTER را ببینم و باز کنم ولی نتونستم تغییرات بدم ولی خب همینم یه جورایی نقض امنیته