محدود کردن یوزرهای لوکال امین

سلام

ممنون از اینکه وقت گذاشتین برای جواب دادن.

آقای محمدپور عزیز در خصوص ویندوز 10 و 11 بله برای domain users و یوزر عادی بسته هستش اما من یه تعداد کاربر Helpdesk دارم که این ها ادمین دامین نیستن و فقط ادمین لوکال کلاینت ها هستن و اینجا تفاوتی در خصوص نوع ویندوز ایجاد نمیکنه و میتونن به این مسیرها وارد بشن.

آقای فیروزآبادی عزیز در خصوص گروپ پالسی بررسی انجام دادم اما جایی مستقیم پیدا نکردم که بخواد بگه این یوزرها رو از طریق پالسی بتونی این قابلیت رو ازش بگیری

تشکر

شما GPO جدید که ایجاد میکنید جدای از اینکه به کدام OU لینک کنید، با استفاده از بخش Security Filter میتونید مشخص کنید که روی کدام یوزرها یا گروه ها این پالیسی اجرا شود. حال با کمک این بخش از Group Policy باید طبق سلیقه خودتون اقدام کنید. لینکی که فرستادم تو پست قبلی میتونه راهنمایی کنه.

سلام دوست عزیز

اگر ویندوزهاتون  10 یا 11 باشند و جوین به دامین هستن پیش فرض خودش این پروتکل بسته. مگر ویندوزها 7 باشن یا جوین نباشن ویا پسوورد یوزر گروه ادمین شبکه رو داشته باشن. میتونید ماشین های مورد نظر رو بندازین توی یک ou  و پالیسی بستن این پروتکل روی این ou اعمال کنید.

نکته: با توجه به مشکلات امنیتی این موضوع بهتره کلا این پروتکل رو ببندید و از فایل sharing استاندارد استفاده کنید.

در گروپ پالیسی در قسمت بستن administrative share یا همان $C و غیره، موقع تعریف پالیسی از بخش security filtering استفاده کنید.

در سایت مطلب اختصاصی در این خصوص پیدا نکردم اما این مطلب، اشاره ای به کاربرد security filtering در گروپ پالیسی دارد. نام کاربری لوکال ادمین ها رو درون یک گروه قرار بدید و به اون گروه این پالیسی رو اختصاص بدین.

سلام مجدد

تا اونجایی که من اطلاع دارم پیش فرض یوزرهای لوکال ادمین هم، توی ویندوز 10 و 11 به شرط جوین بودن نمیتونن از این پروتکل smb1 استفاده کنند مگر اینکه از قبل یا با دسترسی بالاتر این permision  باز کرده باشن. 

اگر هم پالیسی رو روی سطح یوزر اعمال میکنید همانطور آقای جعفری گفتن میتونید از این روش استفاده کنید البته من روی یوزر های لوکال همه ی سیستم ها نتونستم پیاده سازی کنم انگار که یه باگی داره یا شاید من اشتباه جایی رو کانفیگ کرده بودم.