اکتیور دایرکتوری
با سلام
یک دامین اصلی داریم و یک ساب دامین
چجوری باید دسترسی کاربران دامین ادمین ساب را محدود کنیم که نتوانند جوین و دیزجوین برای دامین اصلی انجام ندهند
چون ظاهرا میتونن انجام بدن
4 پاسخ
با سلام
طبیعیه به صورت پیش فرض هر یوزری که در child domain هم باشه دسترسی جوین به دامین parent خودش رو داره چون به صورت پیش فرض Authenticated Users دسترسی جوین دارند.
میتونین با پالیسی Add workstations to domain گروه مورد نظر خود که قرار است دسترسی جوین داشته باشند را مشخص کنین. پالیسی فوق باید به ou دامین کنترلر لینک شود.
مسیر پالیسی: Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
اطلاعات بیشتر:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/add-workstations-to-domain
چجوری میشه فقط دسترسی جوین ساب دامین داشته باشن
پس deligation اینجا کجاست و چکار میکنه
اون اطلاعات بیشتر رو خدمتون فرستادم تا مطالعه کنین.
بالا هم توضیح دادم که به صورت پیش فرض در پالیسی Add workstations to domain گروه Authenticated Users هست یعنی هر کسی که احراز هویت شده پس یوزری که داخل ساب دامین هم هست دسترسی جوین به دامین parent رو داره. پس برای جلوگیری از اینکار این پالیسی رو تغییر بدین و مثلا گروه It که در دامین parent خودتون هست رو اد کنین.
موردی بعدی اینکه فرمودین deligation چیه؟ همونطوری که تو لینک توضیح داده اگه شما در یک ou یا container مثلا computers از طریق deligation دسترسی Create Computer Objects داشته باشین میتونین نامحدود کامپیوتر جوین کنین صرف نظر از اینکه پالیسی بالا چی باشه.