ایجاد یوزر ادمین در ویندوز سرور با دسترسی محدود
سلام
میخواستم روی ویندوز سرور 22 که در حالت اکتیو دایرکتوری هستش یوزر های ادمینی تعریف کنم که توانایی ساخت اکانت و یوزر و گروپ روی سرور داشته باشن ولی نتونن حذفشون کنن ، کاری که کردم این بود که اومدم یک یوزر ساختم و عضو account Operator کردم حتی رفتم پرمیشن های Del از روش برداشتم ولی باز هم قدرت حذف یوزرها رو داره ، جالبه حتی میتونه یوزرهای عضو گروه Enterprice رو هم حذف کنه ! ولی نمیتونه یوزر از نوع Administrator یا بالاتر ایجاد کنه . نمیدونم کجای کار دارم اشتباه عمل میکنم . لطفا با ریز جزئیات راهنمایی کنید با سپاس
<script> src="moz-extension://0a39aab2-f654-4916-99e9-98f8d75260d4/js/app.js" type="text/javascript"></script>
2 پاسخ
سلام دوست عزیز ، یوزر ادمین هر جا که باشه توانایی و قدرت مدیریتی توی اون سیستم داره و نمیتونید براش محدودیت بزارید.
سلام
ایجاد یک گروه جدید :
به Active Directory Users and Computers بروید
یک گروه جدید ایجاد کنید (مثلاً "Limited Admins")
اضافه کردن یوزرها به گروه جدید :
یوزرهایی که میخواهید محدودیتها را برای آنها اعمال کنید، به گروه "Limited Admins" اضافه کنید
ایجاد یک Group Policy Object (GPO) جدید :
به Group Policy Management بروید
یک GPO جدید ایجاد کنید (مثلاً "Limited Admin Permissions")
پیکربندی GPO :
به مسیر Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System بروید
روی "Add" کلیک کنید و مسیر C:\Windows\System32\ntds.dit را اضافه کنید
در پنجره Permissions، گروه "Limited Admins" را انتخاب کنید و فقط مجوزهای "Read" و "Write" را فعال کنید. مطمئن شوید که مجوز "Delete" غیرفعال است
اعمال GPO به گروه جدید :
به Group Policy Management بروید و GPO جدید را به Organizational Unit (OU) که شامل یوزرهای "Limited Admins" است، لینک کنید
بررسی و تست :
مطمئن شوید که GPO به درستی اعمال شده است و یوزرهای "Limited Admins" توانایی حذف اکانتها و گروپها را ندارند