دسترسی delegate به یوزر اکتیو دایرکتوری

البته اومدم عضو گروه acount Control کردمش که میتونه Server manager رو بازکنه و اکانت ایجاد و پاک کنه ولی میخوام فقط بتونه باز کنه و نتونه چیزی حذف  و اضافه کنه فقط حالت دیدن باشه (read)

سلام دوست عزیز،

مشکلی که مطرح کردید کاملاً قابل درک است. این دسترسی های محدود در Active Directory گاهی اوقات پیچیدگی هایی ایجاد می کنند که troubleshooting آن ها نیاز به بررسی دقیق دارد.

بررسی های اولیه

اولین چیزی که باید بررسی کنید این است که چه نوع دسترسی به کاربر داده اید؟

 * Delegate Control (تفویض اختیار): این دسترسی برای مدیریت آبجکت ها در Active Directory است. وقتی شما All Read-Only یا Full Control را برای یک کاربر در Delegate Control فعال می کنید، به او اجازه می دهید تا کاربران و کامپیوترها را مدیریت کند، نه اینکه به منابع سرور دسترسی داشته باشد.

 * Remote Desktop Users: برای اینکه یک کاربر بتواند از طریق RDP به سرور وصل شود و با محیط دسکتاپ سرور کار کند، باید عضو گروه Remote Desktop Users در آن سرور باشد.

شما اشاره کردید که کاربر به سرور ریموت می شود، اما هیچ کاری نمی تواند انجام دهد. این نشان می دهد که دسترسی Rیموت دسکتاپ به درستی تنظیم شده، اما مجوزهای لازم برای دسترسی به محیط و اجرای برنامه ها را ندارد.

راه حل ها

۱. بررسی عضویت در گروه Local Administrators

اگر می خواهید کاربر به تمام منابع و تنظیمات سرور دسترسی داشته باشد، باید او را عضو گروه Local Administrators کنید. این گروه بالاترین سطح دسترسی را در یک سرور دارد.

نحوه انجام این کار:

۱. روی سرور مورد نظر، Computer Management را باز کنید.

۲. به مسیر Local Users and Groups > Groups بروید.

۳. روی گروه Administrators دابل کلیک کنید.

۴. روی دکمه Add کلیک کنید و نام کاربری را که می خواهید اضافه کنید، وارد کرده و OK را بزنید.

بعد از انجام این کار، سیستم را ریستارت کنید و کاربر مجدد تست کند.

۲. بررسی GPO

گاهی اوقات Group Policy Objects (GPO) می توانند دسترسی ها را محدود کنند. ممکن است یک GPO دسترسی به Server Manager یا سایر بخش های حیاتی سیستم عامل را محدود کرده باشد.

برای بررسی این مورد، می توانید از ابزار gpresult استفاده کنید:

۱. با کاربری که مشکل دارد به سرور ریموت شوید.

۲. Command Prompt را باز کنید و دستور زیر را اجرا کنید:

gpresult /r

این دستور لیستی از GPOهایی که روی آن کاربر اعمال شده است را نشان می دهد. با بررسی دقیق این لیست، می توانید سیاست هایی که دسترسی ها را محدود کرده اند پیدا کنید.

۳. اگر نمی خواهید کاربر دسترسی ادمین داشته باشد

اگر نمی خواهید کاربر را به گروه Local Administrators اضافه کنید و فقط به دنبال این هستید که به یک سری برنامه ها دسترسی داشته باشد، باید مجوزهای دقیق تری را تنظیم کنید. این کار معمولاً از طریق Security > Advanced Security Settings روی فایل ها و پوشه ها انجام می شود. اما این روش پیچیده و زمان بر است.

اگر هدف فقط دسترسی به Server Manager است، ممکن است یک GPO یا تنظیمات پیش فرض ویندوز سرور، آن را فقط برای ادمین ها مجاز کرده باشد. در این حالت، ساده ترین راه حل همان اضافه کردن کاربر به گروه Local Administrators است.

به طور خلاصه، Delegate Control برای مدیریت Active Directory است و برای دسترسی به منابع سرور باید از عضویت در گروه های Local Administrators یا Remote Desktop Users استفاده کنید.

سلام، از توضیحات تکمیلی شما ممنونم.

بسیار عالی است که توانسته اید با اضافه کردن کاربر به گروه Account Operators، مشکل باز شدن Server Manager را حل کنید. این کار نشان می دهد که مجوزهای سطح سیستم عامل برای باز کردن ابزارها به درستی اعمال شده اند.

حالا که می خواهید فقط دسترسی «مشاهده» (Read-Only) به کاربر بدهید، باید مجوزهایی که با اضافه کردن به گروه Account Operators داده اید را پس بگیرید و از ابزار Delegate Control با دقت بیشتری استفاده کنید. گروه Account Operators به طور پیش فرض اجازه ایجاد، ویرایش و حذف اکانت ها را می دهد، به همین دلیل است که کاربر توانسته کارهای مدیریتی را انجام دهد.

راه حل برای دسترسی Read-Only

برای اینکه کاربر فقط بتواند اطلاعات را ببیند و هیچ تغییری ایجاد نکند، مراحل زیر را دنبال کنید:

مرحله ۱: حذف کاربر از گروه Account Operators

 * ابتدا کاربر را از گروه Account Operators خارج کنید تا مجوزهای اضافی از او گرفته شود.

 * برای این کار، در کنسول Active Directory Users and Computers (ADUC) به مسیر Builtin بروید.

 * گروه Account Operators را پیدا کرده، روی آن کلیک راست و سپس Properties را انتخاب کنید.

 * در تب Members، نام کاربری مورد نظر را پیدا کرده و روی دکمه Remove کلیک کنید.

 * سیستم را ریستارت کنید.

مرحله ۲: استفاده از Delegate Control برای دسترسی Read-Only

حالا باید با دقت به کاربر دسترسی مشاهده بدهید. این کار را می توانید روی کل دامین یا یک OU (واحد سازمانی) خاص انجام دهید.

 * در کنسول Active Directory Users and Computers، روی نام دامین یا OU مورد نظر کلیک راست کرده و Delegate Control را انتخاب کنید.

 * در پنجره باز شده، روی Next کلیک کنید.

 * در بخش Users or Groups، روی دکمه Add کلیک کرده و نام کاربری که می خواهید به او دسترسی دهید را وارد کنید و OK را بزنید. سپس Next را بزنید.

 * در صفحه Tasks to Delegate، به جای انتخاب گزینه های از پیش تعریف شده، گزینه Create a custom task to delegate را انتخاب کنید و Next را بزنید.

 * در صفحه بعدی، گزینه This folder, existing objects in this folder, and creation of new objects in this folder را انتخاب کرده و Next را بزنید.

 * حالا به مهم ترین بخش می رسید. در لیست Permissions، به جای انتخاب همه گزینه ها، فقط مجوزهای مربوط به خواندن (Read) را انتخاب کنید. مهم ترین این مجوزها عبارتند از:

   * Read All Properties

   * Read Permissions

   * List Contents

   * List Object

   (توجه: برای اینکه کاربر بتواند گروه ها و سایر آبجکت ها را هم ببیند، این مجوزها باید فعال باشند.)

 * پس از انتخاب مجوزهای مورد نظر، روی Next کلیک کرده و سپس Finish را بزنید.

بعد از انجام این کار، کاربر باید بتواند به سرور ریموت شده و با باز کردن Active Directory، فقط اطلاعات را مشاهده کند و امکان هیچ تغییری (ایجاد، حذف یا ویرایش) نداشته باشد.

چرا اولین بار All Read کار نکرد؟

احتمالاً در دفعه اول که از Delegate Control استفاده کردید، به دلیل اینکه کاربر عضو هیچ گروه مدیریتی نبود، سیستم به او اجازه دسترسی به ابزارهایی مثل Server Manager را نمی داد. اما وقتی او را به گروه Account Operators اضافه کردید، این مشکل حل شد. حالا که مجوزهای ابزار را دارد، می توانید با Delegate Control دسترسی های او را محدود کنید.