login کردن کاربران و فقط در قالب Domain
سلام دوستان.
من در شبکه ام از سیستم عامل ویندوز سرور 2008 و ساختار Domain controller استفاده میکنم.
میخواستم بدونم چطور میتونم کاری کنم تا کاربران فقط در قالب Domain بتونن login کنن و به هیچ وجه نتونن با نام کاربری local به سیستم خودشون دسترسی پیدا کنند.
14 پاسخ
طبیعیه که هر کس بر حسب شرایط کاری خودش این سری فعالیت ها رو انجام میده و از نظر من سلیقه ای هست ، بنده نظرمو گفتم ، نظر جناب Jovial هم محترم هست ضمن اینکه واقعا تمامی دلایلی که ذکر کردند منطقی و درست هست و خیلی کامل و جامع توضیح دادن .بهرحال سواد بنده در همین حد تونست پیشنهاد بده ، از این به بعد فکر میکنم بحث خاتمه پیدا کنه و ترجیحا اگر مبحث جدیدی قرار هست ایجاد بشه در قالب یک تاپیک جدید ایجاد بشه ممنون میشم.
نکته در اینجاست دوست من ، وقتی شما با CD Boot میاین بالا ، مجددا بایستی تمامی کلیدهای رجیستری موجود رو به حالت اول برگردونید درسته ؟ که در صورتیکه مجددا سیستم ری استارت شد و بالا اومد بتونید یا کاربر Local که قبلا مشاهده اون رو هم غیرفعالی کردید از طریق رجیستری ، وارد سیستم بشیم ، خوب CD های مثل این مورد برای مواقعی کاربرد دارند که شما بخواین کاربر Local رو رمزش رو عوض کنید ، اگر به ترتیب موارد بالا رو اعمال کرده باشید ، دیگه کاربر Local رو نمیتونید در هنگام بوت مشاهده کنید که بخاید باهاش وارد بشید درسته ؟ اینجاست که به مشکل میخورید. از طرفی شما چطور میتونید از Hiren Boot و Ultimate Boot برای Join و Disjoin کردن سیستم عاملی استفاده کنید که روی هارد دیسکتون نصب شده ؟ این سیستم عامل ها صرفا خودشون رو میشناسند که از روی CD بوت میشن .... درسته که ما خیلی از کارها رو میتونیم در شبکه انجام بدیم و کاربردی هم ممکنه باشن اما همیشه عواقب اونکار رو هم در نظر بگیریم . به شخصه ترجیح میدم کلیه کاربرای Local رو غیرفعال ، حذف و تغییر نام بدم و با این روش جلوی ورود کاربرام به سیستم ها رو با استفاده از Local Account ها بگیرم ، تا اینکه صفحه ورود رو بهشون نمایش ندم ، البته قصد اعمال سلیقه ندارم اما تجربم این رو ثابت کرده که به مشکل خواهید خورد. با تشکر
از طریق mmc هم میشه انجام داد که بسیار راحت تره
UNITY جان شما میگید که بهتره کاربران Local رو غیر فعال و یا تغییر نام و یا حذف کنید ، که با تغییر نام ادمین کاملا موافقم اتفاقا من هم میخواستم در جواب این تاپیک این رو بنویسم که در قسمت Preference در GPO ویندوز سرور 2008 براحتی قابل انجامه
تا جایی که من میدونم میباست نام یوزری که قراره حذف ، تغییر رمز ، غیرفعال و یا تغییر نام داده بشه در GPO حتما مشخص بشه ، ولی ممکنه که ما چند یوزر لوکال داشته باشید و دقیقا اسمشون رو ندونیم ،
حالا یه سوال : میشه با یک دستور تمام یوزرهای لوکال رو غیر فعال کرد بدون درنظر گرفتن نام اون ها ؟؟؟ و بعدش تنها یوزر Administrator اون رو فعال و تغییر نام بدیم .
بله سعيد جان ميشه يه Script داشت كه تمامي كاربران Local. غير از Administrator را حذف كنه (اين Script رو ميشه به صورت logon script يا startup script قرار داد كه خيال خودمون هم راحت بشه). البته من توي جواب هاي قبلي. به اين نكته اشاره كردم كه ميشه همچين scriptداشت.
اگر وقت اجازه بده. توي يه مقاله مفصل در مورد تمامي راه هاي بالا مينويسم كه تماما رفع ابهام بشه.
در مورد اينكه از طريق hiren boot cd و ... نميشه disjoin و rejoin كرد. منظور من اين نبود كه تو محيط live os اين كار رو انجام بديم. منظور من اين بود كه ميشه از اين ابزارها استفاده كنيم و كامپيوتر رو boot كنيم. بعدش با gpedit بيايم deny logon locally رو برداريم (البته قبلش كابل شبكه رو قطع كنيم) و بعدش با local admin لاگين كنيم و كار disjoin و rejoin رو انجام بديم. با اين راه. عملا نيازي نيست كه cached logon رو باز نگه داريم.
دليل اصرار من روي اين قضيه اين هست كه جايي كه من كار مي كنم. هنوز ساختار file server نيست و داريم برنامه ريزي مي كنيم واسش. عملا home folder و roaming profile در كار نيست. quota و folder redirection در كار نيست و كاربر ها فايل هاي اصليشون رو روي desktop ميريزن. مسئله بعدي اينكه اينجا از اتوماسيون استفاده مي كنند كه تنظيمات مربوط به user accountداره. نه كامپيوتر....يعني حتي اگه با local admin هم تنظيمات رو انجام بدي. باز هم بايد با account خود كاربر لاگين كني و تنظيمات رو انجام بدي.
حالا فرض كن كامپيوتر اين كاربر با temp بياد بالا و cached logon فعال باشه. عملا 20 بار زنگ ميزنه واحد IT...حالا اگه منشي دفتر باشه كه ديگه هيچي
البته میتونی یه script دیگه هم تو shutdown script قرار بدی که باعث میشه گزینه domain و workstation حذف بشه. یعنی قسمت log on to را حذف می کنه. ولی کاربر ها مجبور میشن upn suffix و یا distinguished name رو وارد کنن. مثلا domain\username یا username@domain
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V NoDomainUI /T REG_DWORD /D 1 /F
یه راه دیگه از طریق registry هم هست که log on to رو حذف میکنه. فقط لازم هست که برای "DefaultDomainName" اسم کامل domain خودتون رو وارد کرده باشید.
یه کلید به اسم ShowLogonOptions در شاخه زیر ایجاد کنین و مقدارش رو به 0 تغییر بدین.
یه کلید هم به اسم DefaultDomainName در همین شاخه پایین درست کنین و اسم کامل domain خودتودن رو وارد کنین.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
منظورتون اینه که در صفحه ی لاگین کاربران گزینه لاگین به صورت لوکال رو نداشته باشند؟
ممنون از توضیحاتتون Jovial جان ، اتفاقا من هم این سوال برام پیش اومده بود و خیلی هم برای انجام چنین کاری وقت گذاشتم
مورد اول که خیلی خوبه ولی همونطور که اشاره کردید گروه Administrators از این قضیه مستثنی هستند ، و قطعا کاربری که بخاد دامین و محدودیتهاش رو دور بزنه با یوزر ادمین لوکال لاگین میکنه ، پس راه مناسبی نیست
مورد دوم رو هم بر روی Enabled امتحان کردم و هم بر روی Disabled ، حتی Result هم گرفتم و از اعمال شدنش روی کلاینتها مطمئن شدم ولی باز هم کلاینتهام تونستند با لوکال لاگین کنند
مورد سوم هم مثل قبلی اعمال کردم و حتی در رجیستری هم از تغییر کلیدها مطمئن شدم ولی با جواب نداد .
اگر هم از دوستان کسی جواب گرفته لطفا اعلام کنه
3 کار میتونین انجام بدین:
1- از طریق GPO و شاخه زیر:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
اینجا تنظیمات Deny Logon Locally رو انجام بدین. اگر اینجا Everyone رو اضافه کنین، هیچ فردی دیگه نمی تونه Locally Login کنه، حتی Administrator (البته مایکروسافت اینطور میگه، شما گوش کن ولی باور نکن..چون وقتی Everyone رو اضافه می کنی، خودش میگه حداقل یه فرد یا گروهی نیاز به Logon Locally دارن) تجربه میگه بهتره گروه Users رو اضافه کنین.
2- با استفاده از Interactive logon: Require Domain Controller authentication to unlock در شاخه زیر:
<python>
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options<python>
که البته این تنظیم، جلوی Cached Logon رو می گیره.
3- Script زیر رو داخل فایل Text کپی کنین و سپس فورمت فایل رو به reg تغییر بدین. بعد این فایل رو به عنوان logoff policy تنظیم کنین.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "ShowLogonOptions"=dword:00000000 "DefaultUserName"="" "AltDefaultUserName"="" "AltDefaultDomainName"="" "CachePrimaryDomain"="" "DefaultDomainName"=""
این فایل رو در شاخه زیر قرار بدین:
User Configuration \ Windows Settings \ Scripts (Logon/Logoff) \ Logoff
لطفا نتایج رو گزارش کنین، مرسی
مرسی سعید جان از پاسخت :)
مورد دوم جلوی Cached Logon رو میگیره، توی توضیحش هم نوشته بودم :)
مورد سوم کاملا Practical هستش، روی بعضی سیستم ها کار کرده و روی بعضی سیستم ها کار نکرده.
مورد اول هم یه GPO به عنوان مکمل نیاز داره.
توی توضیحات مورد اول، گفتم که مایکروسافت خودش گفته که حد اقل یه کاربر یا گروه باید بتونن Local Logon داشته باشن. حتی زمانی که شما سعی میکنی گروه Everyone رو اضافه کنی، خودش میگه که حداقل یه گروه یا کاربر برای Local Logon نیاز هستش.
در مورد اینکه کاربرا با Local Administrator وارد کامپیوتر میشن، شما میتونی با Startup Script، عملا Password تمام Local Admin ها رو عوض کنی و حتی آنها رو rename کنی که قابل تشخیص برای کاربر نباشه. اینکه میتونی با Startup Script، حسای های کاربری Local Admin رو Disable کنی.
میتونی یه Script داشته باشی که هر هفته ، Password مربوط به Local Admin ها رو عوض کنه. یا اینکه اصلا میتونی local admin رو عضو گروه disabled users یا disabled groups روی کلاینت ها کنی.
همچنین میتونی یه Script داشته باشی که تمام Local User ها، به جز local admin رو با هر restart کردن client ها، حذف کنه. یعنی هر restart مساوی هست با وجود فقط local admin روی هر client.
از طرفی میتونی number of previously cached logons را 0 قرار بدی، که کلاینت ها هر دفعه مجبور بشن با domain controller ارتباط برقرار کنن. این کار رو میتونی از طریق زیر انجام بدی:
computer settings--> Security options ---> Interactive logon
مقدار Number of privious logons to cache رو به 0 تغییر بده.
به تعداد موارد gpo، راه هست برای رسیدن به هدف! ;)
سلام و خدا قوت
اگه بخوام چند تا کامپیوتر که با هم شبکه هستند، یکی اصلی (سرور) و بقیه کلاینت باشن.
تمام کلاینتها ( user) دارای یک فضا (فولدر) جداگانه در داخل کامپیوتر اصلی باشن . همگی userها به فضای هم دسترسی داشته باشن و بتونن مطالب همو بخونن ولی نتونن مطالب و فایلهای همو پاک کنن و فقط هر user قابلیت ویرایش مطالب در فولدر خودشو داشته باشه. و تمامیه این سیستم یک مدیر سیستم داشته باشه که تمامیه دسترسیها براش فعال باشه.
1- سیستم عامل چی باید باشه ؟
2- چه نرم افزارهایی باید روی سرور و کلاینتها نصب بشه؟
3- سطح دسترسی user چطوری تنظیم میشه؟
با تشکر
به نظرم برای اینکه disjoin و rejoin کنیم، میتونیم از ابزار هایی مثل Hiren's Boot CD یا Ultimate Boot CD یا ERD که الان دیگه مایکروسافت صاحبش شده، اضافه کنیم و کماکان جلوی Cached Credentials رو بگیریم.
این موضوع مرتبط با این بحث نمیباشد ، خواهشمندیم در قالب یک تاپیک جدید در تالار گفتمان آنرا مجددا مطرح نمایید. با تشکر
خیلی خوب و جامع بود جناب Jovial فقط یک نکته ای رو فراموش نکنید در خصوص Cached Credentials ، فرص کنید Trust بین دامین و کلاینت کامپیتور از بین میره که امر معمولی هست ، شما کاربر Local Admin رو که بستی ! هیچ Cache ای هم برای ورود به سیستم وجود نداره ؟ برای درست شدن مشکلت مجبوری سیستم رو یکبار Workgroup و یکبار مجددا عضو دامین کنی ! خوب چطور میخای وارد سیستم بشی دوست عزیز ؟ به نظر من و از نظر تجربی Cached Credentials رو حذف نکنید.