ایجاد کردن گروه تکنسین های شبکه در شبکه دومین
سلام دوستان ، در شبکه های دامین اکر بخواهیم عده ای تکنسین بر روی کلاینت ها اختیار تمام داشته باشن ولی بر روی سرور هیچ اختیاری نداشته باشن بهترین راه حل کدام هست؟
8 پاسخ
سلام
بهترین راه حل این که شما گروهی بسازید، سپس از طریق Group Policy، اون گروه خاص رو عضو گروه Administrators لکال کنید.
حالا هر کاربری عضو اون گروه باشه بر روی هر سیستمی که Logon کنه دسترسی کامل داره، البته به غیر از سرور ها(اگر منظور شما از سرور، Domain Controller باشد)
در user Profile های Local
Newt User کنید و کاربر تحت domain رو به صورت local Admin تعریف کنید
اگه منظورتون از گروه administrator همون domain addmin باشه این کارو کردم ولیبازم نتونستم نصبت به سرور محدودشون کنم
سلام و عرض ادب ، من دقیقا چنین موضوعی رو در ویدیوی زیر براتون درست کردم :
سلام
کاربر به سرور DC چطور دسترسی داره؟ به صورت فیزیکی (اگر سرور مجازی نباشه، موس و کیبرد و مانیتور میزنه وصل میشه)، یا از طریق Remote Desktop.
حالا کاربری که ایجاد می کنید پیش فرض عضو گروه Domain Users هستش که نه سطح دسترسی کامل بر روی کلاینت داره نه سرور (فقط یک مصرف کنندست!) به طوری که امکان ریموت زدن به سرور رو هم نداره. وقتی اون کاربر مثلا a1 عضو گروه Domain Admins میشه روی تمامی کلاینت ها سطح دسترسی کامل داره از جمله سرور(های) DC.
اما یک گروه ایجاد می کنیم مثلا به اسم Help Desk، بعد پالیسی تعریف می کنیم که این گروه عضو گروه Administrators کلاینت ها بشه. اگر شما بر روی کلاینت به Local Users and Groups برید در قسمت Groups، گروهی با نام Administrators وجود دارد. از طریق پالیسی تعریف کردیم که گروه Help Desk عضو این گروه بشه بر روی تمامی سیستم ها. حالا کاربرای عضو این گروه دسترسی کامل بر روی سیستم ها دارد و دسترسی به سرور (DC) ندارد.
حالا چرا تاکیدم بر روی DC هستش و در پست قبلی گفتم البته به غیر از سرور ها(اگر منظور شما از سرور، Domain Controller باشد)
علاوه بر DC شما ویندوز سرور هایی دارین که عضو دامین هستند(Member Server) و سرویسی بر روی آنها هستش مثل DHCP.
در Member Server ها هنوز SAM یا همون Local Users and Computers وجود دارد و اگر شما پالیسی را به OU ای لینک کنید که این Member Server داخلش باشد، کاربران عضو گروه Help Desk بر روی اون سرور دسترسی کامل خواهند داشت اما در مورد DC.
وقتی ویندوز سروری، DC می شود Local Users and Computers حذف شده و جای خودش رو به Directory Database یا همون Active Directory می دهد، حالا اون GPO به DC ها هم اعمال بشه اعضای گروه Help Desk هیچ دسترسی به سرور ندارند مگر اینکه بعضی هاشون عضو گروه Domain Admins یا گروه های رده بالاتر باشند.
منظور من ازروی اکتیو بود نه لوکالی
سلام
شما باید user های مورد نظر رو عضو گروه local administrator کنید
کاری که ما میکردیم این بود که پسورد ادمین لوکال هارو میدادیم به بچه های helpdesk
ادمین لوکال ها رو هم با یه گروپ پالیسی یه جور کن.
