مشکل در راه اندازی Delegation در اکتیودایرکتوری
سلام ، من دو تا اکتیو دایرکتوری دارم در دوش به شرکت که با هم تراست هم هستند. میخوام در هر شعبه برای مدیریت OU یک یوزر بسازم با دسترسی های محدود . اینکا رو با Delegate انجام دادم ولی وقتی اون کاربر Remote وصل میشه همه AD من و حتی اون شعبه رو هم میبینه. برای حل این مشکل چه کار کنم؟
5 پاسخ
کاربری که delegate شده باید عضو چه گروهی باشه؟
کاربر راعضو گره Administrator اکتیو خودش کردم. مشکل اینجاaت که چون در Delegate گفتم بتونه کاربرها رو عضو گروه کنه خودش رو میتونه عضو گروه Admin بکنه...
دیگر دامین ها رو ببینه یا اصلا میتونه به Operation master دسترسی داشته باشه...
اگر هم مجوز read رو ازش بگیرم که گروه Built-in رو نبینه کلا هیچ کار نمیتونه بکنه...
ممنون از راهنماییتون.
راه حل اول جواب داد ولی راه حل دوم مشکلش اینه که اون MMC دست هر کسی بیفته میتونه AD رو مدیریت کنه... نمیشه محدود کرد که فقط شخص خاصی بتونه با اون MMC کارکنه؟
و اینکه چرا در روش اول کاربر به Ou ایی که دسترسی داره همه کار میتونه در حالیکه Delegate کردم مثلا فقط بتونه USER ایجاد کنه...
در دامین تمام کاربران، در واقع Authenticated Users بر روی کل دامین دسترسی Read-only دارند، اگر کاربری که شما به ان Delegatoin اعمال نکرده باشید به وسیله RSAT به AD UC وصل شود فقط می تواند کنسول و تمامی Object ها را ببیند.
بر روی کاربر Properties بگیرید و به تب Member of برید، کاربر مورد نظر عضو چه گروهی هستش، یا این که Delegation را به درستی اعمال نکردید.
سلام
به کاربری که Delegation اعمال کردید نباید امکان ریموت به سرور Domain Controller را بدهید باید این امکان را برای آن کاربر یا کاربران خاص از طریق RSAT فراهم کنید. در مورد سوالتون، شما دو راه دارید:
1. داخل کنسول AD UC در قسمت View گزینه Advanced Features را انتخاب کنید، بعد بر روی هر OU یا Container ای که نمی خواهید کاربر آن را ببیند در پنجره Properties به تب Security برید و کاربر یا گروه کاربران مورد نظر را اضافه کنید و دسترسی Read را برای آن Deny انتخاب کنید.
2. اگر فقط بر روی یک OU به کاربر یا گروه کاربران Delegation اعمال کردید با کاربر خود به سرور DC ورود کنید، کنسول AD UC را از طریق MMC باز کنید،
داخل Run تایپ کنید mmc، در پنجره ای که باز می شود
Files> Add/Remove snap-in
Active Directory Users and Computers را انتخاب کنید و بر روی Add کلیک کنید و در آخر بر روی OK، تا کنسول AD UC باز شود بر روی OU ای که بر روی آن به کاربران Delegation دادید کلیک راست و بر روی New Window from Here کلیک کنید تا OU مورد نظر بر روی پنجره مجزا باز شود حالا این Snap-in (پنجره جدید باز شده) را با پسوند (msc.) ذخیره کنید. این فایل را در اختیار کاربران مورد نظرتون قرار بدید، کاربر با اجرای این فایل فقط و فقط محتویات ان OU خاص را می بیند.