آیا به محض Join به اکتیودایرکتوری پالیسی ها اعمال می شوند؟
سلام دوستان ، من یه DC ورژن 2008 نصب کردم.حالا یه کامپیوتر رو بهش join کردم. در حالت پیش فرض روی مثلا تغییر ساعت یا تغییر IP که میرم اینها رو دیگه اجازه نمیده بهم که عوضشون کنم که خوب طبیعی هستش این. میخواستم ببینم اینها بخاطر پالیسی پیش فرض مربوط به Group Policy Management هستش یا نه جایی غیر از اینجا داره بهش اعمال میشه! حالا اگه بیام این رو غیرفعالش کنم و این کامپیوتر رو هم جزء هیچ گروهی نکنم، باز هم این محدودیتها اعمال میشه یا اینکه نه داره از همین Default Domain Policy محدودیتهاش رو میگیره.مرسی
#منشا_محدودیتهای_dc_بر_روی_کلاینت #نحوه_تغییر_پیش_فرضهای_محدودیت_dc
7 پاسخ
نمیتونیم کاری کنیم که یه یوزر عادی به صورت پیش فرض این دسترسی ها را داشته باشه و فقط باید از گروپ پالیسی استفاده کرد.
اگر می خواهید یوزر بعد از ساخته شدن مستقیم یکسری پالیسی را بگیره باید یک ou بسازید و کامپیوتر یا یوزراکانت ها را قبل از جوین در ان بسازید تا بعد از جوین پالیسی های روی ou بهشون اعمال بشه.
ویا از دستور redircmp برای تغییر مسیر پیش فرض کانتینر کامپیوتر اکانت استفاده کنید.
ممنونم، میخواستم بدونم به همین ریشه دسترسی داریم یا نه ، بطور ذاتی در خود DC تعریف شده هستش که هر یوزری که join شد اینها رو بهش بده.
نمیدونم تونستم منظورم رو درست برسونم یا نه ! منظورم این هستش که پس با پالیسی پیش فرض این محدودیتهای اولیه بهش اعمال نمیشه ، مگه نه؟
اوکی درسته همونطور که summersun گفتن یک یوزر عادی دامین ذاتا این محدودیت ها رو داره مگر اینکه با گروپ پالیسی هایی محدودیت هاش رو تغییر بدین
بله پالیسی های Default Domain Plolicy به صورت پیش فرض به کل یوزرهای موجود در یک دامنه اعمال میشه. اگر زمانی احساس کردید یوزری رو جوین کردید ولی پالیسی های پیش فرض بهش اعمال نشده شاید ارتباط شبکه کند هست و زمان بیشتری برای آپدیت شدن پالیسی ها روی کلاینت نیاز هست و همینطور برای force کردن آپدیت های پالیسی ها رو یسیستم های کلاینت از دستور زیر در سمت کلاینت میتونین استفاده کنین:
gpupdate
به علت این هست که یوزر شما یک یوزر عادی دامین هست و ریشه ای این محدودیت را داره.و شما میتونی یکسری دسترسی ها را به یوزر با پالیسی بدی.
ممنونم ، پس هدف من فهمیدن همین موضوع بود که آیا حتما پالیسی پیش فرض دخیل هستش یا نه که طبق توضیحات شما متوجه شدم کار این پالیسی نیست و بطور ذاتی یه سری محدودیتها بهش اعمال میشه حتی اگه اون پالیسی رو هم براش غیر فعال کنیم.
ولی جالب میشد اگه می فهمیدیم این خصوصیتهای ذاتی رو هم در کجای خودش پنهان کرده که بتونیم ببینیم چه قسمتهایی رو تغییر داده و محدود میکنه ! .
بازم متشکرم.
ممنونم ازتون. ولی ببین Prober عزیز
من چالشم بر سر این بود که مثلا میام و کامپیوتر شما رو به دامنه خودم متصل میکنم. اون Default Domain Plolicy رو هم برای همه غیرفعال کردم. حالا میخوام شما مثلا بتونی IP شبکه ت رو خودت عوض کنی و زمان یا همون ساعت کامپیوتر رو هم خودت تغییر بدی.
حالا در این حالت که اون Default Domain Plolicy غیرفعال هستش ولی بازم شما به این دو مورد دسترسی نداری.
حالا باید همون راهکار آقا summersun رو بکار ببریم؟؟!!
اصلا اینطوری فرض کنیم ؛ من میخوام یه کلاینت رو join به دامنه کنم در حالیکه اون Default Domain Plolicy غیر فعال هستش و میخوام درمرحله اول این کلاینت هیچ محدودیتی نداشته باشه و محدودیتها به مرور براش اعمال بشه! یعنی طرف فکر کنه انگار اتفاقی نیفتاده و مثل لوکال و قبلا به همه جاهای کامپیوتر دسترسی داره ولی مرحله به مرحله دسترسی هاش کمتر بشه.