محدود کردن یوزر در دامین
سلام ی یوزر دامین رو تنظیم کردم که بتونه به سرور ریموت بزنه میخوام بتونه از اکتیو دایرکتوری استفاده کنه و پسورد یوزرهایی غیر از گروه ادمین رو بتونه عوض کنه و یوزری رو ایجاد کنه و ...اما وقتی ریموت میزنه برای باز کردن اکتیو دایرکتوری یوزر پسورد ادمین میخواد چطور میتونم درستش کنم؟البته فکر کنم بقیه موارد با دلیگیت درست میشن .
12 پاسخ
ممنون
در قسمت گفته شده یوزر رو اضافه کردم اما باز هم بعد از ریموت توسط یوزر اکتیودایرکتوری برای باز شدن نیاز به یوزر وپسورد ادمین داره.لازمه قبلش پالیسی یا سرویسی رو فعال کنم؟
بله میشه
کاربر محدود درست میکنید و با استفاده از restricted group اون رو بر روی کلاینتها Local admin میکنید.
سلام
برای اینکه مشکل خواستن پسورد ادمین در زمانی که کاربر ریموت میزنه رفع بشه به کنسول Group Policy Management رفته و Default Domain Controllers Policy رو ویرایش کرده و به مسیر زیر برید :
Computer Configuration > Polices > Windows Settings > Security Settings > Local Policy > Use Right Assignment
در Allow log on Locally نام یوزر مورد نظر رو اضافه کنید .
برای دسترسی دادن به کاربر هم میتونید دلگیت کنید . کافیه مجوزهای (Create, delete, and manage user accounts) و (Reset user passwords and force password change at next time) رو بهش بدید بدلیل اینکه کاربر شما محدود هست و عضو گروه administrators نیست پس نمیتونه پسورد یوزرهای مدیر رو تغییر بده و فقط میتونه پسورد یوزرهای عادی رو تغییر بده .
خب کاربری که قرار باشه هر کاری که ادمین انجام بده اون هم انجام بده که دیگه نمیشه کاربر محدود !!! اگر بخواهی این کار رو انجام بدی بهتره که تنها روی سیستم خودش ادمینش کنی. اما پالیسی که به کاربر این مجوز رو بده که مثلا بتونه نرم افزار نصب کنه اصلا وجود نداره .
خیر با توجه به اینکه ریموت زده میشه فکر نمیکنم پالیسی یا سرویسی رو لازم باشه فعال کنید ( جز Allow log on Locally که گفته بودم )
پالیسی رو به Default Domain Controllers Policy اعمال کنید و با اجرای gpupdate /force مطمئن بشید که به سرورتون اعمال شده.
زمانی که ازتون یوزر پسورد ادمین رو میخاد ، اگر همون یوزر پسورد کاربر محدودی که باهاش ریموت زدید رو وارد کنید خطا میده؟
ممنون از کمکتون
سرور پالیسی ها رو دیر آپدیت می کرد ممنون درست شد.
ی سوال دیگه میخوام همین یوزر بتونه هر کاری رو که ادمین میتونه روی سیستم کلاینت انجام بده (نصب نرم افزار ، تغییر ای پی ،جوین به دومین و...) رو انجام بده برای جوین کردن که از دلیگیت میشه اقدام کرد برای بقیه موارد هم میشه؟ کدوم قسمت ها رو باید فعال کرد؟
میخوام کاربر روی سرور محدود باشه و روی سیستم های کلاینت محدودیت نداشته باشه.میشه اینکار رو با restricted group انجام داد؟
تا جایی که من اطلاع دارم مجوز نصب رول قابل Delegate کردن نیست اما برای بخش های دیگه مثل DNS یا Group Policy شما میتونید به کاربر Delegate ندید یا اگر بهش دادید ازش بگیرید . بعدش در کنسول dns بر روی DNS Server راست کلیک کنید و properties بگیرید و در تب security دسترسی لازم رو به کاربر بدید همچنین در GPMC.msc هم روی هر GPO که کلیک کنید میتونید در سمت راست در تب Delegate دسترسی مورد نظر رو برای کاربر مورد نظر اضافه کنید.
اگر در حذف Delegate در اکتیو دایرکتوری مشکل دارید کافیه در کنسول اکتیودایرکتوری گزینه Advanced Features رو از منوی View فعال کنید و سپس روی OU یا کانتینر یا .... راست کلیک کنید و Properties بگیرید و در تب Security دسترسی که به کاربر در OU یا کانتینر مورد نظر دادید رو Remove کنید .
نکته : سعی کنید زمانی که به تب Security یا Delegate دسترسی پیدا کردید دسترسی Read کاربران رو Deny نکنید چون ممکنه به مشکل برخورد کنید .
اگر بخواهیم یوزر روی سرور اکتیودارکتوریش غیرفعال باشه و بخش دیگه ای مثل DNS و نصب رول و ... رو انجام بده باید از کجا اقدام کرد؟
ممنون از پاسختون اما زمانی که میخوام یوزر رو داخل مسیری که گفته شده اضافه کنم ایکنش غیر فعاله.لازمه قبل از این سرویسی رو برای اون فعال کنم؟
متشکر
درست شد.