مشکل دسترسی گروه Help Desk ها به پارتیشن های کاربران
سلام و خسته نباشید ، من با استفاده از فیلمی که از همین سایت خریدم یه گروه Help Desks راه اندازی کردم و با کمک آموزش یکی از دوستان همین سایت تنظیمات Remote رو روی پالیسی اعمال کردم.با اعمال این تنظیمات مشکل ریموت حل شد ولی نوعی از دسترسی نیز فعال شده که با قوانین سازمانی ما همخوانی ندارد.مشکل اینجاست زمانی که در تنظیمات ریموت گروه Help Desks رو اضافه میکنم اعضای گروه میتوانند به درایو های کاربران کلاینت با دستور $ دسترسی داشته باشند .
(\\IP\Drive$)
میشه راهنمایی کنید چطور دسترسی $ رو از گروه Help Desks بگیرم در صورت امکان با مسیر پالیسی
16 پاسخ
پسورد Local Administrator هست ، به نظرم این کاربر رو به کلی غیرفعال کنید ... که نیاز به پسورد منحصر به فرد برای هر سیستم نباشه.
سپاس از زمانی که گذاشتین
تست میکنم
خوب چون پسورد یکسان هست اگر کاربری یکی از پسوردها رو بدون و باهاش لاگین کنه طبیعی هست که به پارتیشن های دیگران دسترسی خواهد داشت... این یک قانون هست ، پسورد Local یکسان داشته باشید رسما با به دست اومدن یک رمز تمام شبکه شما در دسترس خواهد بود.
این گروه طبق آموزش فیلمی که گذاشتین دسترسی administrator دارن که بتونن روی سیستمها برنامه نصب کنن.
شاید اینطور بگم بهتر باشه
گروه هلپ دسک میخوام فقط بتونه نرم افزار نصب کنه همین .
دسترسی که تو فیلم آموزشی گفتین باید باشه یا کمتر از اون هم دسترسی باید داد.
تا قبل از دسترسی ریموت باید کاربران این گروه به صورت فیزیکی به سیستم مراجعه کنن و کار کنن .
البته من تو این فاصله دسترسی ریموت رو هم چک میکنم
اسکریپت زیر رو در Startup Scripts سیستم های کلاینت ها قرار بدید و Admin رو حذف کنید از اسکریپت :
REG ADD “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters” /f /v AutoShareWks /t REG_DWORD /d 0 REG ADD “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters” /f /v AutoShareServer /t REG_DWORD /d 0 REG ADD “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa” /f /v restrictanonymous /t REG_DWORD /d 1@echo. net share admin$ /delete net share C$ /delete net share D$ /delete net share E$ /delete net stop LanmanServer sc config LanmanServer start= disabled
یک نکته دیگه مهندس
تا زمانی که گروه Help Desk رو دسترسی remote ندم به $ دسترسی ندارن
این دسترسی زمانی فعال میشه که دسترسی remote رو به گروه میدم
شما می تونید اون یک نرم افزار رو در یک OU متفاوت قرار بدید که Policy بهش اعمال نشه.
مهندس من متوجه منظور شما تو این خط نشدم ؟؟؟
پسورد همه کاربران Local Administrator شما به احتمال زیاد یکسان هست
یکسان بودن پسورد چه تاثیری داره؟
منظور شما پسورد لوکال یوزر سیستمهاست ؟؟؟
خوب میگین نزدیک به 500 تا کلاینت رو هر کدوم یه پسورد بدیم؟؟؟
پسورد لوکال سیستمها از طریق اکتیو و پالیسی تنظیم شده.
کاربران هم خودشون با سیاستهایی پالیسی که اعمال شده پسورد برای خودشون مشخص میکنن.
این رو اضافه کنم کاربران این گروه بعد از قرار گرفتن در پالیسی ریموت این دسترسی رو دارا میشن و نیاز به پسورد لوکال ندارن
اگر مطلبی یا لینکی برای راهنمایی این مطلب دارین ممنون میشم بفرمایید .
حق با شماست
گفتم شاید راهی داشته باشه که ظاهرا ندارد
تشکر از زمانی که گذاشتین
اون نرم افزار آنتی ویروسه
اون آموزشی که من دیدم share رو روی کامپیوتر میبنده
وقتی روی کامپیوترها دلیت کنه خوب Admin$ رو هم پاک میکنه دیگه.
با پاک شدن اون ارتباط آنتی ویروس قطع میشه مگر اینکه یه کاربر جدا برای اون ایجاد کنیم؟ درسته؟
پس با پاسخ بالا که شما فرمودید نمیشه از طریق پالیسی درایوها رو غیر فعال کرد؟
کلا share بسته میشه.!!!!
سلام و خسته نباشید مجدد
مهندس اگر میشه مشکل رو یکبار دیگه مرور کنیم.
من یک گروه هلپ دسک طبق روشی که فرمودید ساختم
تا اینجا کاربران عضو این گروه دسترسی $ ندارن و ازشون مجوز میخواد
لوکال ادمین سیستم ها رو هم غیر فعال کردم
زمانی که دسترسی ریموت دسکتاپ رو به گروه هلپ دسک میدم دسترسی $ فعال میشه.
مسیر دسترسی ریموت رو در عکس زیر مشخص کردم (تنظیمات اصلی روی پالیسی دومین اعمال شده)
مسیر دسترسی رو درست ست میکنم؟؟؟؟؟
تاکید میکنم تا زمانی که ریموت رو فعال نکنم دسترسی $ فعال نمیشه.
اگر پاسخ شما همان پاسخ های قبلی است که هیچ در غیر این صورت ممنون میشم راهنمایی کنید
حق با شماست
مشکل اینجاست نیروها جدید هستند و بحث اعتماد سازیه.
با روش $ به پوشه ها و اطلاعات افراد دسترسی دارن.این کاربران شامل مدیریت یا حراست هم میشه که این موضوع رو حساس کرده.
برای بستن share ها یه راهنمایی توی همین سایت پیدا کردم ولی اون ظاهرا همه رو میبنده
من به یوزر Admin$ برای یکی از نرم افزار ها نیاز دارم و نباید غیر فعال بشه.
مسیری رو میتونین بگید که بتونم فقط درایوها رو غیر فعال کنم؟؟؟
میخوام فقط درایوها بسته بشه مثل
C$
D$
E$
F$
جناب بهمنی عزیز ، طبیعی هست که بتونن ببینن ، پسورد همه کاربران Local Administrator شما به احتمال زیاد یکسان هست و از طرفی گروه Help Desk طبق اموزشی که ما دادیم عضو گروه Local Administrators میشه !! یعنی دسترسی کامل به همه سیستم ها ! طبیعی هست دسترسی داشته باشه ! شما هر Help Desk ای ایجاد کنید و عضو این گروه باشه روی همه سیستم های شبکه مدیر سیستم هست و نمیشه کاریش کرد ... اگر این دسترسی رو ازشون بگیرید هیچ کار Help Desk ای نمی تونن انجام بدن اعم از نصب نرم افزار و ... مطمئن باشید Help Desk ها قبلا هم همین دسترسی رو داشتند دسترسی جدیدی نیست ...
مطمئن بشید که Remote Desktop Users یا گروهی که این کاربران رو عضوشون کردین عضو گروه دیگه ای با دسترسی مدیریتی نباشن ... شما احتمال مشکل Nested Groups دارید یعنی گروه هایی که در گروه دیگه عضو شدند ، این مورد رو بررسی کنید ، عضویت گروه های Domain Admins و Enterprise Admins و Administrators رو بررسی کنید که اینها عضوشون نباشند فقط اینها هستند که به Share های مدیریتی دسترسی دارند.
پس منطقیه دیگه ... من نمیدونم چرا نباید دسترسی داشته باشن !! اینها مدیر هستن ... مدیرها دسترسی دارن به همه سیستم های Local ... پیچیده نیست ... سازمانتون هم اگر پشتیبان شبکه یا HelpDesk میخاد باید متوجه باشه که اینها در نهایت دسترسی کامل دارند ، شما بهترین راهکارت اینه کلا این Share ها رو از طریق Group Policy غیرفعال کنی اینکار منطقی تر هست.