اختصاص دسترسی Administrators به کامپیوترهای خود
در یک واحد 100 کامپیوتر و 100 کاربر وجود دارد .
80 کاربر بصورت عادی به کامپیوتر های خود دسترسی دارند . عضوهای گروه Administrators این کامپیوترها بوسیله Restricted Groups محدوده شده است و در صورتی که تغییری در این گروه داده شود این تغییرات در اولین اعمال GPO به حالت قبل برمیگردد .
در این واحد نیاز است که 20 کامپیوتر بر روی کامپیوترهای خود دسترسی Administrators داشته باشند .
چگونه می توان به این کاربران دامین برروی کامپیوترهای خود دسترسی Admin داد ؟
8 پاسخ
در این روش کاربر می تواند به یک کامپیوتر لاگین کند و این چیزی نیست که ما می خواهیم . در واقع هدف ما این است که کاربر از هر نقطه بتواند وارد دامین شود منتها آن کاربر بر روی یک کامپیوتر خاص نقش Local administrator آن را دارد .
در کنسول اکتیودایرکتوری کاربر مورد نظر خود را پیدا کرده و از آن Properties بگیرید به تب Account رفته و Log on to را انتخاب کنید ، در پنجره باز شده نام کامپیوتر مورد نظر را بنویسید.
بدینصورت کاربر مد نظر شما تنها به آن کامپیوتر میتواند لاگین کند.
ممنون دوست عزیز Saeed.Shams
ولی امکانش هست تو کنسول اکتیو دایرکتوری به من بگید که در کدوم قسمت میشه نام کامپیوتر رو برای کاربر وارد کرد.
شما از طریق Restricted Groups در GP گروه Administrators رو اضافه کرده و به جای گروه براحتی میتونید کاربراتون رو به اون اضافه کنید
فقط همونطور که در مقاله آقای نصیری اشاره شد گروههای Enterprise Admins و Domain Admins رو هم اضافه کنید و اون GPO رو به 20 کامپیوترتون Assign کنید همچنین میتونید در کنسول اکتیودایرکتوری برای کاربرانتون تعیین کنید که تنها بتونند به کامپیوتر خودشون که نامش رو میدید لاگین کنند به همین صورت 20 کاربر شما تنها به کامپیوترخودشون که این GP بهش اعمال شده میتونند لاگین کنند.
به مقاله و تاپیک های زیر مراجعه کنید :
2 حالت وجود داره :
- حالت اول اینکه یک پالیسی درست کرده و در قسمت Restricted Groups تعداد 20 کاربرتون رو در گروه Administrators وارد کنید و دیگر نیازی به تغییرات در تنظیمات اکتیودایرکتوری نیست و آن GPO را به تمامی 20 کامپیوتری که مربوط به 20 کاربر هستند اعمال کنید ولی این روش بدی دارد آن هم اینکه هر کدام از 20 کاربر شما میتوانند به کامپیوتر یکدیگر با دسترسی مدیریتی لاگین کنند
- حالت دوم این است که به تعداد 20 کاربر 20 عدد GPO درست کرده و در قسمت Restricted Groups هر کدام از GPOها نام کاربر مربوطه را وارد کرده و آن GPO را تنها به کامپیوتر خود آن کاربر اعمال کنید . گرچه این روش دیگر مشکل روش قبلی را ندارد ولی باعث میشود که به تعداد کاربرانی که میخواهید Local Admin باشند باید GPO بسازید که خود باعث شلوغی در ساختار کنسول گروپ پالیسی شما میشود
غیر از این دو روش پیشنهاد دیگری ندارم
سوال کامل من این هست:
در واحد ما ۱۰۰ کامپیوتر وجود دارد. بوسیله Restricted Groups عضوهای ۸۰ کامپیوتر از این ۱۰۰ کامپیوتر کاملا در اختیار ما قرار دارد. تمام کاربران ۸۰ کامپیوتر مجوز user بر روی سیستم خود دارند. اگر کسی به گروه Administrators این کامپیوترها اضافه شود یا حذف شود با اولین restart به حالت قبلی برخواهد گشت.
برای ۲۰ کامپیوتر بعدی مجبوریم که به کاربران آن مجوز Local Admin بدهیم. در ضمن تنظیمها باید بصورتی باشد که اگر بعضی از گروهها که ما مشخص کردهایم در ساختار Admin باشند از گروه Local Administrators این کامپیوترها پاک شوند بصورت اتوماتیک در اولین restart به گروه Administrators اضافه شوند. این تنظیمها باید کمترین ریسک امنیتی را برای ما داشته باشد و نیازهای ما را نیز در نظر بگیرد.
ممنون از راهنمایی شما
ولی من می خواهم یک کاربر فقط Local admin کامپیوتر شخصی خود شود در مقاله اول به یگ گروه اشاره شد .
در این واحد درواقع 20 کاربر اصلی هر کدام به سیستم های خود فقط باید دسترسی داشته باشند .