Group policy
با سلام واحترام خدمت همگی عزیزان
بنده میخوام روی سرور یک برنامه ای را نصب کنم این برنامه در همه کلاینت ها نصب می شودحالا چه پالیسی باید بنویسم که غیر از domain admin بقیه نتوانند این سرویس رو start یا stop کنند؟مثلا ادمین لوکال اگر به قسمت services.msc سیستم خودش برود می تواند این سرویس را متوقف کند چه پالیسی باید بنویسم که نتواند این کار را انجام دهد؟ممنونم
4 پاسخ
مگر از طریق برنامه های 3rd Party که فعلا اسمشونو نمیدونم بتونین این کارو انجام بدین، که باز اونم نیازمند سرچ و جستجو هست!
ادمین لوکال همیشه دارای بالاترین دسترسی روی سیستم هست، تا اونجا که دسترسیاش حتی از ادمین دومین هم روی کامپیوتر بالاتره. پس یه جورایی میشه گفت شما هر محدودیتی هم با پالیسای دومین ست کنین شامل این یوزر نخواهد شد، مگر اینکه از طریق گروپ پالیسی های لوکال محدودیت ایجاد کنین، که باز اونم چون ادمین لوکال هست میتونه برش داره یا غیرفعالش کنه.
همه سیستم های من عضو دامین هستند....یعنی راهی ندارد؟
شما می بایست دسترسی Local Admin را تا حد ممکن به کاربران اعطا نکنید. به این خاطر که Local Admin می تواند هرگونه تغییری بدون اجازه شما ایجاد نماید. اصولا با اعطای این دسترسی به کاربران اصول امنیت را زیرپا گذاشتید و حتی دیگر نمی توانید حتی به نصب بودن یک آنتی ویروس ساده بر روی سیستم ها اطمینان داشته باشید.
نکته: اگر نرم افزار خاصی جهت اجرا به دسترسی بالاتر از Domain User نیاز داشته باشد می توانید برای آن راهکاری بغیر از Local Admin بیابید.