تغیر سطح دسترسی فولدر های AD
سلام و دردو خدمت اساتید گرامی....
دوتا سوال داشتم :
میخاستم بدونم اگه سطح دسترسی share و security permission دو فولدر netlogon و sysvol اکتیودایرکتوری رو تغیراتی جدید بهش اضافه کنیم آیا مشکلی پیش میاره؟
یعنی علاوه بر تنظیمات share و Security permission ایکه این دوتا فولدر دارن خودمون برای یه سری گروه ها و یا یوزر های دیگه تنظیمات share و security permission بهش اضافه کنیم که کاربران دیگه نتونن به این دوتا فولدر دسترسی داشته باشن ، مشکلی رو بوجود میاره؟
2-اگه اسم domain رو rename کنم مشکلی برای سرویس های دیگه مثل dhcp server ها و یا فایل سرور و یا حتی Additional Domain بوجود میاره؟
6 پاسخ
با سلام و خدا قوت خدمت شما عزیزان
دسترسی پیش فرض این پوشه ها چیست؟مثلا EVERYONE-domain user یا....
متاسفانه تغییراتی توسط یک نرم افزار در دسترسی این پوشه ها اتفاق افتادهو در تلاشی که انجام دادم آپدیت کردن پالیسی ها در کلاینت ها gpupdate force مشکل رفع شد ولی سیستم سرور جدیدا خیلی دیر لود میشود و همچنین نسبت به حذف و اضافه OBJECT ها در گروپ پالیسی پیغام عدم دسترسی می دهد همچنین gpupdate force پیغام عدم اپدیت کردن می دهد
راه حل چیست؟
متشکرم
عزیز من اصلا مهم نیست این موضوع چون کاربران شما فقط دسترسی خواندن به این پوشه ها دارند و نه چیز دیگه ای که خطر رو دور می کنه ، کاربران شما دارن Policy ها و تنظیمات رو از روی این Share ها میخونن و از طرفی Replication بین DC های شما هم از طریق همین Shareها انجام میشه ، در خصوص Rename کردن Domain هم می تونید با استفاده از ابزار Rendom اینکارو بکنید که اصلا پیشنهاد نمیشه ، اگر فقط قرار هست ظاهر امر اسم دومین عوض بشه از UPN استفاده کنید راحت تر عوض میشه ...
هدف رو که گفتم جلوگیری از سطح دسترسی کاربرانه.
یه شرکت کوچیکه با 17 تا کلاینت.که تحت دومین( server 2008 R2 ) هست. کامپیوتر سرور هم یه کامپیوتر معمولیه.
از اونجاییکه دیدم کاربران با session زدن به شیر شبکه راحت به فولدر های netlogon و sysvol دسترسی دارن و هر آن احتمال دستکاری یا ویروسی شدن این دو فولدر هست خاستم بدونم اضافه کردن تغیرات تو این دو فولدر کار درستی هست یا نه.
عوض کردن اسم دومین هم بنا به درخاست مکرر مدیر شرکته.
همونطور که گفتم شبکه دومینه به اضافه سرویس های additional domain و DHCP و File Server و IIS....
این دو فولدر هم مثل هر فولدره ده ای میشه تغییراتی چه در share ,securitypermission هاش داد
ولی تنها نکته بسیار مهم عدم تغییر در محتویات اونهاس
چون به عنوان مثلا تمام startup script ها اینجاس
ولی دوستانه بگم به شرش نمیارزه
به هیچ عنوان هیچگونه تغییری در پوشه های Netlogon و SYSVOL در خصوص Permission ها توصیه نمیشه ، با توجه به اینکه تمامی Policy ها و اسکریپت ها و GPO ها روی این دو Folder هستند هرگونه تغییری ممکنه باعث بروز مشکلات امنیتی میشه ، هدفتون از اعمال تغییرات روی این پوشه ها چی هست ؟ دلیل شما برای Rename کردن Domain چی هست ؟ اینها رو ذکر کنید تا روش بررسی بشه شاید راهکار بهتری ارائه بشه این دو مورد واقعا از راهکارهایی هست که مایکروسافت میگه با ریسک خودتون انجام بدید و من هیچ تضمینی در خصوص اینکار به شما نمیدم.
با عرض احترام،
دوستمون اشاره کردند که کاربران به shareهایی از روی سرور نیاز دارند، خب با map کردن shareها روی سیستم کلاینت ها و بستن unc path و یه سری پالیس های امنیتی مرسوم مورد حل میشه..