در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

عضو کردن کاربران دامین به گروه local Administrators بصورت مرکزی

شاید برای شما هم پیش آمده باشد که به عنوان یک مدیر شبکه در جایی مشغول به کار هستید و چندین نفر نیز به عنوان دستیار شبکه یا همان Help Desk در کنار شما مشغول به کار هستند. این افراد می بایست به کامپیوترهای موجود در شبکه دسترسی مدیریتی داشته باشند اما نباید بتوانند بر روی سرورها هیچگونه تغییراتی اعمال کنند . معمولا مدیران شبکه این افراد را در گروه Domain Admins قرار می دهند تا بتوانند براحتی کارهای خود را انجام دهند اما توجه داشته باشیم که با قرار دادن این افراد در گروه Domain Admins در حقیقت این امکان را به آنها داده ایم که هرگونه تغییری را در شبکه ما ایجاد کنند. و این خود می تواند یکی از مهمترین مشکلات امنیتی در سازمان شما باشد .

اما راهکار چیست ؟ شما می بایست این افراد را در گروه Local Administrators ‌یا کاربران مدیر محلی قرار دهید ، به این شکل که شخص بر روی هر کامپیوتری که به شبکه عضو شده است دسترسی مدیریتی دارد و این در حالی است که بر روی سرور هیچگونه دسترسی نخواهد داشت . برای اینکار می توانید پشت تک تک سیستم های شبکه خود نشسته و این کاربران را عضو گروه کاربری Local Administrators کنید . اما آیا این حرکت منطقی است ؟ به هیچ عنوان !! در شبکه های متوسط و بزرگ اینکار عملا غیر ممکن است و می بایست از راهکار های متمرکز استفاده کرد. شما برای اینکه بتوانید به شکل اصولی اینکار را انجام دهید می بایست یک گروه به نام Helpdesk ‌در ساختار Active Directory خود ایجاد کنید که از نوع Global خواهد بود و بعد آنرا عضو گروه Local Administrators کنید. برای انجام اینکار سه روش وجود دارد که به ترتیب به بررسی و آموزش آنها خواهیم پرداخت :

  1. روش اول : استفاده از اسکریپت : شما می توانید براحتی با استفاده از یک اسکریپت که در هنگام login ‌یا Start-up ‌سیستم و با استفاده از دستور زیر در قالب یک فایل bat و استفاده از طریق GPO ‌آنرا اعمال کنید :
net Localgroup Administrators “Domain\Deferred Processor” /add
  1. روش دوم : استفاده از قابلیت Restricted Group در Group Policy : یک قابلیت در Group Policy ‌به نام Restricted Group وجود دارد که به وسیله آن می توان بصورت مرکزی Domain Global Group ‌را به عضویت Local Administrators در آورد. کاری که Restricted Group ‌ انجام می دهند دقیقا همانی نیست که نامش آنرا معرفی می کند ، حتی مایکروسافت هم در این مقاله نوانسته کاربرد درست این قابلیت رو شرح بدهد . در اینجا کاربرد عملی این قابلیت را به شما نشان می دهم ، شما می توانید از طریق مسیر زیر به قسمت Restricted Group ‌دسترسی پیدا کنید :
Configuration/Windows Settings/Security Settings/Restricted Groups
  • بعد از اینکه وارد این مسیر شدید بر روی اون راست کلیک کنید و گزینه Add Group ‌رو انتخاب کنید .
  • در این قسمت نام گروه local که می خاهید گروهتان را در آن عضو شود را وارد کنید ، مثلا Administrators .
  • توجه داشته باشید که به هیچ عنوان از Browse ‌ استفاده نکنید و صرفا نام آن گروه Local‌ را دستی تایپ کنید.
  • در ادامه گروه های دیگری را که می خواهید به عنوان Local Administrators ‌در شبکه فعالیت کنند را نیز در این لیست وارد کنید.
  • نکته : بصورت پیشفرض در Active Directory ‌گروه های کاربری Domain Admins و Enterprise Admins به عضویت گروه Local Administrators‌در آمده اند اما توجه داشته باشید که به محض اینکه شما Policy بالا را اعمال کنید تمامی گروه ها و کاربرانی که در این گروه قرار گرفته اند به عنوان Local Administrator ‌شناخته شده و سایرین از گروه حذف می شوند . پس همیشه گروه های َDomain Admins و Enterprise Administrators‌را به Restricted Group ‌اضافه کنید .

نویسنده : محمد نصیری

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#ایجاد_کاربر_Help_Desk #عضویت_در_Local_Administrators #عضویت_در_گروه_administrators #restricted_groups_چیست؟ #اضافه_کردن_کاربر_domain_به_local_group #کاربران_Domain #استفاده_از_Restriced_Group
10 نظر
سعید صغیر شمس آبادی

سلام ، من بعد از مدتها تلاش هنوز نتونستم روش دوم رو انجام بدم ، مراحلی که تا به حال انجام دادم این بوده ، در ویندوز 2003 در اکتیو دایرکتوری به دامین مربوطه رفته و در تنظیمات policy اون وارد مسیر Restricted Groups شده و راست کلیک کرده و Add Group رو میزنم به جای اینکه Browse رو بزنم تایپ میکنم Administrators (درسته؟) و OK میکنم در پنجره بعدی در قسمت members of group یوزر مورد نظر یا گروه از نوع Domain Global Group رو بهش معرفی میکنم ، یرای اعمال تعییرات gpupdate /force رو میزنم ولی جواب نداده !! حتی برای معرفی گروه در Restricted Groups بجای Administrators نوشتم Local Administrators ولی ...... نمیدونم چرا اینقدر به چنین مشکلات عجیب برمیخورم !!!

سعید خلیفی

سعید جان، یک Restricted Group به اسم Administrators ایجاد کن. این گروه عملا جایگزین Local Administrators روی کلاینت ها میشه.

حالا برای اضافه کردن اعضا، گزینه Add رو بزن و کلمه Administrator رو تایپ کن...با این کار عملا Local Administrator روی کلاینت ها عضور گروه Administrators میشه.حالا User و Group های مورد نظرت رو به این Administrators که ایجاد کردی، اضافه کن. مثلا یه گروه به اسم Managers درست کن (برای مدیرانی که میخوای Local Admin باشن)، یه گروه به اسم Help Desk ایجاد کن (برای بچه های پشتیبانی شبکه و سخت افزار) و ...

سعید صغیر شمس آبادی

ممنون مهندس ... اون موقع که به این مشکل برخورده بودم با کنسول گروپ پالیسی و نحوه اعمال پالیسیها آشنا نبودم . مشکل من در نحوه اعمال پالیسیها بود .

mehdi

با تشکر از دوستان

امیر ارسلان

یک سوال، وقتی از restricted group استفاده میکنیم و یک کاربر رو با این روش دسترسی ادمین بهش میدیم، اون کاربر روی تمام کامپیوترهای عضو دامین همچین دسترسی خواهد داشت؟یا اینکه به scope اون پالیسی بستگی داره؟

سعید صغیر شمس آبادی

بستگی داره به اینکه این پالیسی به چه کامپیوترهایی اعمال بشه. با اعمال پالیسی فوق ، کاربر تنها بر روی کامپیوترهایی که این پالیسی بهشون اعمال شده دسترسی مدیریتی داره.

مهدی سجودی

سلام و خسته نباشید ، من این restricted group رو روی ou مورد نظر اضافه کردم و حالت ارث بری رو که از default domain policy پالیسی نگیره رو فعال کردم بعد کار نمیکنه ولی به وقتی که روی default domain policy ست میکنم کار میکنه راهنمایی می فرمائید.

محمد نصیری

دوست عزیز سئوالتون رو لطفا از قسمت سئوال بپرسید مطرح کنید با تشکر

Mehrad

روش سوم؟؟؟

محمد نصیری

روش سوم استفاده از Group Policy Preferences هست که در قسمت مطالب مرتبط وجود داره.

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....