مهرداد پورخیری
Senior Network Engineer

آموزش 2 روش جلوگیری از دسترسی Help Desk ها به سرورها به زبان ساده

سلام دوستان ، یه سوالی که برای ادمین شبکه پیش میاد اینه که به کاربر help desk چطوری دسترسی بدم که فقط به کلاینت ها دسترسی کامل داشته باشه. مدتها به این موضوع فکر کردم تا یه راه مطلوب پیدا کردم که با شما دوستان به اشتراک میزارم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

اول طرح مساله

  1. من یه سری کامپیوتر تحت عنوان کلاینت دارم که کاربر های عادی ازشون استفاده می کنن.
  2. یک سری کامپیوتر (فیزیکی یا مجازی) دارم تحت عنوان سرور که نمیخوام غیر از خودم کسی بهشون دسترسی داشته باشه.
  3. میخوام کاربرهایی که به عنوان help desk توی سازمانم کار می کنن(همکارای خودم مثلا کاربر m.pourkheiei) به کلاینت ها دسترسی کامل به کلاینت ها جهت نصب نرم افزار - درایور و ... داشته باشن ولی تحت هیچ شرایطی دسترسی به سرور ها نداشته باشن.

راهکار اول ( آسونه ولی زیاد پسندم نیست )

توی این راهکار یه حساب کاربری برای نفر help desk توی اکتیو دایرکتوری ایجاد می کنیم. توجه کنید که توی دامین این کاربر یه کاربر کاملا عادی باشه و دسترسی خاصی هم نباید بهش بدیم حالا روی تک تک کلاینت ها باید اون کاربر رو عضو گروه administrator لوکال بکنیم.

وب سایت توسینسو

راهکار دوم ( این بهتره )

برای این راهکار یه حساب کاربری برای نفر help desk توی اکتیو دایرکتوری ایجاد می کنیم. بعد به این کاربر دسترسی domain admin میدیم (با این کار کاربر مورد نظر به تمام شبکه دسترسی ادمین داره). حالا میخوایم کاری کنیم که به سرور ها نتونه متصل بشه. برای این کار توی اکتیو دایرکتوری یه OU می سازیم و تمام سرورهای جوین شده به دامین رو توی اون OU قرار میدیم.حالا توی group policy یک GPO درست می کنیم و اونو به این صورت Edit می کنیم ، توی gpo وارد مسیر زیر میشیم :

Computer configuration \ Policies \ Windows settings \ Security settings \ Local policies \ User Rights Assignment

در این مسیر گزینه Deny log on locally میشیم و با زدن دکمه add user or group کاربری که نمیخوایم به سرور ها دسترسی داشته باشه رو مشخص می کنیم و در همون مسیر وارد گزینه Deny log on through remote desktop service میشیم و با زدن دکمه add user or group کاربری که نمیخوایم به سرور ها دسترسی داشته باشه رو مشخص می کنیم حالا اون gpo رو که ساختیم و edit کردیم رو به اون ou که سرور ها رو توش قرار دادیم لینک می کنیم.

وب سایت توسینسو

نهایتا برای اعمال تغییرات و حصول اطمینان تک تک به تمام سرور ها لاگین می کنیم و کامند زیر رو اجرا می کنیم :

gpupdate /force

امیدوارم این مطلب بدرد دوستان بخوره

نویسنده : مهرداد پورخیری

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هر گونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.


نظرات