در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

جلوگیری از دسترسی Help desk به سرورها

سلام دوستان ، یه سوالی که برای ادمین شبکه پیش میاد اینه که به کاربر help desk چطوری دسترسی بدم که فقط به کلاینت ها دسترسی کامل داشته باشه. مدتها به این موضوع فکر کردم تا یه راه مطلوب پیدا کردم که با شما دوستان به اشتراک میزارم.

اول طرح مساله


1- من یه سری کامپیوتر تحت عنوان کلاینت دارم که کاربر های عادی ازشون استفاده می کنن.

2- یک سری کامپیوتر (فیزیکی یا مجازی) دارم تحت عنوان سرور که نمیخوام غیر از خودم کسی بهشون دسترسی داشته باشه.

3- میخوام کاربرهایی که به عنوان help desk توی سازمانم کار می کنن(همکارای خودم مثلا کاربر m.pourkheiei) به کلاینت ها دسترسی کامل به کلاینت ها جهت نصب نرم افزار - درایور و ... داشته باشن ولی تحت هیچ شرایطی دسترسی به سرور ها نداشته باشن.

راهکار اول ( آسونه ولی زیاد پسندم نیست )


توی این راهکار یه حساب کاربری برای نفر help desk توی اکتیو دایرکتوری ایجاد می کنیم. توجه کنید که توی دامین این کاربر یه کاربر کاملا عادی باشه و دسترسی خاصی هم نباید بهش بدیم حالا روی تک تک کلاینت ها باید اون کاربر رو عضو گروه administrator لوکال بکنیم.

جلوگیری از دسترسی Help desk به سرورها

راهکار دوم ( این بهتره )


برای این راهکار یه حساب کاربری برای نفر help desk توی اکتیو دایرکتوری ایجاد می کنیم. بعد به این کاربر دسترسی domain admin میدیم (با این کار کاربر مورد نظر به تمام شبکه دسترسی ادمین داره). حالا میخوایم کاری کنیم که به سرور ها نتونه متصل بشه. برای این کار توی اکتیو دایرکتوری یه OU می سازیم و تمام سرورهای جوین شده به دامین رو توی اون OU قرار میدیم.

حالا توی group policy یک GPO درست می کنیم و اونو به این صورت Edit می کنیم ، توی gpo وارد مسیر زیر میشیم :

Computer configuration \ Policies \ Windows settings \ Security settings \ Local policies \ User Rights Assignment

در این مسیر گزینه Deny log on locally میشیم و با زدن دکمه add user or group کاربری که نمیخوایم به سرور ها دسترسی داشته باشه رو مشخص می کنیم و در همون مسیر وارد گزینه Deny log on through remote desktop service میشیم و با زدن دکمه add user or group کاربری که نمیخوایم به سرور ها دسترسی داشته باشه رو مشخص می کنیم حالا اون gpo رو که ساختیم و edit کردیم رو به اون ou که سرور ها رو توش قرار دادیم لینک می کنیم.

جلوگیری از دسترسی Help desk به سرورها

نهایتا برای اعمال تغییرات و حصول اطمینان تک تک به تمام سرور ها لاگین می کنیم و کامند زیر رو اجرا می کنیم :

gpupdate /force

امیدوارم این مطلب بدرد دوستان بخوره

نویسنده : مهرداد پورخیری

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هر گونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#ایجاد_کاربر_Help_Desk #جلوگیری_از_دسترسی_help_desk_به_سرور #دادن_دسترسی_مدیریتی_به_help_desk #ایجاد_گروه_help_desk_در_شبکه #آموزش_ایجاد_گروه_help_desk #help_desk
1 نظر
میلاد

Restricted Groups هم برای اینکار خوبه

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....