آموزش: استفاده از Restricted Groups در Domain Controller

[Deibedyn]

سلام


از اونجا كه تا اونجا كه من ديدم، مطلب فارسي در اين زمينه وجود نداشت، اين روش رو به فارسي نوشتم.. همچنين اطمينان ميدم كه خودم تست كردم و جواب گرفتم و بعدش مرحله به مرحله، با توضيح نسبتا زياد براي استفاده بقيه عزيزان نوشتم. بديهيه كه ممكنه روشهاي ديگه اي (و حتر بهترهم) وجود داشته باشه.. اما من اين روش رو امتحان كردم و البته به اشتراك گذاشتم

فرض كنيد شما مدير يك شبكه ويندوزي هستيد. كلاينتهاي شما عضو Domain هستند كه شما در اين Domain دسترسي Domain Admins داريد. از طرفي يك تيم پشتيباني سخت افزاري هم هست كه كارهاي تعميرات كلاينتها رو انجام ميده. شما قصد داريد اين تيم پشتيباني بر روي كلاينتها دسترسي مدير (Administrator) داشته باشند اما مدير شبكه (Domain Admins) نباشند
براي اينكار دو راه وجود داره. يكي اينكه بريد روي دونه دونه كلاينتها و نام كاربري اعضاء تيم پشتيباني رو به عنوان مدير سيستم به هر يك ، اضافه كنيد. كه راه حلي سخت و زمان بره. و يا اينكه از امكانات Domain Controller استفاده كنيد. كه در اين مقاله قصد آموزشش رو داريم


براي راحتي كار سنارويي شبكه اي زير رو در نظر ميگيريم
يك Domain Controller نسخه Windows Server 2003 داريم كه براي مثال اسم كامپيوترش رو Server1.TestDomain.Com ميذاريم. در اين شبكه تعدادي كامپيوتر هم هست كه از سرور شما سرويس ميگره... كامپيوتر ها عضو (Member) سرور Domain شما هستند . مثلا نام اونها هست: Computer1.TestDomain.Com الي Computer100.TestDomain.Com


روي اين Domain Controller شما مدير شبكه هستيد و سه نفر ديگه هم مشغول پشتيباني كلاينتها هستند. نامهاي كاربري (User Name) اين افراد (كه درون Domain Controller تعريف شده) به ترتيب برابراست با: User1 و User2 و User3همچنين ما قصد داريم كه اين كاربران نتونند به Domain Controller وارد بشند (Login كنند) و از لحاظ دسترسي براي شبكه حكم Domain Users رو داشته باشند. اما براي كلاينتها ، حكم مدير (Administrator) رو داشته باشند.


با اين ترتيب از ويژگي Restricted Groups در Domain Controller به صورت زير استفاده ميكنيم.


با مدير شبكه به سرور Server1.TestDomain.Com وارد بشيد. به بخش Active Directory Users and Computers بريد (براي پيدا كردن اين قسمت به Administrative Tools بريد) . در بخش Users يا هر OU ديگري (Organizational Unit) كه كاربران شما يعني User1 و User2 و User3، قرار دارند بريد و يك گروه درست كنيد (يعني Right Click كنيد و در بخش New قسمت Group را انتخاب كنيد) نام اين گروه را به عنوان مثال LocalAdmins انتخاب كنيد و OK كنيد. سپس هر سه كاربر مد نظرتون رو عوض اين گروه كنيد. براي اينكار روي LocalAdmins بريد و Right Click كنيد، در Tab مربوط به Members بريد و هر سه كاربر User1 و User2 و User3 رو به اين گروه اضافه كنيد.


سپس روي اسمDomain خود Right Click كنيد. (در اين مثال روي TestDomain.Com بايد Right Click بشه) قسمت Properties را انتخاب كنيد. و Tab مخصوص Group Policy را انتخاب كنيد. بر روي دكمه New كليك كنيد و نامي را براي اين سياست (Policy ) انتخاب كنيد. مثلا اسمش رو Restricted Group بذاريد. و سپس بر دكمه Edit كليك كنيد. در ادامه در مسير زير، Restricted Groups را پيدا كنيد

Computer Configuration->Windows Settings->Restricted Groups

روي Restricted Groups ، رفته و Right Click كنيد. سپس Add Group رو انتخاب كنيد. در صفحه اي كه باز ميشه LocalAdmins رو تايپ كنيد و OK كنيد. دقت كنيد كه LocalAdmins كه تايپ كرديد، اسم همون گروهي هست كه ساختيد. اگه شك داريد و نخواستيد تايپ كنيد، ميتونيد با استفاده از دكمه Browse ، گروه LocalAdmins رو انتخاب كنيد و OK كنيد. پنجره ديگه اي باز ميشه كه دو بخش داره. دقت كنيد در بخش بالايي نوشته شده: Members Of This Group . اين بخش رو خالي رها كنيد. و در بخش پاييني نوشته شده: This Group is Members Of . در اينجا دكمه Add رو بزنيد و در صفحه بعدي عبارت Administrators رو تايپ كنيد. باز اگه خواستيد ميتونيد با استفاده از دكمه Browse ، گروه Administrators رو انتخاب كنيد و OK كنيد. دقت كنيد گروه ديگه اي رو به اشتباه انتخاب نكنيد (مثلا Domain Admins يا هر گروه ديگه اي رو.. فقط Administrators رو انتخاب كنيد.) OK كنيد. و از تمام بخشها خارج بشيد.
در آخر به Start و سپس RUN بريد و تايپ كنيد cmd و دستور gpupdate /force را وارد كنيد. و مطمئن شويد كه پيغام موفقيت آميز بودن دستور رو دريافت ميكنيد.
از اين پس هر يك از كاربران User1 و User2 و User3 براي هر يك از سيستم هاي Computer1.TestDomain.Com الي Computer100.TestDomain.Com ، به عنوان مدير شناخته ميشن اما براي شبكه و Domain Controller هنوز Domain Users هستند
موفق باشيد

---

موضوعات مشابه:

• در یک domain می شود بیشتر از یک domain controller داشته باشیم ؟؟؟
• ایجاد new child domain بروی یک domain controller
• How to use Restricted Groups
• سوال در مورد Domian - Restricted Groups
• يه Domain controller عجيب

---

[teamnet]

آقا لطف کردی مشکل منو حل کردی.

[spike]

سلام
من این کارو می کنم ولی وقتی می خوام یه برنامه نسب کنم باز یوزر پس ادمین می خواد .
server = win S 2003
client = win 7
ممنون می شم کمک کنید .

[hirbod]

من یک مشکلی دارم و اون هم اینه که کاربران حتما باید برای اجرای بعضی برنامه ها روی کامپیوتر خودشون مثل AutoCad باید عضو گروه Local Admin باشند که این از نظر امنیتی مشکلات زیادی رو ایجاد کرده از جمله اینکه کاربران برنامه های دیگه رو هم میتونند نصب کنند راه حل شما چیه ؟

[pardis11]

دوست عزیز نشدش!
بازم میگه باید با ادمین بیای تو! لطفا روشی که بر روی دامین راست کلیک میکنیم و از روش delegate بگبن

[hadi_en]

منم انجام دادم باز برای نصب برنامه ادمین محلی رو می خواد

[pardis11]

یه مشکل به این اهمیت یه نفر پیدا نمیشه راهنمایی کنه؟! یه delegate ساده که بگه کدوم گذینه رو باید بزنم تا کاربر اجازه نصب برنامه داشته باشه!!!

[ictboy]

از دوست گرامي Deibedyn بابت اين آموزش تشكر مي كنيم
اشكال كار اينجاست كه گروه ها رو اشتباه add مي كنيد. موقع add كردن group در Restriced Group بايد گروه administrators رو انتخاب كنيد در پنجره بعد در قسمت members of this group گروه localadmins رو add كنيد.

در صورتي كه در كلاينت ها اعمال نشد همانطور كه Deibedyn عزيز گفتند از دستور gpupdate /force استفاده كنيد.

من از اين روش قبلا استفاده كردم يك مشكل كلي داره يا دارم اونم اينكه كه با اين كار گروه administrator رو محدود ميكنيم. يعني وقتي با administrator دامين تو يك كلاينت login مي كني دسترسي هاي يك DomainUser رو داري در صورتي كه كاربري هاي كه عضو localadmins هستند دسترسي admin دارند.