join to domain

Printable View

2011-05-31, 10:07 AM
net_adm

join to domain

سلام دوستان
آيا در ويندوز 2003 سرور ميشه فهميد كه يكي از كامپيوترها با كدام يوزر عضو دامين شده ؟
مرسي
2011-05-31, 11:37 AM
hajir2k

کاربری که باهاش یه pc رو به domain اضافه میکنی حتما" باید doamin admin و administrator باشه تو دامین پس چک کن ببین چند تا کاربر داری که همچین دسترسی بهشون دادی اول همه.اصولا" برای join کردن کاربرا به دامین یه user با مشخصات فوق کفایت میکنه حالا نمیدونم چند تا ساختی؟
2011-05-31, 11:47 AM
greatcyrus

[QUOTE=hajir2k;315633]کاربری که باهاش یه pc رو به domain اضافه میکنی حتما" باید doamin admin و administrator باشه تو دامین پس چک کن ببین چند تا کاربر داری که همچین دسترسی بهشون دادی اول همه.اصولا" برای join کردن کاربرا به دامین یه user با مشخصات فوق کفایت میکنه حالا نمیدونم چند تا ساختی؟[/QUOTE]

تو AD هر يوزر به صورت ديفالت ميتونه 10تا يوزر جوين كنه
2011-05-31, 12:04 PM
mahtab1384

who did join

با عرض سلام
حدود یکسالی میشود که فرصت نکردم اینجا مطلبی بنویسم
الان هم دسترسی به کنسول AD ندارم
اما بله براحتی امکان بررسی اینکه چه کسی عمل join را انجام داده است وجود دارد.
برای اینکه کاربری اختیارات admin را نداشته باشد و بتواند به تعداد نامحدود کلاینت join نماید
باید عضو گروه Account Operator در Domain باشد .
به محض اینکه به کنسول دسترسی پیدا کنم مسیر مربوطه را عرض خواهم کرد.
:rolleyes::D
2011-05-31, 12:09 PM
silas

[QUOTE=hajir2k;315633]کاربری که باهاش یه pc رو به domain اضافه میکنی حتما" باید doamin admin و administrator باشه تو دامین پس چک کن ببین چند تا کاربر داری که همچین دسترسی بهشون دادی اول همه.اصولا" برای join کردن کاربرا به دامین یه user با مشخصات فوق کفایت میکنه حالا نمیدونم چند تا ساختی؟[/QUOTE]
نه اصلا اینطور نیست. اگه اینجوری باشه که توی یک سازمان بزرگ که چندین helpdesk داره باید همشون domain admin باشند و ....
شما می تونید به همون اکانت های help desk که domain user هستند (و نه ادمین) مجوز add و delete کردن computer object را در اکتیو دایرکتوری بدید.

[QUOTE=mahtab1384;315639]با عرض سلام
حدود یکسالی میشود که فرصت نکردم اینجا مطلبی بنویسم
الان هم دسترسی به کنسول AD ندارم
اما بله براحتی امکان بررسی اینکه چه کسی عمل join را انجام داده است وجود دارد.
برای اینکه کاربری اختیارات admin را نداشته باشد و بتواند به تعداد نامحدود کلاینت join نماید
باید عضو گروه Account Operator باشد .
به محض اینکه به کنسول دسترسی پیدا کنم مسیر مربوطه را عرض خواهم کرد.
:rolleyes::D[/QUOTE]
بله حرف شما صحیح هست یعنی اکانتی که عضو گروه account operator باشه می تونه کامپیوترها را جوین دامین کنه ولی به هیچ وجه توصیه نشده. برای اینکه می تونه به سرور دامین لاگین کنه و ....
2011-05-31, 12:52 PM
mahtab1384

با عرض سلام مجدد
البته چون به کنسول دسترسی ندارم نمیتوانم مورد امنیتی که عنوان کردید را بررسی کنم. اما اگر اینطور باشد که شما فرمودید ، هیچ مشکلی وجود ندارد
امکانش هست که دسترسی لاگین بصورت لوکلالی و ریموتی را از گروه مربوطه سلب کرد.
2011-05-31, 01:46 PM
silas

[QUOTE=mahtab1384;315653]با عرض سلام مجدد
البته چون به کنسول دسترسی ندارم نمیتوانم مورد امنیتی که عنوان کردید را بررسی کنم. اما اگر اینطور باشد که شما فرمودید ، هیچ مشکلی وجود ندارد
امکانش هست که دسترسی لاگین بصورت لوکلالی و ریموتی را از گروه مربوطه سلب کرد.[/QUOTE]

[URL="http://www.eventreporter.com/common/en/securityreference/domainlocalgroup-accountoperators.php"]What is the Account Operator? - EventReporter[/URL]

متن لینک بالا رو بخونید . شما با بستن دسترسی لاگین و ریموتی کاربران عضو گروه account operator، در واقع قابلیت های این گروه را می بندید. در اینصورت چه کسی وظایف این گروه رو انجام بده؟

لطفا متن زیر رو برای دادن مجوز برای کاربران برای Add کردن کامپیوترهاست را بخوانید:

[LEFT] 1. Click Start, click Run, type dsa.msc, and then click OK.
2. In the task pane, expand the domain node.
3. Locate and right-click the OU that you want to modify, and then click
Delegate Control.
4. In the Delegation of Control Wizard, click Next.
5. Click Add to add a specific user or a specific group to the Selected users
and groups list, and then click Next.
6. In the Tasks to Delegate page, click Create a custom task to delegate,
and then click Next.
7. Click Only the following objects in the folder, and then from the list,
click to select the following check boxes: . Computer objects
. Create selected objects in this folder
. Delete selected objects in this folder

8. Click Next.
9. In the Permissions list, click to select the following check boxes:. Reset
Password
. Validated write to DNS host name
. Read and write Account Restrictions
. Validated write to service principal name

10. Click Next, and then click Finish.
11. Close the "Active Directory Users and Computers" MMC snap-in.

با تشکر از شما
[/LEFT]
2011-05-31, 01:58 PM
hajir2k

لطفا" یکی از دوستان به من بگه حالا ما بفهمیم که مثلا" فلان pc رو فلان کاربر به دامین join کرده.خوب این چه لطفی داره؟ چه کمکی به ما میکنه ؟
2011-06-01, 07:54 AM
net_adm

آقا اين فرمايشاتي كه شما كردين رو من ميدونم

سوالم اين بود

فرض كنيم يه تعدادي admin داريم ميخوايم ببينيم كدوم يكي از اين ها فلان كامپيوتر رو عضو دومين كرده همين.
2011-06-01, 08:20 AM
mahtab1384

[QUOTE=net_adm;315790]آقا اين فرمايشاتي كه شما كردين رو من ميدونم

سوالم اين بود

فرض كنيم يه تعدادي admin داريم ميخوايم ببينيم كدوم يكي از اين ها فلان كامپيوتر رو عضو دومين كرده همين.[/QUOTE]

با سلام ،
عرض کردم به محض دسترسی به کنسول جوا ب را اینجا قرار خواهم داد.
اما تا آنجایی که بخاطر دارم در کنسول AD و OU مربوطه ، بر روی کامپیوتر مربوطه رایت کلیک کن و تب Security را نگاه کن ( شایدم یک تب دیگه!!!) آنجا میتوانی اسم کاربر و زمان join را هم ببینی!!! شرمنده بیشتر از این حضور ذهن ندارم
2011-06-01, 08:54 AM
silas

[LEFT]
In Active Directory Users and Computers open the workstation object, Select the Security tab and then Click on Advanced, Select the Owner tab. If the account was created by a member of the Domain Admins group then Admins will be listed in the Current Owner field, otherwise it will list the user account

If you need to know which Administrator is creating accounts then you need to setup auditing in Group Policy and mine the logs

منبع:
[url=http://www.winvistatips.com/joined-pc-domain-t684967.html]who joined pc to domain[/url][/LEFT]