سلام دوستان
آيا در ويندوز 2003 سرور ميشه فهميد كه يكي از كامپيوترها با كدام يوزر عضو دامين شده ؟
مرسي
موضوعات مشابه:
- کلاینت با چه نام کاربری join to domain شده
- مشکل در join شدن کلاینتها به domain
- چگونگی Join کردن بیش از 10 کلاینت به Domain
- مشکل در join کردن کلاینت ها به domain
- مشکل در Join شدن به Domain
کاربری که باهاش یه pc رو به domain اضافه میکنی حتما" باید doamin admin و administrator باشه تو دامین پس چک کن ببین چند تا کاربر داری که همچین دسترسی بهشون دادی اول همه.اصولا" برای join کردن کاربرا به دامین یه user با مشخصات فوق کفایت میکنه حالا نمیدونم چند تا ساختی؟
تو AD هر يوزر به صورت ديفالت ميتونه 10تا يوزر جوين كنهنوشته اصلی توسط hajir2k
با عرض سلام
حدود یکسالی میشود که فرصت نکردم اینجا مطلبی بنویسم
الان هم دسترسی به کنسول AD ندارم
اما بله براحتی امکان بررسی اینکه چه کسی عمل join را انجام داده است وجود دارد.
برای اینکه کاربری اختیارات admin را نداشته باشد و بتواند به تعداد نامحدود کلاینت join نماید
باید عضو گروه Account Operator در Domain باشد .
به محض اینکه به کنسول دسترسی پیدا کنم مسیر مربوطه را عرض خواهم کرد.
ویرایش توسط mahtab1384 : 2011-05-31 در ساعت 12:08 PM
نه اصلا اینطور نیست. اگه اینجوری باشه که توی یک سازمان بزرگ که چندین helpdesk داره باید همشون domain admin باشند و ....
شما می تونید به همون اکانت های help desk که domain user هستند (و نه ادمین) مجوز add و delete کردن computer object را در اکتیو دایرکتوری بدید.
بله حرف شما صحیح هست یعنی اکانتی که عضو گروه account operator باشه می تونه کامپیوترها را جوین دامین کنه ولی به هیچ وجه توصیه نشده. برای اینکه می تونه به سرور دامین لاگین کنه و ....با عرض سلام
حدود یکسالی میشود که فرصت نکردم اینجا مطلبی بنویسم
الان هم دسترسی به کنسول AD ندارم
اما بله براحتی امکان بررسی اینکه چه کسی عمل join را انجام داده است وجود دارد.
برای اینکه کاربری اختیارات admin را نداشته باشد و بتواند به تعداد نامحدود کلاینت join نماید
باید عضو گروه Account Operator باشد .
به محض اینکه به کنسول دسترسی پیدا کنم مسیر مربوطه را عرض خواهم کرد.
با عرض سلام مجدد
البته چون به کنسول دسترسی ندارم نمیتوانم مورد امنیتی که عنوان کردید را بررسی کنم. اما اگر اینطور باشد که شما فرمودید ، هیچ مشکلی وجود ندارد
امکانش هست که دسترسی لاگین بصورت لوکلالی و ریموتی را از گروه مربوطه سلب کرد.
What is the Account Operator? - EventReporter
متن لینک بالا رو بخونید . شما با بستن دسترسی لاگین و ریموتی کاربران عضو گروه account operator، در واقع قابلیت های این گروه را می بندید. در اینصورت چه کسی وظایف این گروه رو انجام بده؟
لطفا متن زیر رو برای دادن مجوز برای کاربران برای Add کردن کامپیوترهاست را بخوانید:
1. Click Start, click Run, type dsa.msc, and then click OK.
2. In the task pane, expand the domain node.
3. Locate and right-click the OU that you want to modify, and then click
Delegate Control.
4. In the Delegation of Control Wizard, click Next.
5. Click Add to add a specific user or a specific group to the Selected users
and groups list, and then click Next.
6. In the Tasks to Delegate page, click Create a custom task to delegate,
and then click Next.
7. Click Only the following objects in the folder, and then from the list,
click to select the following check boxes: . Computer objects
. Create selected objects in this folder
. Delete selected objects in this folder
8. Click Next.
9. In the Permissions list, click to select the following check boxes:. Reset
Password
. Validated write to DNS host name
. Read and write Account Restrictions
. Validated write to service principal name
10. Click Next, and then click Finish.
11. Close the "Active Directory Users and Computers" MMC snap-in.
با تشکر از شما
ویرایش توسط silas : 2011-05-31 در ساعت 01:55 PM
لطفا" یکی از دوستان به من بگه حالا ما بفهمیم که مثلا" فلان pc رو فلان کاربر به دامین join کرده.خوب این چه لطفی داره؟ چه کمکی به ما میکنه ؟
آقا اين فرمايشاتي كه شما كردين رو من ميدونم
سوالم اين بود
فرض كنيم يه تعدادي admin داريم ميخوايم ببينيم كدوم يكي از اين ها فلان كامپيوتر رو عضو دومين كرده همين.
با سلام ،
عرض کردم به محض دسترسی به کنسول جوا ب را اینجا قرار خواهم داد.
اما تا آنجایی که بخاطر دارم در کنسول AD و OU مربوطه ، بر روی کامپیوتر مربوطه رایت کلیک کن و تب Security را نگاه کن ( شایدم یک تب دیگه!!!) آنجا میتوانی اسم کاربر و زمان join را هم ببینی!!! شرمنده بیشتر از این حضور ذهن ندارم
In Active Directory Users and Computers open the workstation object, Select the Security tab and then Click on Advanced, Select the Owner tab. If the account was created by a member of the Domain Admins group then Admins will be listed in the Current Owner field, otherwise it will list the user account
If you need to know which Administrator is creating accounts then you need to setup auditing in Group Policy and mine the logs
منبع:
who joined pc to domain
مجوز های ارسال و ویرایش
1سپاس
LinkBack URL
About LinkBacks
