با سلام
چطور میتونم تو گروپ پالیسی تنظیم کنم که کاربرا حقه نصب ویندوز یا ریپر ویندوز نداشته باشن
Printable View
با سلام
چطور میتونم تو گروپ پالیسی تنظیم کنم که کاربرا حقه نصب ویندوز یا ریپر ویندوز نداشته باشن
خب چرا روی بایوس سیستمت پسورد نمیگذاری؟ در ثانی این داستان بحث مفصلی داره .چرا یک کاربر میعمولی باید بخواد و بتونه که ویندوز عوض کنه .واقعا نباید جرات همچین کاری داشته باشه.این داستان بیشتر بحث مدیریتی هست .
چطور میتونم جلوشو بگیرم
برای نصب ویندوز از دو راه میشه اقدام کرد:
1- بوت کردن کامپیوتر از روی سی دی نصب ویندوز و بعد شروع کردن نصب
2- اجرا کردن برنامه نصب از داخل ویندوز و ادامه دادن اون
برای جلوگیری از نصب به روش اول توی Bios باید boot device رو هارد دیسک تنظیم کنید تا از روی سی دی اصلا بوت نشه که کسی بخواد ویندوزه نصب کنه! و باید رمز هم بگذارید روی Bios که کسی نتونه وارد بشه.
برای جلوگیری از نصب به روش دوم هم در صورتیکه user هات دسترسی محدود داشته باشند مثلا user معمولی Active Directory باشند و یا Limited User ویندوزی باشند امکان نصب هیچ چیزی از جمله ویندوز رو نخواهند داشت مگر اینکه توی Group Policy بهشون اجازه شو بدی.
من یوزرام رو سیستم خودشون admin هستن چون هرکاری میخواستن انجام بدن ازشون پسورد میخواست مثلا برای بازکردن یک فایل و یا دیدن device manager مجبور شدم رو سیستم خودشون ادمین کنم ولی رو ad یوزر عادی هستن
با همه اینا ایا شما راه بهتری دارین که رو سیستم خودشون هم ادمین نباشن ؟
و اگه بخوام از رو گروپ پالیسی اجازه نصبه ویندوز رو ندم چه مراحلی رو باید دنبال کنم ؟
دوست عزیز بهترین کار اینه که کاربراتو limited کنی ولی برای اولین بار برای هر کاری که که میخواند انجام بدند پسوردها و بقیه کارها رو بکنند .
و مورد دوم هم اینه که همونطور که دوستان گفتند روی بایوسها پسورد بزاری.
این دو راه به نظر من بهترین تنظیماتند و در ضمن مگه شما مدیر شبکه نیستی یکم از تکنیک های مدیریتی استفاده کن و اون چیزی رو که به صلاح شبکه تحت مدیریتت هست رو اعمال کن و نه اون چیزی که یوزر ها بهت دستور میدن.:king:
یوزرام تو ad عضو گروه یوزر هستن منظورتون همین هست ؟ و رو سیستم خودشون اونا رو عضو گروه power user کردم که بتونن شیر کنن
ولی با این تفاسیر کلاینتا میتونن برنامه نصب کنن
[QUOTE=farshid_20;329933]یوزرام تو ad عضو گروه یوزر هستن منظورتون همین هست ؟ و رو سیستم خودشون اونا رو عضو گروه power user کردم که بتونن شیر کنن
ولی با این تفاسیر کلاینتا میتونن برنامه نصب کنن[/QUOTE]
دوست عزیز , کلا باید دیدتو عوض کنی .به هر کاربر به همون اندازه مجوز بده که احتیاج داره . مثلا چرا کاربرات باید device manager را ببینند؟
علاوه بر تاييد پست هاي بالا مبني بر محدود كردن كاربران (البته اصولي و حساب شده) اينم بگم كه راه حل [B]قطعي[/B] براي نصب ويندوز از كاربران وجود نداره بجز DVD/CD ROM در بياري كه اونم ممكنه اكسترنالشو وصل كنن !!!. چون پسورد گذاشتن روي BIOS هم به راحتي قابل شكستن هست (البته بستگي به دانش كاربرا داره ) براي رفع اين مشكلات دو راه به نظر من مي رسه:
1- يك قانون قطعي و رسمي در اين مورد كه نغض اون تخلف محسوب بشه
2- استفاده از پروتكل 802.1x در شبكه كه سويچها بجز كاربران اكتيودايركتوري Packet ديگران رو عبور ندن كه با اين كار سيستم متخلف كاملاً منزوي ميشه
[QUOTE=aliahvaz;329967]علاوه بر تاييد پست هاي بالا مبني بر محدود كردن كاربران (البته اصولي و حساب شده) اينم بگم كه راه حل [B]قطعي[/B] براي نصب ويندوز از كاربران وجود نداره بجز DVD/CD ROM در بياري كه اونم ممكنه اكسترنالشو وصل كنن !!!. چون پسورد گذاشتن روي BIOS هم به راحتي قابل شكستن هست (البته بستگي به دانش كاربرا داره ) براي رفع اين مشكلات دو راه به نظر من مي رسه:
1- يك قانون قطعي و رسمي در اين مورد كه نغض اون تخلف محسوب بشه
2- استفاده از پروتكل 802.1x در شبكه كه سويچها بجز كاربران اكتيودايركتوري Packet ديگران رو عبور ندن كه با اين كار سيستم متخلف كاملاً منزوي ميشه[/QUOTE]
ضمن تایید فرمایشات دوستان تنها چیزی که بجز سخت افزار می تونه راه حل قطعی این مشکل باشه تبیین قانونی محکم در سازمان است تا کاربر به خودش اجازه نده با ماجراجویی سیستم رو دچا مشکل کنه
من تو شبکه خودم کاربر ادمین دارم ، باور کنید جرات ندارند بخاطر اهمیت و قوانین محکمی که وجود داره دست به هیچ کار نابخردانه ای بزنند
حتی اگه کسی بلد نباشه پسورد بایوس را هم ریست کنه یه راه حل ساده تر است:
وارد شدن به بوت منو!
تو مادربورد های Asus موقعی که سیستم تازه داره بوت میشه اگه F8 را بزنیم وارد بوت منو میشه که میشه انتخاب کرد در حال حاضر از روی چه دیوایسی سیستم بوت بشه و اصلاً هم ربطی نداره که بایوس پسورد داشته باشه یا نداشته باشه و اینکه تو بایوس First Boot روی چی تنظیم شده باشه!
همین اتفاق توی ماردبورد های Gigabyte با زدن F12 اتفاق می افته.
پس این راه که روی بایوس پسورد بگذاری راه حل قطعی نیست.
شما بهتره کاربرهات رو لیمیت کنی ولی روی درایوهایی که کاربر میخواد فایل کپی کنه و یا پاک کنه دسترسی فول بهش بدی و هم اینکه از نظر مدیریتی قوانینی ایجاد کنی که کاربر هرگونه مشکلی داشت به شما مراجعه کنه و خودش به دنبال حل کردن مشکل نباشه.
[QUOTE=payman007;329971]ضمن تایید فرمایشات دوستان تنها چیزی که بجز سخت افزار می تونه راه حل قطعی این مشکل باشه تبیین قانونی محکم در سازمان است تا کاربر به خودش اجازه نده با ماجراجویی سیستم رو دچا مشکل کنه
من تو شبکه خودم کاربر ادمین دارم ، باور کنید جرات ندارند بخاطر اهمیت و قوانین محکمی که وجود داره دست به هیچ کار نابخردانه ای بزنند[/QUOTE]
اینجوری که دوستان نظر میدن به این فک میکنم خوب که شما رئیس جمهور نیستین!!!
یه جوری می گید انگار کاربراتون برده هستن!
به شخصه سعی کردم این مشکل را با توجیه درست و دوستانه، علاوه بر به کار گیری روشهای علمی، برای کاربرا روشن کنم و تا به حال هم مشکل خاصی نداشتم
اصلا فرض كنيم ويندوز هم عوض كنند.تا وقتي جوين دامين نشن به شبكه و اينترنت دسترسي ندارند.
[QUOTE=mohammad50;330033]اینجوری که دوستان نظر میدن به این فک میکنم خوب که شما رئیس جمهور نیستین!!!
یه جوری می گید انگار کاربراتون برده هستن!
به شخصه سعی کردم این مشکل را با توجیه درست و دوستانه، علاوه بر به کار گیری روشهای علمی، برای کاربرا روشن کنم و تا به حال هم مشکل خاصی نداشتم[/QUOTE]
با سلام
دوست عزیز بدون نظم هیچ ساختاری پابر جا نمی مونه
بحث بر سر حفظ و نگهداری از سیستم و شبکه می باشد شما با بحث دموکراسی گویا اشتباه گرفته اید
احتمالا توی شبکه شما به کاربران خیلی خوش می گذره !!
[QUOTE=payman007;330062]با سلام
دوست عزیز بدون نظم هیچ ساختاری پابر جا نمی مونه
بحث بر سر حفظ و نگهداری از سیستم و شبکه می باشد شما با بحث دموکراسی گویا اشتباه گرفته اید
احتمالا توی شبکه شما به کاربران خیلی خوش می گذره !![/QUOTE]
واقعا نکته مهمی را اشاره کردی "بدون نظم هیچ ساختاری پابر جا نمی مونه " !!!
برادر، حفظ و نگهداری از سیستم هم شرایط و لوازم خاص خودش را داره و مطمئن باش با سختگیری بی جا به نتیجه نمی رسی!
دوست عزیز سختگیر!نمیخوام خیلی سر این قضیه با شما وارد بحث بشم و تاپیک را بیش از این به حاشیه بکشونم ولی یه اندرز: شما اگه ادمین خوبی باشی هم به کاریرات خوش می گذره هم شبکه خوبی داری.
موفق باشی:D