یه یوزر تعریف کردم گذاشتم تو گروه administrator ولی این یوزر نمیتونه تو سیتم های کلاینت لاگین locally کنه چرا ؟ چیکارش کنم ؟ می خوام یوزری باشه که بتونه تو سیستم های کلاینت localy و domain ای لاگین کنه فقط تو سرور نتونه لاگین کنه
یه یوزر تعریف کردم گذاشتم تو گروه administrator ولی این یوزر نمیتونه تو سیتم های کلاینت لاگین locally کنه چرا ؟ چیکارش کنم ؟ می خوام یوزری باشه که بتونه تو سیستم های کلاینت localy و domain ای لاگین کنه فقط تو سرور نتونه لاگین کنه
سلام
یه نکته اونم این که user های Domain در AD ذخیره می شود و user های local در SAM File تو رجستری ویندوز !
می تونید ازBuilt in گروه های خود ویندوز هم استفاده کنید
[QUOTE=dastaviz;377721]سلام
یه نکته اونم این که user های Domain در AD ذخیره می شود و user های local در SAM File تو رجستری ویندوز !
می تونید ازBuilt in گروه های خود ویندوز هم استفاده کنید[/QUOTE]
میشه بیشتر توضیح بدین راستش متوجه نشدم استفاده از گروه های built in یعنی چه جوری ؟
ببینید وقتی میخای یه یوزر به صورت لوکال لاگین کنه یعنی یه فایلی یا بهتر بگم یه سرویس روی خود اون سیستم کار احراز هویت رو انجام میده و چک میکنه که یوزر و پسورد درست هستش یا نه در نتیجه نمیره از اکتیو دایرکتوری بپرسه . در نتیجه اگه شما لازم داری که یوزر به صورت لوکال روی سیستمها لاگین کنه باید اون یوزر رو توی تمامی سیستم ها و توی قسمت local users and groups اون سیستمها تعریف کنی و دسترسی ادمین بهش بدی اگه لازم داره.
اگه هم یوزری رو توی اکتیو دایرکتوری میسازی فقط میتونه به دامین لاگین کنه و نمیتونه لوکالی لاگین کنه.
امیدوارم تفاوت لاگین لوکالی با لاگین دامین رو خوب توضیح داده باشم
[QUOTE=mesripoor6;377728]ببینید وقتی میخای یه یوزر به صورت لوکال لاگین کنه یعنی یه فایلی یا بهتر بگم یه سرویس روی خود اون سیستم کار احراز هویت رو انجام میده و چک میکنه که یوزر و پسورد درست هستش یا نه در نتیجه نمیره از اکتیو دایرکتوری بپرسه . در نتیجه اگه شما لازم داری که یوزر به صورت لوکال روی سیستمها لاگین کنه باید اون یوزر رو توی تمامی سیستم ها و توی قسمت local users and groups اون سیستمها تعریف کنی و دسترسی ادمین بهش بدی اگه لازم داره.
اگه هم یوزری رو توی اکتیو دایرکتوری میسازی فقط میتونه به دامین لاگین کنه و نمیتونه لوکالی لاگین کنه.
امیدوارم تفاوت لاگین لوکالی با لاگین دامین رو خوب توضیح داده باشم[/QUOTE]
ائدمین domain خب می تونه به طور لوکالی لاگین کنه رو کلاینتها دیگه تست کردم میتونه وقتی یه یوزریو میذارم تو گروه administrators خب باید اون یوزر هم این قابلیتو داشته باشه درست نیست حرفم ؟
نه دوست عزیز صد در صد شما تونستی با اکانت ادمین لوکال لاگین کنی و فکر کردی داری با ادمین دامین لاگین میکنی.
2 تا پسورد متفاوت براشون بذار و تست کن مجدد.
وقتی لوکال لاگین میکنی تعریف یوزر و پسورد ادمین دامین روی اون کامپیوتر کلاینت وجود نداره در نتیجه نمیشه لاگین کرد.
مثل حالت ورک گروپ باید روی هر سیستم اون یوزر رو بسازی و دسترسی های مورد نظر رو بهش بدی
من اینطوری متوجه شدم
شما یک کاربر بنام X در اکتیو دایرکتوری ساختید و عضو گروه Administrators هم کردید
اگر پالیسی خاصی ست نکرده باشید اوکلاینهای شماعضو دامین باشند اینکاربر امکان لاگین به این کلاینتها رو داره
dیه راه دیگه هم توی یکی از سایتها دیدم که با استفاده از GPO این کار رو بشه انجام داد
تستش میکنم اگه به نتیجه رسیدم بهت میگم
پس من الان میخام یه کاری کنم ادمین اصلی همه جا لاگین کنه
ولی ادمین دوم بتونه به سیستم کلاینتها به صورت دومینی و لوکالی وارد بشه ولی به سرور اصلی نتونه وارد شه چیکار کنم ؟ بشینم رو همه سیستمها لوکالی یوزر تعریف کنم ؟
بعد ادمین دومین اگر بزنه administrator لوکالی وارد میشه به سیستم ولی اگه بزنه domainname\administrator به دومین لاگین می کنه (یعنی ادمین دومین هم می تونه لوکالی وارد سیستم بشه )
امیدوارم منظورمو فهمیده باشین
[COLOR="silver"]- - - Updated - - -[/COLOR]
[QUOTE=popco;377748]من اینطوری متوجه شدم
شما یک کاربر بنام X در اکتیو دایرکتوری ساختید و عضو گروه Administrators هم کردید
اگر پالیسی خاصی ست نکرده باشید اوکلاینهای شماعضو دامین باشند اینکاربر امکان لاگین به این کلاینتها رو داره[/QUOTE]
دقیقا میخام امکان لاگین به کلاینتها رو این یوزر داشته باشه ولی نمیشه تست می کنم
پیشنهاد من Restricted groups.
[URL]http://www.isaacoben.com/2009/10/03/how-to-control-memberships-for-local-computers-builtin-groups/[/URL]
البته برای اینکه یک سری یوزر با دسترسی ادمین دامینی نتونن روی سرورهای خواصی لاگین کنند می تونید از پالیسی های استفاده کنید. :)
Allow log on locally
Allow log on through remote desktop services
Computer config>windows settings >security settings>local policies>user rights assignment
[QUOTE=moralman13;377784]پیشنهاد من Restricted groups.
[url=http://www.isaacoben.com/2009/10/03/how-to-control-memberships-for-local-computers-builtin-groups/]Isaac Oben's Systems Engineer Blog [/url]
البته برای اینکه یک سری یوزر با دسترسی ادمین دامینی نتونن روی سرورهای خواصی لاگین کنند می تونید از پالیسی های استفاده کنید. :)
Allow log on locally
Allow log on through remote desktop services
Computer config>windows settings >security settings>local policies>user rights assignment[/QUOTE]
مشکل من اینه که یوزری که تو گروه ادمین گذاشتم اصلا مثل ادمین نیست و سطح دسترسیهای اونو نداره یعنی نمیتونه لاگین کنه به دومین که بعدش بیام سرور و ببندم
[QUOTE=moralman13;377784]پیشنهاد من Restricted groups.
[url=http://www.isaacoben.com/2009/10/03/how-to-control-memberships-for-local-computers-builtin-groups/]Isaac Oben's Systems Engineer Blog [/url]
البته برای اینکه یک سری یوزر با دسترسی ادمین دامینی نتونن روی سرورهای خواصی لاگین کنند می تونید از پالیسی های استفاده کنید. :)
Allow log on locally
Allow log on through remote desktop services
Computer config>windows settings >security settings>local policies>user rights assignment[/QUOTE]
پالیسی allow log on locally رو دیدم اونجا گروه ادمین هست چون این گروه هست یوزری که من خودم عضو این گروه کردم هم وارد سرور میشه حالا میخاستم این گروه ادمنو پاک کنم یوزر ادمینو فقط اضافه کنم که بقیه یوزرهای گروه ادمین نتونند وارد سرور بشن ولی این پالیسی اصلا اجازه پاک کردن گروه admnistrators رو نمیده
[QUOTE=samiraaaaa;377975]پالیسی allow log on locally رو دیدم اونجا گروه ادمین هست چون این گروه هست یوزری که من خودم عضو این گروه کردم هم وارد سرور میشه حالا میخاستم این گروه ادمنو پاک کنم یوزر ادمینو فقط اضافه کنم که بقیه یوزرهای گروه ادمین نتونند وارد سرور بشن ولی این پالیسی اصلا اجازه پاک کردن گروه admnistrators رو نمیده[/QUOTE]
بله حق با شماست.من اشتباه گفتم.پوزش می خوام.
در همان مسیر پالیسی
Deny log on locally
Deny log on through remote desktop services
یوزرهایی را که می خواهید نتوانند روی آن سرور لاگین کنند را add کنید.حتی عضو گروه ادمین هم باشند باز هم نمی توانند لاگین کنند.
[QUOTE=moralman13;377983]بله حق با شماست.من اشتباه گفتم.پوزش می خوام.
در همان مسیر پالیسی
Deny log on locally
Deny log on through remote desktop services
یوزرهایی را که می خواهید نتوانند روی آن سرور لاگین کنند را add کنید.حتی عضو گروه ادمین هم باشند باز هم نمی توانند لاگین کنند.[/QUOTE]
ممنون از جوابتون تست کردم درست شد
:)