محدود کردن دسترسی عضویت Client ها در Domain

[ghane82]

اگر شبكه اي باشدكه از تعدادي كلاينت كه به هم شبكه اند وعضو يك دومين باشندداشته باشيم حالا اگر كامپيوتري عضو شبكه ما شد و يوزر و پسورد يك كلاينت عضو دومين ما لو رفت نتواند با ان يوزر و پسورد وارد دومين ما شود مگر از طريق اجازه admin كه بتواند وارد دومين شود يا به عبارتي در صورتي يك كلاينت ديگر مي توانيم به دومين وارد كنيم كه با اجازه admin باشد

---

موضوعات مشابه:

• دسترسی به فولدر share شده در شبکه domain از طریق شبکه workgroup در شهرستانها
• دسترسی vpn Client خارجی به منابع داخلی LAN
• share اینترنت و دسترسی فقط به یک Client
• دسترسی به اینترنت Client های یک LAN توسط یک پروکسی سرور ؟
• عدم دسترسی به client در شبکه

---

[y_yavari]

خوب برای عضویت یک کلاینت همیشه مجوز ادمین نیاز هست!
اگر هم یوزر و پسوردی لو بره نمیشه کاربش کرد.
لطفا بیشتر توضیح دهید

[mr.sajedi]

من توي يه مكاني كار مي كنم كه يه سيستم داميني توش فعاله. حالا من مي خواهم زماني كه يه كامپيوتر مي خواهد به شبكه دامين من join بشه تنها يوزر و پسورد ادمين رو بپرسه
0چون يوزرهاي ديگه هم ميتونند خودشون را ه دامين join كنند (اگر داخل اكتيو دايركتوري يوزر داشته باشند؟
كي ميتونه كمكم كنه؟

[Hakimi]

به صورت پیش فرض همه کاربران می توانند تا 10 کامپیوتر را عضو Domain کنند. برای محدود کردن این دسترسی دو راه دارید. یا دسترسی را از Authenticated Users بگیرید و یا تعداد کامپیوترهایی که می توانند عضو Domain کنند را 0 قرار دهید.
برای روش اول:

1. From the Active Directory Users and Computers snap-in, click Advanced Features on the View menu so that the Security tab is exposed when you click Properties.
2. Right-click the Computers container, and then click Properties.
3. On the Security tab, click Advanced.
4. On the Permissions tab, click Authenticated Users, and then click View/Edit.

NOTE: If the Authenticated Users group is not listed, click Add and add it to the list of permission entries.
5. Make sure the This object and all child objects option is displayed in the Apply onto box.
6. From the Permissions box, click to select the Deny check box next to the Create Computer Objects and Delete Computer Objects ACEs, and then click OK.

و روش دوم:

Override the Default Limit of the Number of Computers an Authenticated User Can Join to a Domain

You can override the default limit, using either of the following methods:

- Use the Ldp (Ldp.exe) tool included in the Microsoft Windows Resource Kit.
- Use an Active Directory Services Interface (ADSI) script to increase or decrease the value of the Active Directory ms-DS-MachineAccountQuota attribute. To do this:


1. Install the Windows 2000 Support tools if they have not already been installed. To install these tools, run Setup.exe from the Support\Tools folder on the Windows 2000 Server or the Windows 2000 Professional CD-ROM.
2. Run Adsiedit.msc as an administrator of the domain.
3. Expand the Domain NC node. This node contains an object that begins with "DC=" and reflects the correct domain name. Right-click this object, and then click Properties.
4. In the Select which properties to view box, click Both.
5. In the Select a property to view box, click ms-DS-MachineAccountQuota.
6. In the Edit Attribute box, type 0. This number represents the number of workstations that you want users to be able to maintain concurrently.
7. Click Set, and then click OK

.

منابع:

Domain Users Cannot Join Workstation or Server to a Domain
DENY ADD COMPUTERS TO DOMAIN : MS, AD and GPO, WIN2003 SP2

[farbodkain]

با سلام خدمت اساتید من یک تاپیک جدید باز نکردم گفتم همینجا سوال کنم با اجازه
آقا یک Folder روی WinSrv 2003 Enterprise روی Security اون یک تعریف ها صورت گرفته که دسترسی کل کاربران شبکه را مختل می کنه و حتی User های تعریف شده روی Windows server را هم نمی تونستن دسترسی پیدا کنند حالا این Win مشکل پیدا کرده و بالا نمی یاد و من هر کاری کردم که یک جوری این فایل ها را داخل یک هارد دیگه کپی کنم نتونستم به نظر شما چجوری باید این اطلاعات را کپی کنم؟!

[hraeissi]

اگر شبكه اي باشدكه از تعدادي كلاينت كه به هم شبكه اند وعضو يك دومين باشندداشته باشيم حالا اگر كامپيوتري عضو شبكه ما شد و يوزر و پسورد يك كلاينت عضو دومين ما لو رفت نتواند با ان يوزر و پسورد وارد دومين ما شود مگر از طريق اجازه admin كه بتواند وارد دومين شود يا به عبارتي در صورتي يك كلاينت ديگر مي توانيم به دومين وارد كنيم كه با اجازه admin باشد

دوست من سلام
این را باید بدانید که کاربران دامین امکان member کردن سیستم را به دامنه دارند البته تا 10 سیستم که امکان بستن این مورد نیز وجود دارد .

به منظور بالا رفتن امنیت بهتر است در AD در بخش Peroperty کاربران بخش Logon to ر اسم تنها یک کامپیوتر که همان اسم کامپیوتر شخص است را بدهید ت زمانیکه کلمه رمز آن هم دزدیده شد در شبکه قابل استفاده نباشد .

با این کار مجوز ورود به شبکه را فقط برای کاربر بر روی کامپیوتر خود شخص می دهید و از پشت کامپیوترهای دیگر امکانش نیست

[hraeissi]

با سلام خدمت اساتید من یک تاپیک جدید باز نکردم گفتم همینجا سوال کنم با اجازه
آقا یک Folder روی WinSrv 2003 Enterprise روی Security اون یک تعریف ها صورت گرفته که دسترسی کل کاربران شبکه را مختل می کنه و حتی User های تعریف شده روی Windows server را هم نمی تونستن دسترسی پیدا کنند حالا این Win مشکل پیدا کرده و بالا نمی یاد و من هر کاری کردم که یک جوری این فایل ها را داخل یک هارد دیگه کپی کنم نتونستم به نظر شما چجوری باید این اطلاعات را کپی کنم؟!

دوست من سئوال شما یک کمکی نامفهوم بود ولی معمولاً َAdmin به تمام فولدرهای آن دسترسی دارد .میتوانید از طریق آن این کار را انجام دهید .

در خصوص بالا نیامدن سیستم هم میتوانید از سی دی EDM commander که یک سیستم عامل مجزا بر روی سی دی است سیستم را بالا بیاورید

[sezartah]

سلام آقای حکیمی منم این دو روش خوندم و روش اول تست کردم اما جواب نداد!!! شما تست کرین؟؟؟

[SaeedAlkhamiss]

MCSE 2K3: Domain Users Cannot Join Workstation or Server to a Domain