احسان قاسمی

تبدیل کاربران Local در اکتیودایرکتوری به Admin Local بصورت مرکزی

سلام دوستان ، روشی هست که ما تمامی کاربران دامین یوزر رو توی شبکه دامین به power user و یا به administrator local بر روی کلاینت های خودشون تبدیل کنیم؟!
این سوال 2 پاسخ دارد.
#کاربرد_restricted_group_در_group_policy #ایجاد_کردن_گروه_helpdesk #عضویت_در_گروه_administrators #عضویت_کاربر_local_به_گروه_administrators #محدود_کردن_کاربر_local_admin #عضو_کردن_کاربران_در_گروه_administrators
لذت یادگیری با توسینسو
به عنوان شخصی که مدت هاست از سایت توسینسو استفاده می کنم باید بگم که واقعاً یکی از بهترین مرجع ها برای ارتقاء دانش شخصی هست. دوره های سایت، راهکارها و مطالب، همگی عالی هستند.
علی آقامیری
باید روی سیستم خودشون به control panel و بعد user management برید و add user کنید
اینجا کاربر دامین رو به عنوان local Admin معرفی کنید
  • انتخاب شده به عنوان جواب توسط 1 نفر
احسان قاسمی
اینو بلدم
دنبال یه راهی هستم که اگه بشه متمرکز این حرکتو بزنم
کسی که به پشتکار خود اعتماد دارد، ارزشی برای شانس قائل نیست.
Amir Moghaddam
داخل کنسول Active Directory Users & Computers گروهی بسازید (مثلا Local Admins)
داخل کنسول Group Policy یک GPO بسازید، به مسیر زیر برید:
Computer Configuration> Policies> Windows Settings> Security Settings> Restricted Groups
بر روی Restricted Groups کلیک راست کنید و Add Group رو انتخاب کنید، در پنجره ای که باز می شه تایپ کنید:
Administrators
در پنجره Administrators Properties در قسمت Members of this Group بر روی ADD کلیک کنید با کلیک بر روی Browse علاوه بر گروهی که ایجاد کردید گروه های زیر را اضافه کنید:
Your Domain\Local Admins
Your Domain\Domain Admins
Your Domain\Enterprise Admins
در آخر در همین قسمت بعد از کلیک بر روی ADD، بدون انتخاب Browse، تایپ کنید Administrator و Ok کنید.
به صورت پیش فرض وقتی سیستم به دامین Join می شه گروه های Domain Admins و Enterprise Admins عضو گروه Administrators لکال روی سیستم می شوند، اگر شما از طریق پالیسی که گفتم گروه یا کاربری را عضو ادمین لکال کنید دو گروه فوق بر روی سیستم ها دچار مشکل می شوند به همین خاطر اون دو گروه رو به همراه گروه Local Admins اضافه کردیم.
حالا چرا کاربر Administrator رو هم اضافه کردیم؟ وقتی ویندوز نصب می کنید کاربر Administrator پیش فرض غیر فعال هستش (مگه اینکه بعدا فعالش کرده باشیم). فرض بگیریم DC ها به مشکل بخورن یا یک مشکلی به وجود بیاد یا همه چی درسته اون سیستم خاص با سرور ارتباط نداره، با این تفاسیر نه کاربر معمولی، نه کاربری که ادمین لکال هستش، نه ادمین شبکه (کاربر Administrator دامین) نمی تونن به سیستم وارد بشن، تنها راه ورود به وسیله کاربر لکالی و از همه بهتر کاربر پیش فرض Administrator اون سیستم هستش، برای همین داخل اون پالیسی کاربر Administrator را اضافه کردیم. ولی دو چیز باقی می مونه، اول ممکن یک جا کاربر Administrator فعال باشه و روی سیستم دیگه غیر فعال باشه، پس باید تنظیم کنیم که تمام کاربران Administrator لکال فعال شوند و دوم همشون باید یک پسورد داشته باشند، به ترتیب برای تنظیم این موارد بر روی همین GPO که ایجاد کردید به مسیر زیر می ریم تا Administrator لکال رو فعال کنیم:
Computer Configuration> Policies> Windows Settings> Security Settings> Local Policies> Security Options> Accounts: Administrator Account Status
Define this Policy Setting را مارک و بعد Enable را انتخاب کنید.
دوم به مسیر زیر برید:
Computer Configuration> Preferences> Control Panel Settings> Local Users and Groups
بر روی قسمت آخر کلیک راست و New> Local User را انتخاب کنید در پنجر باز شده قسمت ها اینطور باشند:
Action: Update
User name: Administrator (built-in) انتخاب شود
Password: 123456
Confirm Password: 123456
Account never expires فقط مارک شود
البته پسورد که خودتون باید انتخاب کنید و در قسمت چک مارک ها هر طور که مدنظرتون هست اون رو انجام بدید. عین همین تنظیمات، پسورد و چک مارک را برای این مسیر هم انجام دهید.
User Configuration> Preferences> Control Panel Settings> Local Users and Groups
این پالیسی را به کل دامین یا به OU مورد نظر لینک کنید، و در آخر هر کاربری را که عضو گروه Local Admins کنید، بر روی هر سیستمی که Logon کند دسترسی لکال ادمین خواهد داشت.
Amir Moghaddam
  • انتخاب شده به عنوان جواب توسط 1 نفر
کسری قاسمی
جناب مقدم
قسمت دوم توضیحات شما (که مربوط به تنظیم پسورد هست)دیگه قابل انجام نیست و مایکروسافت به خاطر مشکل امنیتی که این قسمت داشته است اون را غیر فعال کرده است.


Amir Moghaddam
سلام
ممنون مهندس قاسمی عزیز، حق با شماست و من فراموش کردم که آخر پستم این نکته رو اضافه کنم که این فرآیند برای ویندوز سرور 2008 امکان پذیر هستش و از ویندوز سرور 2012 طبق فرمایشات شما غیر فعال شده. ولی تغییر رمز عبور کاربران Administrator پیش فرض به وسیله Power shell امکان پذیر هستش اما ایرادی که داره این هستش که موقع اعمال دستورات سیستم ها باید Online باشند، البته خروجی نشون میده که به کدوم سیستم ها اعمال شده و به کدوم نه.
دردسرش بیشتر شده.
Amir Moghaddam
پاسخ شما
برای ارسال پاسخ خود وارد شوید.
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره بهاره می تونی امروز ارزونتر از فردا خرید کنی ....