Restricted Groups چیست؟ آموزش استفاده از پالیسی Restricted Groups

چطور میشه کاربران لوکال رو محدود کرد وقتی شبکه تحت دامین است ؟ کلا در اینترنت فقط 2 تا مقاله خوب (سرچ هایی که خودم انجام دادم) به زبان فارسی در مورد Restricted Groups وجود داره یکی از استاد نصیری در مقاله بنام عضو کردن کاربران دامین به گروه local Administrators بصورت مرکزی ولی باز هم برای من سوال بود که Restricted Groups چیست؟

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

و احساس کردم احتمالا کسانی هستند مانند من این سوال تو ذهنوشون باشه پس تصمیم گرفتم یک سناریو کوچیک راه اندازی کنم و مفهوم این موضوع رو بیشتر باز کنم. همانطور که می دانید وقتی شبکه ای تحت Domain راه اندازی میکنیم همه PCها بجز DC ، کاربران میتوانند Local به سیستم Login کنند یعنی در واقع SAM سیستم حذف نشده و هر کاری میتوانند انجام بدهند و این خود یک باگ امنیتی حساب میشود ما برای حل این مشکل میتوانیم از طریق Restricted Groups کاربران Local نیز محدود کنیم.

در این سناریو یک دامین کنترولر بنام itpro.local راه اندازی کردم و یک ویندوز 7 Join آن کردم در این مقاله قصد ندارم شیوه ی join کردن رو آموزش بدهم و سریع وارد اصل مطلب می شوم. یک OU بنام Test درست کردم و Acount Computer مربوط به ویندوز 7 رو به آن Add کردم و یک User بنام User1 درون این OU می سازیم همچنین حتما یک Group باید بسازیم و User های خودمان را به آن Add میکنیم نام این Group را Test01 میگزاریم

وب سایت توسینسو

اگر الان با Local User به سیستم Login کنیم بدون هیچ محدودیتی هر تغییری را می توانیم انجام دهیم برای مثال وارد Computer Management میشویم میبینیم که هیچ User, Password ی از ما نمیخواهد

وب سایت توسینسو
وب سایت توسینسو

اگر وارد قسمت Groups شویم و گروه Administrators را باز کنیم میبینیم فقط Domain users و کاربران لوکال عضو این گروه هستند

وب سایت توسینسو

حالا وارد Group Policy دامین کنترولر می شویم با راست کلیک کردن روی OU مورد نظر یک Policy بنام Restricted Groups می سازیم و Edit را میزنیم

Computer Configuration > Policies > Security Settings > Restricted Groups
وب سایت توسینسو

و با راست کلیک میکنیم و Add Group را انتخاب میکنیم و در پنجره باز شده نام گروه مورد نظر خود یعنی Administrators را وارد میکنیم و توصیه میشود که Browse را نزنید OK را میزنیم

وب سایت توسینسو

سپس نام گروه هایی را که می خواهید عضو Local Administrators آن سیستم شوند را در قسمت بالا وارد کنید

وب سایت توسینسو

سپس gpupdate /force را وارد و به صورت Local وارد ویندوز 7 میشویم و اگر Computer Management را باز کنیم از ما User, Password میخواهد:

وب سایت توسینسو

سپس اگر گروه Administrators را باز کنیم میبینیم گروه هایی که اضافه کرده بودیم اینجا نیز اعمال شده

وب سایت توسینسو

موفق و پیروز باشید ...


نظرات