هنگامی که یک کاربر مثلا helpdesk میسازید این کاربر در شبکه دامینی همیشه یک کاربر معمولی خواهد بود و دسترسی ادمینی به این سیستم ها ندارد ، اشتباه رایج این است که پسورد Administrator را به هلپ دسک ها بدیم یا آنها را عضو administrator domain کنیم ، گروهی را در اکتیودایرکتوری بسازید و آنها را عضو لوکال گروه های کلاینت ها قرار می دهیم
- اگر کلاینت ها تعدادشان زیاد نیست می توانید کاربر یا کاربران هلپ دسک را به صورت لوکالی در گروه administrators ویندوز کلاینت ها اضافه کنید
- اگر یوزر ها زیادن بهترین ابزار همان restricted-groups است ، در اکتیودایرکتوری کامپیوتر اکانت را در یک OU مجزا قرار دهید یک طراحی استاندارد انجام دهید و یک زیرشاخه ou مثلاً به نام clients ایجاد کنید و گروپ پالیسی را باز کنید در بخش Group Policy Managment کانتینر ها نمایش داده نمی شوند و نمایی از اکتیودایرکتوری با ou ها هستند حالا برای ou ها یوزر یا گروه تعریف کنید ، اگر چندین هلپ دسک دارین یک Group ایجاد کنید حالا دو ou مجزا داریم
- ou-pc
- ou-helpdesk
هر دو هم ou زیر شاخه ای به نام clients ها دارند
- روی ou >>> Clients در OU-PC راست کلیک و یک GPO جدید ایجاد می کنیم و نامش رو GPO-RestrictedGroups مثلاً قرار دادیم و حالا Edit را بزنید فولدر Restricted Groups در سربرگ Computer Configuration در زیر شاخه windows settings و security settings در Restricted Groups قرار دارد روی این سربرگ در سمت راست صفحه راست کلیک کرده و add Group را بزنید
- در کادر add Group میخواهیم مشخص کنیم چه گروهی داخل administrators لوکال کلاینت ها اضافه شود در این کادر گروه Administrators را تایپ کنید ( نکته Browse نزنید اون برای گروه ها و یوزر های اکتیو دایرکتوری است ) در بخش بعدی 2 گزینه دارید گزینه اولی اعضا و در گزینه پایینی این است که خودش عضو چه گروهی باشد ، با گزینه اول کار داریم add را بزنید و گروهی که داخل دامین تعریف کردیم را اضافه می کنیم که من helpdesks تعریف کردم
نکته : تمامی گروه های administrators لوکال عیناً همان اعضایی می شوند که شما در بخش بالا تعریف کرده اید اگر اعضایی قبلاً داشته باشد همگی حذف می شوند
نکته : با توجه به نکته بالا فراموش نکنید که گروه domain admins همیشه باید در administrators کلاینت ها وجود داشته باشد
نکته : کلاینت ها هر 90 تا 120 دقیقه یکبار می روند و آپدیت های گروپ پالیسی را چک می کنند روی کلاینت ها دستور gpupdate/force در RUN رو بزنید در RUN اگر lusrmgr.msc را تایپ کنید باید هر دو گروه helpdesks و domain را مشاهده کنید
کاربرد دوم Restricted-Groups
- در این روش نمی خواهیم اعضای لوکال کلاینت ها حذف شوند و گروه هایی که در گروپ پالیسی اعمال می کنیم فقط ایجاد شوند ، مراحل :
- در همان مسیر computer configure در سمت راست Restricted-Groups راست کلیک و add Group بزنید گروه ساخته شده در اکتیودایرکتوری که همان helpdesks بود را تعریف کنید و در صفحه propertices گزینه دوم و پایین صفحه This Group is a member of را بزنید add بزنید و فقط اسم گروه که در اینجا Administrators است را بزنید
- ۰۰/۰۳/۱۹