গোষ্ঠী নীতি: নির্দিষ্ট কম্পিউটারে নির্দিষ্ট ব্যবহারকারীদের জন্য প্রশাসকের অধিকার

আমি একজন প্রোগ্রামার একটি ছোট সংস্থার জন্য একটি অ্যাক্টিভ ডিরেক্টরি সেটআপ পরিচালনা করতে গিয়ে আটকে রয়েছি। ডোমেন নিয়ামকটি উইন্ডোজ ক্ষুদ্র ব্যবসা সার্ভার 2008 চালাচ্ছে।

ট্যাবলেট পিসি ব্যবহার করে আমাদের মাঠের কর্মী রয়েছে; ট্যাবলেটটির থিঙ্কভ্যান্টেজ ব্লাটওয়্যারের সাথে কনফিগারেশন সমস্যাগুলির জন্য এই ব্যবহারকারীদের ট্যাবলেটগুলি ব্যবহার করার সময় ঠিক প্রশাসক হওয়া দরকার। ঠিক আছে - ফোনে স্থির করে যখন এগুলি চালাচ্ছি তখন তাদের পক্ষে বিস্তৃত সুযোগ সুবিধা পাওয়া তাদের পক্ষে কার্যকর, সুতরাং আমি সেখানে কোনও কাজের সন্ধান করছি না।

আমি নিম্নলিখিত দৃশ্যাবলীটি সেট আপ করার জন্য গ্রুপ নীতি ব্যবহার করতে চাই: একটি নির্দিষ্ট সুরক্ষা গোষ্ঠীর (বা সংস্থা ইউনিট) কম্পিউটারগুলিতে লগ ইন করার সময় একটি বিশেষ সুরক্ষা গোষ্ঠীর (বা সংস্থা ইউনিট) ব্যবহারকারীদের অবশ্যই বিল্টিন / প্রশাসক গোষ্ঠীতে থাকা উচিত। কম্পিউটারগুলি যদি কোনও ওইউতে থাকতে হয় তবে এটি ঠিক আছে তবে আমি গোষ্ঠী অনুসারে ব্যবহারকারীদের নিয়োগ করতে পছন্দ করব।

অবশ্যই, মাঠের কর্মীরা অন্য ওয়ার্কস্টেশনে প্রশাসক হওয়া উচিত নয়, এবং ভ্যানিলা অফিসের কর্মীরা ট্যাবলেটে প্রশাসক হওয়া উচিত নয়।

বর্তমানে, প্রতিটি ট্যাবলেটে স্থানীয়ভাবে এটি পরিচালনা করা হচ্ছে, তবে আমরা নতুন ভাড়া যুক্ত করার সাথে সাথে এটি আরও ঝামেলা হয়ে উঠছে।

আমার কাছে মনে হচ্ছে সীমাবদ্ধ গোষ্ঠীগুলির উত্তর এখানে তবে এডি ধারণা এবং পদ্ধতিগুলিতে দৃ a় ভিত্তি ছাড়াই এটি ঘটাতে আমার খুব কষ্ট হচ্ছে।

এই কাজের জন্য উপযুক্ত কৌশলটি কী এবং আমি কীভাবে এটি বাস্তবায়ন করতে যাব?

ব্যবহারকারীদের (স্থানীয়-প্রশাসন-ট্যাবলেটগুলি) সজ্জিত করতে এবং তাদেরকে এই গোষ্ঠীতে যুক্ত করার জন্য একটি গোষ্ঠী তৈরি করুন

বর্তমান ওয়ার্কস্টেশনগুলি ওউর একটি উপ-ওইউ তৈরি করুন এবং ট্যাবলেটগুলি এখানে রাখুন (ওয়ার্কস্টেশনগুলি \ ট্যাবলেটগুলি)

একটি জিপিও (স্থানীয়-প্রশাসন-ট্যাবলেটগুলি-নীতি) তৈরি করুন এবং এটি ওয়ার্কস্টেশনগুলিতে লিঙ্ক করুন ts ট্যাবলেটগুলি OU

জিপিওতে নিম্নলিখিতটি সেট করুন:

• কমপ কনফিগার - নীতি - উইন্ডোজ সেটিংস - সুরক্ষা সেটিংস - সীমাবদ্ধ গোষ্ঠী
• রাইট ক্লিক করুন, গ্রুপ যুক্ত করুন
• "প্রশাসক", ঠিক আছে
• এই গোষ্ঠীর সদস্যগণ: মাইডোমাইন \ স্থানীয়-প্রশাসন-ট্যাবলেট

পিসিগুলি পুনরায় বুট করুন, এবং হয়ে গেল।

মনে রাখবেন যে সীমাবদ্ধ গোষ্ঠীগুলি সেট করা স্থানীয় প্রশাসকদের বিদ্যমান তালিকার মেশিনগুলিকে ওভাররাইট করে। যদি আপনার ইতিমধ্যে সেখানে অন্য ব্যবহারকারী / গোষ্ঠী থাকে তবে আপনার এগুলিও এই নীতিতে যুক্ত করতে হবে। অন্যান্য উদাহরণগুলি হ'ল মাইডোমাইন \ ডোমেন অ্যাডমিনস ইত্যাদি

সম্পাদনা: ওহ, এবং জিপিওতে ফিল্টারিং পরিবর্তন করুন এবং ডোমেন কম্পিউটার যুক্ত করুন । এটির সবচেয়ে সহজ উপায় হ'ল গ্রুপ পলিসি ম্যানেজমেন্ট এমএমসি স্ন্যাপিন ব্যবহার করা (আপনি মাইক্রোসফ্ট থেকে রিমোট সার্ভার প্রশাসন সরঞ্জামগুলি থেকে এটি পেতে পারেন )

ইজির উত্তর ঠিক আছে যদি আপনি প্রশাসনিক গোষ্ঠী স্থানীয় মেশিন থেকে ভবিষ্যতের পরিবর্তনগুলি থেকে কার্যকরভাবে লক হয়ে যায় সেদিকে খেয়াল রাখেন না। এটি নীতি সেটিংটি প্রয়োগের আগেই যে কোনও গোষ্ঠী যা ইতিমধ্যে প্রশাসক গোষ্ঠীর সদস্য ছিল সেগুলিও মুছে ফেলবে।

যাইহোক, আপনি সেই বিরক্তিগুলিকে অতিক্রম করার জন্য একই নীতি সেটিংটি কিছুটা ভিন্ন উপায়ে ব্যবহার করতে পারেন (ধরে নিলে আপনি তাদের বিরক্তিকর বিবেচনা করছেন)।

• পূর্বের মতো একইভাবে ওইউ / গ্রুপ কাঠামো তৈরি করুন
• আপনি যখন গোষ্ঠী নীতি অবজেক্টের সীমাবদ্ধ গোষ্ঠী বিভাগে রয়েছেন, তখন গ্রুপ যুক্ত করুন, তবে প্রশাসকদের নির্দিষ্ট করার পরিবর্তে , আপনার আধ্যাত্মিক \ স্থানীয়- প্রশাসন -ট্যাবলেটগুলি নির্দিষ্ট করুন ।
• ইন "এই দলের সদস্য হল" অধ্যায়, যোগ করুন এবং Enter ক্লিক করুন প্রশাসকগণ

এটি দুটি বিভাগের কাজ করার ক্ষেত্রে একটি সূক্ষ্ম তবে গুরুত্বপূর্ণ পার্থক্য। এই গোষ্ঠীর সদস্যরা কার্যকরভাবে "গ্রুপ এ এর ​​মধ্যে কেবলমাত্র গ্রুপ এক্স, ওয়াই এবং জেড থাকবে" হিসাবে কাজ করে। এই গোষ্ঠীটি "এফ গ্রুপ, এক্স এবং ওয়াই গ্রুপের সদস্য কিনা তা নিশ্চিত করুন" কার্যকরভাবে কাজ করার একটি সদস্য।

একবার আপনি সঙ্গে সেট নীতি করেছি এই দলের সদস্যরা , শুধুমাত্র জিনিস যে গ্রুপ এর সদস্য পরিবর্তন করতে পারেন একটি অগ্রাহ্য নীতি বস্তুর এছাড়াও ব্যবহার করে হয় এই দলের সদস্যরা বা অন্য কোন নীতি ব্যবহার করে এই গ্রুপ এর সদস্য ।

দেখে মনে হচ্ছে যে আপনাকে স্থানীয়ভাবে প্রশাসক গোষ্ঠীতে একটি ডোমেন গ্রুপ যুক্ত করার জন্য একটি গোষ্ঠী নীতি তৈরি করা দরকার all সাধারণ স্টার্টআপ স্ক্রিপ্ট বা গ্রুপ নীতি পছন্দগুলি সহ এটি সম্পাদন করা খুব সহজ ।

গ্রুপ সদস্যদের যুক্ত করতে সহজ স্টার্টআপ স্ক্রিপ্ট।

DomainName="example"
Set oShell = WScript.CreateObject("WScript.Shell")
Set oProcsEnv = oShell.Environment("Process")
ComputerName = oProcsEnv("COMPUTERNAME")
Set oGroup = GetObject("WinNT://" & ComputerName & "/" & "Administrators")
If Not oGroup.IsMember("WinNT://"&DomainName&"/_Group_Tablet_Admins") Then _
    oGroup.Add ("WinNT://"&DomainName&"/_Group_Tablet_Admins")

তালিকাভুক্ত সমাধানের একমাত্র সমস্যা হ'ল এটি নীতিটি প্রয়োগ করে এমন সমস্ত মেশিনকে স্থানীয় প্রশাসকের অধিকার দেয়। সাধারণত আপনি কেবল একটি নির্দিষ্ট মেশিনে প্রশাসকের অধিকার প্রদান করতে চান। আমি যা পর্যবেক্ষণ করেছি তা যখন কোনও ব্যবহারকারী বুঝতে পারে তাদের স্থানীয় প্রশাসক অধিকার আছে তারা তাদের সমস্ত সাথীর জন্য সফ্টওয়্যার ইনস্টল করতে যায়।

আপনি এটি করতে পারেন এমন বিভিন্ন উপায় রয়েছে তবে আমি কেবল একটি প্রস্তাব দিতে পারি। সুতরাং উপরের মতো পদক্ষেপগুলি সম্পূর্ণ করুন তবে প্রতিটি কম্পিউটারের জন্য একটি গ্রুপ তৈরি করুন যেখানে ব্যবহারকারীদের অতিরিক্ত অধিকারের প্রয়োজন। এই "কম্পিউটার গ্রুপ" এর প্রতিটি মাইডোমাইন \ লোকাল-অ্যাডমিনস গ্রুপে যুক্ত করা হয়েছে।

এরপরে ব্যবহারকারীরা সেই গোষ্ঠীতে যুক্ত হন যা মেশিনের সাথে তাদের অ্যাক্সেসের প্রয়োজন হয় correspond

সুতরাং তারা প্রশাসক তবে কেবল সেই মেশিনের।

আপনি বলছেন যে নতুন ভাড়া যোগ করাই কোনও ঝামেলা, তবে এটি কী নতুন ট্যাবলেট যুক্ত করা উচিত নয় যা ঝামেলা হতে পারে?

আমি এই লাইনের সাথে কিছু করছি:

একটি ডোমেন সুরক্ষা গোষ্ঠী রয়েছে যাতে এমন সমস্ত ব্যবহারকারী রয়েছে যা ট্যাবলেট পিসিতে প্রশাসক হওয়া উচিত (যেমন ট্যাবলেট প্রশাসক)।

প্রতিটি ট্যাবলেটে প্রশাসক গোষ্ঠীতে সেই গোষ্ঠীটি যুক্ত করুন।

এটি যথাযথ কৌশল বা না, আমি জানি না। এটি কেবলমাত্র প্রথম ধারণা যা বাস্তবায়নের জন্য আমার কাছে আসে।

আমি একটি স্ক্রিপ্ট লিখেছিলাম যা স্থানীয় ওয়ার্কস্টেশনে প্রশাসনিক অধিকার সহ কম্পিউটার নীতি হিসাবে চালিত হয়। এটি এডি-তে ব্যবহারকারীর বর্ণনায় সর্বশেষ লগ হয়েছে যা একটি ডোমেন প্রশাসক "অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারী এবং কম্পিউটার" থেকে সেট করতে পারে, যদি এতে ওয়ার্কস্টেশনের নাম থাকে তবে স্ক্রিপ্টটি ব্যবহারকারীকে স্থানীয় অ্যাডমিন গ্রুপে যুক্ত করে, যদি ওয়ার্কস্টেশনের নামটি না থাকে ব্যবহারকারীর বর্ণনা, এটি স্থানীয় প্রশাসক গোষ্ঠী থেকে ব্যবহারকারীকে সরিয়ে দেয়। একটি বর্ণনায় একাধিক কম্পিউটারের নাম অন্তর্ভুক্ত থাকতে পারে:

ব্যবহারকারীর বর্ণনা: "WKST-E445R এবং WKST-VM398 এ স্থানীয় প্রশাসন"

সুতরাং কাউকে কেবল একটি মেশিনে স্থানীয় প্রশাসক করতে, আমাকে কেবলমাত্র এডি তে ব্যবহারকারীর বর্ণনায় এই কম্পিউটারটির নাম যুক্ত করতে হবে এবং ব্যবহারকারীকে পুনরায় বুট করতে বলবে , এবং কম্পিউটারের নাম মুছে ফেলা স্থানীয় প্রশাসকের অধিকার সরিয়ে ফেলবে।

এটাই কি নেস্টেস্ট সলিউশন নয়? :-)

লিপিটি এখানে:

    @if "%debug%" neq "%username%" echo off
set ver=MakeLocalAdmin.cmd henrik@c o m m o r e.se 20150423
:: Adds last logged on domain user to local Administrators group if run by computer GPO with Administrative rights and the user's Comment contains Computername

set log=nul
:: or set log=c:\logs\MakeLocalAdmins.txt

:: Check who was last logged on user
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI" /v LastLoggedOnUser') DO (
set DomainAndUserName=%%G)

:: Remove the spaces
set DomainAndUserName=%DomainAndUserName: =%

:: Get only username part
set LastLoggedOnUserName=%DomainAndUserName:*\=%


:: Check OS language, so we can adapt to localized name of Admin group and Comment
FOR /F "tokens=3 delims= " %%G in ('reg query "hklm\system\controlset001\control\nls\language" /v Installlanguage') DO (
set Language=%%G)

echo %date% %Time% ; %0 ; %computername%; %LastLoggedOnUserName%; %DomainAndUserName%, %Language% >> %log%
goto %Language%

:: Add any langauage specific part below, but if an unknown install language is found,
:: an error 'label not found' should mean script terminates, but anyway make sure it terminates. 
goto end

:0409
:: English
net user /domain %LastLoggedOnUserName% | find "Comment " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrators /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrators /del "%DomainAndUserName%" >> %log%
goto end

:041D
:: Swedish 
:: †„” åäö (Swedish char's)
net user /domain %LastLoggedOnUserName% | find "Kommentar " | find "%computername%" >> %log%
set NoLocalAdmin=%errorlevel%
if %NoLocalAdmin% equ 0 net localgroup Administrat”rer /add "%DomainAndUserName%" >> %log%
if %NoLocalAdmin% equ 1 net localgroup Administrat”rer /del "%DomainAndUserName%" >> %log%
goto end



:end