কীভাবে একটি সীমাবদ্ধ "ডোমেন প্রশাসক" তৈরি করবেন যাতে ডোমেন নিয়ন্ত্রকদের অ্যাক্সেস নেই?

14

আমি একটি ডোমেন প্রশাসনের মতো একটি অ্যাকাউন্ট তৈরি করতে চাইছি তবে ডোমেন নিয়ন্ত্রকদের অ্যাক্সেস ছাড়াই। অন্য কথায়, এই অ্যাকাউন্টটিতে ডোমেনের যে কোনও ক্লায়েন্ট মেশিনের পুরো প্রশাসকের অধিকার থাকবে, ডোমেনে মেশিন যুক্ত করতে সক্ষম হবে, তবে সার্ভারগুলিতে কেবল ব্যবহারকারীদের সীমিত অধিকার রয়েছে।

এই অ্যাকাউন্টটি কোনও ব্যক্তি কোনও শেষ-ব্যবহারকারী প্রযুক্তিগত সহায়তা ধরণের ভূমিকার ক্ষেত্রে ব্যবহার করবে। ড্রাইভার, অ্যাপ্লিকেশন ইত্যাদি ইনস্টল করার জন্য তাদের ক্লায়েন্ট মেশিনে সম্পূর্ণ অ্যাক্সেস থাকা উচিত ... তবে আমি সেগুলি সার্ভারে চাই না।

যদিও আমি নীতি মাধ্যমে নিজেকে একসাথে কিছু ছুঁড়ে মারতে পারছিলাম, সম্ভবত এটি অগোছালো হয়ে উঠবে তাই আমি বুঝতে পেরেছিলাম: এই সম্পর্কে সঠিক উপায় কী ?

security  active-directory 
বোডেন
সূত্র

উত্তর:

15

আমরা আমাদের প্রত্যন্ত অফিসগুলিতে এর অনুরূপ কিছু করি। প্রথমে ডোমেনে psuedo- প্রশাসকদের জন্য একটি গ্রুপ তৈরি করুন। এডি তে, ওইউর নিয়ন্ত্রণের প্রতিনিধিদের তাদের পরিচালনা করতে হবে (অ্যাকাউন্টগুলি তৈরি / মুছুন, অথবা কেবল পাসওয়ার্ডগুলি পুনরায় সেট করুন, বা কিছুই নয়)।

তারপরে কম্পিউটার \ উইন্ডোজ সেটিংস \ সুরক্ষা সেটিংস \ সীমাবদ্ধ গোষ্ঠীগুলি ব্যবহার করে ওয়ার্কস্টেশন এবং সার্ভারগুলিতে স্থানীয় প্রশাসক গোষ্ঠীতে আপনার গোষ্ঠী যুক্ত করতে গ্রুপ নীতি ব্যবহার করুন । এই নীতিটি ডোমেন কন্ট্রোলারগুলি OU বা আপনার সার্ভারগুলিতে থাকা OUগুলিতে স্থাপন করবেন না।

এটি স্পষ্টতই ক্লায়েন্ট সিস্টেমগুলি সার্ভারগুলি থেকে পৃথক করার জন্য একটি এডি কনফিগার করা উপর নির্ভর করে।

ডগ লাক্সেম
সূত্র
3

আমরা যেমন অ্যাক্টিভ ডিরেক্টরি পরিবেশে এগিয়ে চলেছি যেখানে ইউএসি একটি আদর্শ বৈশিষ্ট্য আপনাকে এটিও বিবেচনায় নিতে হবে।

ডিফল্টরূপে কেবলমাত্র স্থানীয় প্রশাসক অ্যাকাউন্ট এবং ডোমেন প্রশাসনের সদস্যরা স্বয়ংক্রিয়ভাবে উচ্চতা লাভ করে এবং এটি অনেক কিছুর জন্য প্রয়োজন (দূরবর্তী অ্যাডমিন শেয়ারের সাথে সংযোগ স্থাপন একটি, স্পষ্টতই এটি এমএসএমকিউ এবং এনএলবি কনফিগার করার ক্ষেত্রেও একটি সমস্যা, আমি অবশ্যই নিশ্চিত যে অন্যরাও রয়েছেন) কেবলমাত্র স্থানীয় প্রশাসকদের অ্যাকাউন্টে একটি নতুন গোষ্ঠী স্থাপন করা যথেষ্ট নাও হতে পারে।

এটিকে পেতে আপনাকে "ব্যবহারকারী অ্যাকাউন্ট নিয়ন্ত্রণ: প্রশাসনের অনুমোদন মোডে প্রশাসকদের জন্য উন্নয়নের প্রম্পটের আচরণ" স্থানীয় নীতিমালা, স্থানীয় সুরক্ষা সেটিংসের অধীনে সুরক্ষা নীতি এবং "নো প্রম্পট" এ মান সেট করতে হবে । আশা করি মাইক্রোসফ্ট ভবিষ্যতে এটি করার আরও বেশি লক্ষ্যযুক্ত উপায় নিয়ে আসবে (বা প্রয়োজনীয় অনুমোদনের প্রম্পট এডাব্লুএলএল যায় এমন প্রান্তের কেসগুলি ঠিক করবে)।

Helvick
সূত্র
2

এটা চেষ্টা কর. এটি এখনও অবধি পাওয়া সহজতম উপায়: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx মূলত, AD এর 'কম্পিউটার' ফোল্ডারে ডান ক্লিক করুন, এবং 'প্রতিনিধি নিয়ন্ত্রণ' নির্বাচন করুন। উইজার্ড অনুসরণ করুন। সমস্ত সার্ভার সংস্করণে কাজ করে।

অ্যালান
সূত্র
0

একটি অনুমতি গোষ্ঠী সেট আপ করুন, আপনি যে কম্পিউটারগুলি চান সেগুলি সেই গোষ্ঠীর সদস্যদের পরিচালনা করতে সক্ষম করুন এবং সেই গোষ্ঠীতে থাকা জিনিসগুলির উপরে তাকে সম্পূর্ণ নিয়ন্ত্রণ দিন।

অনেকটাই অকপট. সক্রিয় ডিরেক্টরি আসলে এই ধরণের ইস্যুর জন্য তৈরি করা হয়। কেবলমাত্র একটি নতুন গ্রুপ ফোল্ডার তৈরি করুন, এবং বৈশিষ্ট্যের অধীনে সুরক্ষা সেটিংস পরিবর্তন করুন।

Satanicpuppy
সূত্র
কীভাবে তিনি এই গোষ্ঠীর সদস্যদের ডোমেন থেকে ওয়ার্কস্টেশনগুলি যুক্ত করতে এবং সরিয়ে দেওয়ার সক্ষমতা দেবেন?
tomjedrz
@ টমজেদারজ শুভ কল। একটুও দেখেনি। আমি জানি না ... আমরা যদি লোকেরা পুরো প্রশাসক না হন তবে আমরা ডোমেনে ঘৃণা করতে দেব না।
শয়তানিকপিপি
আপনি নির্দিষ্ট OU এর নিম্ন স্তরের অ্যাকাউন্টগুলিতে [সীমাবদ্ধ] অধিকারগুলি অর্পণ করতে পারেন তবে গণ্ডগোল এড়াতে আপনি উপযুক্ত ওইউতে মেশিন অ্যাকাউন্টগুলি প্রিপোপুলেট করতে চাইতে পারেন।
হেলভিক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.