הרשאות אדמיניסטרטיביות על Domain Controlls בסניף מרוחק.

כל התגובות

• 

  

  0

  היכנס כדי להצביע

  על פניו  נשמע כאילו זה בעייה של הרשאות גישה לשרת

  השאלה האם ואיזה הודאת שגיאה הוא מקבל כאשר הוא מנסה להכנס לDC

  והאם הוא מצליח כשהוא ניגש לCONSOLE של הDC או שיש שגיאה רק בRDP ?

   

  ותבדוק ב GP  Default Domain Controlls שהעתקת  האם המשתמש מופיע או שייך לקבוצה  שיש לה הרשאות LOGON LOCALY

  ---

  rez@sysdarts.com

  • נערך על-ידי Roei Even-Ziv יום רביעי 15 דצמבר 2010 14:43 תוספת

  יום רביעי 15 דצמבר 2010 14:42

  תגובה

  |

  ציטוט
• 

  

  0

  היכנס כדי להצביע

  תודה על התגובה.... :)

   

  שחכתי לציין שמקומית על ה-Console הוא מתחבר אין בעיה רק ב-RDP הבעיה.

  ב-User Rights Assignment יש למשתמש את כל ההרשאות שלדעתי נחוצות(כל מה שיש לאדמיניסטרטור) Logon Localy\Access This Computer From the Network  וכו'...

  אני כמוך בטוח שזאת בעיה של גישת הרשאות לשרת.

   

  שוב תודה.

  יום רביעי 15 דצמבר 2010 14:55

  תגובה

  |

  ציטוט
• 

  

  0

  היכנס כדי להצביע

  שלום רב,

  אחת מן המטרות של RODC הינה לתת מענה לסוגיה הנ"ל.

  מומלץ שתישמו את ההמלצה של MS בנושא.

  בהצלחה

  ---

  בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net

  יום רביעי 15 דצמבר 2010 23:05

  תגובה

  |

  ציטוט
• 

  

  0

  היכנס כדי להצביע

  שלום וערב טוב.

  מצתריף לדבריב של יובל

  העיין גם כאן:

  http://yshvili.com/index.php?option=com_content&task=view&id=131&Itemid=92

   

  בהצלחה ושבת שלום

  ---

  Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea

  יום חמישי 16 דצמבר 2010 20:22

  תגובה

  |

  ציטוט

  מנחה דיון
• 

  

  0

  היכנס כדי להצביע

  שלום

  לגבי RODC - זה שרת שיש לו הרבה מגבלות, ולפי הבנתי לא מתאים לכם, לכן אני חולק על ההמלצות שקיבלת בכיוון הזה.

  אם מדובר בסניף גדול יחסית שיש לו מנהל רשת מקומי, אז כנראה שהוא צריך לפחות שרת DC רגיל אחד, במיוחד אם יש גם EXCHANGE או משהו כזה באותו סניף.

  לגבי גישה ב RDP לשרת - האם בדקת את ההרשאות ב REMOTE DESKTOP SETTINGS, כרטיסיית SECURITY?

  אתה אמור להוסיף שם את המשתמש עם הרשאות להתחבר ב RDP .

  יזהר

   

  ---

  Yizhar Hurwitz http://yizhar.mvps.org

  יום שישי 17 דצמבר 2010 00:48

  תגובה

  |

  ציטוט
• 

  

  0

  היכנס כדי להצביע

  שלום חן,

  עשית נכון ואת השלבים הנכונים.

  תוכל לתת לו הרשאה מקומית באמצעות ה GPO המקומי בשרת:
  
  בהגדרות של user rights assignment:
  
  Allow log on through Remote Desktop Services
  
  וכדרך אגב, מעניין אותי לדעת למה אתה מעוניין לתת לו הרשאות כניסה לשרת DC ? האם לפעולות כמו כיבוי השרת ? (אם כן אז תתייחס גם להגדרה של Shutdown the system)
  
  למה שלא תתקין לו את כלי הניהול במחשב שלו לניהול המשתמשים והשירותים ? (ADUC, ADSS, ADDT)
  
  בהצלחה !!

  ---

  Haim Lazarovitch - MVP (Microsoft Most Valuable pofessional) MCTS, MCITP : server & Enterprise Administrator, MCP, MCSA, MCSE + Messaging, VCP, Exchange Server Forum Moderator. e-mail & Messenger: haim_laz@hotmail.com, blog: http://blogs.microsoft.co.il/blogs/HaimL

  • נערך על-ידי HAIM LModerator יום שלישי 21 דצמבר 2010 17:38

  יום שישי 17 דצמבר 2010 11:08

  תגובה

  |

  ציטוט

  מנחה דיון
• 

  

  0

  היכנס כדי להצביע

  נישארתי עם השלבים שעשיתי.(נקווה לטוב )     :)

  לחיים- האדמיניסטרטור בסניף המרוחק צריך הרשאות מלאות בעיקר ביגלל פוליטיקה בתוך הארגון אין שום סיבה ממשית. 

  וכמובן שלא רציתי לתת לו הרשאות לכול הארגון. 

  שרת ההדפסה נימצא על אחד מה-DC'S כך שהוא היה צריך הרשאות של print operator ובנוסף הוא היה צריך הרשאות לניהול משתמשים ולהכנסת מחשבים לדומיין,גיבוי וכו' כך שמהר מאד זה מגיע להרשאות של Administrator.

  ( כמובן שבדקתי את כל ה-Allow log on).

  שוב תודה.

   

   

   

  יום שני 20 דצמבר 2010 22:48

  תגובה

  |

  ציטוט
• 

  

  0

  היכנס כדי להצביע

  חן,

  אני מצטער שאני משבית שמחות, אבל אני מקווה שברור לך שעל DC אין כזה דבר "אדמיניסטרטור מקומי". כל אדמיניסטרטור על DC הוא אוטומטית חבר בקבוצת Administrators, אבל כיוון שב- DC אין שימוש ביוזרים וקבוצות מקומיות, למעשה הכנסת משתמש לשם אפקטיבית גורמת לו להיכנס לתפקיד של אדמיניסטרטור על כל ה- DCים בדומיין, בין אם תרצה את זה ובין אם לא.

  כל קומבינה אחרת דינה כדין כל קומבינה. ועדת חקירה אחרי הכישלון.

  אל תנסה להמציא את הגלגל. רוצה להרשות ליוזר הרשאות אדמיניסטרטיביות על DC מבלי לתת לו על DCים אחרים? עבוד עם RODC כפי שהומלץ לך. ברור שזה תסריט שלא יתאים לכל אחד ולכל מצב (ואכן, כשיש Exchange זה די יורד מהפרק), אבל זו האופציה, וכאמור כל משחק אחר הוא קומבינה, בטח שהעתקת GPOים למקומות שלא אמורים להיות שם ועוד.

  המלצתי - בדוק את מי שנותן לך ייעוץ לכיוון הזה, לך תדע איזה עוד קומבינות מתבשלות אצלכם שיתפוצצו לכם, אולי, מתישהו בעתיד. לא חסרות לי דוגמאות של קיצורי דרך כאלה, אבל המסקנות הן תמיד זהות.

  ---

  Daniel Petri - www.petri.co.il (email is first name @ this domain name)

  • סומן כתשובה על-ידי Daniel Petri יום רביעי 05 ינואר 2011 21:58

  יום רביעי 05 ינואר 2011 21:57

  תגובה

  |

  ציטוט
• 

  

  0

  היכנס כדי להצביע

  תראה קטונתי כן ....  אבל מבדיקות שלי עם המשתמש הזה הוא לא יכול לעשות כלום מחוץ ל-OU שלו חוץ מלראות .

  אני מאד מקווה שזה לא יתפוצץ לי. מה שכן RODC זה לא הפתרון בשבילי. מאד מקווה ש-MS יפשטו את העניין הזה מתי שהוא.

   

  תודה על התגובה ..... אני לא הייתי בוחר להיות חד משמעי כמוך, לא חסרות ל-MS טעויות.

   

  יום רביעי 05 ינואר 2011 22:58

  תגובה

  |

  ציטוט
• 

  

  0

  היכנס כדי להצביע

  לא אמרתי שאי אפשר לתת לאדם הרשאות על OUים. התכוונתי שאי אפשר לתת לאדם הרשאות אדמיניסטרטיביות על DC, וזאת מבלי לתת לו באותה נשימה אותן הרשאות על כל ה- DCים בדומיין . על זה אין ויכוח, והדרך היחידה להימנע מזה היא להשתמש ב- RODC שכאמור לא מתאים לתסריט שלכם.

  ---

  Daniel Petri - www.petri.co.il (email is first name @ this domain name)

  יום חמישי 06 ינואר 2011 20:11

  תגובה

  |

  ציטוט
• 

  

  0

  היכנס כדי להצביע

  OK.

   

  תודה רבה על התשובה המושקעת ועל ההיתיחסות החוזרת.

  יום חמישי 06 ינואר 2011 21:33

  תגובה

  |

  ציטוט