משיב מוביל
הרשאות אדמיניסטרטיביות על Domain Controlls בסניף מרוחק.

שאלה
-
האם קיים איזהוא מסמך איך לתת למנהל רשת של סניף של חברה הרשאות מקומיות על כל מה המשאבים של אותו סניף,כולל שרתים\תחנות\דומיין קונטרולרים.
הבעיה שלי היום היא עם גישה של האדמיניסטרטור המקומי לדומיין קונטרולר באותו סניף. (אני לא רוצה לתת לו הרשאות אדמיניסטטיביות בדומיין)
הקונטרולרים בסניף המרוחק הם לא RODC וכול הדומיין הוא Windows 2008 R2.
שלבים שכבר ביצעתי.
1.הרשאות באקטיב דירקטורי על הקונטיינר של הסניף.
2.הוספת קבוצה עם הרשאות אדמיניסטרטיביות לתחנות ולשרתים המקומיים בעזרת Restricted Group.
3.העתקת GP Default Domain Controlls לקונטיינר החדש שתחתיו נמצאים הדומיין קונטרולר'ס של אותו סניף והוספת הקבוצה של אותו סניף ב-User Rights (כמו - Administrators).
עדיין לא מצליח לעשות עם אותו משתמש Remote Desktop ל - Domain Controllers.
תודה מראש לעוזרים.
תשובות
-
חן,
אני מצטער שאני משבית שמחות, אבל אני מקווה שברור לך שעל DC אין כזה דבר "אדמיניסטרטור מקומי". כל אדמיניסטרטור על DC הוא אוטומטית חבר בקבוצת Administrators, אבל כיוון שב- DC אין שימוש ביוזרים וקבוצות מקומיות, למעשה הכנסת משתמש לשם אפקטיבית גורמת לו להיכנס לתפקיד של אדמיניסטרטור על כל ה- DCים בדומיין, בין אם תרצה את זה ובין אם לא.
כל קומבינה אחרת דינה כדין כל קומבינה. ועדת חקירה אחרי הכישלון.
אל תנסה להמציא את הגלגל. רוצה להרשות ליוזר הרשאות אדמיניסטרטיביות על DC מבלי לתת לו על DCים אחרים? עבוד עם RODC כפי שהומלץ לך. ברור שזה תסריט שלא יתאים לכל אחד ולכל מצב (ואכן, כשיש Exchange זה די יורד מהפרק), אבל זו האופציה, וכאמור כל משחק אחר הוא קומבינה, בטח שהעתקת GPOים למקומות שלא אמורים להיות שם ועוד.
המלצתי - בדוק את מי שנותן לך ייעוץ לכיוון הזה, לך תדע איזה עוד קומבינות מתבשלות אצלכם שיתפוצצו לכם, אולי, מתישהו בעתיד. לא חסרות לי דוגמאות של קיצורי דרך כאלה, אבל המסקנות הן תמיד זהות.
Daniel Petri - www.petri.co.il (email is first name @ this domain name)- סומן כתשובה על-ידי Daniel Petri יום רביעי 05 ינואר 2011 21:58
כל התגובות
-
על פניו נשמע כאילו זה בעייה של הרשאות גישה לשרת
השאלה האם ואיזה הודאת שגיאה הוא מקבל כאשר הוא מנסה להכנס לDC
והאם הוא מצליח כשהוא ניגש לCONSOLE של הDC או שיש שגיאה רק בRDP ?
ותבדוק ב GP Default Domain Controlls שהעתקת האם המשתמש מופיע או שייך לקבוצה שיש לה הרשאות LOGON LOCALY
rez@sysdarts.com- נערך על-ידי Roei Even-Ziv יום רביעי 15 דצמבר 2010 14:43 תוספת
-
תודה על התגובה.... :)
שחכתי לציין שמקומית על ה-Console הוא מתחבר אין בעיה רק ב-RDP הבעיה.
ב-User Rights Assignment יש למשתמש את כל ההרשאות שלדעתי נחוצות(כל מה שיש לאדמיניסטרטור) Logon Localy\Access This Computer From the Network וכו'...
אני כמוך בטוח שזאת בעיה של גישת הרשאות לשרת.
שוב תודה.
-
-
שלום וערב טוב.
מצתריף לדבריב של יובל
העיין גם כאן:
http://yshvili.com/index.php?option=com_content&task=view&id=131&Itemid=92
בהצלחה ושבת שלום
Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea -
שלום
לגבי RODC - זה שרת שיש לו הרבה מגבלות, ולפי הבנתי לא מתאים לכם, לכן אני חולק על ההמלצות שקיבלת בכיוון הזה.
אם מדובר בסניף גדול יחסית שיש לו מנהל רשת מקומי, אז כנראה שהוא צריך לפחות שרת DC רגיל אחד, במיוחד אם יש גם EXCHANGE או משהו כזה באותו סניף.
לגבי גישה ב RDP לשרת - האם בדקת את ההרשאות ב REMOTE DESKTOP SETTINGS, כרטיסיית SECURITY?
אתה אמור להוסיף שם את המשתמש עם הרשאות להתחבר ב RDP .
יזהר
Yizhar Hurwitz http://yizhar.mvps.org -
שלום חן,
עשית נכון ואת השלבים הנכונים.
תוכל לתת לו הרשאה מקומית באמצעות ה GPO המקומי בשרת:
בהגדרות של user rights assignment:
Allow log on through Remote Desktop Services
וכדרך אגב, מעניין אותי לדעת למה אתה מעוניין לתת לו הרשאות כניסה לשרת DC ? האם לפעולות כמו כיבוי השרת ? (אם כן אז תתייחס גם להגדרה של Shutdown the system)
למה שלא תתקין לו את כלי הניהול במחשב שלו לניהול המשתמשים והשירותים ? (ADUC, ADSS, ADDT)
בהצלחה !!
Haim Lazarovitch - MVP (Microsoft Most Valuable pofessional) MCTS, MCITP : server & Enterprise Administrator, MCP, MCSA, MCSE + Messaging, VCP, Exchange Server Forum Moderator. e-mail & Messenger: haim_laz@hotmail.com, blog: http://blogs.microsoft.co.il/blogs/HaimL- נערך על-ידי HAIM LModerator יום שלישי 21 דצמבר 2010 17:38
-
נישארתי עם השלבים שעשיתי.(נקווה לטוב ) :)
לחיים- האדמיניסטרטור בסניף המרוחק צריך הרשאות מלאות בעיקר ביגלל פוליטיקה בתוך הארגון אין שום סיבה ממשית.
וכמובן שלא רציתי לתת לו הרשאות לכול הארגון.
שרת ההדפסה נימצא על אחד מה-DC'S כך שהוא היה צריך הרשאות של print operator ובנוסף הוא היה צריך הרשאות לניהול משתמשים ולהכנסת מחשבים לדומיין,גיבוי וכו' כך שמהר מאד זה מגיע להרשאות של Administrator.
( כמובן שבדקתי את כל ה-Allow log on).
שוב תודה.
-
חן,
אני מצטער שאני משבית שמחות, אבל אני מקווה שברור לך שעל DC אין כזה דבר "אדמיניסטרטור מקומי". כל אדמיניסטרטור על DC הוא אוטומטית חבר בקבוצת Administrators, אבל כיוון שב- DC אין שימוש ביוזרים וקבוצות מקומיות, למעשה הכנסת משתמש לשם אפקטיבית גורמת לו להיכנס לתפקיד של אדמיניסטרטור על כל ה- DCים בדומיין, בין אם תרצה את זה ובין אם לא.
כל קומבינה אחרת דינה כדין כל קומבינה. ועדת חקירה אחרי הכישלון.
אל תנסה להמציא את הגלגל. רוצה להרשות ליוזר הרשאות אדמיניסטרטיביות על DC מבלי לתת לו על DCים אחרים? עבוד עם RODC כפי שהומלץ לך. ברור שזה תסריט שלא יתאים לכל אחד ולכל מצב (ואכן, כשיש Exchange זה די יורד מהפרק), אבל זו האופציה, וכאמור כל משחק אחר הוא קומבינה, בטח שהעתקת GPOים למקומות שלא אמורים להיות שם ועוד.
המלצתי - בדוק את מי שנותן לך ייעוץ לכיוון הזה, לך תדע איזה עוד קומבינות מתבשלות אצלכם שיתפוצצו לכם, אולי, מתישהו בעתיד. לא חסרות לי דוגמאות של קיצורי דרך כאלה, אבל המסקנות הן תמיד זהות.
Daniel Petri - www.petri.co.il (email is first name @ this domain name)- סומן כתשובה על-ידי Daniel Petri יום רביעי 05 ינואר 2011 21:58
-
תראה קטונתי כן .... אבל מבדיקות שלי עם המשתמש הזה הוא לא יכול לעשות כלום מחוץ ל-OU שלו חוץ מלראות .
אני מאד מקווה שזה לא יתפוצץ לי. מה שכן RODC זה לא הפתרון בשבילי. מאד מקווה ש-MS יפשטו את העניין הזה מתי שהוא.
תודה על התגובה ..... אני לא הייתי בוחר להיות חד משמעי כמוך, לא חסרות ל-MS טעויות.
-
לא אמרתי שאי אפשר לתת לאדם הרשאות על OUים. התכוונתי שאי אפשר לתת לאדם הרשאות אדמיניסטרטיביות על DC, וזאת מבלי לתת לו באותה נשימה אותן הרשאות על כל ה- DCים בדומיין . על זה אין ויכוח, והדרך היחידה להימנע מזה היא להשתמש ב- RODC שכאמור לא מתאים לתסריט שלכם.
Daniel Petri - www.petri.co.il (email is first name @ this domain name) -