none
הרשאות אדמיניסטרטיביות על Domain Controlls בסניף מרוחק. RRS feed

  • שאלה

  • האם קיים איזהוא מסמך איך לתת למנהל רשת של סניף של חברה הרשאות מקומיות על כל מה המשאבים של אותו סניף,כולל שרתים\תחנות\דומיין קונטרולרים.

    הבעיה שלי היום היא עם גישה של האדמיניסטרטור המקומי לדומיין קונטרולר באותו סניף. (אני לא רוצה לתת לו הרשאות אדמיניסטטיביות בדומיין)

    הקונטרולרים בסניף המרוחק הם לא RODC וכול הדומיין הוא Windows 2008 R2.

     

    שלבים שכבר ביצעתי.

     

    1.הרשאות באקטיב דירקטורי על הקונטיינר של הסניף.

    2.הוספת קבוצה עם הרשאות אדמיניסטרטיביות לתחנות ולשרתים המקומיים בעזרת Restricted Group.

    3.העתקת   GP  Default Domain Controlls לקונטיינר החדש שתחתיו נמצאים הדומיין קונטרולר'ס של אותו סניף והוספת הקבוצה של אותו סניף ב-User Rights (כמו - Administrators).

     

    עדיין לא מצליח לעשות עם אותו משתמש Remote Desktop ל - Domain Controllers.

     

    תודה מראש לעוזרים.

     

     

     

     

    יום רביעי 15 דצמבר 2010 11:21

תשובות

  • חן,

    אני מצטער שאני משבית שמחות, אבל אני מקווה שברור לך שעל DC אין כזה דבר "אדמיניסטרטור מקומי". כל אדמיניסטרטור על DC הוא אוטומטית חבר בקבוצת Administrators, אבל כיוון שב- DC אין שימוש ביוזרים וקבוצות מקומיות, למעשה הכנסת משתמש לשם אפקטיבית גורמת לו להיכנס לתפקיד של אדמיניסטרטור על כל ה- DCים בדומיין, בין אם תרצה את זה ובין אם לא.

    כל קומבינה אחרת דינה כדין כל קומבינה. ועדת חקירה אחרי הכישלון.

    אל תנסה להמציא את הגלגל. רוצה להרשות ליוזר הרשאות אדמיניסטרטיביות על DC מבלי לתת לו על DCים אחרים? עבוד עם RODC כפי שהומלץ לך. ברור שזה תסריט שלא יתאים לכל אחד ולכל מצב (ואכן, כשיש Exchange זה די יורד מהפרק), אבל זו האופציה, וכאמור כל משחק אחר הוא קומבינה, בטח שהעתקת GPOים למקומות שלא אמורים להיות שם ועוד.

    המלצתי - בדוק את מי שנותן לך ייעוץ לכיוון הזה, לך תדע איזה עוד קומבינות מתבשלות אצלכם שיתפוצצו לכם, אולי, מתישהו בעתיד. לא חסרות לי דוגמאות של קיצורי דרך כאלה, אבל המסקנות הן תמיד זהות.


    Daniel Petri - www.petri.co.il (email is first name @ this domain name)
    • סומן כתשובה על-ידי Daniel Petri יום רביעי 05 ינואר 2011 21:58
    יום רביעי 05 ינואר 2011 21:57

כל התגובות

  • על פניו  נשמע כאילו זה בעייה של הרשאות גישה לשרת

    השאלה האם ואיזה הודאת שגיאה הוא מקבל כאשר הוא מנסה להכנס לDC

    והאם הוא מצליח כשהוא ניגש לCONSOLE של הDC או שיש שגיאה רק בRDP ?

     

    ותבדוק ב GP  Default Domain Controlls שהעתקת  האם המשתמש מופיע או שייך לקבוצה  שיש לה הרשאות LOGON LOCALY


    rez@sysdarts.com
    • נערך על-ידי Roei Even-Ziv יום רביעי 15 דצמבר 2010 14:43 תוספת
    יום רביעי 15 דצמבר 2010 14:42
  • תודה על התגובה.... :)

     

    שחכתי לציין שמקומית על ה-Console הוא מתחבר אין בעיה רק ב-RDP הבעיה.

    ב-User Rights Assignment יש למשתמש את כל ההרשאות שלדעתי נחוצות(כל מה שיש לאדמיניסטרטור) Logon Localy\Access This Computer From the Network  וכו'...

    אני כמוך בטוח שזאת בעיה של גישת הרשאות לשרת.

     

    שוב תודה.

    יום רביעי 15 דצמבר 2010 14:55
  • שלום רב,

    אחת מן המטרות של RODC הינה לתת מענה לסוגיה הנ"ל.

    מומלץ שתישמו את ההמלצה של MS בנושא.

    בהצלחה


    בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net
    יום רביעי 15 דצמבר 2010 23:05
  • שלום וערב טוב.

    מצתריף לדבריב של יובל

    העיין גם כאן:

    http://yshvili.com/index.php?option=com_content&task=view&id=131&Itemid=92

     

    בהצלחה ושבת שלום


    Yaniv Totshvili http://www.yshvili.com http://itportal.co.il blog: http://blogs.microsoft.co.il/blogs/yanivlea
    יום חמישי 16 דצמבר 2010 20:22
    מנחה דיון
  • שלום

    לגבי RODC - זה שרת שיש לו הרבה מגבלות, ולפי הבנתי לא מתאים לכם, לכן אני חולק על ההמלצות שקיבלת בכיוון הזה.

    אם מדובר בסניף גדול יחסית שיש לו מנהל רשת מקומי, אז כנראה שהוא צריך לפחות שרת DC רגיל אחד, במיוחד אם יש גם EXCHANGE או משהו כזה באותו סניף.

    לגבי גישה ב RDP לשרת - האם בדקת את ההרשאות ב REMOTE DESKTOP SETTINGS, כרטיסיית SECURITY?

    אתה אמור להוסיף שם את המשתמש עם הרשאות להתחבר ב RDP .

    יזהר

     


    Yizhar Hurwitz http://yizhar.mvps.org
    יום שישי 17 דצמבר 2010 00:48
  • שלום חן,

    עשית נכון ואת השלבים הנכונים.

    תוכל לתת לו הרשאה מקומית באמצעות ה GPO המקומי בשרת:

    בהגדרות של user rights assignment:

    Allow log on through Remote Desktop Services

    וכדרך אגב, מעניין אותי לדעת למה אתה מעוניין לתת לו הרשאות כניסה לשרת DC ? האם לפעולות כמו כיבוי השרת ? (אם כן אז תתייחס גם להגדרה של Shutdown the system)

    למה שלא תתקין לו את כלי הניהול במחשב שלו לניהול המשתמשים והשירותים ? (ADUC, ADSS, ADDT)

    בהצלחה !!


    Haim Lazarovitch - MVP (Microsoft Most Valuable pofessional) MCTS, MCITP : server & Enterprise Administrator, MCP, MCSA, MCSE + Messaging, VCP, Exchange Server Forum Moderator. e-mail & Messenger: haim_laz@hotmail.com, blog: http://blogs.microsoft.co.il/blogs/HaimL
    • נערך על-ידי HAIM LModerator יום שלישי 21 דצמבר 2010 17:38
    יום שישי 17 דצמבר 2010 11:08
    מנחה דיון
  • נישארתי עם השלבים שעשיתי.(נקווה לטוב )     :)

    לחיים- האדמיניסטרטור בסניף המרוחק צריך הרשאות מלאות בעיקר ביגלל פוליטיקה בתוך הארגון אין שום סיבה ממשית. 

    וכמובן שלא רציתי לתת לו הרשאות לכול הארגון. 

    שרת ההדפסה נימצא על אחד מה-DC'S כך שהוא היה צריך הרשאות של print operator ובנוסף הוא היה צריך הרשאות לניהול משתמשים ולהכנסת מחשבים לדומיין,גיבוי וכו' כך שמהר מאד זה מגיע להרשאות של Administrator.

    ( כמובן שבדקתי את כל ה-Allow log on).

    שוב תודה.

     

     

     

    יום שני 20 דצמבר 2010 22:48
  • חן,

    אני מצטער שאני משבית שמחות, אבל אני מקווה שברור לך שעל DC אין כזה דבר "אדמיניסטרטור מקומי". כל אדמיניסטרטור על DC הוא אוטומטית חבר בקבוצת Administrators, אבל כיוון שב- DC אין שימוש ביוזרים וקבוצות מקומיות, למעשה הכנסת משתמש לשם אפקטיבית גורמת לו להיכנס לתפקיד של אדמיניסטרטור על כל ה- DCים בדומיין, בין אם תרצה את זה ובין אם לא.

    כל קומבינה אחרת דינה כדין כל קומבינה. ועדת חקירה אחרי הכישלון.

    אל תנסה להמציא את הגלגל. רוצה להרשות ליוזר הרשאות אדמיניסטרטיביות על DC מבלי לתת לו על DCים אחרים? עבוד עם RODC כפי שהומלץ לך. ברור שזה תסריט שלא יתאים לכל אחד ולכל מצב (ואכן, כשיש Exchange זה די יורד מהפרק), אבל זו האופציה, וכאמור כל משחק אחר הוא קומבינה, בטח שהעתקת GPOים למקומות שלא אמורים להיות שם ועוד.

    המלצתי - בדוק את מי שנותן לך ייעוץ לכיוון הזה, לך תדע איזה עוד קומבינות מתבשלות אצלכם שיתפוצצו לכם, אולי, מתישהו בעתיד. לא חסרות לי דוגמאות של קיצורי דרך כאלה, אבל המסקנות הן תמיד זהות.


    Daniel Petri - www.petri.co.il (email is first name @ this domain name)
    • סומן כתשובה על-ידי Daniel Petri יום רביעי 05 ינואר 2011 21:58
    יום רביעי 05 ינואר 2011 21:57
  • תראה קטונתי כן ....  אבל מבדיקות שלי עם המשתמש הזה הוא לא יכול לעשות כלום מחוץ ל-OU שלו חוץ מלראות .

    אני מאד מקווה שזה לא יתפוצץ לי. מה שכן RODC זה לא הפתרון בשבילי. מאד מקווה ש-MS יפשטו את העניין הזה מתי שהוא.

     

    תודה על התגובה ..... אני לא הייתי בוחר להיות חד משמעי כמוך, לא חסרות ל-MS טעויות.

     

    יום רביעי 05 ינואר 2011 22:58
  • לא אמרתי שאי אפשר לתת לאדם הרשאות על OUים. התכוונתי שאי אפשר לתת לאדם הרשאות אדמיניסטרטיביות על DC, וזאת מבלי לתת לו באותה נשימה אותן הרשאות על כל ה- DCים בדומיין . על זה אין ויכוח, והדרך היחידה להימנע מזה היא להשתמש ב- RODC שכאמור לא מתאים לתסריט שלכם.
    Daniel Petri - www.petri.co.il (email is first name @ this domain name)
    יום חמישי 06 ינואר 2011 20:11
  • OK.

     

    תודה רבה על התשובה המושקעת ועל ההיתיחסות החוזרת.

    יום חמישי 06 ינואר 2011 21:33