none
Group Policy - הגבלה אבטחה ב active dierctory RRS feed

  • שאלה

  • שלום רב,

    אני רוצה להגדיר ב- active directory  את 2 תכונות הבאות:

    1. לנתק מה active directory את המשתמש לאחר 12 שעות

    2. שה active directory יאפשר כניסה של משתמש לתחנה קצה אחת בזמן נתון - לא תתאפשר עבודה על שתי תחנות עם שם משתמש אחד! פרט ל- administratros

    האם בכלל ניתן לעשות זאת בלי כלים צד שלישית

    ובמידה וכך הדבר אשמח להמלצה על כלים כאלה ,

    תודה רבה

    ROI


    Roi

    יום שני 13 פברואר 2012 12:35

תשובות

  • שלום.

    אני ממליץ לך לרדת משני הדברים האלו, כי גם אם תצליח לסדר את זה הפעולות האלו יגרמו ליותר בעיות ותקלות מאשר לתועלת,

    לכן לא כדאי להגדיר אותם.

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי Roi E יום רביעי 15 פברואר 2012 06:06
    יום שלישי 14 פברואר 2012 22:20

כל התגובות

  • שלום,

    1. ישנה אפשרות להגביל את

    Maximum lifetime for service ticket אבל תזהר בהגדרה מולו, אישית אני לא ממליץ הגדיר את זה אלא אם כן יש לך דרישות אבטחה גבוהות

    http://technet.microsoft.com/en- us/library/cc775748(WS.10).aspx

    2. ישנה אפשרות לבצע זאת ע"י המאמר הבא, http://support.microsoft.com/kb/555317

    תודה.


    תודה. www.windows8israel.com

    יום שני 13 פברואר 2012 13:42
  • שלום,

    1. אתה יכול להגדיר זמן שבו המשתמש יכול לעבוד בדומיין:

    ב AD USERS AND COMUTERS לשונית ACCOUNT לשונית LOGON HOURS...אתה יכול להגדיר את השעות שבו המשתמש יכול לעבוד בדומיין (הגדרת SCHEDULES לשעות עבודה)

    אתה יכול גם לגוון ולהגדיר באמצעות GPO שהיוזר יבצע לוגאוף לאחר השעות עבודה שהגדרת ב AD (בשלב הקודם)

    תוכל לנווט ל: computer configuration -> policies -> windows settings -> security settings -> local policies -> security options

    לנווט ל : Network Security: Force logoff when logon hours expire

    לשנות למצב Enabled

    2. ראה את המאמר הבא, זה עונה על שאלתך:

    http://support.microsoft.com/default.aspx?scid=kb;en-us;Q237282

    בהצלחה !


    Haim Lazarovitch - MVP (Microsoft Most Valuable pofessional) MCTS, MCITP : server & Enterprise Administrator, MCP, MCSA, MCSE + Messaging, VCP, e-mail & Messenger: haim_laz@hotmail.com, blog: http://blogs.microsoft.co.il/blogs/HaimL


    • נערך על-ידי HAIM LModerator יום שני 13 פברואר 2012 17:43
    יום שני 13 פברואר 2012 17:42
    מנחה דיון
  • שלום.

    אני ממליץ לך לרדת משני הדברים האלו, כי גם אם תצליח לסדר את זה הפעולות האלו יגרמו ליותר בעיות ותקלות מאשר לתועלת,

    לכן לא כדאי להגדיר אותם.

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי Roi E יום רביעי 15 פברואר 2012 06:06
    יום שלישי 14 פברואר 2012 22:20
  • תשובה 2 לא עונה לצרכים שלו

    היא מתייחסת ללוגון רק לדומיין אחד בסביבה של FOREST

    יום שלישי 14 פברואר 2012 22:58
    מנחה דיון
  • לאחר חפירה בנושא

    כנראה שאתה צודק

    האם ידוע לכם על תוכנה צד שלישית שעושה זאת? 

    למנוע לפחות ממשתמשים לעשות לוגיין בו זמנית על כמה תחנות.

    תודה רבה לכולם 

    ROI


    Roi

    יום רביעי 15 פברואר 2012 06:10
  • שלום,

    גם תוכנות צד שלישי מתבססות על אותו רעיון של סגירת session ticket, הגבלה ל-kerberos ועוד.

    כמו שיזהר אמר, מומלץ לא להגדיר ולהגביל מאשר להגדיר ולגרום לנזקים מסוימים.

    אלי.


    www.windows8israel.com

    יום רביעי 15 פברואר 2012 11:02