MCSEمایکروسافت

اعمال محدودیت در Remote Desktop از طریق Group Policy

می دانیم در صورتی که قابلیت Remote Desktop را برای سرورها و کلاینت های ویندوزی در شبکه های دامین مایکروسافتی فعال کنیم ، تمامی کاربرانی که عضو گروه Domain Admins باشند قادر خواهند بود که با سیستم های مذکور ریموت برقرار نمایند. ممکن است نیاز داشته باشید که قابلیت Remote را برای برخی از Domain Admins ها غیر فعال نمایید. در این آموزش روش اعمال این محدودیت را فرا خواهید گرفت.

چه کارهایی باید انجام دهیم؟

 

  • ایجاد یک Organization Group با نام Restricted RDP در Active Directory Users and Computers
  • انتقال Computer Account سیستم هایی که قصد محدود شدن دسترسی ریموت به آن ها را داریم به OU مذکور.
  • ایجاد یک Security Group با نام RestrictedRDP برای عضویت ادمین هایی که قصد محدود شدن آن ها را داریم و انتقال آن ها به این گروه.
  • ایجاد پالیسی و ویرایش آن جهت اعمال محدودیت.

همان طور که در تصویر زیر مشاهده می شود ، یک OU با نام RestrictedRDP در Active Directory ایجاد شده است و Computer Account ای با نام CLIENT به این OU منتقل شده است. همچنین یک Security Group نیز ایجاد شده است.

Deny Remote Desktop

در تصویر زیر مشاهده می شود که کاربری با نام Milad Tahmasbi که عضو Domain Admins است به عضویت Security Group با نام RestrictedRDP نیز در آمده است.

اکنون قصد داریم گروپ پالیسی را طوری پیکربندی نماییم که کاربر Milad Tahmasbi که عضو Domain Admins است ، نتواند با CLIENT ریموت برقرار نماید.

ایجاد پالیسی

وارد کنسول Group Policy Management در DC شوید. مانند تصویر زیر یک Policy با نام RestrictedRDC ایجاد نمایید و آن را به OU مربوطه ( RestrictedRDP ) لینک کنید.

تغییر تصویر پس زمینه ویندوز سرور 2012 از طریق Group Policy

بر روی Policy راست کلیک کنید و گزینه Edit را بر گزینید.

از مسیر Computer Configuration زیرشاخه Windows Settings و سپس Security Settings و در نهایت Local Policies و User Right Assignment پالیسی Deny log on through Remote Desktop Services را دبل کلیک نمایید.

در زبانه Security Policy Setting چک باکس Define these policy settings را فعال نمایید و با استفاده از دکمه Add User or Groups گروهی که قبل تر ایجاد کرده اید را اضافه و در پایان بر روی Ok کلیک نمایید.

همه آن چه که لازم بود انجام شده است. از این به بعد کاربرانی که عضو گروه RestrictedRDP شوند نخواهند توانست به Computer Account های عضو OU با نام RestrictedRDP ریموت برقرار کنند. نام گروه ها ، OU و پالیسی را می توانید به دلخواه تغییر دهید.

فراموش نکنید که برای اعمال سریع پالیسی می توانید از دستور gpupdate /force بهره ببرید.

 

۱ ۱ رای دادن
رای دادن به مقاله

نوید داریا

Experienced IT Specialist with a demonstrated history of working in the information technology and services industry. Skilled in VMware ESX, Domain Name System (DNS), DHCP, VoIP, Veeam Backup Solutions, Adobe Connect, Servers, and Data Center. Strong operations professional graduated from Amirkabir University of Applied Sciences and Technology. Now I am studying Informatics at Vienna University
اشتراک در
اشاره به موضوع
guest

2 کامنت
جدیدترین
قدیمی ترین نظرات با تعداد رای بالا
Inline Feedbacks
مشاهده همه کامنت ها
ناشناس
ناشناس
3 سال پیش

سلام و وقت بخیر
آیا حالت برعکس این هم مقدور هست؟
یعنی من میخوام مشخص کنم کدوم گروه از کاربران به کدوم گروه از کامپیوترها دسترسی داشته باشن

الهام باقری
الهام باقری
در پاسخ به  ناشناس
1 سال پیش

سلام
بله امکان پذیره

دکمه بازگشت به بالا