Revision #1

You are currently reviewing an older revision of this page.
Go to current version

سناریو :

در یک شبکه دومین، ادمین یک برنامه را با اکانت خود روی کلاینت اینستال میکند. بعد از اینستال تست میکند و میبیند که همه چیز درست کار میکند. یوزر با اکانت نرمال خود لاگین کرده و برنامه را اجرا میکند، چند ثانیه بعد انواع پیغام های خطا Error نشان داده میشود. یوزر با ادمین تماس میگیرد و مشکل را بیان میکند. ادمین برای حل مشکل راه های مختلف را امتحان میکند (چه راهی بماند)، نتیجه ندارد. کمی فکر میکند و سپس یوزر را عضو گروه لوکال ادمین میکند. در این لحظه ادمین عزیز با دست خود یوزری که نرمال بود، تبدیل به پادشاه کامپیوتر میکند !!!

از اینجا است که انواع و اقسام مشکلات آغاز میشود، چون یوزر هر برنامه ای که دلش میخواهد اجرا میکند .

سوال :

راه حل این مشکل چیست؟

چگونه یوزر را تبدیل به لوکال ادمین نکنیم، اما یوزر بتواند آن برنامه را اجرا کند؟

 

توجه :

 

شبکه به صورت دومین Domain است .

امکان دارد دومین کنترول Domain Controller ، ویندوز سرور 2003 یا 2008 یا 2008 R2 باشد .

کلاینت ویندوز XP یا Vista است (با ویندوز 7 کاری نداریم، چون به راحتی با قابلیت جدید GPO این مشکل برطرف میشود) .

از برنامه های 3rd-party  اجازه استفاده نداریم (شرکت توان مالی برای خرید ندارد و قانون کپی رایت باید رعایت شود) .

 

راه حل :

برای اینکار ما به دوچیز احتیاج داریم :

برنامه رایگان  Process Monitor v3.01

فرمان  Runas

از لینک زیر میتوان برنامه Process Monitor v3.01 را دانلود کرد :

Process Monitor v3.01

مراحل :

ابتدا روی کلاینت با همان یوزر و پسورد کاربر عادی لاگان میکنیم (چون میخواهیم ببینیم چه اتفاقی دقیق رخ میدهد) .

سپس با استفاده از فرمان Runas   (با یوزر و پسورد ادمین)، برنامه Process Monitor را اجرا میکنیم (چون باید ببینیم که برنامه برای اجرا به کدام فایل ها، فولدرها و رجیسترها احتیاج دارد که دسترسی پیدا کند) .

"C:\>runas /user:Contoso\Administrator /noprofile /env "C:\ProcessMonitor\Procmon.exe

خوب حالا برنامه را اجرا میکنیم و صبر میکنیم که پیغام خطا مشاهده شود .

حال برنامه  Process Monitor  را چک میکنیم (میتوانید از فیلتر استفاده کنید وACCDENIED  را چک کنید) که برنامه به کجا احتیاج دارد دسترسی داشته باشد و آنها را برای یوزر اجزای دسترسی میدهیم. دوباره برنامه را اجرا میکنیم و دوباره چک میکنیم و آنقدر این کار را انجام میدهیم که در مرحله آخر با اجرای برنامه، هیچ پیغام خطایی نداشته باشیم و یوزر با اکانت خودش بتواند با این برنامه کار کند و برنامه برای یوزرACCDENIED  نشان ندهد (همه تغییرات را یادداشت میکنید که کجا و چه چیز را اجزای دسترسی دادید).

  





خوب حال ما میخواهیم این تغییرات را روی تمام کلاینتهای شبکه اجرا کنیم که طبق شکل های زیر از گروه پالسی
Group Policy انجام میدهیم .

 

  

Revert to this revision