در یکی از فوروم ها سوالی پرسیده شد که یک گروه ساپورت وجود دارد و میخواهیم این اعضای این گروه فقط زمان لاگان، لوکال ادمین بر روی کلاینت ها شوند، بدون آنکه بتوانند از ریموت دسکتاپ استفاده کنند و همچنین نتوانند به اشتراک های مخفی دسترسی داشته باشند .

 در آنجا نفر سوال کننده حوصله نداشت و در آخر بهترین راه را استفاده از گروه پالسی عنوان کرد و پسورد اکانت یوزر لوکال ادمین را به همه نفرات ساپورت داده بود !!

 قبل از ادامه چند نکته را روشن کنیم 

چرا باید پسورد اکانت یوزر لوکال ادمین را بدهیم و سپس بخواهیم یوزر لوکال ادمین را محدود کنیم !!

چرا از پالسی Deny access to this computer from the network  استفاده کنیم و بخواهیم در صورت نیاز از اکانت دومین ادمین استفاده کنیم تا بتوانیم به کلاینت ریموت دسکتاپ بزنیم !!

چرا حوصله Auditing نداشته باشیم. اگر ایرادی باشد، از کجا میتوانیم بفهمیم چه کسی، چه کاری انجام داده است !!

شاید سوال میکنید چرا پسورد یوزر لوکال ادمین را ندهیم. برای روشن شدن، یک مثال ساده میزنم. من یک گروه ساپورت دارم که ١٠ نفر در آن هستند. برای راحتی کارم به همه آنها پسورد یوزر لوکال ادمین را دادم. حال یکی از این نفرات از آن استفاده کرده و تغییری روی کلاینت انجام داده که سبب شده ایراد به وجود بیاید. من به عنوان سرپرست بر روی کلاینت لاگان میکنم و در ، لاگ های مربوطه را چک  میکنم. اولین کار این است که ببینیم چه کسی لاگان کرده و تغییرات را داده، چه اکانتی را میبینم؟

اکانت یوزر لوکال ادمین. حال از این ١٠ نفر سوال میکنم و همگی میگویند ما نبودیم!!! در اینجا ایراد از من است که از ابتدا این کار اشتباه را انجام دادم. اگر اینکار را نمیکردم و یوزر با اکانت خودش لاگان کرده بود، نیازی به سوال نبود !!

حال مثالی دیگر، من این پالسی Deny access to this computer from the network  را فعال کردم و و اکانت یوزرهای ساپورت و یوزر لوکال ادمین را در آن قرار دادم. در نتیجه لوکال ادمین نمیتواند ریموت دسکتاپ استفاده کند. با اکانت دومین ادمین به کلاینت ریموت دسکتاپ میزنم. حال فرض کنید کلاینت ویروسی است و این ویروس یا تروجان یا غیره از اکانتی که لاگان کرده استفاده میکند. در نتیجه با اکانت دومین ادمین کل شبکه را مختل میکند !!!

اگر راهی پیدا کنم فقط وقتی یوزر ساپورت با اکانت خودش مستقیم به کلاینت لاگانLogon  کند و عضو گروه لوکال ادمین شود و وقتی لاگ آف Logoff کند از گروه لوکال ادمین پاک شود و گروه لوکال ادمین به حالت پیشفرض default خودش برگردد عالی است. اینگونه یوزر ساپورت کار خودش را انجام میدهد، بعد از تمام شدن کار، دیگر ادمین نیست، پس به اشتراکها دسترسی ندارد، لازم نیست برای هر قسمت پسورد ادمین لوکال فرق داشته باشه و میتوانم به کلاینت ریموت با اکانت یوزر لوکال ادمین هم بزنم .

در اینجا Group Policy Preferences - GPP به ما کمک میکند تا فکر را اجرا کنیم .

خوب طرح اجرایی چگونه باید باشد؟

یک پالسی برای اینکه به گروه ساپورت اعمال شود، پس در قسمت مربوط به User تنظیم میکنیم که هر بار یوزر لاگان کرد این پالسی نسبت به پالسی کامپیوتر برنده شود. یک پالسی هم در قسمت Computerمینویسیم که اگر این یوزر کارش تمام شد، کامپیوتر را یکبار حتما ری استارت کند تا از گروه حذف بشود. بعد پالسی مربوط به یوزر را به OU گروه ساپورت لینک میکنیم و پالسی کامپیوتر را به  OU مربوط به کامپیوترها لینک میکنیم .

آخ تئوری کافی است، حال فکر را اجرا میکنیم.

یوزر Ed Price در OU به MSFT نام میباشد و در گروه Support نیز میباشد. کلاینت ها در OU به نام Workstations میباشند .

یک جدید GPO برای گروه Support ایجاد میکنم و به OU به MSFT  لینک میکنم و فقط در گروه Support را قرار میدهم .

حال در GPP ، قسمت مربوط به User Configuration ، تنظیم زیر را انجام میدهم .

یک جدید GPO برای کلاینتها ایجاد میکنم و به OU به Workstations لینک 

حال در GPP ، قسمت مربوط به Computer Configuration ، تنظیم زیر را انجام میدهم .

یادتان باشد، نفر ساپورت باید دوبار لاگان کند اگر بخواهد همه کار انجام دهد اما میتواند برخی کارها را با یکبار لاگان انجام دهد مانند فرمان compmgmt.msc اما فرمان را باید از کنسول داس اجرا کند و کنسول داس را با Run as باید اجرا کند، چون ما پالسی را در زمان لاگان یوزر اعمال میکنیم و نه در زمان استارت کامپیوتر و  وقتی کار نفر ساپورت تمام شد و میخواهد لاگ آف کند تا یوزر از کلاینت استفاده کند، یا باید کلاینت ری-استارت شود و یا فرمان gpupdate /force انجام شود. اگر میخواهید اطمینان حاصل کنید، میتوانید یک GPO دیگر اضافه کرده و در قسمت Logon و Logoff یک batch file بنویسید که در آن فرمان زیر باشد تا وقتی یوزر ساپورت لاگ آف کرد و یوزر نرمال لاگان کرد گروه لوکال ادمین به حالت پیشفرض برگردد، بدون آنکه کامپیوتر ری-استارت شود .

CD C:\Windows\System32
echo n | gpupdate /force /wait:0
exit

سپس این GPO را در top level یا همان domain level لینک میکنیم و تنظیم میکنیم که به گروه Support اعمال نشود .

حال تست میکنیم. یوزر Ed Price تیم ساپورت به کلاینت لاگان میکند

.

حال تست میکنیم. یوزر معمولی Richard Mueller به کلاینت لاگان میکند. 

حال RDP را تست میکنیم. یوزر تیم ساپورت Ed Price می خواهد به کلاینت با RDP لاگان میکند.