Windows Server 2008 R2 Açığı-Client edit...

Anlamadığım nokta; neden kullanıcılar dışarı çıktıklarında administrator olarak oturum açıyorlar? yani başka bir kullanıcı ile mi açıyorlar?

Anlamadığım nokta; neden kullanıcılar dışarı çıktıklarında administrator olarak oturum açıyorlar? yani başka bir kullanıcı ile mi açıyorlar?

Localde power user gurubu üyelikleri ve GPU yapılandırmamız ile usb,cd/dvd sürücüler,program kurmak vs vs... gibi yetkileri kapalı bunun için seyahatlerde usb kullanımı, cd/dvd yazmak, gibi özelliklerini Administrator oturumu ile gerçekleştirebiliyorlar. Şunuda diyebilirsiniz illaki administrator olarak mı oturum açmaları gerekiyor  hayır fakat farklı bir kullanıcı adı ile dahi açılsa o kullanıcı yine Administrator gurubu üyesi olacağı için değişen hiçbirşey olmayacaktır. 

Arkadaşlar  sorunu manuel olarak her makinede birebir uygulanması şartı ile çözdüm fakat GPU ile domain üzerinde oturum açtığında nasıl bir GPU hazırlamak lazım o kısmı kaldi şimdi. Sorunun birebir manuel çözümünü burda yazmamın doğru olmayacağını düşünüyorum çünkü dediğim gibi "dergici bilgi daneleri" meraklı personellere IT düşmanlarına  kapı aralanır diyorum. Ha yine araştırma sonucunda onlarında bulacağını tahmin ediyorum ama ben google hit 'i yüksek olan cozumpark'tan buna erişilsin istemiyorum. Özel olarak paylaşabilirim.

Değerli önerilerinizi bekliyorum.

Şimdi şöyle bir durum söz konusu: Siz kişilere adminisrator şifresini vermeniz, sizin tarafınızdan yapılmış büyük bir açıktır. Anladığım kadarıyla siz administrtaor şifresini kullanıcılara veriyorsunuz ve onlar dışarıda o şifreyi kullanıyorlar.

Dışarı çıkan kullanıcılar için yeni bir ou oluşturup , dışarı giden kişilere farklı policy uygulayabilirsiniz. Fakat bu ou da usb, cd-rom vs kullanma yetkisi vermeniz gerekmekte. Ya da illa içeride kullanmasınlar diyorsanız, kullanıcı dışarı çıkarken siz yetki verip yollayacaksınız ki bu da çok gereksiz ve fazla bir iş yükü.

Sonç olarak; dışarı çıkan kişileri power users grubunda tutup, yeni bir ou altında usb,cd vs için yetki vereceksiniz. Zaten dışarıda kullanıyorlar, içeride de kulanmalarının bir sakıncası yoktur. Çünkü zaten içeride de sizin haberiniz olmadan administartor ile oturum açabilirler.

Kullanıcıların sistemsel ayarlara ulaşmamalarının yolu onları power users grubunda tutmak.

Şimdi şöyle bir durum söz konusu: Siz kişilere adminisrator şifresini vermeniz, sizin tarafınızdan yapılmış büyük bir açıktır. Anladığım kadarıyla siz administrtaor şifresini kullanıcılara veriyorsunuz ve onlar dışarıda o şifreyi kullanıyorlar.

Dışarı çıkan kullanıcılar için yeni bir ou oluşturup , dışarı giden kişilere farklı policy uygulayabilirsiniz. Fakat bu ou da usb, cd-rom vs kullanma yetkisi vermeniz gerekmekte. Ya da illa içeride kullanmasınlar diyorsanız, kullanıcı dışarı çıkarken siz yetki verip yollayacaksınız ki bu da çok gereksiz ve fazla bir iş yükü.

Sonç olarak; dışarı çıkan kişileri power users grubunda tutup, yeni bir ou altında usb,cd vs için yetki vereceksiniz. Zaten dışarıda kullanıyorlar, içeride de kulanmalarının bir sakıncası yoktur. Çünkü zaten içeride de sizin haberiniz olmadan administartor ile oturum açabilirler.

Kullanıcıların sistemsel ayarlara ulaşmamalarının yolu onları power users grubunda tutmak.

 

 

Domain Admin şifresini tabiki paylaşmıyorum 🙂 Standart PC üzerinde tanımlı administrator hesabı ile oturum açıyorlar.Dışarıda kullanılan usb,cd/dvd vs gbi donanımları domaine girdikleri anda kullanamıyorlar. O noktada herhangi bir sorunumuz yok, istediğim kullanıcı gurubunun gp ile domaine düştüğü anda otomatik olarak belirlediğim guruba dahil olması,tıpkı donanımlar üzerinde kurduğum kontrol gibi...

windows server 2008 R2  AD üzerindeki kullanıcılarımız "Power User" gurubuna dahildir. Şirket dışına çıkan laptoplarımızda kullanıcılar "Administrator" olarak oturum açmaktadır. Fakat bu durumda kullanıcı hesaplarınıda rahatlık yönetebildikleri için local kullanıcı ayarlarında değişiklikler yapılmaktadır,Kullanıcı gurubunu "administrator" gurubuna çekerek sistemde  potansiyel tehdit oluşturmaktadırlar. 

Bu sorunu gidermek için, Kullanıcı oturum açtığı anda veya local IP aldığı anda veya DNS kaydı oluştuğunda Otomatik olarak bir GPU uygulanarak "Power User" gurubuna kaydını yaptırmak istiyorum.

Bu bir server kullanıcı politikası açığımıdır yoksa işletim sistemi yetkilendirme sorunu mudur?

Değerli görüş ve önerilerinizi beklemekteyim.
Not: Bu postu özel mesaj olarak yöneticilere atmak istedim  sonra bu durumdan haberi olmayan arkadaşlarımızın olduğunu düşünerek  paylaştım. Özel olarak atma isteğim ise bazı aşırı meraklı IT birimine nasıl lüzumsuzluk yaparak zorluk çıkarırım diyen personeller olduğunu düşünerek bu paylaşımımın doğru olmadığınıda düşünüyorum. Hırsıza kapı açmak gibi,Çözümler gelirse bunu okuyan O aşırı meraklı kullanıcılarada kapak olacağının düşüncesindeyim !
Teşekkürler.

Öncelikle başlık doğru bir başlık değil.Ve ne anlatmak istediğiniz çok belli olmuyor. Bahsettiğiniz bu konu bir açık değil sizin tercihleriniz sonucunda ortaya çıkan riskli bir durum. Siz bile isteye administrator yetkisini vermiş iseniz kullanıcınız doğal olarak local admin olur. GPO'dan Restricted group kullanarak grup üyeliklerini düzenleyebilirsiniz. Bu stratejik bir karar olmalı. insanlara yetki verecekmiyiz vermeyecekmiyiz. Ayrıca local securtiy policy üzerinde user right assigment ile belli gruba ekstra bazı yetkiler vermeniz de mümkün olabilmekte.

Öncelikle ilginize teşekkür ederim, Konu başlığı ve içeriğini bütünleştirerek devamında detaylarını belirttim. Yanlış bir başlık ve anlatılmak istenilenin net olmadığını düşünmüyorum.
"Bu bir server kullanıcı politikası açığımıdır yoksa işletim sistemi yetkilendirme sorunu mudur?" 

Eksik,yanlış veya gözden kaçırılmış bir yapılandırmanın söz konusu olup olmadığını burada sizin değerli görüşlerinizle öğrenmek istedim.

Öncelikle ilginize teşekkür ederim, Konu başlığı ve içeriğini bütünleştirerek devamında detaylarını belirttim. Yanlış bir başlık ve anlatılmak istenilenin net olmadığını düşünmüyorum.
"Bu bir server kullanıcı politikası açığımıdır yoksa işletim sistemi yetkilendirme sorunu mudur?" 

Eksik,yanlış veya gözden kaçırılmış bir yapılandırmanın söz konusu olup olmadığını burada sizin değerli görüşlerinizle öğrenmek istedim.

KUllanıcılara admin yetkisi vermek sıkıntılı bir durum her zaman için. Ama bazen bunu yapmak durumunda kalınabiliyor. Daha öncede dediğim gibi bu durum size tehlikeli sonuçlar doğurabilecek bir risk alırsınız almazsınız size kalmış bir durum.