Forum

GPO ile local admin...
 
Bildirimler
Hepsini Temizle

GPO ile local administrator grubunda olmayan kullanıcılara diskleri yasaklamak

5 Yazılar
2 Üyeler
0 Reactions
847 Görüntüleme
(@servertunca)
Gönderiler: 119
Estimable Member
Konu başlatıcı
 

herkese merhabalar.

kullanıcılarımız kendi pc leri dışında diğer pclerde de user hakları ile logon olabiliyorlar. genel haklar doğrultusunda lokal disklere erişim sağlayabiliyorlar. biz bunu engellemek istiyoruz. yani bir kullanıcı kendi bilgisayarı(local admin olmadığı) dışında bir bilgisayarda oturum açtığında o bilgisayardaki lokal disklere erişim sağlayamasın göremesin. gpo da benzer bir ayar var fakat bu ayar bilgisayarda oturum açan (local admin veya user) tüm kullanıcılarda disklere erişimi engelliyor. bu yetkilendirmeyi nasıl yapabiliriz. 

 
Gönderildi : 11/09/2012 21:34

(@ugurdemir)
Gönderiler: 9886
Illustrious Member
 

Bu durumda şöyle bir fikir geldi aklıma. Local dikelere eirişim policyini yazın, userlara uygulayın. Ancak file server tarafında her user için bir klasör oluşturun, buna kota koyun birde.

Kullanıcya o klasörü map drive yapın. Bunu da policy ile yapın.

  • GPO Management açın.
  • Default domain policy edit tıklayın ( Bunu şstediğini OU da seviyesinde de yapabilirsiniz)
  • User Configuraitons / Preferences / Windows Settngs / Drive maps
  •  sağ tuş new / mapped drive tıklayın
  • Açılan pencerede loacation kısmına file serverda kullanıcı için açtığını folder yolunu \\fileserver\user şeklinde yazın. Burada label olarak kullanıcının adını yazabilirsinizki logon oldugunda dirve adı kendınınkını gördsün. Reconnecti işaretleyin.
  • Common tabına geçin. Item-level targeting işaretleyin. Targeting botununa tıklayın.
  • New Itemdan userı tıklayın ve o userı buraya ekleyin. Daha sonra bu işlemi her user için yapmalısınız.

Umarım işinize yarar.

 

 
Gönderildi : 11/09/2012 22:38

(@servertunca)
Gönderiler: 119
Estimable Member
Konu başlatıcı
 

cevabınız için teşekkürler Uğur Bey. aslında lokal disklere erişimi tamamen kaldırmak istemiyorum. kullanıcılarımızı kendisine zimmetlediğimiz pc lerinde lokal admin yapıyoruz (çalışma şekli gereği) onlar normal kullanımlarına devam etsinler. diskleri görsünler. ama aynı pc de başka bir kullanıcı oturum açtığında diskleri göremesin. yani şöyle düşünün. finans departmanında kullanılan bir pc de o pc nin sahibi dışında bir kullanıcı oturum açtığında d diskinde bulunan özel dosyalara erişim sağlayabiliyor bunu engellemek istiyorum. dediğiniz şekilde şöyle olacak sanırım. pc de lokal diskleri tüm kullanıcılar için(lokal admin veya user grubundakiler) kapatacağız. kullanıcılar için ortak bir file server da klasör açıp yetkilendirme yaparak sadece kendisinin erişebileceği şekilde map edeceğiz. 

 
Gönderildi : 12/09/2012 13:54

(@servertunca)
Gönderiler: 119
Estimable Member
Konu başlatıcı
 

peki Uğur Bey şu şekilde yapsak sizce nasıl olur. gpo(olabiliyorsa bakıyorum daha bulamadım) ile domain user grubuna üye olan kullnıcıların d disklerine erişimin kaldırsak(okuma ve çalıştırma) ve diske erişimini istediğimiz kullanıcıları da lokal admin yapsak istediğim sonuca ulaşabilir miyim? mantıklı gibi geliyor ama sonuçta tüm kullanıcılar dc de domain user grubuna üye pc lerde lokal admin yapsak bile yasak yetkilendirmesi lokal adminden alınacak izin yetkisini ezer mi sorusu aklıma takılıyor.

 
Gönderildi : 12/09/2012 21:25

(@ugurdemir)
Gönderiler: 9886
Illustrious Member
 

Merhaba,

Açıkçası hiç denemedim, Ancak domain userın yetkisini kaldırırsanız local admin olsa dahı domaın users için policy tepeden ezer gibi geliyor bana. Test ortamında deneyin dilerseniz önce.

 

 
Gönderildi : 14/09/2012 15:04

Paylaş: