Forum

Domain Member Compu...
 
Bildirimler
Hepsini Temizle

Domain Member Computer Local Users Hakkında

10 Yazılar
5 Üyeler
0 Reactions
1,871 Görüntüleme
(@salihhaki)
Gönderiler: 43
Trusted Member
Konu başlatıcı
 

Merhaba,

 Domaine member bir computer içerisindeki sistem tarafından otomatik oluşturulan aşağıdaki 2 kullanıcının silinmesi sistem tarafından çalıştırılan herhangi bir durum için sorun yaratır mı?

 NT AUTHORITY\Authenticated User

 NT AUTHORITY\INTERACTIVE

Not: Sormamın amacı computer bazlı user logon yasaklanması gerekli sadece Domain Users silinerek işlem olmuyor. Ancak bu iki kullanıcının da silinmesi gerekiyor.

 
Gönderildi : 01/02/2015 15:36

(@riza-sahan)
Gönderiler: 18033
_
 

Bunlar sistem hesaplarıdır. Bir çok servis bu hesaplara bağlı olarak çalışır kesinlikle silmeyiniz.

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 01/02/2015 16:21

(@salihhaki)
Gönderiler: 43
Trusted Member
Konu başlatıcı
 

Peki computer bazında logon olunmasını nasıl yasaklayabiliriz? Çünkü User bazında LogOnTo kullanıldığında iş çok karşıyor. Exchange gibi işlem yapan uygulamalarda sorun çıkardığı için tüm bu tarz uygulamaların Users tabındaki LogOnTo ya eklenmesi gerekiyor buda hem işlemi hemde kontrolleri çok zorlaştırıyor.

 Tavsiyesi olan varsa çok sevinirim. 

 
Gönderildi : 01/02/2015 16:34

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Salih Bey sizim tam olarak amacınız nedir?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 02/02/2015 14:06

(@salihhaki)
Gönderiler: 43
Trusted Member
Konu başlatıcı
 

Hakan Bey,

A computerda  A user, B computerda B user olduğu bir ortamda, A userının sadece A computerında oturum açabilmesini istiyorum. Yani B userı domain user olduğu halde A computerında (güvenlik nedeni ile) oturum açmaması gerekiyor.

Bunun için LogOnTo denedim ancak Exchange gibi oturum açılması gerekli uygulamaların hepsinin belirlenmesi ve user tabına girilmesi gerekiyor. Çok spesifik ve kontrolü zor oluyor.

Ardından Computer üzerinde userları silerek sadece o bilgisayarın kullanıcısını bırakarak bu işlemi yaptım. Bu şekilde oluyor ancak sadece domain users ı çıkartarak olmuyor. Ayrıca Localden gelen;

NT AUTHORITY\Authenticated User

NT AUTHORITY\INTERACTIVE

sistem userlarıda çıkartmam gerekiyor. Yoksa kullanıcı yine logon olabiliyor. Umarım anlatabilmişimdir.

Şimdiden teşekkürler. 

 
Gönderildi : 02/02/2015 15:44

(@guneyoktayli)
Gönderiler: 227
Reputable Member
 

Hakan Bey,

A computerda  A user, B computerda B user olduğu bir ortamda, A userının sadece A computerında oturum açabilmesini istiyorum. Yani B userı domain user olduğu halde A computerında (güvenlik nedeni ile) oturum açmaması gerekiyor.

Bunun için LogOnTo denedim ancak Exchange gibi oturum açılması gerekli uygulamaların hepsinin belirlenmesi ve user tabına girilmesi gerekiyor. Çok spesifik ve kontrolü zor oluyor.

Ardından Computer üzerinde userları silerek sadece o bilgisayarın kullanıcısını bırakarak bu işlemi yaptım. Bu şekilde oluyor ancak sadece domain users ı çıkartarak olmuyor. Ayrıca Localden gelen;

NT AUTHORITY\Authenticated User

NT AUTHORITY\INTERACTIVE

sistem userlarıda çıkartmam gerekiyor. Yoksa kullanıcı yine logon olabiliyor. Umarım anlatabilmişimdir.

Şimdiden teşekkürler. 

Active Directory ile kullanıcılara sadece sizin belirlediğiniz pc de oturum açtırabilirsiniz. 

Active Directory->İlgili kullanıcı sağ tıklayın -> Özellikler -> Hesap-> Oturum Açma Alanı 
Buradan "Tüm Bilgisayarlarda Oturum açabilir" seçeneği seçilidir standart olarak siz bu seçeneğin altında olan "Aşağıdaki bilgisayarlarda oturum açabilir" seçeneğini seçerek, hangi kullanıcı üzerinde işlem yapıyorsanız o kullanıcıya ait pc adını yazmanız yeterli olacaktır.

İyi çalışmalar. 

 
Gönderildi : 03/02/2015 11:18

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba Güney Bey, Log on to olarak ifade ettiği kısım sizin anlattığınız kısım, yani onu yapmak istemiyor anladığım kadarı ile, size ek bilgi vermek istedim.

Salih Bey sizin isteğinize gelecek olursak, öncelikle her işin doğru bir yapılışı vardır, sizinde isteğinizin doğru yapılışı gerek Güney beyin anlattığı gerekse sizin de zaten bildiğiniz bu kullanıcı bazlı yöntem olup bunda sizin de bahsettiğiniz gibi çok zor bir durum yok. Biz bunu banka gibi 2000 server 5000 den fazla kullanıcı ve kaç tane sistem olduğunu siz düşünün yapıyoruz. Yani Exchange dışında zaten bir tane daha sistem zor sayarsınız diye düşünüyorum. Bu nedenle bu işin doğrusu AD üzerinden yapmak.

Ama bunu yapmak istemiyorsanız önerdiğiniz yöntem kesinlikle kabul edilebilir bir yöntem değildir. 

Alternatif olarak eğer amaç bilgi güvenliği ise bir kullanıcı başka bir kullanıcı bilgisayarında logon olsa bile kullanıcı verilerine ulaşması mümkün değil ki? Eğer ulaşıyorsa ki sizde sanki öyle bir şey sezinledim, herkes ya domain admin yada herkes lokal admin, herkesi lokal admin yapacak GPO yazdığınızı sanmıyorum bunda yola çıkarak herkes domain admin ise bu zaten ciddi bir sorun.

Diyelim ki yok siz bilgi güvenliği içinde değil sadece meraktan veya proje ödevi olduğu için ( ne yazık ki bu şekilde ödevlerini bize yaptırmaya çalışanlar oluyor siz üzerinize alınmayın ) illaki herkes kendi bilgisayarında logon olacak ise bunu GPO ile yapabilirsiniz.

Makinelerin local GPO içerisinde Log on local bölümüne sadece ilgili kullanıcıyı seçmeneniz yeterli olacaktır.

https://technet.microsoft.com/en-us/library/cc756809%28v=ws.10%29.aspx

Ama düşünüyorum da misal 100 tane makine varsa zate bu yapılabilir bir iş değildir.

Özetle bu istediğinizin mantıklı ve kolay bir yolununun olmamasının sebebi normal bir istek olmamasıdır, çünkü tüm normal istekler için çözüm yolları varken bu tarz size veya şirketinize özel durumlar takla ile olur.

Neden derseniz yine bankadan örnek veriyorum 5000 personel var, herkes istediği yerde logon olur ama stajyer, part time ve out source personele bunu yaparız, yani yine bir mantık çerçevesinde olduğu için yönetilebilir, X adet personel için AD üzerine bu ayarı yapmak yeterli oluyor.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/02/2015 12:27

(@salihhaki)
Gönderiler: 43
Trusted Member
Konu başlatıcı
 

Hakan Bey,

Öncelikle ilettiğiniz bilgiler için teşekkür ederim.

Güvenlik amacı kullanıcıların domain admin olmasından kaynaklı değil, kullanıcıların c: veya d: gibi sistem üzerinde bulunan diğer diskler üzerinde veri kaydedebilmeleri sıkıntısından kaynaklanmakta. Bu bağlamda kullanıcı profiline ulaşılamıyor ancak diskler içerisindeki veriler okunabiliniyor.

Belirttiğiniz Local logon iznini test edeceğim birde. 

Tekrar teşekkür eder iyi çalışmalar dilerim. 

 
Gönderildi : 03/02/2015 12:49

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4596
Co-Helper
 

Burda yine temelde atlanan bazı noktalar olmalı. Sizden önce bu tip izinler verilmiş olabilir.
Default durumda user başka bir computer'ın share edilmiş alanları dışında sürücülerine yetki atanmamışsa giremez. Network profiline göre şifre sorar yada ulaşılamadı bilgisi alır. Diskler share ediliyorsa doğal olarak ulaşabilir yada gpo ile computer'lar üzerinde yetkilendirme verilmişse ancak ulaşılabilir. Partition'ların securtiy tablarını gözden geçirin. Şayet kullanıcı kendi bilgisayarının ikinci partition'ına yazmasın istiyorsanız bunu da gpo ile dağıtabilirsiniz forumda bunlar konuşuldu. Bunun için öncelikle local admin olmaması gerekiyor tabi yoksa kulağı tersten tutmaya çalışmak oluyor işin mantığı.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/02/2015 15:15

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Sistemi görmeden tahmin etmişim 🙂 ama İbrahim bey' inde dediği gibi sizin bu modelde sorun var, yani kopuk kopuk kurulumlar olmuş sanırım, temelden bir active directory ve kullanıcı - grup tasarımı yapılması lazım, aksi halde bu şekilde ara yama çözümler ile bir yere kadar ilerleyebilirsiniz, bir yerden sonra herşey çorba olur veya çok efor sarf edip az iş yapmaya başlarsınız.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/02/2015 22:54

Paylaş: