Uzak Masaüstü bağlanabilecek makineleri belirlemek

Merhaba

Localdeki kullaniciyi Remote Desktop Users groupundan çıkartman yeterli olacaktır.

Merhabalar,

Zaten hiç bir kullanıcı Remote Desktop Users grubuna üye değil benim yapımda..

Peki üye olmadıgına göre nasıl remote desktop ile session acabiliyor ? bence burada bir problem var.

Peki üye olmadıgına göre nasıl remote desktop ile session acabiliyor ? bence burada bir problem var.

Benmi yanlis anladim acaba..

Bende durum su, bu kullanici domaine katiliyor, katildiginda lokal olarak administrator seklinde uye, yani printer vs. ekleyebilsinler diye.. durum boyle olunca o kullanicinin ismiyle baglanilabiliyor.. Power User yapip tek tek secmek bizi cok ugrastirdi..

Sanirim bunu sormustunuz. Bu durum istedigim seyi engeller mi?

Merhaba

Öncelikle Local makinede Administrator yetkisi olan her kullanici Aynı zamanda Local Remote Desktop Users ou suna eklidir bu sebepden dolayı clientlardaki userların yetkilerini azatlmadan hiç bir şekilde bu işlemi yapamazsınız.

Localde Admin yetkisi verdiğiniz bir kullanıcıya nasıl engel koymayı
düşüne biliyorsunuz anlayamadım. Local Admin hakkına sahip kullanıcı
her şeyi yapar ve siz kontrol edemezsiniz. Domain yapısında kullanıcıya
vereceğiniz yetki maximum Power User olmalıdır ki oda çok ama çok
extrem durumlarda, onun dışında kullanıcıya vereceğiniz tek yetki
Domain User olmalıdır. Ayrıca bir bilgi işlem ekibinin bulunduğu işletmede kullanıcıya birşeyler yükleme yetkisi vermenizdeki amacıda anlamış değilim.

Dediklerinizde haklisiniz ancak sıkıntım şudur, bu kullanıcıların %95'i laptop, ve çogunlukla dışardalar.. Bu kişileri Power User yapınca, printer ekleyemiyor, wireless baglanirken sıkıntı yasıyor vb. derken, adam musterinin yaninda birsey yapamaz oluyor, yani isini tamamlayamadigi oluyor.. bu durumda adam sirket disindayken mudahale sansimda olmadigi icin, mecbur kaliyorum.. bunlari asmanin bi yolu varsa, tabiki herkesi Power User yapabilirim..

Merhaba,

Power Users yapıp bir dene bakalım.Duruma göre tekrar geri dönüş yaparsın.

Power Users yetkileri nelerdir? USB bellek sürücüsü yükleyebilmek için bu gruba dahil etmek uygun mudur?

Power Users yetkileri nelerdir? USB bellek sürücüsü yükleyebilmek için bu gruba dahil etmek uygun mudur?

Merhaba Semih bey ;

Bu izinleri incelemek için aşağıdaki yolu izleyebilirsiniz

Control Panel > Administrative Tools > Local Security

Policy > Local Policies > User Rights Management

bunun
dışında power users her ne kadar program kuramaz olarak bilinsede
aslında bunu rahatlık ile yapabilir . Program kurma yetkisi aslında ;
registry ve program files dizinine yazma yetkisi ile ilgilidir . Bu
noktada registry üzerine kayıt atmaya ve kurulumda dizin olarak sizin
full hakka sahip olduğunuz kendi masa üstü ve dökümanlarınızı
göstermeniz halinde istediğiniz gibi kurulum yapabilirsiniz. Diğer
kısıtlamalar için yukarıdaki policy de bulunan hakları kontrol etmeniz
yeterli .

Merhaba Arkadaşlar,

 

Şöyle bir isteğim var, yapılabilir mi bilemiyorum.. Biz Bilgi İşlem ekibi olarak tüm şirketin bilgisayarlarına bağlanabilmek istiyoruz. Ancak kullanıcılar birbirlerine uzakmasaüstü ile bağlanamasınlar. Örneğin, muhasebedeki bir kullanıcı uzaktan bağlanmayı öğrenmiş, gitmiş pazarlamadaki birinin makinesine bağlanmış.. Şifresinide bildiği için.. ben bunu bilgisayar adına göre filtrelemek istiyorum, yani tüm bilgisayarlara sadece X1 X2 X3 X4 isimli makineler bağlanabilsin. Diğerleri uzak oturum açamasın..

 

Group Policy'deki Allow users to connect remotely using Terminal Services seçeneği de kullanıcı ismi bazlı filtreleme yapıyor ama bu benim işimi görmüyor, çünkü zaten makinelere kullanıcının kendi username ve sifresi ile baglaniyoruz.. Bu ayari disable etsemde yine pazarlamadaki ahmet'in kullanicisi ile ahmet'in bilgisayarina baglanilabiliniyor..

Fikri olan varmi? Tesekkurler.

Merhaba Santa

Bunu yapmak için pek çok yol kullanabilirsin , ancak arkadaşlarımın dediği gibi user bazlı sınırlama zaten mevcut , makine bazlı ise rdp üzerinde olmayan bir sınırlama tipidir . Ancak sana illaki makine bazlı bir sınırlama gerekiyor ise iki tavsiyem olacaktır ;

1 - ipsec , bu makine için yani rdp yapılacak makine veya makineler için 3389 nolu porttan gelen istekler için ipsec şart koşar ve kullanacağın doğrulama tipi için sertifika veya preshared key i sadece bağlanmasını istediğin makinelere yazman yeterli olacaktır.

2 - rdp için sertifikalı bir bağlantı yapman , bu durumda da sadece ilgili sertifikaya sahip user lar ( ki her sertifika user hesapları ile ilişkili olduğu için sertifikası olmayan şifreyi bilse dahi bağlantı yapamaz ) rdp yapabilecektir.

aslında bunları çoğaltabiliriz ancak en geçerli yöntemler bunlardır.

bu konular hakkında bilgi sahibi değil isen portal üzerindeki makaleleri inceleyebilirsin.

Power Users yetkileri nelerdir? USB bellek sürücüsü yükleyebilmek için bu gruba dahil etmek uygun mudur?

Merhaba Semih bey ;

Bu izinleri incelemek için aşağıdaki yolu izleyebilirsiniz

Control Panel > Administrative Tools > Local Security Policy > Local Policies > User Rights Management

bunun
dışında power users her ne kadar program kuramaz olarak bilinsede
aslında bunu rahatlık ile yapabilir . Program kurma yetkisi aslında ;
registry ve program files dizinine yazma yetkisi ile ilgilidir . Bu
noktada registry üzerine kayıt atmaya ve kurulumda dizin olarak sizin
full hakka sahip olduğunuz kendi masa üstü ve dökümanlarınızı
göstermeniz halinde istediğiniz gibi kurulum yapabilirsiniz. Diğer
kısıtlamalar için yukarıdaki policy de bulunan hakları kontrol etmeniz
yeterli .

Teşekkürler. PC'yi Domain'den çıkartabiliyormuş. Kullanılmaz... 🙂

Merhaba Arkadaşlar,

 

Şöyle bir isteğim var, yapılabilir mi bilemiyorum.. Biz Bilgi İşlem ekibi olarak tüm şirketin bilgisayarlarına bağlanabilmek istiyoruz. Ancak kullanıcılar birbirlerine uzakmasaüstü ile bağlanamasınlar. Örneğin, muhasebedeki bir kullanıcı uzaktan bağlanmayı öğrenmiş, gitmiş pazarlamadaki birinin makinesine bağlanmış.. Şifresinide bildiği için.. ben bunu bilgisayar adına göre filtrelemek istiyorum, yani tüm bilgisayarlara sadece X1 X2 X3 X4 isimli makineler bağlanabilsin. Diğerleri uzak oturum açamasın..

 

Group Policy'deki Allow users to connect remotely using Terminal Services seçeneği de kullanıcı ismi bazlı filtreleme yapıyor ama bu benim işimi görmüyor, çünkü zaten makinelere kullanıcının kendi username ve sifresi ile baglaniyoruz.. Bu ayari disable etsemde yine pazarlamadaki ahmet'in kullanicisi ile ahmet'in bilgisayarina baglanilabiliniyor..

Fikri olan varmi? Tesekkurler.

Merhaba Santa

Bunu yapmak için pek çok yol kullanabilirsin , ancak arkadaşlarımın dediği gibi user bazlı sınırlama zaten mevcut , makine bazlı ise rdp üzerinde olmayan bir sınırlama tipidir . Ancak sana illaki makine bazlı bir sınırlama gerekiyor ise iki tavsiyem olacaktır ;

1 - ipsec , bu makine için yani rdp yapılacak makine veya makineler için 3389 nolu porttan gelen istekler için ipsec şart koşar ve kullanacağın doğrulama tipi için sertifika veya preshared key i sadece bağlanmasını istediğin makinelere yazman yeterli olacaktır.

2 - rdp için sertifikalı bir bağlantı yapman , bu durumda da sadece ilgili sertifikaya sahip user lar ( ki her sertifika user hesapları ile ilişkili olduğu için sertifikası olmayan şifreyi bilse dahi bağlantı yapamaz ) rdp yapabilecektir.

aslında bunları çoğaltabiliriz ancak en geçerli yöntemler bunlardır.

bu konular hakkında bilgi sahibi değil isen portal üzerindeki makaleleri inceleyebilirsin.

Merhabalar Hakan Hocam,

Dediklerini anladım ve kısa bir araştırma yaptım, Windows server 2003 üzerinde CA ile bunu yapabiliyoruz, ancak benim istediğim server'dan ziyade tüm makineler için geçerli, yani ben ağımdaki 100 tane makineye, .belirlediğim 5 tane bilgisayar bağlanabilsin.. bunları policy ile nasıl belirleyebilirim? Nereden sertifika belirleyip makinelere yükleyebileceğim? (Bulduğum dökümanlar sadece server'a bağlanırken geçerli.. ben normal XP Client'lara da uygulansın istiyorum)

Teşekkürler.

Merhaba ;

Bu konuda makale yayınlanacaktır , ancak ingilizcen iyi ise sana kaynak gösterebilirim , veya bu hafta yayınlanacak olan IpSec makaleleri ile IpSec kullanarak ta bu sorunu aşabilirsin.

Merhaba ; Bu konuda makale yayınlanacaktır , ancak ingilizcen iyi ise sana kaynak gösterebilirim , veya bu hafta yayınlanacak olan IpSec makaleleri ile IpSec kullanarak ta bu sorunu aşabilirsin.

Merhaba tekrar,

Ingilizcem iyidir eger kaynak varsa bakabilirim, bunun disinda bu hafta yayinlanacak makaleyide merakla bekliyorum,

Eger simdi ingilizce makaleyi gosterebilirseniz, suan sirkette iken halletmek isterim bu dusuncemi..

 Tesekkurler.

http://technet.microsoft.com/en-us/library/cc782610.aspx

http://blogs.msdn.com/ts/archive/2008/12/04/introduction-to-ts-gateway-certificates.aspx

http://technet.microsoft.com/en-us/library/cc782610.aspx

http://blogs.msdn.com/ts/archive/2008/12/04/introduction-to-ts-gateway-certificates.aspx

 

Tesekkur ederim, zaten takip ediyorum siteyii, makale yayinlandigindada okuyacagim,

Hocam anladığım kadarıyla (burada server üzerinden anlatmış), kendi makinemde sertifika üreteceğim, örneğin benimmakine.domain.name seklinde. daha sonra sertifikayı bir şekilde group policy üstünden tüm client'lara dağıtacağım..

Benim sertifikam tüm makinelerde olmuş olacak, sonra yine group policy'den sertifikayı şart koşması için gerekli ayarları yapıcam ve benim sertifikam olduğu için sadece ben bağlanabilecem.. Benim dışımdaki birininmakinesi.domain.name örneğindeki gibi bağlanamayacak..

doğrumudur?

 NOT: preshared'ıda araştırıyorum vereceğim bir şifre ile daha kısa yoldan halledebilirim belki sertifikaya filan bulaşmadan.