Forum
merhaba
şirketimzde kullandıgımz UTM cihazıyla internet filtrelemesi yapıoruz bu filtreleme explorer acıldıgında kullanıcı adı ve parola sormaya ayarlı.
UTM cihazı active directory hesaplarını kullanıyor.
yani her kullanıcnın kendi hesabı var .
fakat oturumlarını departman adıyla acıorlar aynı pc ye farklı kişiler oturabilior .
bu nedenle logon olurken departman adı internete girerken kendi hesaplarını kullanıorlar kimin nereye girip ne yaptıgını raporlayabilioruz.
problem su
kullanıcıların departman adıyla oturum acmaları şart . fakat kendi isimleriyle logon olanlar var !
denedigim bir yontem su oldu ; internet icin kullandıkları hesapların tumunu secip LOG ON TO kısmında olmayan bir pc adı yazdım bu sefer oturum acamıolar tamam ,fakat departman adıyla acılmıs oturumlarda internete de baglanamıolar kendi isimleri olan hesaplarıyla ,dc bunuda oturum ama sayıyor ve LOG ON TO da yazdıgım pc nin o olmadıgını anlıyor.
şimdi deneyecek oldugum yontemi sizinlede paylasıp fikir ve onerilerinizi almak istiorum
GPO dan Allow log on locally yi duzenleyip departman adı hesaplarının uyesi oldugunu paket programın dizinlerine erişim hakkı verilmiş kendi acmıs oldugum WINNER grubunu buraya eklemek ve USERS grubunu kaldırmayı dusunuorum cunku internet icin acmıs oldugum hesapları WINNER grubuna almadım sadece USERS grubundalar
bu sekilde bi ayar yapıp GPO dan deploy edersem , herkes birim adıyla logon olmak zorunda kalıp ,kendi isimleri olan hesaplarıyla da proxy server da authenticate olabilrlermi ?
arkadaslar biraz karısık oldu farkındayım ama bu konuyu cozmem gerekior yardımlarınızı bekliorum
iyi çalışmalar
Eğer denediğiniz şey çalışmazsa aklıma şöyle birşey geliyor ufak bir hile yapabilirsiniz kullanıcı hesaplarının bulunduğu OU ya bir policy uygulayarak bir startup script çalıştırabilirsiniz bat dosyası şeklinde içeriğide "shutdown -l" kullanıcı kendi ismiyle logon olursa direk logoff yapıcak bu şekilde önüne geçebilirsiniz gibi geliyor aklıma gelen bu kolay gelsin.
Alper bey ilginize tesekkurler
sizin onerdiginiz metodu denemek istedim durum şöyle
shutdown -lat .vb komutunu .bs uzantılaryla kaydettim fakat çalışmıyor
yani gpo dan uygulamadım bile cunku hazırladıgım pc dede calsımıyor belki bi kac extra komut girilmesi gerekbilr script tecrubesi olan arkadslrn yardımlarını bekliorum
run dan yazdıgımda logof yapıor hemen neden olabilr sizce?
Merhaba shutdown -l bunu bat dosyası olarak kayıt edip tıkladığınızda sonuç nedir ?
komut satırı acılıp liste halinde tekrar larıor komut fakat calısmıyor.
.bat icine sunu yazıp denedigimde c:\windows\system32\shutdown -l oturum kapanıoyr fakat gpo yla deploy edince calısmıoyr
neden olabilr sizce
Nasıl deploy ettiğinizi söylermisiniz dosya yolu olarak ne girdiniz policy de vs gibi.
gordugum kadaryla benzer bi ayarı uyglmak isteyen baskalarıda var
ben startup script olarak deploy ettim
.bat ve .vbs uzantılarını denedim .
iceriklerinde şunları denedim, 3 ayrı sekilde yazıp test ederek.
- shutdown -l
- /cmd
shutdown -l
- c:\system32\shutdown -l
Deploy ettiniz sonuç ?
Computer policies\Windows settings\Security Options\Network security:Force logoff when logon hours expire seçeneğini seçerek logon saatlerini iş saati dışında bir zaman vererek bir deneme yaptınızmı ?
Olmadı Alper bey ,normal oturum acamıyolarlar logon time larıyla oynayınca fakat proxy server da da authenticate olamıyorlar .
script le falan cozebilecgm sanırım bu durumu , benzer durumla ilgili sorularda gordum forumda Logoff komutu kullanılmalı sekline oneriler var ,
aslında Logoff u calıstırabilcek sekilde bi script yazabilsem hemen deploy edicem bi kac deneme yaptım olmadı .
yardımlarınızı bekliyorum arkadaslar
herkese iyi çalışmalar
Sizin client'lar policyleri alamıyor olabilir mi? Yada antivirüs vs.. engelliyor olabilir çünkü Logoff komutusunu bat olarak logon olayına atamak, oturumun kapanması için yeterli.
Yada şunu yapabilirsiniz: "Yerel olarak oturum açmaya izin verme" ayarını kullanın.
GPO ve oturum açma alanlarını eski haline getirin.
Oturum açılmamasını istediğiniz clientların computer accountlarını bir OU alın.
Oturum açmasını istemediğiniz kullanıcı hesaplarını bir group'a üye yapın.
Comp. Account'ların olduğu OU aşağıdaki policy uygulayın ve group olarak local oturum açmasını istemediğiniz kullanıcıları üye yaptığınız group verin.
Serhat bey ilginize tesekkur ederim deny logon locally yapınca oldu saolun gerci bende o sekilde cozdum cevabınızı yeni goruyorum 🙂
logoff komutuyla alakalı olark anti virus konfigurasyonunu inceleyecegim .
iyi calsımalar
rica ederiz. iyi çalışmalar