Bezpečnosť > Bezpecnost
Ako dovolit uzivatelom sa prihlasit na radic domeny?
Stretol som sa s jednou zaujimavou poziadavkou. V jednej firme sa potrebovali na domenovy radic prihlasit uzivatelia z domeny, ktori neboli administratormi v domene. Poziadavka nastala tak, ze dany server bol fyzicky a bol vyuzivany ako menezment server pre IT pracovnikov. Bolo potrebne zabezpecit fyzicky domenovy radic (dva uz mali na VMWare) a jediny stroj, ktory bol pristupny bol tento menezment server. Tak sme teda rolu Domain Controller pridali na dany server a potom bol problem, ze nie vsetci IT pracovnici boli zaroven aj Domain Admins. Tak sme to museli obist nasledovnym sposobom. Vytvorili sme GPO politiku, ktora sa aplikovala len na ten jeden domenovy radic s nasledovnymi nastaveniami:
Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment
kde sme nastavili Allow log on through Remote Desktop Services na skupinu IT uzivatelov, ktori sa potrebovali na dany kontroler pripojit. Taktiez sme nesmeli zabudnut pridat skupinu Domain Admins, pretoze tato politika dovoli pripojit sa cez RDP len tym uzivatelom, ktori su v definovanych skupinach.
Viem, ze toto nie je cesta ku bezpecnemu prostrediu, ale myslim, ze toto riesenie je dobre, kym vieme co robime :-)
Original blog post: http://www.cievo.sk/2011/09/13/allow-users-to-logon-on-to-domain-controller/
|