كيف يمكن اعطاء صلاحيات للموظفين بدون جعلهم أدمن علي الشبكة

[iso_2001 0]

السلام عليكم ورحمة الله وبركاته

انا مدير شبكة حاسوب بمؤسسة ويوجد لدي موظفين بقسم الصيانة أريد إعطاءهم صلاحية إضافة اجهزة للدومين بدون أن يكون لديهم صلاحيات ادمن الشبكة .؟؟.

[newbie 19]

ابحث عن Delegating administration

http://technet.microsoft.com/en-us/library...807(WS.10).aspx

[Yassean 5]

قم بالتعديل في الـ Default Domain Policy لتسمح لهم بذلك

وهو خيارٌ متوفر لديك .

[خالد عبدالكريم 0]

سهله جدا ...اولا اعمل قروب جديد في الاكتف دايركتوري وليكن SupportSvs

ومن القروب بولسي اعمل startup script على مستوى الجهاز بي اسم مثلا addsuportuser.bat و ليكن فيها مثلا على افتراض ان اسم الدومين عندك test التالي :

net localgroup "Administrators" "test\SupportSvs" /ADD

تم تعديل 24 Aug 2009 بواسطه خالد عبدالكريم

[Yassean 5]

سهله جدا ...اولا اعمل قروب جديد في الاكتف دايركتوري وليكن SupportSvs

ومن القروب بولسي اعمل startup script على مستوى الجهاز بي اسم مثلا addsuportuser.bat و ليكن فيها مثلا على افتراض ان اسم الدومين عندك test التالي :

net localgroup "Administrators" "test\SupportSvs" /ADD

عفواً .. لكن تلك إجابة خاطئة على السؤال بأعلى الموضوع

[Mohammed Akram 16]

ما علافة ال GP بالموضوع يا ياسين؟

الموضوع موضوع Permissions وليس شيء اخر كما ذكر أخي newbie

بالوضع الافتراضي ... كل ال Domain Users لهم هذه الصلاحيه ... لكنها محدوده في نقطتين:

1- كحد أقصى يستطيعون عمل Join ل 10 أجهزه بالوضع الافتراضي.

2- لا يستطيعون عمل Re-Join .... فقط Join لجهاز جديد ليس له Computer Account.

طبعا لتفادي النقطه الثانيه عليك بعمل Delegation على ال OU أو ال Default Computers Folder وتعطي Custom Delegation وهي Delete Computer Accounts و Reset Computer Password.

لتفادي النقطه الأولى تحتاج للتعديل على ال ms-DC-ComputerQuote (ان لم تخني الذاكره في التسميه) لتزيد العدد كما تشاء ... طبعا ستحتاج للتعامل مع ال ADSIEdit للوصول لهذه ال Quote.

[خالد عبدالكريم 0]

نعم شكرا لك اخي Yassean التبس علي الأمر .

تحياتي

[Yassean 5]

ما علافة ال GP بالموضوع يا ياسين؟

الموضوع موضوع Permissions وليس شيء اخر كما ذكر أخي newbie

بالوضع الافتراضي ... كل ال Domain Users لهم هذه الصلاحيه ... لكنها محدوده في نقطتين:

1- كحد أقصى يستطيعون عمل Join ل 10 أجهزه بالوضع الافتراضي.

2- لا يستطيعون عمل Re-Join .... فقط Join لجهاز جديد ليس له Computer Account.

طبعا لتفادي النقطه الثانيه عليك بعمل Delegation على ال OU أو ال Default Computers Folder وتعطي Custom Delegation وهي Delete Computer Accounts و Reset Computer Password.

لتفادي النقطه الأولى تحتاج للتعديل على ال ms-DC-ComputerQuote (ان لم تخني الذاكره في التسميه) لتزيد العدد كما تشاء ... طبعا ستحتاج للتعامل مع ال ADSIEdit للوصول لهذه ال Quote.

صحيح الرد منذ يوم 29 أغسطس الماضي لكني لم أنتبه له إلا الآن ويجدر التعليق على الرد

مستر محمد يا عزيزي دخلت في قصة الـ Delegation والتعديل في الـ Attributes الخاصة بالـ AD ... لماذا كل هذا ؟!!!!!!

أكرر .. كل ما يحتاجه السائل هو التعديل في الـ Default Domain Policy ليسمح لهم بذلك

وبالتحديد التعديل في أمر Add Computer to Domain .

وهي السياسة اللتي أعمل بها في مختلف الشركات والأماكن ، بالأصح هي أول ما يجب تعديله بعد إنشاء دومين في شبكةٍ ما .

الموضوع ليس بمعقد ولا يحتاج إلى اللعب في الـ attributes :)

تحياتي ،،

نعم شكرا لك اخي Yassean التبس علي الأمر .

تحياتي

It is OK and U R Welcome :)