اپیزود پنجم

۱. محدودیت کلاینت و LAPS

مدیریت دسترسی کلاینت‌ها

این بخش بر روی کنترل دسترسی یوزرهای عادی به فرآیندهای حیاتی دامین مثل Join کردن و مدیریت پسورد ادمین‌های لوکال تمرکز دارد.

ابزار LAPS (مدیریت متمرکز پسورد لوکال)

زمانی که بخواهیم پسورد حساب Administrator لوکال تمام کلاینت‌ها را به صورت متمرکز ریست و مدیریت کنیم، از LAPS استفاده می‌کنیم.

این ابزار هم روی سرور (برای ساختار AD) و هم روی کلاینت نصب می‌شود. LAPS به طور اتوماتیک رمزهای بسیار پیچیده می‌سازد و آن‌ها را درون Attributeهای امن دیتابیس اکتیودایرکتوری ذخیره می‌کند تا فقط ادمین‌های مجاز بتوانند آن را ببینند.

محدودسازی کامل Join به دامین

به صورت پیش‌فرض یوزرهای عادی می‌توانند کلاینت‌ها را به دامین جوین کنند. برای جلوگیری از این کار و انحصاری کردن آن برای ادمین، دو گام برمیداریم:

  1. گروپ پالیسی: در GPO (بهتر است روی Default Domain Controllers Policy باشد)، پالیسی Add Workstation to domain را کانفیگ کرده و یوزرهای عادی را از آن حذف می‌کنیم.
  2. تغییر سهمیه با ADSI Edit: به طور پیش‌فرض هر یوزر می‌تواند ۱۰ سیستم را جوین کند. از طریق ابزار ADSI Edit به دیتابیس DC متصل می‌شویم و مقدار صفت ms-DS-MachineAccountQuota را به صفر (یا تعداد دلخواه) تغییر می‌دهیم.