Restricted Groups چیست؟

چطور میشه کاربران لوکال رو محدود کرد وقتی شبکه تحت دامین است ؟ کلا در اینترنت فقط ۲ تا مقاله خوب (سرچ هایی که خودم انجام دادم) به زبان فارسی در مورد Restricted Groups وجود داره یکی از استاد نصیری در مقاله بنام عضو کردن کاربران دامین به گروه local Administrators بصورت مرکزی و همچنین در مقاله آقای محمد جواد بگدلی بنام استفاده از Restricted Groups در Active Directory ولی باز هم برای من سوال بود که Restricted Groups چیست؟ و احساس کردم احتمالا کسانی هستند مانند من این سوال تو ذهنوشون باشه پس تصمیم گرفتم یک سناریو کوچیک راه اندازی کنم و مفهوم این موضوع رو بیشتر باز کنم. همانطور که می دانید وقتی شبکه ای تحت Domain راه اندازی میکنیم همه PCها بجز DC ، کاربران میتوانند Local به سیستم Login کنند یعنی در واقع SAM سیستم حذف نشده و هر کاری میتوانند انجام بدهند و این خود یک باگ امنیتی حساب میشود ما برای حل این مشکل میتوانیم از طریق Restricted Groups کاربران Local نیز محدود کنیم.
در این سناریو یک دامین کنترولر بنام itpro.local راه اندازی کردم و یک ویندوز ۷ Join آن کردم در این مقاله قصد ندارم شیوه ی join کردن رو آموزش بدهم و سریع وارد اصل مطلب می شوم
یک OU بنام Test درست کردم و Acount Computer مربوط به ویندوز ۷ رو به آن Add کردم و یک User بنام User1 درون این OU می سازیم همچنین حتما یک Group باید بسازیم و User های خودمان را به آن Add میکنیم نام این Group را Test01 میگزاریم

aww

اگر الان با Local User به سیستم Login کنیم بدون هیچ محدودیتی هر تغییری را می توانیم انجام دهیم برای مثال وارد Computer Management میشویم میبینیم که هیچ User, Password ی از ما نمیخواهد

ccc

user

اگر وارد قسمت Groups شویم و گروه Administrators را باز کنیم میبینیم فقط Domain users و کاربران لوکال عضو این گروه هستند

kk

حالا وارد Group Policy دامین کنترولر می شویم با راست کلیک کردن روی OU مورد نظر یک Policy بنام Restricted Groups می سازیم و Edit را میزنیم
۱

Computer Configuration > Policies > Security Settings > Restricted Groups

ll

و با راست کلیک میکنیم و Add Group را انتخاب میکنیم و در پنجره باز شده نام گروه مورد نظر خود یعنی Administrators را وارد میکنیم و توصیه میشود که Browse را نزنید OK را میزنیم

سپس نام گروه هایی را که می خواهید عضو Local Administrators آن سیستم شوند را در قسمت بالا وارد کنید

admin

سپس gpupdate /force را وارد و به صورت Local وارد ویندوز ۷ میشویم و اگر Computer Management را باز کنیم از ما User, Password میخواهد:

qqq

سپس اگر گروه Administrators را باز کنیم میبینیم گروه هایی که اضافه کرده بودیم اینجا نیز اعمال شده

adm