انجمن مدیران و راهبران شبکه

انجمن مدیران و راهبران شبکه

Network Managers and Administrators
انجمن مدیران و راهبران شبکه

انجمن مدیران و راهبران شبکه

Network Managers and Administrators

تنظیم دسترسی کاربران به منظور عضو نمودن سیستم ها به دامین


Giving A User The Ability To Add A Computer To The Domain

به منظور اعطای سطح دسترسی لازم به یک کاربر جهت عضو نمودن سیستم های موجود در شبکه سازمان به دامین کنترلر، می توانید بر حسب سناریو های مختلف، یکی از روش های زیر را انتخاب و استفاده نمایید : 


راه حل اول :


Giving A User The Ability To Add A Computer To The Domain :

  1. On your domain control, click Start, point to Administrative Tools, and select Active Directory Users and Computers.
  2. Right click the container that you want the user to create computer accounts in and select Delegate Control.
  3. Click Next.
  4. Click Add.
  5. Add the appropriate user account and click Next.
  6. Click the Create custom task to delegate option and click Next.
  7. Click Only the following objects in the folder.
  8. Click Computer Objects and Create selected objects in this folder. Click Next.
  9. Click Create all child object and click Next.
  10. Click Finish.


راه حل دوم :

Changing default number of machines users can add to a domain


Most of you know the limit of 10 times authenticated users can join machines to a domain. Upping the limit, or removing it is a very simple thing to do, however everytime someone asks me, I have to go back to look it up again.  At least if I have it on my own blog, I'll know where to start looking next time.

The Active Directory attribute you need to change is mS-DS-MachineAccountQuota which is a property of the domain object. Here's the steps to change it:

    • Start ADSI Edit (start/run/adsiedit.msc)
    - Expand out the Domain node, right click on DC=<yourdomain>,DC=com and select properties
    - Scan down to ms-DS-MachineAccountQuota
    - Modify the value as appropriate, or clear the value to remove the limit entirely.


راه حل سوم :


Users cannot join a computer to a domain


To resolve the issue in which users cannot join a computer to a domain, follow these steps:

  1. Click Start, click Run, type dsa.msc, and then click OK.
  2. In the task pane, expand the domain node.
  3. Locate and right-click the OU that you want to modify, and then click Delegate Control.
  4. In the Delegation of Control Wizard, click Next.
  5. Click Add to add a specific user or a specific group to the Selected users and groups list, and then click Next.
  6. In the Tasks to Delegate page, click Create a custom task to delegate, and then click Next.
  7. Click Only the following objects in the folder, and then from the list, click to select the Computer objects check box. Then, select the check boxes below the list, Create selected objects in this folderDelete selected objects in this folder. and
  8. Click Next.
  9. In the Permissions list, click to select the following check boxes:
  10. Reset Password

  11. Read and write Account Restrictions

  12. Validated write to DNS host name

  13. Validated write to service principal name

  14. Click Next, and then click Finish.
  15. Close the "Active Directory Users and Computers" MMC snap-in.

Users cannot reset passwords

To resolve the issue in which users cannot reset passwords, follow these steps:

  1. Click Start, click Run, type dsa.msc, and then click OK.

  2. In the task pane, expand the domain node.

  3. Locate and right-click Builtin, and then click Properties.

  4. In the Builtin Properties dialog box, click the Security tab.

  5. In the Group or user names list, click Account Operators.

  6. Under Permissions for Account Operators, click to select the AllowRead permission, and then click OK.

    Note If you want to use a group or a user other than the Account Operators group, repeat steps 5 and 6 for that group or that user. check box for the

  7. Close the "Active Directory Users and Computers" MMC snap-in.

۱۰ نکته در خصوص امکانات امنیتی سوئیچ های سیسکو - قسمت سوم

Network Security Best Practices and
Cisco Catalyst Switches
Part # 3




۳- پیکربندی service password-encryption بر روی سوئیچ های شبکه  :


دستور عمومی service password-encryption ، سیستم عامل تجهیزات سوئیچ و روتر سیسکو را وادار می سازد نا نسبت به رمزنگاری کلمات عبور، اطلاعات CHAP و سایر اطلاعات از این دست را که در داخل فایل پیکربندی این تجهیزات نگهداری می شود اقدام نمایند. رمزنگاری این اطلاعات کمک شایانی در جلوگیری از افشا شدن اطلاعات محرمانه نام برده شده خواهد بود. اگر این اطلاعات بصورت Clear Text رها شده باشند این امکان وجود دارد تا هنگام پیکربندی و یا صدور دستور Show run توسط فرد غیر مسوولی بر روی مانیتور شما مشاهده و فاش گردند. از این رو شدیدا توصیه می شود تا پس از پیکربندی اولیه سوئیچ یا روتر حتما به عنوان اولین قدم در جهت افزایش امنیت اطلاعات مدیریتی تجهیزات سوئیچ و روتر با استفاده از وارد نمودن دستور زیر نسبت به رمز نگاری اطلاعات محرمانه سوئیچ اقدام نمایید.

service password-encryption بر خلاف روش رمزنگاری دستور Enable secret ،از الگوریتم ساده Vigenère cipher جهت رمزنگاری استفاده کرده و زیاد قابل اطمینان نیست اما بودنش از نبودنش بهتر است، چرا که حداقل با تبدیل متن ساده به کد نافهوم از فاش شدن اطلاعات حیاطی سوئیچ یا روتر با نگاه به صفحه نمایش جلوگیری خواهد کرد.

جهت استفاده از این سرویس بصورت زیر دستورات را وارد نمایید:


ITNGN_CoreSW>
ITNGN_CoreSW>ena
Password:

ITNGN_CoreSW#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

ITNGN_CoreSW(config)#service password-encryption
ITNGN_CoreSW(config)#exit
ITNGN_CoreSW#
%SYS-5-CONFIG_I: Configured from console by console
ITNGN_CoreSW#