القائمة الرئيسية

الصفحات

إزالة المستخدمين من مجموعة المسؤولين المحليين باستخدام نهج المجموعة

 

إزالة المستخدمين من مجموعة المسؤولين المحليين باستخدام نهج المجموعة

إزالة المستخدمين من مجموعة المسؤولين المحليين باستخدام نهج المجموعة

في هذا المقال، سأوضح لك كيفية إزالة المستخدمين من مجموعة المسؤولين المحليين باستخدام سياسة المجموعة.


سأوضح لك أيضًا كيفية إضافة مستخدمين أو مجموعات إلى مجموعة المسؤولين المحليين.


باستخدام نهج المجموعة ، يمكنك التحكم في حقوق المسؤول والتأكد من عدم إضافة أي حساب غير مرغوب فيه إلى مجموعة المسؤولين المحليين.


ماذا ستتعلم في هذا المقال:

  • كيفية إزالة المستخدمين من مجموعة المسؤولين المحليين عبر GPO
  • اختبر نهج المجموعة
  • استبعاد أجهزة الكمبيوتر من نهج GPO (السماح لبعض المستخدمين بالاحتفاظ بحقوق المسؤول)


لماذا تعتبر حقوق المسؤول المحلي خطر أمني كبير

أنت لا تريد أن يقوم المستخدمون بتسجيل الدخول إلى أجهزة الكمبيوتر وأداء العمل اليومي بحقوق المسؤول. يعد استغلال حقوق المسؤول طريقة أساسية يستخدمها المهاجمون للانتشار داخل الأنظمة وداخل المؤسسة والتحكم فيها.


السيناريو رقم 1: تم تسجيل دخول المستخدم إلى جهاز الكمبيوتر الخاص به مع حقوق المسؤول ، وتم خداع هذا الشخص لفتح بريد إلكتروني يحتوي على مرفق ضار. يحتوي هذا المرفق على تعليمات برمجية قابلة للتنفيذ ويتم تنفيذها على الكمبيوتر. نظرًا لأن المستخدم قام بتسجيل الدخول بحقوق المسؤول هذه الشفرة الخبيثة لها حقوق كاملة على الكمبيوتر ، يمكنها تثبيت keylogger ، وعمل sniffing على الشبكة، وتشغيل برامج الفدية وتشفير جميع الملفات ، وتثبيت برامج التحكم عن بعد ، وما إلى ذلك. هذا الامر ليس جيدًا اليس كذلك؟


السيناريو رقم 2: شخص ما .. ربما مكتب تقنية المعلومات قام بإنشاء مستخدم محلي على أجهزة كمبيوتر متعددة بنفس كلمة المرور وأضاف هذا المستخدم إلى مجموعة المسؤولين المحليين. إذا قام المهاجم باختراق كلمة المرور هذه ، فسيكون للمهاجم إذن وصول المسؤول إلى جميع الأجهزة التي يستخدمها هذا الحساب يمكن للمهاجم بعد ذلك الانتقال بشكل جانبي من نظام إلى نظام لتنصيب الملفات الضارة وسرقة البيانات وما إلى ذلك.


يمكن تخفيف الاضرار في كلا السيناريوهين من خلال التحكم في مجموعات الإدارة المحلية. الآن … دعنا ننتقل إلى البرنامج التعليمي.


كيفية إزالة المستخدمين من مجموعة الإدارة المحلية مع نهج المجموعة

أولاً ، دعنا نتحقق من جهاز كمبيوتر ونرى الحسابات الموجودة في مجموعة المسؤولين المحليين. يمكن القيام بذلك بسهولة باستخدام أمر PowerShell التالي.

Get-LocalGroupMember administrators

كيفية إزالة المستخدمين من مجموعة الإدارة المحلية مع نهج المجموعة


يمكنك أن ترى في لقطة الشاشة هنا العديد من المستخدمين المحليين في مجموعة المسؤولين.


هذا سيء.


باستخدام سياسة المجموعة ، لا يمكنني إزالة هذه الحسابات فقط ولكن يمكنني التحكم في حسابات المستخدمين أو المجموعات التي هي أعضاء في هذه المجموعة. إذا حاول شخص ما إضافة مستخدم يدويًا إلى هذه المجموعة ، فلن يسمح نهج المجموعة ذلك.


أحب وضع جميع أجهزة الكمبيوتر في وحدة تنظيمية ، وهذا يجعل من السهل تطبيق سياسات المجموعة على حسابات الكمبيوتر.


الخطوة 1. انقر بزر الماوس الأيمن فوق الوحدة التنظيمية حيث تريد تطبيق كائن نهج المجموعة وحدد "Create a GPO in this domain, and link it here"

Create a GPO in this domain, and link it here



الخطوة 2. قم بتسمية GPO وانقر فوق OK

كيفية إزالة المستخدمين من مجموعة الإدارة المحلية مع نهج المجموعة




أنت الآن بحاجة إلى تحرير كائن نهج المجموعة.


الخطوة 3. انقر بزر الماوس الأيمن فوق GPO وانقر فوق تحرير

كيفية إزالة المستخدمين من مجموعة الإدارة المحلية مع نهج المجموعة




الخطوة 4. استعرض للوصول إلى إعدادات GPO التالية

Computer Configuration -> Preferences -> Control Panel Settings -> Local users and Groups

كيفية إزالة المستخدمين من مجموعة الإدارة المحلية مع نهج المجموعة-> Control Panel Settings -> Local users and Groups



الآن انقر بزر الماوس الأيمن في النافذة اليمنى واختر جديد -> مجموعة محلية

كيفية إزالة المستخدمين من مجموعة الإدارة المحلية مع نهج المجموعة




الإعدادات:

الإجراء: التحديث

اسم المجموعة: Administrators (built-in)

حذف كافة الأعضاء المستخدمين: نعم

حذف كافة مجموعات الأعضاء: نعم

الأعضاء: انقر فوق إضافة وحدد الأعضاء الذين تريد إضافتهم إلى مجموعة المسؤولين المحليين. ربما تريد الاحتفاظ بحساب المسؤول المحلي ومجموعة مسؤولي المجال كمسؤولين محليين…ولكن هذا الأمر متروك لك تمامًا.


لقطة شاشة لإعداداتي

كيفية إزالة المستخدمين من مجموعة الإدارة المحلية مع نهج المجموعة



ستؤدي الإعدادات المذكورة أعلاه إلى حذف جميع المستخدمين والمجموعات ثم إضافة المستخدمين المحددين في مربع الأعضاء. سيؤدي ذلك إلى تنظيف جميع الحسابات غير المرغوب فيها وإضافة الحسابات التي تريدها فقط في مجموعة المسؤولين المحليين.


اختبار نهج المجموعة

الآن بعد أن تم إنشاء كائن نهج المجموعة وربطه بوحدة تنظيمية ، فلنختبره.


في الكمبيوتر الشخصي 1 ، سأقوم بتشغيل الأمر التالي لفرض تحديث سياسة المجموعة.

gpupdate /force
اختبار نهج المجموعة



بمجرد اكتمال الأمر ، سأفحص عضوية المجموعة مرة أخرى.

اختبار نهج المجموعة



ممتاز!


يمكنك أن ترى من لقطة الشاشة أنه تمت إزالة الحسابات غير المرغوب فيها من مجموعة المسؤولين. قام GPO بإزالة حساب robert.allen و admin2 وحساب fig من المجموعة. ثم أضاف مجموعة مسؤولي الدومين ، ومجموعة IT_Wrk_Admin ، و حساب المسؤول المحلي.


سيحصل أي جهاز كمبيوتر تقوم بتطبيق هذه السياسة عليه على هذه الإعدادات بالضبط. إذا اخترت حذف جميع حسابات المستخدمين والمجموعات الأعضاء ، فسيتم بالفعل إزالة هذه الحسابات من مجموعة المسؤولين المحليين. أوصيك باختبار هذا قبل طرحه في بيئة الإنتاج.


استبعاد أجهزة الكمبيوتر من نهج GPO

إذا كنت بحاجة إلى استبعاد جهاز كمبيوتر من هذه السياسة ، فاتبع الخطوات التالية:


نصيحة: هناك العديد من البرامج ضعيفة البرمجة والتي لا تعمل بدون منح المستخدمين حقوق المسؤول. إذا كان بإمكانك تجنب هذه البرامج ، فالرجاء القيام بذلك. إنه لأمر مثير للسخرية أنه لا تزال هناك شركات تبيع برامج لا يمكن تشغيلها بحقوق المسؤول ... حاول مرة أخرى تجنب هذه البرامج.إذا لم تتمكن من النظر في برامج تصعيد الامتيازات مثل BeyondTrust و PolicyPak. تسمح لك هذه البرامج بتكوين برامج للتشغيل دون منح المستخدم حقوق المسؤول.


الخطوة الأولى: قم بإنشاء مجموعة دليل نشط جديدة ، وقم بتسميتها كما تريد.

الخطوة 2. أضف حساب الكمبيوتر الذي تريد استبعاده في هذه المجموعة.

الخطوة 3. في وحدة تحكم إدارة نهج المجموعة ، حدد GPO الذي أنشأته وحدد تبويب delegation .

استبعاد أجهزة الكمبيوتر من نهج GPO



الآن انقر فوق زر خيارات متقدمة

استبعاد أجهزة الكمبيوتر من نهج GPO




انقر فوق إضافة وحدد المجموعة التي أنشأتها للتو.

استبعاد أجهزة الكمبيوتر من نهج GPO



تأكد الآن من أن هذه المجموعة لديها هذه الأذونات فقط:

  • Read: Allow
  • Apply group policy: Deny


استبعاد أجهزة الكمبيوتر من نهج GPO


سيؤدي هذا إلى حرمان أي عضو في هذه المجموعة من تطبيق كائن نهج المجموعة. هذه طريقة بسيطة جدًا لاستبعاد أجهزة الكمبيوتر من تطبيق كائن نهج المجموعة هذا. كما أنه يجعل من السهل إدارته ، إذا كنت تريد معرفة من تم استبعاده من كائن نهج المجموعة ، يمكنك فقط التحقق من أعضاء مجموعة متحكم الدومين.


الآن ، سأتحقق من استبعاد الكمبيوتر باستخدام الأمر gpresult.

لرؤية جميع كائنات نهج المجموعة المطبقة على جهاز كمبيوتر والمستخدم ، اكتب هذا الأمر.

gpresult /r


ستحتاج إلى أن تكون مسؤولاً على الكمبيوتر للحصول على النتائج.

استبعاد أجهزة الكمبيوتر من نهج GPO



يمكنك رؤية نهج المجموعة GPO Computer - Local Admin Group members مطبق على هذا الكمبيوتر. سأعيد تشغيل الكمبيوتر وأقوم بتشغيل الأمر مرة أخرى. بمجرد إعادة التشغيل ، يجب ألا أرى أن كائن نهج المجموعة GPO يتم تطبيقه على هذا الكمبيوتر لأنه تم استبعاده من نهج المجموعة.


سأقوم بتشغيل gpresult / r مرة أخرى

استبعاد أجهزة الكمبيوتر من نهج GPO



يمكنك رؤية كائن نهج المجموعة (GPO) لم يعد مطبقًا على هذا الكمبيوتر.


نصيحة: يجب عليك أولاً إجراء تدقيق لحقوق المستخدم وفهم سبب امتلاكهم لحقوق المسؤول. لا تريد تمكين هذه السياسة على جميع أجهزة الكمبيوتر دون اختبار وفهم تأثيرها أولاً. للأسف ، هناك برامج لا تزال بحاجة إلى حقوق أعلى ، ويمكن أن يؤدي تطبيق هذه السياسة إلى تعطيل البرامج ومنعها من العمل.


عندما طرحت هذه السياسة ، قمت أولاً بتشغيل تقرير لجميع المستخدمين الذين لديهم حقوق المسؤول. ثم راجعت الحقوق مع الموظفين لفهم سبب أذونات المستخدمين بشكل أفضل ، وكان معظم ذلك بسبب البرامج القديمة التي كانت بحاجة إلى حقوق مرتفعة. كان هذا في ذلك الوقت تمت مناقشتها من قبل الإدارة العليا وتمت الموافقة عليها قبل المضي قدمًا. قم بإجراء الاختبار والاختبار والاختبار قبل طرح ذلك في أنظمة الإنتاج.


إذا كان لديك أي أسئلة ، فقم بنشرها في قسم التعليقات أدناه.

reaction:

تعليقات