আপনি GPO ব্যবহার করতে পারেন (গ্রুপ নীতি) যোগ করার জন্য সক্রিয় ডিরেক্টরি ব্যবহারকারী এবং স্থানীয় প্রশাসকদের গ্রুপ ডোমেনে যুক্ত সার্ভার এবং ওয়ার্কস্টেশনে গ্রুপ। এটি আপনাকে প্রযুক্তিগত সহায়তা স্টাফ, হেল্পডেস্ক দল, নির্দিষ্ট ব্যবহারকারী বা অন্যান্য সুবিধাপ্রাপ্ত অ্যাকাউন্টগুলিতে ডোমেন কম্পিউটারে স্থানীয় প্রশাসক বিশেষাধিকার প্রদান করতে দেয়। এই নিবন্ধে আমরা GPO ব্যবহার করে ডোমেন কম্পিউটারে স্থানীয় প্রশাসক গোষ্ঠীর সদস্যদের কীভাবে পরিচালনা করতে হয় তা দেখাব।
অ্যাক্টিভ ডিরেক্টরি ডোমেনে স্থানীয় প্রশাসক গোষ্ঠী
আপনি যখন একটি AD ডোমেনে একটি কম্পিউটারে যোগদান করেন, তখন ডোমেন অ্যাডমিনস৷ গ্রুপ স্বয়ংক্রিয়ভাবে স্থানীয় প্রশাসকদের সাথে যুক্ত হয় গ্রুপ, এবং ডোমেন ব্যবহারকারী স্থানীয় ব্যবহারকারীদের গ্রুপে যোগ করা হয়েছে গ্রুপ।
একটি কম্পিউটারে স্থানীয় প্রশাসক বিশেষাধিকার প্রদানের সবচেয়ে সহজ উপায় হল স্থানীয় নিরাপত্তা গোষ্ঠী প্রশাসকদের সাথে একজন ব্যবহারকারী বা গোষ্ঠীকে যুক্ত করা স্থানীয় ব্যবহারকারী এবং গোষ্ঠীগুলি ব্যবহার করে৷ স্ন্যাপ-ইন (lusrmgr.msc
) যাইহোক, এই পদ্ধতিটি সুবিধাজনক নয় যদি প্রচুর কম্পিউটার থাকে এবং কিছু সময়ের মধ্যে অবাঞ্ছিত লোকেরা বিশেষ সুবিধাপ্রাপ্ত গ্রুপের সদস্য থাকতে পারে। আপনি যদি স্থানীয় বিশেষাধিকার প্রদানের এই পদ্ধতিটি ব্যবহার করেন তবে প্রতিটি ডোমেন কম্পিউটারে স্থানীয় প্রশাসক গোষ্ঠীর সদস্যদের নিয়ন্ত্রণ করা সুবিধাজনক নয়৷
Microsoft একটি AD ডোমেনে প্রশাসনিক সুযোগ-সুবিধা আলাদা করতে নিম্নলিখিত গোষ্ঠীগুলি ব্যবহার করার পরামর্শ দেয়:
- ডোমেন অ্যাডমিন শুধুমাত্র ডোমেইন কন্ট্রোলারে ব্যবহার করা হয়; বিশেষাধিকারপ্রাপ্ত অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টগুলির নিরাপত্তার দৃষ্টিকোণ থেকে, ডোমেন অ্যাডমিন বিশেষাধিকার সহ একটি অ্যাকাউন্টের অধীনে ওয়ার্কস্টেশন এবং সার্ভারগুলিতে দৈনিক প্রশাসনিক কাজগুলি সম্পাদন করার সুপারিশ করা হয় না। এই অ্যাকাউন্টগুলি শুধুমাত্র AD পরিচালনার জন্য ব্যবহার করা আবশ্যক (নতুন ডোমেন কন্ট্রোলার যোগ করা, প্রতিলিপি ব্যবস্থাপনা, সক্রিয় ডিরেক্টরি স্কিমা পরিবর্তন, ইত্যাদি)। বেশিরভাগ ব্যবহারকারী, কম্পিউটার বা জিপিও পরিচালনার কাজগুলিকে নিয়মিত প্রশাসক অ্যাকাউন্টে অর্পণ করতে হবে (ডোমেন প্রশাসকের অনুমতি ছাড়াই)। ডোমেন কন্ট্রোলার ছাড়া অন্য কোনো ওয়ার্কস্টেশন বা সার্ভারে লগ ইন করতে ডোমেন অ্যাডমিন অ্যাকাউন্ট ব্যবহার করবেন না।
- সার্ভার অ্যাডমিনস একটি গ্রুপ যা ডোমেন সদস্য সার্ভারগুলি পরিচালনা করার অনুমতি দেয়। এটি আপনার ওয়ার্কস্টেশনে ডোমেন অ্যাডমিন গ্রুপ বা স্থানীয় প্রশাসক গোষ্ঠীর সদস্য হতে হবে না;
- ওয়ার্কস্টেশন অ্যাডমিন শুধুমাত্র ওয়ার্কস্টেশনে প্রশাসনিক কাজ সম্পাদনের জন্য একটি গ্রুপ। ডোমেন অ্যাডমিন এবং সার্ভার অ্যাডমিন গ্রুপের সদস্য হতে হবে না;
- ডোমেন ব্যবহারকারী সাধারণ অফিসের ক্রিয়াকলাপ সম্পাদন করার জন্য সাধারণ ব্যবহারকারী অ্যাকাউন্ট। সার্ভার বা ওয়ার্কস্টেশনে তাদের অবশ্যই কোনো প্রশাসকের সুবিধা থাকতে হবে না।
ধরুন, আপনি প্রযুক্তিগত সহায়তা এবং হেল্পডেস্ক কর্মীদের গ্রুপকে নির্দিষ্ট OU-তে কম্পিউটারে স্থানীয় প্রশাসকের সুবিধা দিতে চান। PowerShell ব্যবহার করে আপনার ডোমেনে একটি নতুন নিরাপত্তা গোষ্ঠী তৈরি করুন এবং এতে প্রযুক্তিগত সহায়তা অ্যাকাউন্ট যোগ করুন:
New-ADGroup munWKSAdmins -path 'OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=com' -GroupScope Global –PassThru
Add-AdGroupMember -Identity munWKSAdmins -Members amuller, dbecker, kfisher
ডোমেন গ্রুপ পলিসি ম্যানেজমেন্ট কনসোল খুলুন (GPMC.msc
), একটি নতুন নীতি তৈরি করুন (GPO) AddLocaAdmins এবং এটিকে OU ধারণকারী কম্পিউটারগুলির সাথে লিঙ্ক করুন (আমার উদাহরণে, এটি হল 'OU=কম্পিউটার,OU=Munich,OU=DE,DC=woshub,DC=com')।
AD গ্রুপ নীতি ডোমেন কম্পিউটারে স্থানীয় গ্রুপ পরিচালনা করার জন্য দুটি পদ্ধতি প্রদান করে। আসুন সেগুলি ঘুরে দেখি:
- গ্রুপ পলিসি প্রেফারেন্স ব্যবহার করে স্থানীয় গ্রুপ ম্যানেজমেন্ট;
- সীমাবদ্ধ গ্রুপ।
জিপিও পছন্দের মাধ্যমে স্থানীয় প্রশাসকদের সাথে ডোমেন ব্যবহারকারীদের কীভাবে যুক্ত করবেন?
গ্রুপ পলিসি প্রেফারেন্স (GPP) একটি GPO এর মাধ্যমে ডোমেন কম্পিউটারে স্থানীয় প্রশাসকদের বিশেষাধিকার প্রদানের সবচেয়ে নমনীয় এবং সুবিধাজনক উপায় প্রদান করে।
- AddLocaAdmins খুলুন আপনি আগে সম্পাদনা-এ GPO তৈরি করেছেন মোড;
- নিম্নলিখিত GPO বিভাগে যান:কম্পিউটার কনফিগারেশন -> পছন্দগুলি -> কন্ট্রোল প্যানেল সেটিংস -> স্থানীয় ব্যবহারকারী এবং গোষ্ঠীগুলি;
- একটি নতুন নিয়ম যোগ করুন (নতুন -> স্থানীয় গোষ্ঠী );
- আপডেট নির্বাচন করুন অ্যাকশন ফিল্ডে (এটি একটি গুরুত্বপূর্ণ বিকল্প!);
- গোষ্ঠীর নাম ড্রপডাউন তালিকায়, প্রশাসক (বিল্ট-ইন) নির্বাচন করুন। এমনকি কম্পিউটারে এই গোষ্ঠীটির নাম পরিবর্তন করা হলেও, সেটিংস স্থানীয় প্রশাসক গোষ্ঠীতে এর SID -
S-1-5-32-544
দ্বারা প্রয়োগ করা হবে।; - যোগ করুন ক্লিক করুন বোতাম এবং স্থানীয় প্রশাসক গোষ্ঠীতে আপনি যে গোষ্ঠীগুলিকে যুক্ত করতে চান তা নির্বাচন করুন (আমাদের ক্ষেত্রে, এটি munWKSAadmins ); আপনি যদি বর্তমান স্থানীয় প্রশাসক গোষ্ঠী থেকে ম্যানুয়ালি যুক্ত ব্যবহারকারী এবং গোষ্ঠীগুলিকে সরাতে চান তবে “সকল সদস্য ব্যবহারকারী মুছুন চেক করুন ” এবং “সকল সদস্য গোষ্ঠী মুছুন৷ "বিকল্প। বেশিরভাগ ক্ষেত্রে এটি যুক্তিসঙ্গত কারণ আপনি গ্যারান্টি দিচ্ছেন যে শুধুমাত্র নির্ধারিত ডোমেন গ্রুপগুলির আপনার ডোমেন কম্পিউটারে প্রশাসকের অনুমতি থাকবে৷ তারপরে আপনি যদি "স্থানীয় ব্যবহারকারী এবং গোষ্ঠী" স্ন্যাপ-ইন ব্যবহার করে ম্যানুয়ালি অ্যাডমিনিস্ট্রেটর গ্রুপে একজন ব্যবহারকারীকে যুক্ত করেন, তাহলে নীতিটি প্রয়োগ করা হলে এটি স্বয়ংক্রিয়ভাবে সরানো হবে।
- পলিসিটি সংরক্ষণ করুন এবং এটি ওয়ার্কস্টেশনে প্রয়োগ না হওয়া পর্যন্ত অপেক্ষা করুন৷ অবিলম্বে নীতি প্রয়োগ করতে, এই কমান্ডটি চালান
gpupdate /force
একটি ব্যবহারকারী কম্পিউটারে; -
lusrmgr.msc
খুলুন যেকোনো কম্পিউটারে স্ন্যাপ-ইন করুন এবং স্থানীয় অ্যাডমিনিস্ট্রেটর গ্রুপের সদস্যদের চেক করুন। শুধুমাত্র munWKSA অ্যাডমিন গ্রুপ এই গ্রুপে যোগ করা হবে, অন্য ব্যবহারকারী এবং গোষ্ঠীগুলিকে সরিয়ে দেওয়া হবে। আপনি কমান্ড ব্যবহার করে স্থানীয় প্রশাসকদের তালিকা প্রদর্শন করতে পারেন:net localgroup Administrators
আপনি GPO WMI ফিল্টার বা আইটেম-স্তরের টার্গেটিং ব্যবহার করে নির্দিষ্ট কম্পিউটারে নীতি লক্ষ্য করার জন্য অতিরিক্ত (দানাদার) শর্তগুলি কনফিগার করতে পারেন .
দ্বিতীয় ক্ষেত্রে, সাধারণ-এ যান ট্যাব করুন এবং আইটেম-স্তরের টার্গেটিং চেক করুন . টার্গেটিং এ ক্লিক করুন . এখানে আপনি শর্তাবলী উল্লেখ করতে পারেন যখন নীতি প্রয়োগ করা হবে। উদাহরণস্বরূপ, আমি চাই প্রশাসক গোষ্ঠী যুক্ত করার নীতি শুধুমাত্র Windows 10 কম্পিউটারগুলিতে প্রয়োগ করা হোক, যেগুলির NetBIOS/DNS নামগুলিতে adm
নেই . আপনি আপনার নিজস্ব ফিল্টারিং বিকল্প ব্যবহার করতে পারেন.
এই নীতিতে পৃথক ব্যবহারকারীর অ্যাকাউন্ট যোগ করার সুপারিশ করা হয় না। ডোমেইন সিকিউরিটি গ্রুপ ব্যবহার করা ভালো। এই ক্ষেত্রে, অন্য প্রযুক্তি সহায়তা কর্মচারীকে প্রশাসকের বিশেষাধিকার দেওয়ার জন্য, তাদের ডোমেন গ্রুপে যুক্ত করাই যথেষ্ট (আপনাকে GPO সম্পাদনা করতে হবে না)।
নিষিদ্ধ গ্রুপ ব্যবহার করে স্থানীয় প্রশাসক গ্রুপ পরিচালনা করা
সীমাবদ্ধ গোষ্ঠীগুলি৷ নীতি কম্পিউটারে স্থানীয় নিরাপত্তা গোষ্ঠীতে ডোমেন গ্রুপ/ব্যবহারকারীদের যোগ করার অনুমতি দেয়। এটি স্থানীয় প্রশাসকের সুযোগ-সুবিধা প্রদানের একটি পুরানো পদ্ধতি এবং এটি এখন কম ব্যবহৃত হয় (এটি গ্রুপ নীতি পছন্দ পদ্ধতির তুলনায় কম নমনীয়)।
- সম্পাদনা মোডে একটি GPO খুলুন;
- বিভাগটি প্রসারিত করুন কম্পিউটার কনফিগারেশন -> নীতিগুলি -> নিরাপত্তা সেটিংস -> সীমাবদ্ধ গ্রুপগুলি;
- দল যোগ করুন নির্বাচন করুন প্রসঙ্গ মেনুতে;
- পরবর্তী উইন্ডোতে, প্রশাসক টাইপ করুন এবং তারপর ওকে ক্লিক করুন;
- যোগ করুন ক্লিক করুন এই গোষ্ঠীর সদস্যদের মধ্যে বিভাগ এবং স্থানীয় প্রশাসকদের সাথে আপনি যে গ্রুপটিকে যুক্ত করতে চান তা নির্দিষ্ট করুন;
- পরিবর্তনগুলি সংরক্ষণ করুন, ব্যবহারকারীর কম্পিউটারগুলিতে নীতি প্রয়োগ করুন এবং স্থানীয় প্রশাসকদের চেক করুন দল এটিতে শুধুমাত্র সেই গোষ্ঠীটি থাকতে হবে যা আপনি নীতিতে নির্দিষ্ট করেছেন৷ ৷
GPO ব্যবহার করে একটি নির্দিষ্ট কম্পিউটারে স্থানীয় অ্যাডমিন গ্রুপে একজন একক ব্যবহারকারী যোগ করা
কখনও কখনও আপনাকে নির্দিষ্ট কম্পিউটারে একজন একক ব্যবহারকারীকে প্রশাসকের বিশেষাধিকার প্রদান করতে হতে পারে। উদাহরণ স্বরূপ, আপনার অনেক ডেভেলপার আছে যাদের সময়ে সময়ে ড্রাইভার পরীক্ষা করতে, ডিবাগ করতে বা তাদের কম্পিউটারে ইন্সটল করার জন্য উন্নত সুযোগ-সুবিধা প্রয়োজন। সমস্ত কম্পিউটারে ওয়ার্কস্টেশন অ্যাডমিনদের গ্রুপে তাদের যুক্ত করা যুক্তিযুক্ত নয়।
নির্দিষ্ট কম্পিউটারে স্থানীয় প্রশাসকের বিশেষাধিকার প্রদান করতে, আপনি নিম্নলিখিত স্কিমটি ব্যবহার করতে পারেন:
AddLocalAdmins-এর GPO পছন্দ বিভাগে (কম্পিউটার কনফিগারেশন -> পছন্দগুলি -> কন্ট্রোল প্যানেল সেটিংস -> স্থানীয় ব্যবহারকারী এবং গোষ্ঠী) পূর্বে তৈরি করা নীতি নিম্নলিখিত সেটিংস সহ অ্যাডমিনিস্ট্রেটর গোষ্ঠীর জন্য একটি নতুন এন্ট্রি তৈরি করে:
- ক্রিয়া :
Update
- গ্রুপের নাম :
Administrators (Built-in)
- বিবরণ :“
Add amuller to the local administrators on the mun-dev-wsk21 computer
” - সদস্যরা :যোগ করুন ->
amuller
- সাধারণ-এ -> টার্গেটিং ট্যাবে, এই নিয়মটি নির্দিষ্ট করুন:“
the NETBIOS computer name is mun—dev-wks24.
” এর মানে এই যে এই নীতি শুধুমাত্র এখানে নির্দিষ্ট করা কম্পিউটারের ক্ষেত্রেই প্রযোজ্য হবে৷
এছাড়াও, কম্পিউটারে যে ক্রমানুসারে গোষ্ঠীগুলি প্রয়োগ করা হয় সেদিকে মনোযোগ দিন (Order
জিপিপি কলাম)। স্থানীয় গ্রুপ সেটিংস উপরে থেকে নীচে প্রয়োগ করা হয় (Order 1
থেকে শুরু করে নীতি)।
প্রথম GPP নীতি (উপরে বর্ণিত "সকল সদস্য ব্যবহারকারীদের মুছুন" এবং "সকল সদস্য গোষ্ঠী মুছুন" সেটিংস সহ) স্থানীয় প্রশাসক গোষ্ঠীগুলি থেকে সমস্ত ব্যবহারকারী/গোষ্ঠীকে সরিয়ে দেয় এবং নির্দিষ্ট ডোমেন গ্রুপ যুক্ত করে। তারপরে অতিরিক্ত কম্পিউটার-নির্দিষ্ট নীতিগুলি প্রয়োগ করা হয় যা নির্দিষ্ট ব্যবহারকারীকে স্থানীয় প্রশাসকদের সাথে যুক্ত করে। আপনি যদি আপনার অ্যাডমিনিস্ট্রেটর গ্রুপে সদস্যপদ অর্ডার পরিবর্তন করতে চান, তাহলে আপনার GPO সম্পাদক কনসোলের উপরে বোতামগুলি ব্যবহার করুন৷