السلام عليكم ورحمة الله وبركاته



قررت أن أشرح المشاكل تفصيلا لكى تكون الصورة واضحة للجميع ولكى نصل معا إلى حل فإعذرونى على الإطالة بارك الله لكم


المشكلة الأولى


بعد إدخال الأجهزة الدومين تعمل بشكل سليم وتتصل بالدومين بدون أى مشاكل ولكن المشكلة هى من البرنامج الخاص بالشركة وهو برنامج تجارى ومشكلته انه عندما يكون المستخدم الخاص بالويندوز Domain User فإنه لا يستطيع عمل تقرير المبيعات اليومى الخاص لأن التقرير أثناء عرضة يقوم بكتابة وإنشاء ملف على بارتشن C وتظهر رسالة تفيد بأن الملف Reports.ini غير موجود فى مجلد system32 وبعد بحث طويل قررت ان اجعل المستخدمين Domain Admin وبالطبع تم حل المشكلة وتظهر التقاير دون أى مشاكل وطبقت عليهم الصلاحيات التى أريدها - ولكن هذا الحل أنا غير مقتنع به فحاولت أن أجعل المستخدم له صلاحية كاملة على بارتشن C وهو Domain User ولكن لا فائدة - كما أن الأجهزة التى عليها ويندوز 7 عندما يكون المستخدم Domain Admin يكون لها تحكم فى الشبكة من تغيير الإعدادات وخلافة ولا يتم تطبيق أى صلاحية عليهم ؟ ولقد حاولت أكثر من مرة



فهل من حل لتلك المشكلة مع جعل المستخدم Domain User هل من الممكن توضيح special permissions يقوم بحل تلك المشكلة ؟؟

المشكلة الثانية


لا أستطيع عمل Manage لأى جهاز داخل الدومين من على السيرفر رغم أن الفايروول مغلق بصلاحية على الجميع ولدى نسخة Windows Xp 64Bit و Windows 7 64Bit على بعض الأجهزة - هل للأمر علاقة ببرنامج Symantec Endpoint - كذلك ليس جميع الأجهزة لها سجل فى DNS ؟؟؟ ولا أدرى لماذا ؟


فهل من الممكن توضيح حل لتلك المشكلة ؟؟

انا قلت احط ليكم صورة رسالة الخطأ والى بتظهر فقط عندما يكون المستخدم Domain User وبالطبع التقرير مش بيطلع

14241

وانا جربت على فى ام وير ( لوكال من غير دومين ) برده لو المستخدم Limited User بتطلع الرسالة ولو Administrator مفيش أى مشاكل

باى طريقه تم توزيع او install your company application
حدد لى كيفيه هذه العمليه هل تمت يدويا او عن طريق Group Policy
عتاب صغير ,,,,,,,,,,,,,,,,اتمنى ان يتسع صدرك له
هل اى مشكله مهما عظمت تستدعى ان تقوم باعطاء صلاحيات Domain Admin للمستخدمين العاديين ......... انه خطا فادح وﻻ يمكن ان يكون حلا بالمره وانما هو معالجه مشكله بمشكله اكبر واعظم
انتظر شرح الخطوات من حضرتك بالتفصيل من بدايه استخدام البرنامج حتى توزيعه على اﻻجهزه والطرق المستخدمه فى ذلك وان شاء الله نتوصل الى الحل المناسب دون اهدار قيمه Active Directory بهذا الشكل .

باى طريقه تم توزيع او install your company application
حدد لى كيفيه هذه العمليه هل تمت يدويا او عن طريق Group Policy
عتاب صغير ,,,,,,,,,,,,,,,,اتمنى ان يتسع صدرك له
هل اى مشكله مهما عظمت تستدعى ان تقوم باعطاء صلاحيات Domain Admin للمستخدمين العاديين ......... انه خطا فادح وﻻ يمكن ان يكون حلا بالمره وانما هو معالجه مشكله بمشكله اكبر واعظم
انتظر شرح الخطوات من حضرتك بالتفصيل من بدايه استخدام البرنامج حتى توزيعه على اﻻجهزه والطرق المستخدمه فى ذلك وان شاء الله نتوصل الى الحل المناسب دون اهدار قيمه Active Directory بهذا الشكل .


أخى الفاضل internetworld

السلام عليكم ورحمة الله وبركاته

أعلم أن تحويل المستخدم العادى إلى Domain Admin خطأ فادح ولكن ظروف العمل لم تتيح لى الوقت للتفكير فى حل أخر


الوضع لدى هو الأتى

1. سيرفر ديل عليه Windows Server 2008 R2 وهو يعمل ك DC وأيضا عليه برنامج SQL Server 2008 R2 وعليه قاعدة بيانات الشركة.

2. أجهزة عليها Windows Xp SP2 64 BIT و أجهزة أخرى عليها Windows 7 SP1 64 BIT.

3. كل جهاز من اجهزة المستخدمين عليه مجلد به البرنامج الخاص بالشركة مع وضع إختصار له على سطح المكتب ويتم الإتصال بقاعدة البيانات عن طريق شاشة الدخول للبرنامج والتى يتم منها تحديد السيرفر وإسم قاعدة البيانات ( بمعنى أن البرنامج موجود على كل جهاز كأنه مستقل بذاته ) ولكن تسجيل البيانات والإستعلامات تتم عن طريق تبادل البيانات مع السيرفر.

4. حاولت أن اجرب البرنامج فى VMWare ولكن دون دومين فقمت بتثبت البرنامج و كذلك SQL Server على نفس الجهاز وعندما دخلت بالمستخدم Administrator ظهرت التقارير دون مشاكل - ولكن عندما دخلت بمستخدم Limited User ظهرت نفس الرسالة التى أتحدث عنها.

قم بعمل GPO تقوم بتوزيع Application على مستوى ال User واستخدم نوع التوزيع هنا publish بحيث يتاح اضافتها من المستخدمين عن طريق Control panel programs and features وقم بالدخول على جهاز client بمستخدم عادى وابدا عمليه Installation وبعد اﻻنتهاء جرب البرنامج .........هل مستمره رساله الخطا ام ﻻ ؟
متابع معك ....................................

قم بعمل GPO تقوم بتوزيع Application على مستوى ال User واستخدم نوع التوزيع هنا publish بحيث يتاح اضافتها من المستخدمين عن طريق Control panel programs and features وقم بالدخول على جهاز client بمستخدم عادى وابدا عمليه Installation وبعد اﻻنتهاء جرب البرنامج .........هل مستمره رساله الخطا ام ﻻ ؟
متابع معك ....................................

أشكر جهدك أخى الفاضل

ولكن يبدو أن الصورة لم تصل لك كاملة - فمجلد البرنامج على كل جهاز لا يحتاج إلى تثبيت ( البرنامج لا يتم عمل Setup له ) ولكن هو مجلد ( مثل المجلدات الموجودة داخل Program Files به ملفات INI & INF & EXE ) ويتم وضع إختصار للملف التنفيذى الخاص بالبرنامج على سطح المكتب - وبمجرد الضغط عليه تظهر شاشة الدخول للبرنامج

أعتقد أن المشكلة هى أن Domain User مشكلتهم أنهم لا يستطيعوا الكتابة وإنشاء ملفات على المسار التالى C:\Windows\System32

طبيعى ان المستخدمين ليس لديهم صلاحيه فى التعديل فى هذا الملف وطبيعى ايضا ان ﻻيكون لهم صلاحيه فى تعديل ملفات الريجسترى
فى امامنا حلول سريعه نتجنب بها تعديل الصلاحيات وهو عن طريق اضافه batch file للملف الذى يحتوى عليه البرنامج محتوى هذا الملف run as command من خلاله يقوم المستخدم بتشغيل البرنامج تحت صلاحيات Local Administrator والله يكرمك ابعد عن Domain Admin نهائيا ﻻنه فى تصميم الدومين عند حضرتك ﻻ يوجد غير سيرفر واحد يعنى قنبله موقوته اذا انفجرت -ادعوالله اﻻ يحدث ذلك - تدمر كل شيء .
runas /user:xp01/administrator pro.exe حيث ان :-
xp01 = local Client machine Name
administrator=local administrator account privilege
pro.exe =the program you want to run
ملاحظه
يجب تحديد المسار بدقه كامله ويوضع المسار الخاص بملف التشغيل بالكامل مثال c:\myFiles\pro.exe
من اﻻفضل تغيير اسم local admin الى اى اسم اخر
عند هذه النقطه قم بحفظ الملف install.bat مع ملفات التشغيل وعندما يقوم المستخدم بتشغيل patch سيطلب منه ادخال كلمه المرور الخاصه ب local admin وسيتم تشغيل البرنامج فقط تحت صلاحياته واى تطبيق اخر سيكون تحت صﻻحيات المستخدم العادى
هذا حل مؤقت لحين معرفه البرنامج وما هى services المسئوله عن انشاء الملف RBilder.ini حتى يمكننا تعيين حساب خاص يتم انشاء هذه الملفات تحت صلاحيتها وهو المعروف ب service_Account
اتمنى لك دوام التوفيق
نسالكم صالح الدعوات

اضافه الى ما سبق يمكن وضع password واضافته فى ملف shell script
https://gallery.technet.microsoft.com/scriptcenter/9bda53d7-ec2e-4bc2-8e97-4487233bc55b
بالتوفيق

طبيعى ان المستخدمين ليس لديهم صلاحيه فى التعديل فى هذا الملف وطبيعى ايضا ان ﻻيكون لهم صلاحيه فى تعديل ملفات الريجسترى
فى امامنا حلول سريعه نتجنب بها تعديل الصلاحيات وهو عن طريق اضافه batch file للملف الذى يحتوى عليه البرنامج محتوى هذا الملف run as command من خلاله يقوم المستخدم بتشغيل البرنامج تحت صلاحيات Local Administrator والله يكرمك ابعد عن Domain Admin نهائيا ﻻنه فى تصميم الدومين عند حضرتك ﻻ يوجد غير سيرفر واحد يعنى قنبله موقوته اذا انفجرت -ادعوالله اﻻ يحدث ذلك - تدمر كل شيء .
runas /user:xp01/administrator pro.exe حيث ان :-
xp01 = local Client machine Name
administrator=local administrator account privilege
pro.exe =the program you want to run
ملاحظه
يجب تحديد المسار بدقه كامله ويوضع المسار الخاص بملف التشغيل بالكامل مثال c:\myFiles\pro.exe
من اﻻفضل تغيير اسم local admin الى اى اسم اخر
عند هذه النقطه قم بحفظ الملف install.bat مع ملفات التشغيل وعندما يقوم المستخدم بتشغيل patch سيطلب منه ادخال كلمه المرور الخاصه ب local admin وسيتم تشغيل البرنامج فقط تحت صلاحياته واى تطبيق اخر سيكون تحت صﻻحيات المستخدم العادى
هذا حل مؤقت لحين معرفه البرنامج وما هى services المسئوله عن انشاء الملف RBilder.ini حتى يمكننا تعيين حساب خاص يتم انشاء هذه الملفات تحت صلاحيتها وهو المعروف ب service_Account
اتمنى لك دوام التوفيق
نسالكم صالح الدعوات

جزاك الله عنا كل خير

ولكن نفترض أن الجهاز إسمه PC1 والبرنامج إسمه TS.exe ومساره هو D:\System\TS فالمفترض أن يكون يكون الأمر بهذا الشكل

runas /user:pc1/administrator d:\System\TS\TS.exe

ولو انا مش حاطط باسورد لـ Local Admin فهل حيطلب باسورد برده

وأتمنى منك وضع مثال على الجزء الخاص بالرابط لكى أفهمه بوضوح ( عذرا على سوء الفهم )

https://gallery.technet.microsoft.com/scriptcenter/9bda53d7-ec2e-4bc2-8e97-4487233bc55b

تمام runas /user:pc1/administrator d:\System\TS\TS.exe
بس ﻻزم يكون فى password للمستخدم local administrator لكى يتم تفعيل اﻻستخدام ﻻن اﻻمر ﻻيقبل عدم وجود باسوررد للمستخدم
بعد تنفيذ اﻻمر والتاكد من الحل نعود مع المثال اﻻخر
بالتوفيق

تمام runas /user:pc1/administrator d:\System\TS\TS.exe
بس ﻻزم يكون فى password للمستخدم local administrator لكى يتم تفعيل اﻻستخدام ﻻن اﻻمر ﻻيقبل عدم وجود باسوررد للمستخدم
بعد تنفيذ اﻻمر والتاكد من الحل نعود مع المثال اﻻخر
بالتوفيق

1. بس ده معناه إن لازم المستخدم يكون عارف الباسورد وانا مش عاوز النقطة دى.
2. الباسورد ممكن تتكتب فين فى الكوماند السابق.
3. هل ده معناه إنى حعمل سكربت لكل جهاز ( حل مرهق ).
4. مش ممكن التعديل فى صلاحيات Domain User من السيرفر لكى يسمح بالكتابة على هذا المسار.


وجدت هذا الحل فى أحد المنتديات الأجنبية


Open Group Policy Object Editor

Drill down to Computer Configuration/Windows Settings/Security Settings/File System

Right-click on "File System" in the left-hand pane and choose "Add File" from the drop-down.

Choose "C:" as the target and click "Ok".

On the permissions screen, click the "Advanced" button.

Add a permissions entry to give Domain Users read and write permission.

Make sure you change the "Apply Onto" drop-down to "This Folder Only" at the top of that window



سأقوم بتجربته ولكن أود أن نفحصة سويا ( اعتقد أننا هنا نقوم بعمل تصريح للمجموعة Domain User أن تقوم بالكتاية على ملفات النظام داخل C )

اسف لكثرة الأسئلة أخى الفاضل ولكن أتمنى الوصول لحل عملى مثلما تسعى معى

أسأل الله ان ييوقك وتحل المشكلة اخي ووتفرحنا
وشكر شديد للاخ internetworld على المساعدة
متابع.

الحمد لله تم حل المشكلة الأولى


وهى عن طريق الدخول على الجهاز الخاص بالكلاينت ووضع Domain User مع إعطائهم صلاحية Modify على كلا المجلدين Windows & System32 وبالتالى عند الدخول بأى مستخدم Domain User يستطيع كتابة أو إنشاء ملف داخل System32 - ولكن المشكلة التى صادفتنى هى أننى يجب أن أقوم أولا بتغيير الـ Owner الخاص بالفولدر وقد قمت بتغييره إلى Local Administrator فهل هذا أفضل أم أجعله Domain Administrator