en-US - - Hungarian (Hungary)

2. SecPol (SAM) beállítása

SAM (Security Access Manager) elérés távoli hívással

A Microsoft által közzétett angol nyelvű leírás Ezen a linken érhető el.

Beállítása a következő:

  1. A Start menü keresőjébe írjuk be, hogy: secpol.msc

          


  1. Navigáljunk ide az oldalfában:
    Biztonsági beállítások/ Helyi házirend/ Biztonsági beállítások

  2. Jobb oldalt erre az opcióra lesz szükségünk ('h' betűvel gyorsabb a keresés) :
    Hálózati hozzáférés: A SAM-ot távolról elérő ügyfelek korlátozása

    Ha a beállítás értéke Nem definiált, akkor dupla kattintással nyissuk meg a házirendet, majd

         


      3. Biztonság szerkesztése...

         

          menüponttal hozzá kell adni a felhasználókat/csoportokat, akiket fel akarunk ruházni a PassMan-ból történő jelszóváltoztatás képességével.


          A legbiztosabb az, ha külön hozzáadjuk a kívánt fiókokat a Hozzáadás... gombbal.

          Különösen fontos a nem admin típusú fiókokat hozzáadni (amennyiben PassMan együttműködést szeretnénk vele).


         


       Írjuk be a hozzáadni kívánt felhasználónevet lentre, majd Névellenőrzés.

       Végül OK gomb.

       


       A biztonsági leíróhoz hexa kódok fognak megjelenni. Itt szintén szükséges az OK gomb megnyomása.

       


Ha a nem admin típusú fiókra nem tudnánk belépni 1-Klick segítségével, akkor a távoli gépen elő kell hívni a következő menüpontot:

Távoli segítségnyújtás kérésének engedélyezése  VAGY Select users who can use remote desktop:


Bejövö távoli kapcsolatok engedélyezése, majd: Felhasználók kijelölése...


Hozzáadás:


Írjuk be az elérni kívánt fiók nevét, majd Névellenőrzés


Ha van ilyen fiók, akkor aláhúzva látszódni fog a gépnév/ fióknév formátum.

Az OK gombbal adjuk hozzá a listánkhoz.


Most már látható a listánkban, így nincs más hátra, mint OK gombbal menteni ezt az állapotot.


SAM Beállítása Csoport megadásával (opcionális)

A beállításhoz célszerűbb egy általunk létrehozott csoportot használni, és azt hozzáadni az engedélyezettek listájához. A csoportot a Local Users and Groups menüben lehet létrehozni. Ha a menüpont nem található, akkor a lusrmgr.mcs parancsot kell a parancssorban futtatni a megnyitásához. A csoporthoz aztán hozzá kell adni azokat a felhasználói fiókokat, melyeket a PassMan-ból szeretnénk managelni:


Végül már csak a csoportot kell hozzáadni a Biztonsági beállításokban, ahogyan ez a jobb oldalon található képernyőképen látható.


Ez a beállítás a Microsoft Windows 10 (version 1607) és a Microsoft Windows Server 2016 óta mindenképpen szükséges. Ezen verzióknál az alapértelmezett Windows beállítások megváltoztak és a nem-domain controller (DC) gépeken már kizárólag a beépített 'Administrator' csoport tagjai rendelkeznek a fent beállított joggal (domain controller-en maradt az alapértelmezetten mindenki számára engedélyezett beállítás).

Ha a lépéseket alaposan elvégeztük, a PassMan-ban képesek leszünk a géphez tartozó fiókok jelszavainak ellenőrzésére, és a PassMan-ban történő jelszócserére is.


FONTOS

Minden Windows verzión lehetőség van ennek a Security Descriptor-nak a módosítására, vagyis egy rendszergazda felül tudja írni az alapértelmezett engedélyezést: azaz a PassMan telepítése után a Windows Server-en esetlegesen bekövetkező jelszóváltoztatási hiba esetén mindenképpen ellenőrizze le, hogy a fenti 2 beállítás megfelelő-e!