en-US - - Hungarian (Hungary)

3. SecPol (SAM) beállítása

SAM (Security Access Manager) elérés egyének számára

A Microsoft által közzétett angol nyelvű leírás Ezen a linken érhető el.


Beállítása a következő:

  1. A Start menü keresőjébe írjuk be, hogy: secpol.msc

                


  1. Oldalfa: Biztonsági beállítások/ Helyi házirend/ Biztonsági beállítások

  2. A Házirend oszlopban keressünk a Hálózati hozzáférés tételekre ('h' betűvel is odaugrik).
    Duplán kattintsunk erre: A SAM-ot távolról elérő ügyfelek korlátozása 

    Ha a beállítás alapból: Nem definiált, akkor az azt jelenti, hogy még senki sincs hozzáadva a SAM távoli eléréséhez.  (dupla klikk a soron)

               


      3. Nyomjuk meg a mező melleti gombot: Biztonság szerkesztése...

               

          A hozzáadás lehetőséggel hozzáadhatunk felhasználókat/csoportokat, akik majd jelszót cserélhetnek a távoli gépen a PassMan-ból indítva.


          A legbiztosabb, ha külön-külön hozzáadjuk a kívánt fiókokat a Hozzáadás... gombbal.

          Különösen fontos a nem admin típusú fiókokat hozzáadni (amennyiben PassMan együttműködést szeretnénk vele).


               


       Írjuk be a hozzáadni kívánt felhasználónevet lentre (teljes nevet vár!), majd Névellenőrzés. Végül: OK.

               


       Láthatjuk az összesítést, hogy kiket adtunk már hozzá a távoli SAM eléréshez. Itt is: OK.

               


       A biztonsági leíró mezőbe automatikusan ki lett töltve, ez normális jelenség. Alkalmaz, majd: OK.

               

         

SAM Beállítása Csoportok számára (opcionális)

               

A beállításhoz célszerűbb egy általunk létrehozott csoportot használni, és azt hozzáadni az engedélyezettek listájához.

A csoportot a Local Users and Groups menüben lehet létrehozni.Ha a menüpont nem található, akkor a lusrmgr.mcs parancsot kell a parancssorban futtatni a megnyitásához.

A csoporthoz aztán hozzá kell adni azokat a felhasználói fiókokat, melyeket a PassMan-ból szeretnénk managelni:


Végül már csak a csoportot kell hozzáadni a Biztonsági beállításokban, ahogyan ez a jobb oldalon található képernyőképen látható.


Ez a beállítás a Microsoft Windows 10 (version 1607) és a Microsoft Windows Server 2016 óta mindenképpen szükséges. Ezen verzióknál az alapértelmezett Windows beállítások megváltoztak és a nem-domain controller (DC) gépeken már kizárólag a beépített 'Administrator' csoport tagjai rendelkeznek a fent beállított joggal (domain controller-en maradt az alapértelmezetten mindenki számára engedélyezett beállítás).


Ha a lépéseket alaposan elvégeztük, a PassMan-ban képesek leszünk a géphez tartozó fiókok jelszavainak ellenőrzésére, és a PassMan-ban történő jelszócserére is.


FONTOS

Minden Windows verzión lehetőség van ennek a Security Descriptor-nak a módosítására, vagyis egy rendszergazda felül tudja írni az alapértelmezett engedélyezést: azaz a PassMan telepítése után a Windows Server-en esetlegesen bekövetkező jelszóváltoztatási hibaesetén mindenképpen ellenőrizze le, hogy a fenti 2 beállítás megfelelő-e!


EGYÉB - Ha nem tudunk belépni nem-admin fiókkal

A gépek és Web eszközöket akár 1 kattintás segítségével is elérhetjük: Erról bővebb információ ITT olvasható.

Ha a nem admin típusú fiókra még így sem tudunk belépni (és helyesek a verziószámok), úgy a távoli gépen hozzuk elő a következő menüpontot:

Távoli segítségnyújtás kérésének engedélyezése  VAGY  Select users who can use remote desktop:

               


Bejövö távoli kapcsolatok engedélyezése, majd: Felhasználók kijelölése...

               


Hozzáadás:

               


Írjuk be az elérni kívánt fiók nevét, majd Névellenőrzés

               


Ha van ilyen fiók, akkor aláhúzva látszódni fog a gépnév/ fióknév formátum.

Az OK gombbal adjuk hozzá a listánkhoz.

                


Most már látható a listánkban, így nincs más hátra, mint OK gombbal menteni ezt az állapotot.