3. SecPol (SAM) beállítása
SAM (Security Access Manager) elérés egyének számára
A Microsoft által közzétett angol nyelvű leírás Ezen a linken érhető el.
Beállítása a következő:
- A Start menü keresőjébe írjuk be, hogy: secpol.msc
- Oldalfa: Biztonsági beállítások/ Helyi házirend/ Biztonsági beállítások
- A Házirend oszlopban keressünk a Hálózati hozzáférés tételekre ('h' betűvel is odaugrik).
Duplán kattintsunk erre: A SAM-ot távolról elérő ügyfelek korlátozása
Ha a beállítás alapból: Nem definiált, akkor az azt jelenti, hogy még senki sincs hozzáadva a SAM távoli eléréséhez. (dupla klikk a soron)
3. Nyomjuk meg a mező melleti gombot: Biztonság szerkesztése...
A hozzáadás lehetőséggel hozzáadhatunk felhasználókat/csoportokat, akik majd jelszót cserélhetnek a távoli gépen a PassMan-ból indítva.
A legbiztosabb, ha külön-külön hozzáadjuk a kívánt fiókokat a Hozzáadás... gombbal.
Különösen fontos a nem admin típusú fiókokat hozzáadni (amennyiben PassMan együttműködést szeretnénk vele).
Írjuk be a hozzáadni kívánt felhasználónevet lentre (teljes nevet vár!), majd Névellenőrzés. Végül: OK.
Láthatjuk az összesítést, hogy kiket adtunk már hozzá a távoli SAM eléréshez. Itt is: OK.
A biztonsági leíró mezőbe automatikusan ki lett töltve, ez normális jelenség. Alkalmaz, majd: OK.
SAM Beállítása Csoportok számára (opcionális)
A beállításhoz célszerűbb egy általunk létrehozott csoportot használni, és azt hozzáadni az engedélyezettek listájához.
A csoportot a Local Users and Groups menüben lehet létrehozni.Ha a menüpont nem található, akkor a lusrmgr.mcs parancsot kell a parancssorban futtatni a megnyitásához.
A csoporthoz aztán hozzá kell adni azokat a felhasználói fiókokat, melyeket a PassMan-ból szeretnénk managelni:
Végül már csak a csoportot kell hozzáadni a Biztonsági beállításokban, ahogyan ez a jobb oldalon található képernyőképen látható.
Ez a beállítás a Microsoft Windows 10 (version 1607) és a Microsoft Windows Server 2016 óta mindenképpen szükséges. Ezen verzióknál az alapértelmezett Windows beállítások megváltoztak és a nem-domain controller (DC) gépeken már kizárólag a beépített 'Administrator' csoport tagjai rendelkeznek a fent beállított joggal (domain controller-en maradt az alapértelmezetten mindenki számára engedélyezett beállítás).
Ha a lépéseket alaposan elvégeztük, a PassMan-ban képesek leszünk a géphez tartozó fiókok jelszavainak ellenőrzésére, és a PassMan-ban történő jelszócserére is.
FONTOS
Minden Windows verzión lehetőség van ennek a Security Descriptor-nak a módosítására, vagyis egy rendszergazda felül tudja írni az alapértelmezett engedélyezést: azaz a PassMan telepítése után a Windows Server-en esetlegesen bekövetkező jelszóváltoztatási hibaesetén mindenképpen ellenőrizze le, hogy a fenti 2 beállítás megfelelő-e!
EGYÉB - Ha nem tudunk belépni nem-admin fiókkal
A gépek és Web eszközöket akár 1 kattintás segítségével is elérhetjük: Erról bővebb információ ITT olvasható.
Ha a nem admin típusú fiókra még így sem tudunk belépni (és helyesek a verziószámok), úgy a távoli gépen hozzuk elő a következő menüpontot:
Távoli segítségnyújtás kérésének engedélyezése VAGY Select users who can use remote desktop:
Bejövö távoli kapcsolatok engedélyezése, majd: Felhasználók kijelölése...
Hozzáadás:
Írjuk be az elérni kívánt fiók nevét, majd Névellenőrzés
Ha van ilyen fiók, akkor aláhúzva látszódni fog a gépnév/ fióknév formátum.
Az OK gombbal adjuk hozzá a listánkhoz.
Most már látható a listánkban, így nincs más hátra, mint OK gombbal menteni ezt az állapotot.