會員中心 | iThome online | iT邦部落格 | 小7聚樂部 | iThome download | apphome

載入中...

ask9975

iT邦初學者
10級

AD管理者權限的問題

敝人資訊部門希望導入AD環境,但是其他部門的使用者非常反彈,因為他們目前用本機管理員很自由,也擔心加入網域後被別人使用網域帳號登入,看到自己電腦其他磁碟裡的資料。


1.
目前在下採用domain user限制登入主機的方式,限定domain user只能登入自己的PC來控管,網域管理員密碼由資訊及政風長官各持一半,一般人員僅有管理網域帳號的權限(但還是很大)但是長官要求讓「AD維護人員」(也就是可以限定哪個user只能登入哪台PC的管理者)也無法登入別人的主機,此條件我認為有矛盾,但長官說其他部門會不接受,因此請大家給些建議,是否有其他解決方案可以管理網域帳號又不能登入他人PC。



2.
如果方式1實在不可行,那就要考慮是否能在本機上做資料存取的限制
因此想跟各位高手請教,我如何用限制加入網域的共用PC,讓每個登入檔有自己的資料空間?
講白話一點,就是別人用網域帳號登入我的電腦時,如何讓他無法存取我放在D槽的檔案?

謝謝

抱歉,補充說明方案1的內容:
長官是要給"AD維護人員"(就是資訊部的一些CE)管理網域帳戶的權限,例如更改UserA的帳戶讓他只能登入自己的桌機PCA,但又希望AD維護人員不能夠因此更改自己帳戶的設定來讓自己隨意登入PCA、PCB...等等。

這個需求的確是挺矛盾的,無奈小弟提出不可行後被質疑,所以想請教是否有其他方案能解決?

2010-05-03 16:15:36 補充

又,如果都無解決的方案,請問AD維護人員在維護網域帳戶時(如新增、修改、移動等等),是否有log可以稽核? 感謝!

2010-05-03 16:19:44 補充

謝謝各位的回答,最後還是考量最根本的解決方案:磁碟機加密、或是軍警單位的個人指紋碟金鑰方案,來解決個人資料保密的需求。

2010-05-12 11:21:37 補充


發佈到:發佈到Facebook 發佈到噗浪 發佈到twitter
分享時間:2010-05-02 22:55:27
▼ ADVERTISEMENT ▼

最佳解答(發問者自選)
3

回答:tombo ( iT邦初學者1級 )

時間:2010-05-03 14:40:17

建置AD後
1.網域帳號只有給一般使用者權限。
2.你必須將該網域帳號加入本機管理者群組,才會有本機管理者權限,千萬不要將 Domain Users加入管理者群組。
3.所以,其他人用他自己的網域帳號登入,只會是一般使用者權限。當然看不到其他人的檔案。
4.你可以限定哪個帳號只能登入哪台電腦。
2010-05-03 14:42:40補充
说實在的,我覺得你應該先跟老闆溝通一下,資安管理不能這樣亂搞...

每個人都是本機管理者,你就請老闆確保該使用者不會外流資料、不會中毒....



如果老闆可以信任使用者不外流資料,為何不能信任 MIS 管理?

你得想想看,是不是哪裡跟老闆還不夠麻吉...

[-隱藏]

回應

1

tombo 說:

ask9975提到:
他們目前用本機管理員很自由,也擔心加入網域後被別人使用網域帳號登入,看到自己電腦其他磁碟裡的資料。
目前在下採用domain user限制登入主機的方式,限定domain user只能登入自己的PC來控管,網域管理員密碼由資訊及政風長官各持一半,一般人員僅有管理網域帳...(恕刪)


我想問您一下,之前使用者只有本機管理者權限,為何你建置 AD後,要給他們網域管理帳號?
本來權限就很大,很難管理了,現在又更他們更多權限?

2010-05-03 15:25:58

2

ask9975 說:

tombo您好,可能是我敘述不正確,長官是要給"AD維護人員"(就是資訊部的一些CE)管理網域帳戶的權限,例如更改UserA的帳戶讓他只能登入自己的桌機PCA,但又希望AD維護人員不能夠因此更改自己帳戶的設定來讓自己隨意登入PCA、PCB...等等。

這個需求的確是挺矛盾的,無奈小弟提出不可行後被質疑,所以想請教是否有其他方案能解決?

2010-05-03 16:13:45

3

tombo 說:

ask9975提到:
tombo您好,可能是我敘述不正確,長官是要給"AD維護人員"(就是資訊部的一些CE)管理網域帳戶的權限,例如更改UserA的帳戶讓他只能登入自己的桌機PCA,但又希望AD維護人員不能夠因此更改自己帳戶的設定來讓自己隨意登入PCA、PCB...等等。

你可以找找AD委派的資訊,我記得它可以指定一些特定的工作給特定帳號,而不需要給Domain Administrator權限。

2010-05-03 21:29:21

4

tombo 說:

可能還要搭配一些 OU 的分類管理...

2010-05-03 21:41:02

5

tombo 說:

以前在某購物網工作,Administrator是由主管管理密碼,我們要用就是填單申請,用完主管再改掉密碼...
只是...我覺得這樣的作法不用多久就會失敗,因為主管自己沒有能力檢查工程師做了哪些動作,有沒有留後門,就算主管有能力,也沒有那麼多美國時間去檢查!

2010-05-03 21:43:32

AD管理者權限的問題
回答:josejose( iT邦初學者9級 )
時間:2010-05-03 03:55:44
4
Hi~ 由於目前 貴公司尚未導入AD環境,因此可於將用戶端電腦Join Domain時,

將D槽的安全性進行修改,將Users及Everyone(若有的話)拿掉,

因加入網域後domain users該網域群組會自動加入本機的Users,

拿掉後就只有本機的管理者可以存取囉~

以上提供給您參考~

*一台一台作很麻煩,可至微軟尋找是否有Script幫您完成此工作~

[-隱藏]

回應 josejose

1

ask9975 說:

謝謝您!很簡單實用的方法,小弟受教了

2010-05-12 11:22:54

回答:sungnoone( iT邦初學者7級 )
時間:2010-05-03 09:41:26
4
不知是不是我的錯覺
其實我看完你所描述,感覺高層似乎並不十分支持,或是目前仍有相當大的疑慮,即使你現在解決你所描述的12點,我個人覺得,挑戰與問題不會只有這些,而每一個疑慮都會被拿來當作攻擊與反對的藉口。
你上述所說的都能做,寫Script也行,但是我的經驗,這樣下去會累死你。
AD建置下去,是百年大計,高層支持與信任十分重要,不亞於ERP。
消除大部分長官與使用者的疑慮,是十分重要的。除非是由上到下,長官魄力性支持,不然建議從小到大,從一些較不重要,小單位試做起,逐步取得信任與支持。

"目前用本機管理員很自由"
加入網域,這個觀念就是要去除,包括資訊人員自己,不然乾脆不要加入AD,否則出事了,會害人害己。(切身之痛)
"也擔心加入網域後被別人使用網域帳號登入,看到自己電腦其他磁碟裡的資料。"
機密單位或重要長官,如財會、董事長、總經理之類的長官,可視為原則例外調整,但如果多如牛毛,每個使用者都要自己的要求原則堅持,就不是原則例外,是根本無原則可言。不如暫緩,取得共識。

網域管理員是個很重要的角色,之所以權限夠大,是為了日後能進行網域的管理,如果每台都限制網管人員的進入與控制,那何必做AD? 相對的要慎選網域管理員,不僅學識要能堪任,道德上也必須是值得信任的。

以上純個人經驗,家家有本難念的經,若未能幫上你,甚感抱歉!

[-隱藏]

回應 sungnoone

1

ask9975 說:

您真是太了解了...果然有切身之痛
小弟的環境就是這樣,很多層級比資訊部門高的大官很反彈,因為在End-user角度,AD的確是有利管理者而限制使用者的吧.
要限制網管人員的進入與控制,也是為了讓大官們能夠滿意,不過從技術面上看來真的是有點......

2010-05-03 16:32:28

回答:funforever( iT邦初學者9級 )
時間:2010-05-03 13:09:53
3
有老大支持在推阿~
不要累死自己又遭人嫌~
我是覺得方案1
的問題怪怪的,如果要管理他們為什麼要開那麼高的權限給他們~是因為他們可以自行修電腦嗎~不用再麻煩你來管嗎~那要mis做什麼@@~是我要做我大概給他們user的權限~大不了組織再大一點的話~分給各部門一組管理者帳號~由一個專門的人員管理~(帳號密碼為什麼還要收集管制@@~這樣建AD好像就沒意義~他們的帳號密碼給他們自己保管~管理者有最高權限~把管理者權限給各部門長官及政風~AD有好幾組角色權限視需求情況開給他們)
「長官要求讓「AD維護人員」(也就是可以限定哪個user只能登入哪台PC的管理者)也無法登入別人的主機」這個要跟長官溝通觀念,該權限不能進去別人電腦就不能做維護;我有看過一篇論文報告可以解決這樣的問題~該研究寫一套網頁程式與AD結合~當有需要維護權限的帳號時~提出申請~網頁程式就記錄申請人的訊息資料(IP、帳號、申請時間、...)~然後給他一組系統產生的帳號~限定申請人在30分鐘內使用~使用時間到該帳號則由程式自行清除~這樣可以達到你們家長官的要求~讓維護人員要用的時候再申請帳號維護~平常就用自己的帳號~也可以比照同方法給政風及高階長官申請來使用~困難點就是要寫程式架網站~不然有預算也可以請人家來做~
方案2
大家都有答覆了~也回答的超出我所知~
我的想法就請參考看看吧~

[-隱藏]

回應 funforever

1

ask9975 說:

謝謝您的回覆,寫一套網頁程式的確也是一個可參考的解決方案,如果真的微軟原廠沒有方案可行,我會這樣建議上面的。

2010-05-03 16:17:56

回答:shunyuan( iT邦初學者1級 )
時間:2010-05-03 20:45:03
1
建議導入 AD,軟體有價,資訊安全無價。

當然導入 AD 不是萬無ㄧ失,只是基本措施,但有 AD 至少是管裡的開始。

回應

請填寫您的回應,長度限為1,000個字,回應不計點數,也不限使用次數



 

檢舉違規

違規事項:

*補充檢舉理由(可省略),字數不可超過100字

推薦

推薦理由:


*給回答者的鼓勵(可不填),字數不可超過100字

哈哈
毆飛
開心
抗議
落寞
睡覺
噴鼻血
No
失神
爆氣
疑惑
Orz
不耐煩
喜歡
臉紅
噎到
放手
打嗑睡
掰掰
放馬過來
敲碗
簽名
筆記
拍手
沙發
XD
無言
偷笑
翻桌
謝謝
灑花
抱抱
逃跑
炸死你
愛你
生日快樂
rock
嘆氣
下雨
衝刺
搖頭
拍照
打球
健身
駭客
射門
泡湯
踹共
唱歌
做菜

上傳圖片
▼ ADVERTISEMENT ▼

邦友收藏動態

最新收藏最多人推最多人收

新增收藏

收藏到iT邦 書籤小工具

「收藏到iT邦」讓你更方便收藏站外文章。可用下面其中一種方法安裝:

  • 拖拉上面的「收藏到iT邦」連結到瀏覽器的書籤列
  • 在連結上方按右鍵,選擇「加到我的最愛」

之後看到喜歡的站外文章,只要點一下「收藏到iT邦」,就會收藏起來囉

安裝「收藏快捷鍵」

安裝「收藏快捷鍵」,可以讓邦友直接透過Google工具列上的按扭,快速收藏站內、站外的網頁。

訂閱每日摘要

iT邦幫忙即日起提供「每日摘要」給尚未註冊的邦友,只要輸入您的E-mail,每日就可以收到最新的發問與分享