iT邦幫忙

0

如何利用AD控管User的使用權限??

ad

由於公司電腦達到80多台未來還會陸續增加,為了控管User使用應有的權限,我該如何在AD設定? 需要有以下的功能?
1.只允許User使用電腦上應有的軟體(ex:Office和Adobe Reader,其他軟體不能安裝)
2.一登入網域帳號後,就執行(IE or Firefox、Outlook)
3.設定螢幕保護程式,喚醒時需要key in password。
目前每個User的網域帳號都是administrator,我應該設定成哪種類型呢??

58
tom6507
iT邦大師 1 級 ‧ 2009-01-16 15:39:22
最佳解答

要從幾個方向回答
第一,將所有的電腦加入網域
第二,將用戶端的電腦的admin帳戶改密碼成為IT人員自訂的(不開放給用戶使用)
接下來才是從AD著手
第一:分別建立所有用戶的個人帳號(權限=網域中user的帳號,也就是說複製user帳號來建立即可)只要用戶使用這樣的帳號來登入網域,就沒辦法自己安裝軟體了
接下來的都是GPO中設定
第一:設定登入後執行的程式

第二:設定螢幕保護程式喚醒時需要密碼

26
old7ada
iT邦研究生 2 級 ‧ 2009-01-17 08:52:08

另外補充,若要一登入網域帳號後,就執行(IE or Firefox、Outlook),就得用logon script。

28
fireflybug
iT邦研究生 5 級 ‧ 2009-01-17 09:39:37

目前每個User的網域帳號都是administrator,我應該設定成哪種類型呢??

哇,要是弟是貴公司員工,那我就是神了,愛做啥就做啥,每個人網域帳號您確定都是Administrator?還是只是本機帳號是Admin?如果每個人用網域登入都是ADMIN,那您要有心理準備......祈禱大家都是電腦白癡......

基本上我們公司本機帳號只留ADMIN,且不給使用者知道密碼,統一使用網域帳號(建立每個人的帳號密碼),且只給User權限,並沒給poweruser權限,但是因為電腦少,所以管理還好,如果電腦多,可以考慮給poweruser權限,會比較省事一點。

其它的tom6507大大都教了,保重.....

tom6507 iT邦大師 1 級 ‧ 2009-01-17 09:54:00 檢舉

網域帳號中沒有poweruser權限,要的話只能加網域帳號到本機的poweruser

20
a2633813
iT邦新手 3 級 ‧ 2009-01-17 15:36:12

哇靠 administrator太嚴重了啦…每個人都是伺服器管理員…XD

free77 iT邦新手 5 級 ‧ 2009-01-17 16:54:17 檢舉

本機administrator與網域的administrator是不同的!
依原Po所言各單位電腦所得到的administrator權限只針對自己電腦1
所以不會是每個人都是伺服器管理員!

tombo iT邦高手 1 級 ‧ 2009-01-19 16:43:15 檢舉

發問者說,每個人的「網域帳號」都是Administrator。
如果發問者沒有寫錯,那真的每個人都是最大權限的管理者了。

22
tombo
iT邦高手 1 級 ‧ 2009-01-18 16:54:35

知道要改變是一件很好的事,肯開始就不嫌晚!

某公司規模很大,全球約3000台PC,但是幾乎全部都是Local Administrator,
去年才開始著手進行降權限、標準化的工作,難度遠比你公司高很多!

Group Policy能做的事很多,多往這裡鑽研就對了!

glennlin iT邦研究生 4 級 ‧ 2009-01-19 10:04:01 檢舉

幾千台、幾萬台都不是什麼重點
重點是要有高層的政策支援

tombo iT邦高手 1 級 ‧ 2009-01-19 16:46:14 檢舉

這家公司的主管,本來說要提撥規劃100萬預算委外執行這個工作,可是最後是一毛沒有。
這樣算高層支持嗎?

但是這家公司的IT經過三個月的時間,已經完成台灣區將近300台的標準化以及降權限的工作了。

18
mrhsieh
iT邦好手 4 級 ‧ 2009-01-19 11:31:54

你要將本機的administrator的權限回收回來,然後在AD上建立每個使用者帳號這些帳號給Domain User帳號便行,之後再請USER用這些各自的帳號登入,他們就不會有這麼大的權限了,其它的就如Tom6507所教的方式便能解決。

我要發表回答

立即登入回答