各位大大想請問關於AD的問題….
我們公司是Windows 2003 有建立AD,全部User電腦都有加入到網域,只有少數幾個是用群組..因為他們是主管…而且也有AD帳號…現在我們要全面管制主幾上的資料,一般而言在你是在群組下要去Server取資料,都要打AD帳號驗證才能進入(除了跟群主帳號密碼相同),但我們覺得無法統一管理….
我們想要做的是…一率是在網域下才開放,如果今天你是在群組下想要進入Server取資料,就需要驗證你是不是在網域裡,
如果不是就禁止你登入…
這樣有辦法做到嗎??
已邀請的邦友 {{ invite_list.length }}/5
你可以利用關閉"Computer Browser"系統服務來達到無法訪問網域所有電腦
1.到微軟下載PsTools:PsTools
將其中的**"psservice.exe"**複製到那些你想要鎖定的電腦的目錄內(例如:C:\WINDOWS\system32)
2.然後利用該電腦的本機原則(gpedit.msc)設定"電腦設定"-->"指令碼-(啟動/關機)"的啟動中加入一個批次檔,內容如下:(請自行修改電腦名稱以及帳密)
<pre class="c" name="code">psservice \\Computer -u Username -p Password setconfig "Computer Browser" disabled
3.然後寫個批次檔給網域的帳號於啟動時執行(Documents and Settings)
<pre class="c" name="code">psservice \\Computer -u Username -p Password setconfig "Computer Browser" auto
第2步在該電腦本機執行,可以直接改用net stop嗎?
不行,stop之後還是會自動啟動,一定要改成停用才可以,而停用的指令我只知道psservice有而已。
good,又學到一項了~~QQ
tom6507大大:
因小弟沒用過這個指令,想問一下..
我點選啟動內容-->新增-->指令碼名稱 (是給它一個打好的批次檔路逕沒錯吧)
第3步驟是在AD裡面的群組原則上啟動作?,那原本再AD就可以登入也要打入指令嗎?
那下面指令碼參數要打嗎?剛好現在再試...
謝謝...
步驟二是強迫該電腦關閉Computer Browser的功能,關閉後就無法連上網路的所有電腦了
步驟三則是指定某個特定的帳號登入時再去開啟Computer Browser的功能
這樣就可以達到不論該電腦有沒有加入網域,都無法利用網域帳號開啟網路分享磁碟的功能,
壞處是如果人家知道怎麼啟動服務的話就破解了。
我剛剛試了結果可能是我打錯...還是可以登入..
我建立一個批次檔內容為:
電腦 帳號 密碼
psservice \\test -u test01 -p test setconfig "Computer Browser" disabled
存為test.bat 然後在新增-->指令碼名稱-->加入test.bat,指令參數我沒打入...
這樣對嗎? 因為我對這塊有點不熟...還是大大有更詳細的資料嗎...謝謝!
我剛剛再試了一下,我把批次檔放在c:\windwos\system32\底下,
跑出來是 " Start type of Computer Browser on \\TEST to disabled."
這樣正確嗎? 不過我試一下還是可以登入...
你有沒有回到service中檢查是否確實已被停用,可能權限不足無法停用
重開機之後呢
service中我有看到確實是停用了...
重新開機後,service部分有停止,但還是可以登入主機分享...
怪了!我剛剛測試也是這樣,可是早上測試的時候卻沒問題....我再找找
請問一下,那些電腦是透過IP位置(\\192.168.0.1)還是電腦名稱(\\computer name)連線的。
現在是可以做到停止netbios的方式讓\\computer name 無作用,但是知道IP位置的話還是可以連線....
是透過電腦名稱(\\computer name)連線的....
所以他們應該不太知道IP是多少...至少我好交代...可以先解決這部份..
可以用內建指令完成的事就盡量不要用第三方的軟體
sc config Browser start= disabled
net stop Browser
mis339兄...
我剛剛試了你給我的指令...還是可以登入server純取資料耶...
這個方法好像也是跟tom6507大大一樣關閉Computer Browser的功能..
如果你是用電腦名稱的話,把步驟二改成:
psservice \\ComputerName stop "TCP/IP NetBIOS Helper"
psservice \\ComputerName setconfig "TCP/IP NetBIOS Helper" disabled
net stop netbios
執行之後請重開機試看看。
有新的方法了,請看討論二
我一直覺得我在討論區的回答怪怪的,剛剛回去看,還真是亂回答,所以我又移除了@@,可能是昨天昏頭了吧....Orz
最後比較好的結果應該還是17層的解法。
我剛剛測試第17層的方法...TCP/IP NetBIOS Helper有關閉了...
但還是可以從網路芳鄰看到server...也可以進入主機...
你測試過後也會這樣嗎?關閉Computer Browser也是一樣...
真奇怪..
17層方法做完後要重開機
不知道你們的Switch有沒有支援802.1x的port secuiry的function,有的話可以做 802.1x + IAS + AD認證,在網路層就鎖住,連上網都不行,那些人應該會乖乖就範了吧!
不過你的這個問題似乎不需要大費周章的從技術層面解決,往上提報一下,去幫他們加入網域不就好了嗎?
我會這麼做
同樣加入網域
然後給予本機administrator群組的權限
這樣不知道能解決你的問題嗎
PC join ad 跟 user login domain是兩件事情
PC join ad 可以讓AD domain admin對該pc有權限,例如對該PC進行掃描漏洞、派送patch...等管理面的事情,PC join AD了,使用者仍然可以選擇要以AD帳號登入,還是以local user帳號登入
當然您也可以如aesop所說,將該user的AD帳號,加入local administrators群組中,這樣該user在該PC登入AD帳號,仍然是最高權限
以上方式是讓你對老闆說明,要求他們登入AD帳號,不會影響他們日常工作使用,降低你後續要做事情的阻礙。
如果要強制,似乎從系統面不容易,但是提供給您一個方式參考
把PC中的Administrator帳號rename,建立一個假的Administrator帳號,但不隸屬Administrators群組,混淆使用者(也混淆有心人士),當然這不是不能改,當AD user是PC的admin群組,他一樣可以改,只是我覺得user登入AD已經有最高權限,應該也就沒有必要了。
我們公司做法給版大參考,client PC全部加入網域並把電腦使用者的網域帳號加入本機的Adnministrators群組中,使用者全部用網域帳號登入網域即可。
iThome鐵人賽
看影片追技術