iT邦幫忙

0

AD帳號管理問題...

ad

各位大大想請問關於AD的問題….
我們公司是Windows 2003 有建立AD,全部User電腦都有加入到網域,只有少數幾個是用群組..因為他們是主管…而且也有AD帳號…現在我們要全面管制主幾上的資料,一般而言在你是在群組下要去Server取資料,都要打AD帳號驗證才能進入(除了跟群主帳號密碼相同),但我們覺得無法統一管理….
我們想要做的是…一率是在網域下才開放,如果今天你是在群組下想要進入Server取資料,就需要驗證你是不是在網域裡,
如果不是就禁止你登入…
這樣有辦法做到嗎??

tom6507 iT邦大師 1 級 ‧ 2009-05-14 17:03:12 檢舉
你的意思是說禁止沒有加入網域的電腦讀取主機上的資料嗎
achung315 iT邦新手 4 級 ‧ 2009-05-14 17:12:26 檢舉
是的...沒錯
但是他們有AD帳號還是可以進入純取資料,我是要做到他們強迫加入網域...
在群組裡的話...讓AD去驗證不是在網域的電腦就制止讀取..
achung315 iT邦新手 4 級 ‧ 2009-05-18 14:08:45 檢舉
所以說這個方法就是把AD裡的鎖定帳號給移除了,必須加入網域才能使用...
36
tom6507
iT邦大師 1 級 ‧ 2009-05-15 08:07:46
最佳解答

你可以利用關閉"Computer Browser"系統服務來達到無法訪問網域所有電腦

1.到微軟下載PsTools:PsTools
將其中的**"psservice.exe"**複製到那些你想要鎖定的電腦的目錄內(例如:C:\WINDOWS\system32)

2.然後利用該電腦的本機原則(gpedit.msc)設定"電腦設定"-->"指令碼-(啟動/關機)"的啟動中加入一個批次檔,內容如下:(請自行修改電腦名稱以及帳密)

<pre class="c" name="code">psservice \\Computer -u Username -p Password setconfig "Computer Browser" disabled

3.然後寫個批次檔給網域的帳號於啟動時執行(Documents and Settings)

<pre class="c" name="code">psservice \\Computer -u Username -p Password setconfig "Computer Browser" auto
看更多先前的回應...收起先前的回應...
James iT邦大師 6 級 ‧ 2009-05-15 08:36:34 檢舉

第2步在該電腦本機執行,可以直接改用net stop嗎?

tom6507 iT邦大師 1 級 ‧ 2009-05-15 08:42:24 檢舉

不行,stop之後還是會自動啟動,一定要改成停用才可以,而停用的指令我只知道psservice有而已。

klm2242 iT邦研究生 1 級 ‧ 2009-05-15 09:30:12 檢舉

good,又學到一項了~~QQ

achung315 iT邦新手 4 級 ‧ 2009-05-15 11:08:14 檢舉

tom6507大大:
因小弟沒用過這個指令,想問一下..
我點選啟動內容-->新增-->指令碼名稱 (是給它一個打好的批次檔路逕沒錯吧)
第3步驟是在AD裡面的群組原則上啟動作?,那原本再AD就可以登入也要打入指令嗎?
那下面指令碼參數要打嗎?剛好現在再試...
謝謝...

tom6507 iT邦大師 1 級 ‧ 2009-05-15 11:17:01 檢舉

步驟二是強迫該電腦關閉Computer Browser的功能,關閉後就無法連上網路的所有電腦了
步驟三則是指定某個特定的帳號登入時再去開啟Computer Browser的功能

這樣就可以達到不論該電腦有沒有加入網域,都無法利用網域帳號開啟網路分享磁碟的功能,
壞處是如果人家知道怎麼啟動服務的話就破解了。

achung315 iT邦新手 4 級 ‧ 2009-05-15 13:56:24 檢舉

我剛剛試了結果可能是我打錯...還是可以登入..
我建立一個批次檔內容為:
電腦 帳號 密碼
psservice \\test -u test01 -p test setconfig "Computer Browser" disabled

存為test.bat 然後在新增-->指令碼名稱-->加入test.bat,指令參數我沒打入...
這樣對嗎? 因為我對這塊有點不熟...還是大大有更詳細的資料嗎...謝謝!

achung315 iT邦新手 4 級 ‧ 2009-05-15 14:46:55 檢舉

我剛剛再試了一下,我把批次檔放在c:\windwos\system32\底下,
跑出來是 " Start type of Computer Browser on \\TEST to disabled."
這樣正確嗎? 不過我試一下還是可以登入...

tom6507 iT邦大師 1 級 ‧ 2009-05-15 14:54:04 檢舉

你有沒有回到service中檢查是否確實已被停用,可能權限不足無法停用

tom6507 iT邦大師 1 級 ‧ 2009-05-15 15:07:30 檢舉

重開機之後呢

achung315 iT邦新手 4 級 ‧ 2009-05-15 15:13:06 檢舉

service中我有看到確實是停用了...

achung315 iT邦新手 4 級 ‧ 2009-05-15 16:04:37 檢舉

重新開機後,service部分有停止,但還是可以登入主機分享...

tom6507 iT邦大師 1 級 ‧ 2009-05-15 16:25:43 檢舉

怪了!我剛剛測試也是這樣,可是早上測試的時候卻沒問題....我再找找

tom6507 iT邦大師 1 級 ‧ 2009-05-15 17:31:07 檢舉

請問一下,那些電腦是透過IP位置(\\192.168.0.1)還是電腦名稱(\\computer name)連線的。
現在是可以做到停止netbios的方式讓\\computer name 無作用,但是知道IP位置的話還是可以連線....

achung315 iT邦新手 4 級 ‧ 2009-05-15 17:42:09 檢舉

是透過電腦名稱(\\computer name)連線的....
所以他們應該不太知道IP是多少...至少我好交代...可以先解決這部份..

mis339 iT邦新手 2 級 ‧ 2009-05-17 17:19:47 檢舉

可以用內建指令完成的事就盡量不要用第三方的軟體
sc config Browser start= disabled
net stop Browser

achung315 iT邦新手 4 級 ‧ 2009-05-18 10:08:33 檢舉

mis339兄...
我剛剛試了你給我的指令...還是可以登入server純取資料耶...
這個方法好像也是跟tom6507大大一樣關閉Computer Browser的功能..

tom6507 iT邦大師 1 級 ‧ 2009-05-18 11:03:39 檢舉

如果你是用電腦名稱的話,把步驟二改成:
psservice \\ComputerName stop "TCP/IP NetBIOS Helper"
psservice \\ComputerName setconfig "TCP/IP NetBIOS Helper" disabled
net stop netbios

tom6507 iT邦大師 1 級 ‧ 2009-05-18 11:04:08 檢舉

執行之後請重開機試看看。

tom6507 iT邦大師 1 級 ‧ 2009-05-18 12:19:07 檢舉

有新的方法了,請看討論二

tom6507 iT邦大師 1 級 ‧ 2009-05-19 07:52:21 檢舉

我一直覺得我在討論區的回答怪怪的,剛剛回去看,還真是亂回答,所以我又移除了@@,可能是昨天昏頭了吧....Orz
最後比較好的結果應該還是17層的解法。

achung315 iT邦新手 4 級 ‧ 2009-05-19 11:17:55 檢舉

我剛剛測試第17層的方法...TCP/IP NetBIOS Helper有關閉了...
但還是可以從網路芳鄰看到server...也可以進入主機...
你測試過後也會這樣嗎?關閉Computer Browser也是一樣...
真奇怪..

tom6507 iT邦大師 1 級 ‧ 2009-05-19 11:20:45 檢舉

17層方法做完後要重開機

鐵殼心 iT邦高手 1 級 ‧ 2009-05-19 13:07:31 檢舉

18層是無間道嗎? 重開機是件很可怕的事情的...

achung315 iT邦新手 4 級 ‧ 2009-05-19 14:56:00 檢舉

重開機之後還是可以登入server存取資料...servic有關閉..
我是這樣打的...這樣正確嗎...
psservice \\test stop "TCP/IP NetBIOS Helper"
psservice \\test setconfig "TCP/IP NetBIOS Helper" disabled
net stop netbios

tom6507 iT邦大師 1 級 ‧ 2009-05-19 16:36:25 檢舉

我看還是不要這麼麻煩,直接走到他面前,強制把他電腦加入網域好了。

26
gilles
iT邦新手 4 級 ‧ 2009-05-14 17:37:31

不知道你們的Switch有沒有支援802.1x的port secuiry的function,有的話可以做 802.1x + IAS + AD認證,在網路層就鎖住,連上網都不行,那些人應該會乖乖就範了吧!
不過你的這個問題似乎不需要大費周章的從技術層面解決,往上提報一下,去幫他們加入網域不就好了嗎?

achung315 iT邦新手 4 級 ‧ 2009-05-14 18:12:39 檢舉

你好,謝謝你的回應...
當初也是有提報要給他們加入網域,但上面是說因為有時候他們會跑一些研發程式會動用到最高權限,所以才給他們用群組又是最高權限,如果能加入網域的話就很好解決了...
我們的switch是沒有支援802.1x的port secuiry的function...

30
aesop
iT邦研究生 4 級 ‧ 2009-05-14 20:35:27

我會這麼做
同樣加入網域
然後給予本機administrator群組的權限

這樣不知道能解決你的問題嗎

laiout iT邦新手 1 級 ‧ 2009-05-15 10:17:39 檢舉

推+1
我們公司也是如此。。

bbcash iT邦新手 1 級 ‧ 2009-09-17 10:19:11 檢舉

給予本機administrator群組的權限 應該就給他這台機器全部的權限了

28
ufgeorge
iT邦研究生 1 級 ‧ 2009-05-15 07:47:25

PC join ad 跟 user login domain是兩件事情
PC join ad 可以讓AD domain admin對該pc有權限,例如對該PC進行掃描漏洞、派送patch...等管理面的事情,PC join AD了,使用者仍然可以選擇要以AD帳號登入,還是以local user帳號登入

當然您也可以如aesop所說,將該user的AD帳號,加入local administrators群組中,這樣該user在該PC登入AD帳號,仍然是最高權限

以上方式是讓你對老闆說明,要求他們登入AD帳號,不會影響他們日常工作使用,降低你後續要做事情的阻礙。

如果要強制,似乎從系統面不容易,但是提供給您一個方式參考
把PC中的Administrator帳號rename,建立一個假的Administrator帳號,但不隸屬Administrators群組,混淆使用者(也混淆有心人士),當然這不是不能改,當AD user是PC的admin群組,他一樣可以改,只是我覺得user登入AD已經有最高權限,應該也就沒有必要了。

24
laiout
iT邦新手 1 級 ‧ 2009-05-15 10:20:40

我們公司做法給版大參考,client PC全部加入網域並把電腦使用者的網域帳號加入本機的Adnministrators群組中,使用者全部用網域帳號登入網域即可。

jamesfisher iT邦研究生 5 級 ‧ 2009-05-18 19:00:10 檢舉

我們也是這樣玩的...
但加入網域的權限只有負責的mis才有

我要發表回答

立即登入回答