iT邦幫忙

0

AD管理者權限的問題

敝人資訊部門希望導入AD環境,但是其他部門的使用者非常反彈,因為他們目前用本機管理員很自由,也擔心加入網域後被別人使用網域帳號登入,看到自己電腦其他磁碟裡的資料。

目前在下採用domain user限制登入主機的方式,限定domain user只能登入自己的PC來控管,網域管理員密碼由資訊及政風長官各持一半,一般人員僅有管理網域帳號的權限(但還是很大)但是長官要求讓「AD維護人員」(也就是可以限定哪個user只能登入哪台PC的管理者)也無法登入別人的主機,此條件我認為有矛盾,但長官說其他部門會不接受,因此請大家給些建議,是否有其他解決方案可以管理網域帳號又不能登入他人PC。

如果方式1實在不可行,那就要考慮是否能在本機上做資料存取的限制
因此想跟各位高手請教,我如何用限制加入網域的共用PC,讓每個登入檔有自己的資料空間?
講白話一點,就是別人用網域帳號登入我的電腦時,如何讓他無法存取我放在D槽的檔案?

謝謝

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
6
tombo
iT邦高手 1 級 ‧ 2010-05-03 14:40:17
最佳解答

建置AD後
1.網域帳號只有給一般使用者權限。
2.你必須將該網域帳號加入本機管理者群組,才會有本機管理者權限,千萬不要將 Domain Users加入管理者群組。
3.所以,其他人用他自己的網域帳號登入,只會是一般使用者權限。當然看不到其他人的檔案。
4.你可以限定哪個帳號只能登入哪台電腦。

看更多先前的回應...收起先前的回應...
tombo iT邦高手 1 級 ‧ 2010-05-03 15:25:58 檢舉

ask9975提到:
他們目前用本機管理員很自由,也擔心加入網域後被別人使用網域帳號登入,看到自己電腦其他磁碟裡的資料。
目前在下採用domain user限制登入主機的方式,限定domain user只能登入自己的PC來控管,網域管理員密碼由資訊及政風長官各持一半,一般人員僅有管理網域帳...(恕刪)

我想問您一下,之前使用者只有本機管理者權限,為何你建置 AD後,要給他們網域管理帳號?
本來權限就很大,很難管理了,現在又更他們更多權限?

ask9975 iT邦新手 5 級 ‧ 2010-05-03 16:13:45 檢舉

tombo您好,可能是我敘述不正確,長官是要給"AD維護人員"(就是資訊部的一些CE)管理網域帳戶的權限,例如更改UserA的帳戶讓他只能登入自己的桌機PCA,但又希望AD維護人員不能夠因此更改自己帳戶的設定來讓自己隨意登入PCA、PCB...等等。

這個需求的確是挺矛盾的,無奈小弟提出不可行後被質疑,所以想請教是否有其他方案能解決?

tombo iT邦高手 1 級 ‧ 2010-05-03 21:29:21 檢舉

ask9975提到:
tombo您好,可能是我敘述不正確,長官是要給"AD維護人員"(就是資訊部的一些CE)管理網域帳戶的權限,例如更改UserA的帳戶讓他只能登入自己的桌機PCA,但又希望AD維護人員不能夠因此更改自己帳戶的設定來讓自己隨意登入PCA、PCB...等等。

你可以找找AD委派的資訊,我記得它可以指定一些特定的工作給特定帳號,而不需要給Domain Administrator權限。

tombo iT邦高手 1 級 ‧ 2010-05-03 21:41:02 檢舉

可能還要搭配一些 OU 的分類管理...

tombo iT邦高手 1 級 ‧ 2010-05-03 21:43:32 檢舉

以前在某購物網工作,Administrator是由主管管理密碼,我們要用就是填單申請,用完主管再改掉密碼...
只是...我覺得這樣的作法不用多久就會失敗,因為主管自己沒有能力檢查工程師做了哪些動作,有沒有留後門,就算主管有能力,也沒有那麼多美國時間去檢查!

8
josejose
iT邦新手 4 級 ‧ 2010-05-03 03:55:44

Hi~ 由於目前 貴公司尚未導入AD環境,因此可於將用戶端電腦Join Domain時,

將D槽的安全性進行修改,將Users及Everyone(若有的話)拿掉,

因加入網域後domain users該網域群組會自動加入本機的Users,

拿掉後就只有本機的管理者可以存取囉~

以上提供給您參考~

*一台一台作很麻煩,可至微軟尋找是否有Script幫您完成此工作~

ask9975 iT邦新手 5 級 ‧ 2010-05-12 11:22:54 檢舉

謝謝您!很簡單實用的方法,小弟受教了

8
sungnoone
iT邦新手 2 級 ‧ 2010-05-03 09:41:26

不知是不是我的錯覺
其實我看完你所描述,感覺高層似乎並不十分支持,或是目前仍有相當大的疑慮,即使你現在解決你所描述的12點,我個人覺得,挑戰與問題不會只有這些,而每一個疑慮都會被拿來當作攻擊與反對的藉口。
你上述所說的都能做,寫Script也行,但是我的經驗,這樣下去會累死你。
AD建置下去,是百年大計,高層支持與信任十分重要,不亞於ERP。
消除大部分長官與使用者的疑慮,是十分重要的。除非是由上到下,長官魄力性支持,不然建議從小到大,從一些較不重要,小單位試做起,逐步取得信任與支持。

"目前用本機管理員很自由"
加入網域,這個觀念就是要去除,包括資訊人員自己,不然乾脆不要加入AD,否則出事了,會害人害己。(切身之痛)
"也擔心加入網域後被別人使用網域帳號登入,看到自己電腦其他磁碟裡的資料。"
機密單位或重要長官,如財會、董事長、總經理之類的長官,可視為原則例外調整,但如果多如牛毛,每個使用者都要自己的要求原則堅持,就不是原則例外,是根本無原則可言。不如暫緩,取得共識。

網域管理員是個很重要的角色,之所以權限夠大,是為了日後能進行網域的管理,如果每台都限制網管人員的進入與控制,那何必做AD? 相對的要慎選網域管理員,不僅學識要能堪任,道德上也必須是值得信任的。

以上純個人經驗,家家有本難念的經,若未能幫上你,甚感抱歉!

ask9975 iT邦新手 5 級 ‧ 2010-05-03 16:32:28 檢舉

您真是太了解了...果然有切身之痛
小弟的環境就是這樣,很多層級比資訊部門高的大官很反彈,因為在End-user角度,AD的確是有利管理者而限制使用者的吧.
要限制網管人員的進入與控制,也是為了讓大官們能夠滿意,不過從技術面上看來真的是有點......

6
funforever
iT邦新手 4 級 ‧ 2010-05-03 13:09:53

有老大支持在推阿~
不要累死自己又遭人嫌~
我是覺得方案1
的問題怪怪的,如果要管理他們為什麼要開那麼高的權限給他們~是因為他們可以自行修電腦嗎~不用再麻煩你來管嗎~那要mis做什麼@@~是我要做我大概給他們user的權限~大不了組織再大一點的話~分給各部門一組管理者帳號~由一個專門的人員管理~(帳號密碼為什麼還要收集管制@@~這樣建AD好像就沒意義~他們的帳號密碼給他們自己保管~管理者有最高權限~把管理者權限給各部門長官及政風~AD有好幾組角色權限視需求情況開給他們)
「長官要求讓「AD維護人員」(也就是可以限定哪個user只能登入哪台PC的管理者)也無法登入別人的主機」這個要跟長官溝通觀念,該權限不能進去別人電腦就不能做維護;我有看過一篇論文報告可以解決這樣的問題~該研究寫一套網頁程式與AD結合~當有需要維護權限的帳號時~提出申請~網頁程式就記錄申請人的訊息資料(IP、帳號、申請時間、...)~然後給他一組系統產生的帳號~限定申請人在30分鐘內使用~使用時間到該帳號則由程式自行清除~這樣可以達到你們家長官的要求~讓維護人員要用的時候再申請帳號維護~平常就用自己的帳號~也可以比照同方法給政風及高階長官申請來使用~困難點就是要寫程式架網站~不然有預算也可以請人家來做~
方案2
大家都有答覆了~也回答的超出我所知~
我的想法就請參考看看吧~

ask9975 iT邦新手 5 級 ‧ 2010-05-03 16:17:56 檢舉

謝謝您的回覆,寫一套網頁程式的確也是一個可參考的解決方案,如果真的微軟原廠沒有方案可行,我會這樣建議上面的。

2
shunyuan
iT邦研究生 1 級 ‧ 2010-05-03 20:45:03

建議導入 AD,軟體有價,資訊安全無價。

當然導入 AD 不是萬無ㄧ失,只是基本措施,但有 AD 至少是管裡的開始。

我要發表回答

立即登入回答