iT邦幫忙

0

請問網域帳號的問題

各位好
請問若是自己建立一個新的網域帳號
然後加入Domain Admins
真的權限都與administrator的權限一模一樣嗎????
我記得有一些軟體
會指定administrator這個帳號才能執行
是這樣嗎
我想確定一下

外獅佬 iT邦大師 1 級 ‧ 2010-05-17 09:59:40 檢舉
vamos168提到:
有一些軟體
會指定administrator這個帳號才能執行

不是吧....一般只會要求有administrator相等(同等級)的權限而已...
可能需要存取系統目錄(通常是寫入)、系統登錄檔什麼的,才會有這樣的需求
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
8
Ken(Bigcandy)
iT邦大師 1 級 ‧ 2010-05-18 10:50:36
最佳解答

vamos168提到:
有一些軟體
會指定administrator這個帳號才能執行

沒錯,是真實發生的

通常是3rd軟體,這些AP開發者,測試程式只用Administrator,就說沒問題
不管實際使用環境者安全性問題
甚至,不懂register、目錄安全性設定、擁有者...,或說不管
太多經驗讓我知道,求人不如求己,經常,我自己測試出來的結果比他們RD還全面,還要教導他們,非常離譜

所以我建議:如果沒有完全的把握,或是測試通過(這要花時間,還有,這次過了,下次呢?除非再也不會用3rd軟體),請保留Administrator帳號、名稱,但是平常可以停用,或是加強密碼管理。

8
lanvers
iT邦新手 5 級 ‧ 2010-05-17 10:20:23

就算是同一個Administrator群組,
還是不會一樣的,
的確有些本機安全性會要求要administrator帳號
我裝office cumunication service R1和用網頁安裝word元件(電子公文用word)時會被這樣要求,所以VISTA和W7會這樣導致不能裝

2
takaki
iT邦新手 4 級 ‧ 2010-05-19 19:15:04

1.帳號加入Domain Admins,即擁有Domain Admins群組的權限,就Domain Admins部份來說,通常Administrator這個預設帳號(ad)也都有加入Domain Admins群組,所以這部份從Domain Admins群組的觀點來看,該加入Domain Admins群組的帳號與Administrator相同。(同類性質的問題請以此類推)

2.以該帳號與Administrator來比對的話,如果兩者所加入的群組都相同,那權限都相同,但是!!如果Administrator是系統預設管理帳號,那本質上還是有差異,但這個差異是針對OS系統上的些微差異,例如預設管理者帳號不會因為密碼錯誤而被鎖定(印象中好像是如此,有誤請各位大大協助訂正)。

3.特定軟體(如上面幾位大大所寫)或稱之為第三方軟體,基本上在設計時是不會針對特定帳號作「綁定」使用的動作,通常都是交由系統來決定權限的使用,並不會也不需要去刻意操作或決定哪個權限帳號的使用權,就算真的有必要指定具特定權限的帳號,也不會直接指定帳號(例如Administrator),而是指定具有特定權限能力之群組(例如Administrators),因為程式設計師無法預測用戶的管理權限帳號會如何命名,除了惡意程式(例如一惡意程式嘗試使用MS預設帳號加空密碼突破系統)會刻意設計成如此外,在正常的軟體下幾乎不可能會有程式設計師如此設定。

Veritas備份軟體在服務啟動方面需手動設定,這時就是指定帳號的形式,我想不出還有啥事件會直接使用指定帳號來RUN程式。
另一個常見的例子就是MSSQL的權限設定,可以整合AD帳號使用,這時就看指定給哪個帳號,而該帳號就比其他帳號多了一個具有MSSQL使用的權限。
這兩個例子都是程式已經建立完成,且正常運作,帳號的部份是透過程式本身「設定」的功能來設定,使程式能得到想要的需求權限而正常執行,所以這是程式設定的問題,與帳號本身的權限無關。

再針對指定型態的方式來看,任何程式被指定成只有哪些帳號(例如USER)使用,且該程式的安全性管理裡無其他帳號或群組,這時就算是預設管理者(例如Administrator)也無法使用該程式。
(但可以取回擁有權並加以修改安全性內容並加以修改,這不再討論範圍內,有興趣可以自己用資料夾玩玩看就知道了)

雖然已經結束了,但是還是回應一下個人的經驗好了
很多的軟體雖然都是只能使用administrator 權限進行安裝
但是其執行其實不一定要使用administrator 權限
目前的經驗是,在安裝時將使用者帳號提升至local administartor 權限
進行安裝完畢後,將安裝時所建立的目錄儘量都設給該user 帳號 full access 權限
然後整個重開機後讓user 的帳號進行程式的執行,儘量將平常會用到的功能都先run 一次
讓系統中有些必需新增的檔案新增起來
之後將user 帳號修改回原本的權限,然後試著使用看看
通常大部份的軟體這樣就能用了,但是如果還是遇到不能執行的
就要查看看那個軟體在執行時是否還有其它地方需給予權限
目前我用這個方法解決掉很多無法安全管控的軟體,提供給大家做為參考

我要發表回答

立即登入回答