有關AD內使用者權限的幾個問題要來請教各位大大了,請各位不吝賜教
在本機中有 users、Power users與network configuration operators三個群組,請問這三個群組主要的差異是 ??
如我加入AD後,我要限制網域內所有使用者登入到這台電腦時不能亂裝軟體,我該做什麼動作呢?? 將 domain users 加入 power users嗎?? 需不需要其他動作 ?
承上,假設上面設定可以限制使用者不能裝軟體,我又將某個AD內使用者帳戶(假設為A)加入到本機的administrators群組,那這個A使用者最後權限是?? 有工具或方法可以查嗎 ?? 它可以安裝軟體 ??
在眾多群組中,各位大大較常用到的群組有哪些呢 ?? 可否列舉,並簡單說明一下使用該群組的目的與方法呢 ???
由於權限設定上的問題,搞不懂windows對群組中的描述...請各位大大指教
微軟每個版本的作業系統, 對於本機預設群組的定義都大不相同, 以下描述對於您所問的群組有詳細解釋, 但只適用於 Win7, Server 2008, Server 2008 R2:
http://technet.microsoft.com/en-us/library/cc771990.aspx
這裡另有對 XP Pro 預設群組權限的詳細解釋, 內容比上面更仔細:
http://technet.microsoft.com/en-us/library/bb457115.aspx
「禁裝軟體」是屬於「群組原則」(Group Policy Objcect, GPO) 的管理範圍, 跟您所問的群組權限沒有關聯. 請另外研究 GPO 的用法便知.
您混淆了 Authorization, Access Control 和 GPO 的用法, 同時, 您的問題在不同的作業系統內, 也會有不同的結果, 由於您沒有說明全部的環境架構, 所以很難回答您這個問題.
每一種微軟的 AP 都會建立他們自己的群組, Exchange, SQL....安裝之後, 都會再多出將近 10 個專用的群組, 我們只能依照微軟的建議去使用, 詳情請參閱微軟的技術文件. 至於公司內員工分類的群組, 就依照公司的管理政策來設定, 誰可以做甚麼/誰不可以做甚麼, 只需要依照政策去設, 不需要去操心其他的問題.
另, 在 AD 環境內, 幾乎用不到本機群組, 也不適合用本機群組去管, 所以您可以忘掉本機群組, 專注在 AD 群組就好了.
如果重覆權限會以最大權限來看
例如你同時有Users、Power Users、Administrator
這個帳戶的權限就是Administrator
如果您是要禁裝軟體以系統預設的話只能給Users
Power Users也可以灌軟體,只是不能更改系統設定
Users鎖到連時間都不能看不能調
除非您要權限自己來設定,不然預設值就是這樣子
基本上
Administrators只有管理者使用
Power Users公司資深的人使用
Users一般的使用者
如果冒然更改權限,有可能會影響到用戶目前使用軟體的權限
所以要有規劃再實施才行
電腦加入AD後就不能再留本機群組了,整個使用者砍掉一個不留都無所謂