fdlintw先進您好!

老實說就是會用到我才那麼頭痛，以我掌控到的來說就好了，要跑WSUS也要有Domain Admins、要讓卡巴斯基企業版整個運作起來也要有Domain Admins，更不用說還有Windows防火牆要控管，有GPO要套用了。

如果都拿掉Domain Admins，也不管上面這些的運作，那我還真不曉得還要加入網域幹嘛? 網域還有存在的必要嗎?

就在我找資料的時候，還真的給我發現到了這篇：
http://zhidao.baidu.com/question/99507801
還真的會有使用者跟我老闆想的一模一樣，真希望能讓他們兩位好好認識認識。

其實我也有認真想過，如果真要照我們老闆所說的做法，我要了解上面所有用到的服務需要開放的權限，而且比如說要開放以什麼身分，對哪個資料夾要有存取權，對哪隻程式有執行權，等等...

夭壽! 這真的是一件大工程~

會不會開放到後來最後發現，跟Administrators只差使用者自建的資料夾不能存取而已，那不如一開始就按照ctipde先進所說的去做就好了?

越想越頭大壓~

兩位先進你們好!

首先感謝兩位的回應!

使用者離職了 沒密碼就打不開~@@:

這點倒是不用擔心，如果使用者拿掉Administrators，然後只剩下他「網域的帳號」才有存取資料夾的權限，就算離職了還是能從AD那裏把他的網域帳號密碼改掉。

如果使用者設定成只有本機上他自己的帳號才有存取資料夾的權限，我們也能透過本機裡的Administrator這個帳號去更改他的密碼，就算被Disable，只要是本機上的密碼也能透過一些軟體清掉。

總而言之，光用權限來設定其實不能說就安全了，如果資料真的那麼秘密，我想只能透過一些加密程式來將資料上鎖了。

但是我老闆只看到其中一點他就覺得要怎樣要怎樣的，而且他又非常堅持己見，而且類似這樣的「小摩擦」不只一次了，每次我都要絞盡腦汁來想怎麼去說服他，連正事都快沒時間去做了。

但是除此之外，他真的算是個很好的老闆，所以我還是想繼續幫他做事情啦。
我想我只要分析出，建立新的群組可行性是怎樣，如果不可行那替代方案是怎樣等等...

如果我說得有道理，他最後還是能接受的~
所以還是各位先進能朝這個方向給小弟一點建議，感謝啦!

品德是自由心證
誰會養到老鼠，永遠不是表面看得出來的

各位先進好!

我發現似乎可以從「本機安全性原則」這裡的設定來下手，在
安全性設定→本機原則→使用者權限指派 中
可以找到「本機登入」的這個設定，原本我想從這裡把Administrators拿掉，不過它回應不能移除掉這個群組。

後來發現「拒絕本機登入」這裡可以將Domain Admins加入，然後我登出再用Domain Admins當中的帳號來登入，它會出現「拒絕這個帳號的互動式登入」。

似乎這樣不會影響到網域控制的運作，也能讓Domain Admins無法登入到使用者的電腦之中了。

但是要一台一台做這個設定比較不方便。

謝謝各位!