iT邦幫忙

0

關於加入網域的電腦Domain Admins群組中會自動加入該電腦的Administrators群組之中~

  • 分享至 

  • xImage

各位先進大家好!

據我的了解,如標題所示,這樣管理網域的Server才有權限去控制每一台電腦,包含GPO的套用設定啊,等等之類的,這是也是微軟「預設」的做法。

不過我們老闆覺得如果他是使用者會很沒安全感,因為網域管理者可以隨便登入到他們的電腦,然後就有本機上的最高權限... 然後就能怎樣怎樣的...

然後我就跟他說明如果拿掉Domain Admins,那麼使用者的電腦就會脫離網域控制,他卻反問我那網域是要控制什麼? 然後我又解釋,他也聽不下去...

總而言之,他希望我弄一個新的群組出來(在每台電腦的本機上= =),只開放跟我們應用有關的權限給這個群組,比方說要讓網域管的部分等等,然後Domain Admins只加入到這個新的群組,不是加到Administrators之中。

也就是說,他想要讓網域能運作,卻又不希望Domain Admins取得全部使用者電腦的最高權限,就是這樣子= =

所以想請教各位先進,這種作法真的可行嗎?

如果各位先進覺得不可行,希望也能給小弟一些建議。
雖然我實在很希望能直接跟老闆說,不相信微軟就不要用!
但是我想還是得說得委婉一點~ XD

感謝各位!

我有個想法

不讓Domain admins登入Domain Computer就好
因為全部以遠端管理搞定一切
並不需要登入
conandexter iT邦研究生 1 級 ‧ 2011-07-27 10:23:55 檢舉
bigcandy先進您好!

請問您說的做法有辦法用GPO來實現嗎? 還是有什麼方法可以用?
因為我想讓使用者可以在自己的電腦上看到這點「能登入自己的電腦的只有自己」。

雖然應該能直接在Domain Admins群組裡頭的每個身分都設定限制成只能登入Server,但是總不能叫有疑慮的使用者都過來看我的設定,這樣不是很難令人信服?

感謝您!
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
4
fdlintw
iT邦研究生 4 級 ‧ 2011-07-22 10:34:01
最佳解答

反過來想吧!!
可以被控管的電腦就按正常程序加入網域正常用

至於老闆怕的要死的電腦,就別加入網域了
沒加入網域,其實也是幾乎都能正常使用網域功能
反而這樣去克服會簡單很多的

很多"小"老闆都會有這種觀念
那個管理者密碼,只能夠他知道而已。其他人通通不行。

PS:
我曾待過一家公司,老闆不知道從來聽來的傳聞
居然突然要求網域的管理者密碼也由老闆保管
然後日常作業維護時,再知會老闆來打密碼
實行個一、二週後,我就覺得麻煩到極點
直接找個理由就閃人了

conandexter iT邦研究生 1 級 ‧ 2011-07-22 17:29:14 檢舉

fdlintw先進您好!

老實說就是會用到我才那麼頭痛,以我掌控到的來說就好了,要跑WSUS也要有Domain Admins、要讓卡巴斯基企業版整個運作起來也要有Domain Admins,更不用說還有Windows防火牆要控管,有GPO要套用了。

如果都拿掉Domain Admins,也不管上面這些的運作,那我還真不曉得還要加入網域幹嘛? 網域還有存在的必要嗎?

就在我找資料的時候,還真的給我發現到了這篇:
http://zhidao.baidu.com/question/99507801
還真的會有使用者跟我老闆想的一模一樣,真希望能讓他們兩位好好認識認識。

其實我也有認真想過,如果真要照我們老闆所說的做法,我要了解上面所有用到的服務需要開放的權限,而且比如說要開放以什麼身分,對哪個資料夾要有存取權,對哪隻程式有執行權,等等...

夭壽! 這真的是一件大工程~

會不會開放到後來最後發現,跟Administrators只差使用者自建的資料夾不能存取而已,那不如一開始就按照ctipde先進所說的去做就好了?

越想越頭大壓~

2
ctipde
iT邦高手 1 級 ‧ 2011-07-22 13:04:37

用人不疑 疑人不用 IT人員有基本的職業道德如果老板不放心,就如F大說的 電腦不需要加入網域

另外還有個方法:在使用者電腦上除系統磁外的磁碟(現在電腦硬碟空間超大,隨便再建立一個備份磁區)上面的權限把Domain Admin拿掉,請使用者把不想給別人知道的檔案放進去就不怕別人拿了,不過相對應也是會有危險(使用者離職了 沒密碼就打不開~@@:)汗

conandexter iT邦研究生 1 級 ‧ 2011-07-22 14:19:57 檢舉

兩位先進你們好!

首先感謝兩位的回應!

使用者離職了 沒密碼就打不開~@@:

這點倒是不用擔心,如果使用者拿掉Administrators,然後只剩下他「網域的帳號」才有存取資料夾的權限,就算離職了還是能從AD那裏把他的網域帳號密碼改掉。

如果使用者設定成只有本機上他自己的帳號才有存取資料夾的權限,我們也能透過本機裡的Administrator這個帳號去更改他的密碼,就算被Disable,只要是本機上的密碼也能透過一些軟體清掉。

總而言之,光用權限來設定其實不能說就安全了,如果資料真的那麼秘密,我想只能透過一些加密程式來將資料上鎖了。

但是我老闆只看到其中一點他就覺得要怎樣要怎樣的,而且他又非常堅持己見,而且類似這樣的「小摩擦」不只一次了,每次我都要絞盡腦汁來想怎麼去說服他,連正事都快沒時間去做了。

但是除此之外,他真的算是個很好的老闆,所以我還是想繼續幫他做事情啦。
我想我只要分析出,建立新的群組可行性是怎樣,如果不可行那替代方案是怎樣等等...

如果我說得有道理,他最後還是能接受的~
所以還是各位先進能朝這個方向給小弟一點建議,感謝啦!

2
welong
iT邦新手 3 級 ‧ 2011-07-23 23:26:12

conandexter提到:
這真的是一件大工程

非不能也,實不為也...
您自己已經得到答案啦!

2
davidliu9116
iT邦研究生 2 級 ‧ 2011-07-25 10:04:30

就跟老闆說若是這樣有人突然離職卻沒有交接密碼時
裡面的檔案及資料就會讀不到了
看看老闆的反應
若一意孤行就離職換個工作吧
不然將來的倒楣鬼還是你

2
harrier7
iT邦研究生 2 級 ‧ 2011-07-25 15:56:17

用人本來就該把品德列入考量..而不是跟在身邊 8 年污了 8 千萬才感傷(是自己沒眼光吧)...
IT 人員本來就有很高的權限,最多是財務單位也養自己的 IT 人員、或是加入稽核單位稽核制度等等..不然,老闆自己來幹也可以。
如果老闆只想一意孤行,還是多看看其它工作,半年後走人吧。

fdlintw iT邦研究生 4 級 ‧ 2011-07-27 11:22:53 檢舉

品德是自由心證
誰會養到老鼠,永遠不是表面看得出來的

conandexter iT邦研究生 1 級 ‧ 2011-07-28 11:32:03 檢舉

各位先進好!

我發現似乎可以從「本機安全性原則」這裡的設定來下手,在
安全性設定→本機原則→使用者權限指派 中
可以找到「本機登入」的這個設定,原本我想從這裡把Administrators拿掉,不過它回應不能移除掉這個群組。

後來發現「拒絕本機登入」這裡可以將Domain Admins加入,然後我登出再用Domain Admins當中的帳號來登入,它會出現「拒絕這個帳號的互動式登入」。

似乎這樣不會影響到網域控制的運作,也能讓Domain Admins無法登入到使用者的電腦之中了。

但是要一台一台做這個設定比較不方便。

謝謝各位!

我要發表回答

立即登入回答