iT邦幫忙

0

AD權限問題

1.我個人的帳號與AD的administrator隸屬於同樣的群組
但是我卻沒有權限把批次新增進去GPO的指令碼這是為什麼?
如何將我的帳號與administrator權限做到一樣大
2.如果要給某個domain user本機管理者權限,只有他登入的那台電腦並且是他的帳號
才有管理者權限,但不必在本機電腦做設定由AD那邊做控制請問該怎麼做?

看更多先前的討論...收起先前的討論...
花輪 iT邦大師 1 級 ‧ 2013-10-21 18:18:32 檢舉
ra605002提到:
1.我個人的帳號與AD的administrator隸屬於同樣的群組

"同樣的群組" 是什麼群組?

DC 上的 ADMINISTRATOR 帳號預設會隸屬於 DOMAIN ADMINS & ENTERPRISE ADMINS...等一堆的 XXX AADMINS 群組,版大個人的帳號請加入 DOMAIN ADMINS & ENTERPRISE ADMINS 這些群組就等同於 ADMINISTRATOR 了!

2. 我沒想過,沒試過...,正常情況下應該不能這樣設定吧(將其帳號加入到 LOCAL ADMINISTRATORS 會是所有PC都有本機管理權限)! 還有 AD 是何版本也沒提到!

請高手回答吧!
小成 iT邦高手 10 級 ‧ 2013-10-22 09:06:59 檢舉
關於 2.
http://support.microsoft.com/kb/279301/zh-tw
http://blog.xuite.net/ganpin917/home/45064965

不過如果只針對某台電腦,去手動加到administrators就好了
用GPO會麻煩死
ra605002 iT邦新手 3 級 ‧ 2013-10-22 13:30:33 檢舉
1.補充一下所謂的同樣的群組指的是administrator預設的群組
我自己的帳號都有加進去
2.關於這個問題是以前的公司有用GPO做過就是給IT部門用的
只是好奇該怎麼做
因為會遇到user會來要權限安裝東西例如是active X這類的附加元件
為了這種小問題還要特地把user加入他自己的電腦的本機管理者有點麻煩
所以才會希望從AD這邊動就好目前的做法是直接把user帳號加入domain admin群組
雖然權力很大但是user並不知情
ra605002 iT邦新手 3 級 ‧ 2013-10-22 13:31:14 檢舉
抱歉忘了講AD是2008R2
jason297 iT邦新手 5 級 ‧ 2013-10-22 15:50:16 檢舉
dear all:
千萬別把user加入管理者群組,萬一發生無法挽救的災難,你就忙到死,還可能整個網域over,建議另建暫時的管理群組,一來可知道誰擁有,二來可管理,以上建議。
路過的人 留
花輪 iT邦大師 1 級 ‧ 2013-10-22 20:03:23 檢舉
ra605002提到:
目前的做法是直接把user帳號加入domain admin群組
雖然權力很大但是user並不知情

不知情才會...死得更慘! 且隨時會出現 "AD怎麼死的你都不知道"! Domain Admins 耶,拜託快拿掉吧...

為了這種小問題還要特地把user加入他自己的電腦的本機管理者有點麻煩


用 RDP 連進去設定就好,怎麼會麻煩? 又不必跑到 USER 位子前去設定!

小成 iT邦高手 10 級 ‧ 2013-10-23 14:22:57 檢舉
ra605002提到:
為了這種小問題還要特地把user加入他自己的電腦的本機管理者有點麻煩

其實也不用RDP,
用 psexec 去執行 net localgroup administrators domain\user /add 就更快...

不過我同意jason297的說法,我們這邊就會盡量不給USER管理權限,省的他亂裝軟體,可能違反授權也可能亂裝東西例如P2P軟體而影響公司網路等等
ra605002 iT邦新手 3 級 ‧ 2013-10-25 15:29:35 檢舉
回fran633
可以的話我也不想給權限雖然給他domain admin但我會遠端VNC看著他做
確認OK之後會把他從domain admin移除並且請他登出再重新登入

回esyc
原來有這種好東西但加進去之後要取消該怎麼做?
ra605002 iT邦新手 3 級 ‧ 2013-10-25 15:43:08 檢舉
自問自答ADD改為DEL...
同意+1
推薦esyc大所提的工具
其他不能講太明白
第一 是用時間跟金錢換來的
第二 擔心好意被誤用
重點就是前面有洞(發生無法挽救的災難),不要跳下去(別把user加入管理者群組)
End
10
花輪
iT邦大師 1 級 ‧ 2013-10-22 20:07:08
最佳解答
ra605002 iT邦新手 3 級 ‧ 2013-10-24 11:03:13 檢舉

原來如此之前有嘗試過用此方法新增本機管理者
帳號是有創成功但卻沒管理者權限最後直接用GPO派批次指令的方式建本機管理者
且有管理者權限

4
盧卡斯
iT邦研究生 1 級 ‧ 2013-10-21 22:38:09

root摟

6
funforever
iT邦新手 4 級 ‧ 2013-10-22 08:33:27

基於上面大大回答root

我想小弟愚昧的請教一下
您是使用什麼樣的作業系統
可以說明一下嗎
linux unix windowsXP windows7 windows8 windowsX 烏托邦 CentOS 小紅帽
基本上不同作業系統
有不同的設定
如果您說的是win7以上版本
基本上您所加的administrator並不是本機最高權限
因為最高權限另有他人毆飛
其實你所查到的那個人,也不是微軟設定的最高權限
有被win7玩過的人都知道-.- (恨...)

看更多先前的回應...收起先前的回應...
ra605002 iT邦新手 3 級 ‧ 2013-10-22 09:04:56 檢舉

AD不是windows才有嗎....?
補充一下OS是server 2008R2

要不
考慮去天瓏挖一本AD的書來看看怎麼設定
會比在這邊摸蝦來的快...偷笑

server 2008R2跟win7是同基底
所以win7魔咒是存在server 2008R2
也就是說你看到的administrator並不是administrator
而你的新建帳號在administrator群組是比administrator的權限更低
所以會發生你所說的「某些功能無法正常設定」的奇怪現象
也就是說你要用administrator的帳號才有權限可以使用
這在win7用新創帳號加入administrator裝office2010結果無法正常啟用的道理是一樣的
因為權限不足
以上...文字解釋會有點難懂...請細嚼慢嚥...

這功能是想給使用者自己裝軟體嗎...
如果是這樣的話
建議寫隻給使用權限的程式
把自己的帳密用加密法則鎖起來
我是這樣做的
還可以指定使用者只能裝哪種軟體
很方便
(其實我想說的是...你這段功能的需求到底是什麼...我看不太懂)
不好意思...請見諒...小弟懂的不多

還是挖本工具書來看看或許會比較實在...

以上...請參考

ra605002 iT邦新手 3 級 ‧ 2013-10-24 10:57:27 檢舉

1.那麼我該怎麼做才能跟AD上的administrator擁有同樣的權限呢?
2.會想這麼做主要是因為以前的公司就是這樣給IT部門人員權限只是很好奇怎麼做到的
如果很麻煩我還是會選擇用遠端幫他RUN AS無法RUN AS才會給domain admin權限

1.你的個人的帳號與AD的administrator隸屬於同樣的群組...
這句話給我的定義是你目前的權限是那台AD Server的Local Administrator權限而不是整個網路的Administrator...
放上附圖 去摸索一下怎麼加入Domain Admin...

  1. 這個問題我也曾想過很久...
    後來發現透過管理AD上的computer or WSUS 裡的電腦案右鍵→管理→電腦管理→本機使用者和群組→選擇群組→點擊Administrators→加入你要賦予權限的user 名稱

這裡有幾點要特別注意!
首先是需要知道要給予權限之使用者的電腦名稱
另一個則是不一定是每一台電腦都會允許給你連線進去加權限
我印象如果user的OS是XP的話幾乎無法透過這方式來管理

以上設定僅供參考囉....

我要發表回答

立即登入回答