看公司政策跟使用者習慣。
就算給user權限,會中毒的還是會中毒。
而且有些毒跟木馬程式,都要登入原本帳號才能清乾淨。
登入該帳號沒admin權限,還要重登給他admin權限,處理問題剛關閉admin。
有時這樣來回搞真的有點麻煩。
你的問題
NTFS權限改一改就可以了
請問大大,關於NTFS是如何更改??是win7裝在FAT上嗎??
Understanding Windows NTFS Permissions
http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Understanding-Windows-NTFS-Permissions.html
我會看公司軟體購買的狀況來決定, 如果公司版權買的夠, 當然不給管理者帳號, 免得裝一大堆有的沒的以後還要去清.
如果不夠, 就當作不知道隨便他們玩.
C根目錄無法正常存取, 就請他們存D槽吧!!
至於中毒這件事嘛. 會中的就是那幾個人, 多注意一下就好..
基本上用users權限已足夠,folder沒有寫入權限可以個別set right或叫用戶寫進my document, 返之有些軟件可能要給power user權限才能使用
之前公司是一般User不給,只有大頭跟特定的一些User因為作業需求上會有需要,再依等級給予到Power User 或是local admin,但是現在這個小公司 是不管怎樣 所有User都有local admin權限 真的是快搞死我了。
這本是難題!也是蠻多公司mis/IT人的問題所在。(me too)
若說公司政策,只能使用user權限,則必須有相對的配套措施,
才能得以真正的執行「只有user權限的作業環境」;否則,
光是一些正常且必要使用的軟體(如Adobe Reader、Adobe Flash Player、
JAVA...),必須要做更新;但那不是Domain Admin所派送的,
所以執行時,需要Local Admin權限才能安裝;
如果,既要施行User權限的環境、也要保持軟體保持最新的修正
狀態,是會很耗工;甚至有人就犧牲這些小軟體的更新(保持不變),
到時候,有大問題時,再一台一台地安裝更新程式。
如果公司一定要做且真正支持 user 權限環境且派送必要的
軟體更新,(據了解,也找了很久)LANDesk 是一個不錯的系統與可行的方案,
可供參考;
此可以兼得其效果,且容易一次性地收回pc端的權限。
否則,又要方便、又要怕使用者因local Admin權限亂安裝軟體,
造成問題,事後才發現(未來,尤其在APT持續侵害下,一定來不及),
幾乎是不太可能的。其結果苦的通常是IT人。
所以,這問題,可能要看時機,持續給上級反應此事的重要性,
不只是人力支援的問題,而是問題的反應;且把嚴重性告知公司。
如此善盡告知義務,再來,責任就在公司與上級身上了。
我的做法是「不給」
主要是users不需要
而小軟體的更新也沒有執行的必要
至於必要性軟體安裝與修改
這不可能常常發生
要真的常發生
那就是規劃有問題
請自行檢討
如果環境很大
就當成去各部門找人聯絡感情
個人認為
都已經叫「管理員」了
有些事還是要自己動手
我公司都是只有給domain users 權限
基本上C根目錄無法正常寫入,這個應該沒甚麼關係(我本身的環境下),因為給予user本機管理者權限,就有亂裝軟體的可能性,這樣對MIS維護上會有一些困擾@@
以上小弟淺見
這問題不論如何都會有兩種答案:給或不給。或許"看情況或看老闆決定"可能是比較討好,但這種答案 '有跟沒有答' 不是一樣! 因為沒人知道版大公司的真實情況。
我也同意榮哥的說法(我司也是這樣),這在管理上較方便,且不光是亂灌軟體,中毒、得木馬...的可能性都會大增,好好考慮一下吧~
其實,給了權限,平常或許事情可以少一些,但一有事可能就是大事(如中毒...),處理起來較棘手。但不給權限,只是常常會聽到有人罵,或誰誰誰要裝什麼或電腦有問題要幫忙處理,雜事會變多,但難處理的應該較少,看管理者是偏好哪一種。當然,這些都不算主管級(尤其是高階)常常跑來囉嗦東囉嗦西的抱怨,這種不管給不給權限都會有的啦...
提供參考吧~
我前一個工作,只給 USER 權限,使用者需要安裝什麼軟體,需寫申請單向資訊經理申請(即使連 SKYPE 這類軟體也一樣),由經理考量他是否真有需要,
這是公司既有資安政策,行之多年,也不會有人抱怨
至於所說的更新,其實絕大多數都不用隨時,半年一年全部一次更新就好了
(另 該公司有架設 WSUS )
進來這個公司,發覺開給每個User Local Admin 權限,頗覺訝異,
當初因為沒有特定的IT負責人,是由某些技術人員兼任,而該些人員經常要出差,所以有這種作法,理解後也知道只能如此
但後來找了一個專責的IT主管,他仍保持此模式,好吧,不想做大幅改變,其實也無可厚非,但讓我驚訝的是, 有一次與該主管聊天,他說,其實用 WorkGroup 還比 AD 好管理,一整個無言.....
showjack提到:
WorkGroup 還比 AD 好管理,
無為而治?!?!?!?
看狀況吧!!公司小真的沒必要架AD...
我看過有公司員工不太會亂搞的...
但也有公司員工自認為他電腦很行的...
zuyan提到:
公司員工自認為他電腦很行的.
認同~~而且還會跟IT挑戰~~
我的作法是畚箕給最高權限
但是登入網域後全面控管
如果不登入網域
連上網打資料都不行
每個單位都給自己單位應該有的權限
要安裝程式可以
但是不能移除
凡是亂安裝被我抓到的全部都給警告單