iT邦幫忙

0

導入AD之後,請問各位IT前輩會賦予user本機administrators權限嗎?

ad

關於win7之後的電腦,導入AD之後,若user沒本機administrators權限,C根目錄無法正常寫入,但開放administrators權限,又怕user亂搞,想請各位IT前輩們,提供您寶貴的看法,供小弟參考參考!!

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
14
莫爺
iT邦新手 1 級 ‧ 2013-11-04 10:02:03

看公司政策跟使用者習慣。

就算給user權限,會中毒的還是會中毒。
而且有些毒跟木馬程式,都要登入原本帳號才能清乾淨。
登入該帳號沒admin權限,還要重登給他admin權限,處理問題剛關閉admin。

有時這樣來回搞真的有點麻煩。

16
u8526425
iT邦大師 1 級 ‧ 2013-11-04 10:10:32

你的問題
NTFS權限改一改就可以了

kilik1229 iT邦新手 5 級 ‧ 2013-11-04 11:24:09 檢舉

請問大大,關於NTFS是如何更改??是win7裝在FAT上嗎??

u8526425 iT邦大師 1 級 ‧ 2013-11-04 14:35:40 檢舉
8
darkslayer
iT邦好手 1 級 ‧ 2013-11-04 11:01:50

我會看公司軟體購買的狀況來決定, 如果公司版權買的夠, 當然不給管理者帳號, 免得裝一大堆有的沒的以後還要去清.
如果不夠, 就當作不知道隨便他們玩.
C根目錄無法正常存取, 就請他們存D槽吧!!
至於中毒這件事嘛. 會中的就是那幾個人, 多注意一下就好..

6
vlam123
iT邦新手 2 級 ‧ 2013-11-05 07:23:01

基本上用users權限已足夠,folder沒有寫入權限可以個別set right或叫用戶寫進my document, 返之有些軟件可能要給power user權限才能使用

6
shaochuan
iT邦新手 4 級 ‧ 2013-11-05 08:24:01

之前公司是一般User不給,只有大頭跟特定的一些User因為作業需求上會有需要,再依等級給予到Power User 或是local admin,但是現在這個小公司 是不管怎樣 所有User都有local admin權限 真的是快搞死我了。

4
ak02
iT邦研究生 1 級 ‧ 2013-11-05 09:09:06

我們是本機權限給一給
說真的中毒的機率也不是很高
不過有時候這些都是運氣問題

14
abraham
iT邦新手 3 級 ‧ 2013-11-05 10:05:18

這本是難題!也是蠻多公司mis/IT人的問題所在。(me too)
若說公司政策,只能使用user權限,則必須有相對的配套措施,
才能得以真正的執行「只有user權限的作業環境」;否則,
光是一些正常且必要使用的軟體(如Adobe Reader、Adobe Flash Player、
JAVA...),必須要做更新;但那不是Domain Admin所派送的,
所以執行時,需要Local Admin權限才能安裝;
如果,既要施行User權限的環境、也要保持軟體保持最新的修正
狀態,是會很耗工;甚至有人就犧牲這些小軟體的更新(保持不變),
到時候,有大問題時,再一台一台地安裝更新程式。
如果公司一定要做且真正支持 user 權限環境且派送必要的
軟體更新,(據了解,也找了很久)LANDesk 是一個不錯的系統與可行的方案,
可供參考;
此可以兼得其效果,且容易一次性地收回pc端的權限。
否則,又要方便、又要怕使用者因local Admin權限亂安裝軟體,
造成問題,事後才發現(未來,尤其在APT持續侵害下,一定來不及),
幾乎是不太可能的。其結果苦的通常是IT人。
所以,這問題,可能要看時機,持續給上級反應此事的重要性,
不只是人力支援的問題,而是問題的反應;且把嚴重性告知公司。
如此善盡告知義務,再來,責任就在公司與上級身上了。

6
一尾
iT邦研究生 1 級 ‧ 2013-11-06 09:24:34

我的做法是「不給」
主要是users不需要
而小軟體的更新也沒有執行的必要

至於必要性軟體安裝與修改
這不可能常常發生
要真的常發生
那就是規劃有問題
請自行檢討
如果環境很大
就當成去各部門找人聯絡感情

個人認為
都已經叫「管理員」了
有些事還是要自己動手

4
roylee
iT邦高手 1 級 ‧ 2013-11-06 16:49:20

我公司都是只有給domain users 權限
基本上C根目錄無法正常寫入,這個應該沒甚麼關係(我本身的環境下),因為給予user本機管理者權限,就有亂裝軟體的可能性,這樣對MIS維護上會有一些困擾@@

以上小弟淺見冷

6
花輪
iT邦大師 1 級 ‧ 2013-11-06 22:00:55

這問題不論如何都會有兩種答案:給或不給。或許"看情況或看老闆決定"可能是比較討好,但這種答案 '有跟沒有答' 不是一樣! 因為沒人知道版大公司的真實情況。

我也同意榮哥的說法(我司也是這樣),這在管理上較方便,且不光是亂灌軟體,中毒、得木馬...的可能性都會大增,好好考慮一下吧~

其實,給了權限,平常或許事情可以少一些,但一有事可能就是大事(如中毒...),處理起來較棘手。但不給權限,只是常常會聽到有人罵,或誰誰誰要裝什麼或電腦有問題要幫忙處理,雜事會變多,但難處理的應該較少,看管理者是偏好哪一種。當然,這些都不算主管級(尤其是高階)常常跑來囉嗦東囉嗦西的抱怨,這種不管給不給權限都會有的啦...

提供參考吧~

看更多先前的回應...收起先前的回應...
一尾 iT邦研究生 1 級 ‧ 2013-11-07 09:09:11 檢舉

其實我試過一種做法
當有user在要權限的時候
給他兩個選擇
一、有問題要自行負責
二、管理員隨時可以監視這台電腦

通常user都會想想就算了

roylee iT邦高手 1 級 ‧ 2013-11-10 23:35:05 檢舉

select提到:
一、有問題要自行負責

最後還是IT處理 冷

花輪 iT邦大師 1 級 ‧ 2013-11-20 11:12:29 檢舉

roylee提到:
最後還是IT處理

讚 答案真的是這樣...

一尾 iT邦研究生 1 級 ‧ 2013-11-21 09:02:10 檢舉

fran633提到:
答案真的是這樣

只是把醜話講在前面而以
因為處理需要時間
要是卡到他的工作
或是delay什麼事
才是他真的該負責的地方

hon2006 iT邦大師 1 級 ‧ 2013-11-21 09:28:09 檢舉

根據經驗,亂裝軟體的和常中毒的就是固定的那些人,
就是系統作ghost,檔案放在其他槽,有問題就還原.

4
showjack
iT邦新手 1 級 ‧ 2013-11-07 10:04:56

我前一個工作,只給 USER 權限,使用者需要安裝什麼軟體,需寫申請單向資訊經理申請(即使連 SKYPE 這類軟體也一樣),由經理考量他是否真有需要,
這是公司既有資安政策,行之多年,也不會有人抱怨
至於所說的更新,其實絕大多數都不用隨時,半年一年全部一次更新就好了
(另 該公司有架設 WSUS )

進來這個公司,發覺開給每個User Local Admin 權限,頗覺訝異,
當初因為沒有特定的IT負責人,是由某些技術人員兼任,而該些人員經常要出差,所以有這種作法,理解後也知道只能如此
但後來找了一個專責的IT主管,他仍保持此模式,好吧,不想做大幅改變,其實也無可厚非,但讓我驚訝的是, 有一次與該主管聊天,他說,其實用 WorkGroup 還比 AD 好管理,一整個無言.....

看更多先前的回應...收起先前的回應...
一尾 iT邦研究生 1 級 ‧ 2013-11-07 13:29:21 檢舉

showjack提到:
WorkGroup 還比 AD 好管理,

無為而治?!?!?!?
疑惑疑惑

zuyan iT邦好手 1 級 ‧ 2013-11-10 21:01:24 檢舉

看狀況吧!!公司小真的沒必要架AD...
我看過有公司員工不太會亂搞的...
但也有公司員工自認為他電腦很行的...

roylee iT邦高手 1 級 ‧ 2013-11-10 23:39:36 檢舉

zuyan提到:
公司員工自認為他電腦很行的.

認同~~而且還會跟IT挑戰~~

花輪 iT邦大師 1 級 ‧ 2013-11-20 11:15:18 檢舉

zuyan提到:
員工自認為他電腦很行的

IT 最怕這種人了,自以為是,一天到晚亂裝、亂試,出事還說:"我什麼也沒做啊!" 或 "原本就這樣了"

ted99tw iT邦高手 1 級 ‧ 2013-11-20 11:40:34 檢舉

對咩,才放個屁就說地球暖化了...

showjack iT邦新手 1 級 ‧ 2013-11-21 10:23:00 檢舉

所以呀,才更應該做管制呀

現在的公司說大不大,但也不算很小
有 3X 個員工,PC + NB 加起來有 50 台以上
連 Mail Server, Web Server 都自己架

而該主管前一個工作,聽說是一間到大陸投資的台灣廠商
電腦加起來有超過 100 台 ,
他來的第一天,我跟他聊天,就跟我著樣說駭客駭客

4
李大瑋
iT邦好手 1 級 ‧ 2013-11-20 11:10:07

我的作法是畚箕給最高權限
但是登入網域後全面控管
如果不登入網域
連上網打資料都不行
每個單位都給自己單位應該有的權限
要安裝程式可以
但是不能移除
凡是亂安裝被我抓到的全部都給警告單

看更多先前的回應...收起先前的回應...
李大瑋 iT邦好手 1 級 ‧ 2013-11-20 11:11:19 檢舉
李大瑋 iT邦好手 1 級 ‧ 2013-11-20 11:12:06 檢舉

""本機""給最高權限

ted99tw iT邦高手 1 級 ‧ 2013-11-20 11:42:26 檢舉

jhoward提到:
警告單

不能直接開紅單嗎...偷笑

echen688 iT邦高手 1 級 ‧ 2013-11-20 14:21:18 檢舉

jhoward提到:
我的作法是畚箕給最高權限

那... 掃把要給什麼權限 ?? ..... 疑惑

一尾 iT邦研究生 1 級 ‧ 2013-11-21 09:06:44 檢舉

基本上在公司內部
本來就不可能讓每個人的門禁卡都能刷過每道門
而是照工作職掌來設定誰可以過哪個門
依照這個角度來看
能過最多門的
不是某某經理
也不會是總監
更不會是CEO
而應該是

清潔人員
哈哈

我要發表回答

立即登入回答