AD權限問題，無權限下設定可以修改日期

ad控管

pan22093 2016-04-28 08:53:53 ‧ 2928 瀏覽

分享至

公司有導入AD，做權限的控管
目前面臨到一個問題，USER因為需求單據上的日期修改，因此需要隨時可以修改系統日期
所以想請問一下，是否有辦法不開啟該使用者的ADMINISTRATOR權限的情況下，也能修改電腦日期?
以及通訊軟體更新頻繁，是否能夠只開啟部分通訊軟體的安裝權限，其他軟體一樣封鎖呢?

bluegrass iT邦高手 1 級 ‧ 2016-04-28 16:39:46 檢舉

不如你VM一部電腦, 不要JOIN DOMAIN.

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2016-04-28 11:41:55

在 AD 環境下, 所有電腦都必須嚴格對時, 誤差不能超過 5 分鐘, 一但 DC 發現有電腦的時間跟他相差 5 分鐘以上時, 會將此電腦隔離在 AD 的驗證名單之外.

這個對時需求, 是來自於 AD 所使用的 Kerberos 密碼驗證機制, 其目的是為了防止內網出現 Reply Attack 封包攻擊. 所以 AD 內的電腦會自動跟 AD 對時, 並校正自己的時間, 跟 DC 同步.

如果你改了某一台 PC 的時間, 過不久就會發現, 跟驗證有關的各種服務都會不正常, 例如: 檔案區進不去, 無法登入, 遠端桌面被強制斷線.....等等, 因為 AD 會認定這台電腦是可疑的攻擊來源.

單據改登錄時間, 是違反稽核和會計原則的行為, 若受流程限制非這樣做不可的話, 應該要從 AP 端去修改程式, 讓輸入畫面允許用戶修改單據時間, 同時 AP 也要將這個修改單據時間的行為紀錄在 Log 內, 這樣事後才有稽核的依據. 單方面去修改電腦時間不但破壞 AD 架構, 同時也失去了事後稽核的存證.