先加權限還是先創帳號?

windows 權限網域帳號先有雞還是先有蛋

石頭 2019-03-07 09:33:45 ‧ 2810 瀏覽

分享至

各位好，
目前公司有台電腦已經加好網域了，我自己的做法會是先加網域帳號，然後再去administrator群組裡加入該人員，不過公司前輩說要先在administrator群組裡加入該人員再加帳號，請問這兩個動作會導致甚麼差別嗎?

看更多先前的討論...收起先前的討論...

註冊單 iT邦新手 4 級 ‧ 2019-03-07 10:13:10 檢舉

要先加網域在新增帳號 @domain.com 加密碼你加入domain後當你要新增帳號時會一直跳出要你輸入帳密

harrytsai iT邦新手 1 級 ‧ 2019-03-07 11:03:12 檢舉

你不建帳號,哪裡來的帳號加權限

石頭 iT邦研究生 4 級 ‧ 2019-03-07 11:18:24 檢舉

網域帳號主機會先建好我說的是在USER電腦上~ 抱歉這點忘了說

小成 iT邦高手 10 級 ‧ 2019-03-07 11:23:14 檢舉

這樣你的問題更看不懂了...舉個例來看吧

蟹老闆 iT邦大師 1 級 ‧ 2019-03-07 11:48:08 檢舉

網域帳號不歸USER電腦管,只有登入與無法登入的問題

froce iT邦大師 1 級 ‧ 2019-03-07 11:57:02 檢舉

看不懂你描述。

網域帳號一定要先到DC上加完，你網域內電腦才能存取啊？

石頭 iT邦研究生 4 級 ‧ 2019-03-07 13:09:56 檢舉

就是~網域帳號已再AD上建立好了，user電腦也已經加好網域的情況下
1.先用網域帳號登入，再加administrator權限
2.先用本機administrator帳號登入加權限，再用網域帳號登入

窮嘶發發發 iT邦高手 1 級 ‧ 2019-03-07 13:52:19 檢舉

電腦加好網域，預設只有 DOMAIN ADMIN 有本機 ADMINISTRATOR權限
但是這個權限是加到本機的 ADMINISTRATORS 群組取得的，他只有本機大多數的管理權限，接著 DOMAIN USERS 會加入本機的 USERS 群組
你如果要讓某個網域帳戶有本機的系統管理權限，你應該再加入網域之後
到本機的使用者管理，再用網域管理者帳戶登入網域搜尋找到該帳戶，再把該帳戶加入系統管理群組，這樣，之後這個帳戶登入到本機，就會有本機的系統管理權限，樓上說要用網域帳戶登入，個人建議不要，因為會留一堆設定檔，很危險的

小成 iT邦高手 10 級 ‧ 2019-03-07 14:07:20 檢舉

你有問過前輩這樣做的理由嗎?
>>1.先用網域帳號登入，再加administrator權限
>>2.先用本機administrator帳號登入加權限，再用網域帳號登入

這邊的網域帳號是甚麼帳號? 加甚麼東西權限?
建議問問題盡量詳細

michaelwan iT邦高手 1 級 ‧ 2019-03-07 14:58:24 檢舉

猜一下,
先把網域使用者帳號加入本機管理者群組後再登入網域使用者.
vs
網域使用者登入後再把帳號加入本機管理者群組.

石頭 iT邦研究生 4 級 ‧ 2019-03-08 08:41:09 檢舉

抱歉沒說清楚，目前情況是 AD已經加好aaa@domain.com 帳號，並且user電腦已經加入doamin.com網域
情況1: 先用aaa@doamin.com登入，再用本機管理者登入，administrator群組加上aaa@domain.com

情況2: 先用本機管理者登入，administrator群組加上aaa@domain.com，再用aaa@doamin.com登入

石頭 iT邦研究生 4 級 ‧ 2019-03-08 08:42:16 檢舉

然後前輩只說他也是依照之前的前輩做法= ="

innovaig iT邦新手 4 級 ‧ 2019-03-08 09:14:28 檢舉

就省事而已，不然你用新帳戶登入時還要先用有權限的帳戶登入加入群組，若直接用新帳戶登入，會發生一些軟體 or 修改ip之類的權限不足，要加admin群組也不能加，畢竟網域帳號又不是每一個都是有admin權限

sunyin0012000 iT邦新手 5 級 ‧ 2019-03-08 09:39:29 檢舉

win8之前的系统，在普通账号下不能提升权限来添加普通用户到administrators，所以才会有你们前辈的说法，实际上，现在的系统，可以直接在加域时，提示重启的时候，然后不要重启，直接administrators加入user帐号，关机，交付给user，即可。或者gpo来做更简单，直接wds or sccm装系统自动加域，gpo负责加入administrators组

小成 iT邦高手 10 級 ‧ 2019-03-08 13:13:50 檢舉

本來我還冒出一堆啥網域管理員阿，是不是有啥理由阿，mimikatz之類的..
但講清楚發現一切都是多餘的，講清楚就很快有解答了....
的確是沒差...
而且我這邊實務上也是跟sunyin0012000說的一樣，直接GPO做掉...

補覺鳴詩 iT邦高手 1 級 ‧ 2019-03-11 00:17:42 檢舉

單純以 administratrs 群組加上aaa@domain.com 這要求
情況 1 跟情況 2 沒差
不過就工作流程來說應該是情況2 會比較順暢吧?? 因為後續應該還需要一些使用者環境設定 (你們會加 administrators 應該也是因為權限不足無法作業吧?)
那情況 1 變成要重複登錄一次才能完成