iT邦幫忙

0

AD權責分工的設定

各位好

想將AD帳號權限分開,做到以下描述

  1. 將使用者電腦加入公司網域時,輸入A帳號密碼即可加入,但沒有安裝軟體的權限。
    這該如何設定?
  2. B帳號能替使用者電腦加入公司網域,並且有安裝軟體的權限,這該如何設定?

A & B帳號是一般使用者帳號,而不是administrator的帳號。

謝謝您們

msnman iT邦研究生 1 級 ‧ 2020-04-29 09:00:17 檢舉
A帳號domain users
B帳號domain admins
banson_ iT邦新手 5 級 ‧ 2020-04-29 19:57:23 檢舉
謝謝您的回覆。
想再請教一下下,退出網域的最小權限是要設定什麼呢
同樣的是B帳號的最小權限也只能是domain admins嗎?
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
grissonlin
iT邦新手 3 級 ‧ 2020-04-28 09:10:30

A 在委派設定裡面,要搜尋一下,以前有做過這個設定,但我是設定這個帳號可以把USER電腦加入網域,你說的沒有很清楚,把USER加入網域是指??電腦還是帳號
B 第一部分如上,第二個部分安裝軟體,我之前公司是用每台電腦的有本機管理者權限帳號安裝軟體,就是在每一個USER電腦另外建一個本機帳號,然後用這個帳號安裝軟體
安裝軟體是需要申請的,必須填寫申請。還要給資安審核過

如果是委派把USER電腦加入網域,如下這個方法我沒有用過,我是直接在委派裡面設定的,但我一下也找不到當初什麼設定的
你可以試試看如下這個看起來更簡單的方法 其實也是委派

https://www.petri.com/manage-workstations-without-domain-admin-rights

banson_ iT邦新手 5 級 ‧ 2020-04-28 11:30:51 檢舉

感謝您的回覆,我有調整了一下問題,不知道這樣有沒有比較清楚。
主要想請問技術上怎麼設定,謝謝您

0
akqj
iT邦新手 5 級 ‧ 2020-04-29 08:10:14
  1. 可先在AD管理工作中先新增一台電腦(名稱與新機一樣),設定其管理者為A,那麼A就可以將該電腦加入網域了,但A則沒有其他權限。
  2. 安裝軟體幾乎都要系統管理員權限,建議可使用群組原則派送。

想問一下如果群組原則無法派送的檔案呢?
我目前有遇到一些國家單位的認證軟體(大約200多mb的 .msi檔)派送的時候會出現在控制台選項裡能手動安裝 但不會自動安裝
一些小型軟體(7z之類的200多kb的 .msi檔)就能正常派送

我要發表回答

立即登入回答