電腦管理問題

電腦網域

kylen 2020-08-14 11:54:47 ‧ 2118 瀏覽

分享至

關於公司電腦管理問題，想請教一下
公司的電腦可分成三種
1 OA商用電腦 2 工業電腦 3 機台電腦
這三種目前1和2 都是加入唯一的網域

但久了，發生一個問題，AD想升級，沒法升
因為工業電腦，因為與設備連接關係，沒法更換

唯一想到就是以後工業電腦不加入網域，單機管理
因為也沒法在生出另一個新網域(預算問題，工程問題)

等於只有1 加入網域，2和3 都是維持單機作業
以上不知道這樣的思考是否正確?
不知道比較有有管理的公司，做法應該是怎樣?
謝謝

看更多先前的討論...收起先前的討論...

雷伊 iT邦高手 1 級 ‧ 2020-08-14 11:59:13 檢舉

請問工業電腦加入網域的目的為何？公用資料夾權限？

japhenchen iT邦超人 1 級 ‧ 2020-08-14 12:38:32 檢舉

突然想起台積電兩年前的工控主機大中毒事件

https://www.cw.com.tw/article/5091491

你確定要把工控機連網？

chsinzk iT邦研究生 2 級 ‧ 2020-08-14 12:54:26 檢舉

網域只是方便管理，想想加入網域的需求是什麼

kylen iT邦新手 4 級 ‧ 2020-08-14 13:05:12 檢舉

1 工業電腦也有需求存取檔案共用區耶
2 工業電腦有有需求使用公司相關系統，所以可以利用GPO快速套用
3 這個也是歷史，接手之後，工控機就加入網域了
4 系統更新問題，可以找Update Server更新
5 盤點軟體 GPO派送

雷伊 iT邦高手 1 級 ‧ 2020-08-14 13:46:14 檢舉

你家的工業電腦根本就是普通的用戶端啊！有考慮在新版本的MS Server下開一台Hyper-V主機另外架設工業電腦專用的DC？或是將既有的DC虛擬化只負責工業電腦，另外在安裝新版的DC管理商用電腦。

japhenchen iT邦超人 1 級 ‧ 2020-08-14 14:10:06 檢舉

我們公司的型鋼線CNC跟辦公室的網路是完全斷開的，不互通，避免資安災難造成產線也停擺

至於資料共享，CNC主機連的網上有專屬的NAS，資料只能從窗口電腦複製
(已加強防毒及完全不上外網)

個人真心不覺得工控機，適合連入管人用的AD......

casper2048 iT邦新手 4 級 ‧ 2020-08-14 14:23:28 檢舉

工控機應該跟內網切開，工控操作人員要用的電腦用來收email或行政作業加入網域就好

kylen iT邦新手 4 級 ‧ 2020-08-14 14:32:31 檢舉

所以看起來應該是網路要徹底斷開，工控機也不要加入網域，單機就好
在問一個問題，這樣那家的工控機，也都是不更新的嗎??也或許沒法更新

ks1217 iT邦研究生 1 級 ‧ 2020-08-14 16:29:38 檢舉

XP應該也沒得更新了吧，還是別更新比較好，免得一下專用軟體run不起來

kylen iT邦新手 4 級 ‧ 2020-08-14 16:47:41 檢舉

也是啦，但也有win7的也只能放棄了

雷伊 iT邦高手 1 級 ‧ 2020-08-14 17:05:38 檢舉

japhenchen 哥的才是正解

kylen iT邦新手 4 級 ‧ 2020-08-17 11:45:07 檢舉

就是工控機的網路獨立就對了

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

IT 癡

iT邦高手 1 級 ‧ 2020-08-14 13:43:44

目前 1 和 2
因為工業電腦，因為與設備連接關係，沒法更換

a. 既然 2 可以加入網域
b. 你的字句上看不出是費用問題 (假設也不是)

解方：

科技業除非夠有錢買足夠 L3，不然就是商用環境一個網域、工業機一個網域，相互透過跳板主機作 trust，讓資料可相互交流、但又不是直接互串
記得跳板主機安裝防毒檢測，任何檔案傳送過來先檢查，沒問題才放行
機台因為製造設備關係，如果可能，同區域同廠牌設備在工業機網域以建子網域方式、但不互通，避免 n 年前台 x 電的病毒擴散發生

回應 3
分享
檢舉

雷伊 iT邦高手 1 級 ‧ 2020-08-14 13:55:13 檢舉

他的意思是說升級AD後，工業電腦就不支援了加域了，我也聽不懂這段

kylen iT邦新手 4 級 ‧ 2020-08-14 14:30:30 檢舉

抱歉，沒說清楚，因為工業電腦的系統幾乎都是 XP系統為主，XP後已經無法支援後續2012之後的AD了

IT 癡 iT邦高手 1 級 ‧ 2020-08-17 14:07:41 檢舉

建虛擬環境，把 2008 R2 在虛擬起網域，把 XP 加到該網域中

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2020-08-14 17:43:49

在下的實戰經驗建議如下

請將這三段分成不同的AD管理(在經費許可下)
不要癡心妄想說這三段可以實體隔離(終究是會連通的)
用AD不代表有資安管理，需AD+設備辨識(IoT)，至少IoT要辨識
有設備辨識與AD也不叫資安，這叫接入管理，不要自我欺騙與妨駭扯不上邊
請每日觀察AD紀錄資料，有無來歷不明及權限莫名提升
請記得這三種設備只要接入網路就都需要做防毒、防入侵
設備之間就要做防毒、防入侵的網路資安檢核，這是零信任網路存取
如果第7點做不到，至少網段間要做，網段能切多細就切多細
以上有工具會很容易就達成，沒預算請用人力操下去。

回應 1
分享
檢舉

kylen iT邦新手 4 級 ‧ 2020-08-17 11:43:40 檢舉

謝謝但真的難沒錢又沒人
只能盡力了

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js

IT邦幫忙