公司的網域的 administrators 群組有domain users
每一個人都是最高權限,但是在每一台電腦裡面的本機administrators 群組,只有administrator 及domain users正常來說還要有一個domain admin 才對!
我的問題是,我想要把domain users 從網域的administrators群組刪掉,讓domain users回復一般權限
如果我從網域的administrators群組刪掉domain users 會影響我將來登入網域內的電腦行使最高權限嗎??
因為沒有在本機administrators看到domain admin 所以會怕怕的
這是我的問題,抱歉沒有寫的清楚
在使用者PC上的power user 裡,加上他們的帳戶
然後你把你自己的帳戶先加到你電腦裡面的administrator。
這樣你把administrator 裡的domain user 拿掉後,domain 帳號還是可以登入pc(但沒有管理者權限,且只能登入到你規定的那台pc上)。你自己一樣也能登入且因為在administrator裡,所以你依然有管理者的權限。
本機電腦裡的Local Administrators群組裡的Domain Users
代表所有domain users登入後都是可以拿到這台電腦的admin權限,不論你Domain administrators群組裡有沒有包含Domain Users都不會影響!
網域控制器上的Domain Administrators群組裡的Domain Users
就像你說的,你本機的Local Administrators群組裡沒有包含Domain Administrators這個群組,所以雖然你有在網域控制器上有把domain users加入到Domain Administratos裡了,但是對本機電腦來說是沒有任何意義的。
下面是回答你的問題
如果我從網域的administrators群組刪掉domain users 會影響我將來登入網域內的電腦行使最高權限嗎??
答案是不會影響!
我覺得貴公司這樣做的理由
本來網域控制器的設計的最大好處就是有點類似軍隊管理的概念,讓某某人有什麼特權在冇些地方做什麼某些事情,而貴公司這麼做等於是直接bypass這個功能,可能除了這功能外,貴公司比較重視的是網域控制器的其他功能,例如:稽核線索功能、為了Outlook而需要每個人的帳戶、需要控管上下班時間用電腦等等的。
直接bypass群組權限概念也不是沒有好處,就是職責架構會變得很單純,就是每個人都可以做到任何事情!至少在工作交替的時候,不需要考慮系統權限上的過度問題
若你的需求是要派送或修改"用戶端電腦"權限,你可以參考一下以下方式:
使用GPO派送 :
詳細步驟可參考:
https://wreadit.com/@itorz324blogspotcom/post/271908