iT邦幫忙

0

網域內的電腦,本機administrator 群組沒有domain admins

  • 分享至 

  • xImage

公司的網域的 administrators 群組有domain users
每一個人都是最高權限,但是在每一台電腦裡面的本機administrators 群組,只有administrator 及domain users正常來說還要有一個domain admin 才對!
我的問題是,我想要把domain users 從網域的administrators群組刪掉,讓domain users回復一般權限
如果我從網域的administrators群組刪掉domain users 會影響我將來登入網域內的電腦行使最高權限嗎??
因為沒有在本機administrators看到domain admin 所以會怕怕的

這是我的問題,抱歉沒有寫的清楚
https://ithelp.ithome.com.tw/upload/images/20210427/20132165ETwgGzyAkq.jpg

正常的規劃是
1. 本機 ADMIN 群組要有 DOMAIN ADMIN 群組 跟 之後要登入這台PC的 AD 帳戶

2. 本機的 POWER USER 群組要有 DOMAIN USERS
第一點有人不會把 之後要登入這台PC的 AD 帳戶 加到 本機 ADMIN 群組
第二點如果樓主不打算讓一般PC開共享,可以直接取消,但至少要給 之後要登入這台PC的 AD 帳戶 POWER USER 權限

這些設定可以用 POWER SHELL 寫 SCRIPT 之後用 GPO 下去發布
上面這些本機設定都完成之後,你就可以把 DOMAIN USERS 從 DOMAIN ADMIN 群組 拿掉了
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
lion_inin
iT邦新手 1 級 ‧ 2021-04-28 11:18:29

在使用者PC上的power user 裡,加上他們的帳戶

然後你把你自己的帳戶先加到你電腦裡面的administrator。

這樣你把administrator 裡的domain user 拿掉後,domain 帳號還是可以登入pc(但沒有管理者權限,且只能登入到你規定的那台pc上)。你自己一樣也能登入且因為在administrator裡,所以你依然有管理者的權限。

0
納貝
iT邦新手 1 級 ‧ 2021-04-30 10:47:11

本機電腦裡的Local Administrators群組裡的Domain Users
代表所有domain users登入後都是可以拿到這台電腦的admin權限,不論你Domain administrators群組裡有沒有包含Domain Users都不會影響!

網域控制器上的Domain Administrators群組裡的Domain Users
就像你說的,你本機的Local Administrators群組裡沒有包含Domain Administrators這個群組,所以雖然你有在網域控制器上有把domain users加入到Domain Administratos裡了,但是對本機電腦來說是沒有任何意義的。

下面是回答你的問題
如果我從網域的administrators群組刪掉domain users 會影響我將來登入網域內的電腦行使最高權限嗎??
答案是不會影響!

我覺得貴公司這樣做的理由
本來網域控制器的設計的最大好處就是有點類似軍隊管理的概念,讓某某人有什麼特權在冇些地方做什麼某些事情,而貴公司這麼做等於是直接bypass這個功能,可能除了這功能外,貴公司比較重視的是網域控制器的其他功能,例如:稽核線索功能、為了Outlook而需要每個人的帳戶、需要控管上下班時間用電腦等等的。
直接bypass群組權限概念也不是沒有好處,就是職責架構會變得很單純,就是每個人都可以做到任何事情!至少在工作交替的時候,不需要考慮系統權限上的過度問題

0
小湯
iT邦好手 1 級 ‧ 2021-04-30 11:21:27

若你的需求是要派送或修改"用戶端電腦"權限,你可以參考一下以下方式:
使用GPO派送 :
https://ithelp.ithome.com.tw/upload/images/20210430/20010931K4k3r3QCVZ.jpg

詳細步驟可參考:
https://wreadit.com/@itorz324blogspotcom/post/271908

我要發表回答

立即登入回答