網域內的電腦,本機administrator 群組沒有domain admins

ad權限設定

cock511 2021-04-27 22:51:56 ‧ 1419 瀏覽

分享至

公司的網域的 administrators 群組有domain users
每一個人都是最高權限,但是在每一台電腦裡面的本機administrators 群組,只有administrator 及domain users正常來說還要有一個domain admin 才對!
我的問題是,我想要把domain users 從網域的administrators群組刪掉,讓domain users回復一般權限
如果我從網域的administrators群組刪掉domain users 會影響我將來登入網域內的電腦行使最高權限嗎??
因為沒有在本機administrators看到domain admin 所以會怕怕的

這是我的問題,抱歉沒有寫的清楚

窮嘶發發發 iT邦高手 1 級 ‧ 2021-04-28 09:02:26 檢舉

正常的規劃是
1. 本機 ADMIN 群組要有 DOMAIN ADMIN 群組跟之後要登入這台PC的 AD 帳戶

2. 本機的 POWER USER 群組要有 DOMAIN USERS
第一點有人不會把之後要登入這台PC的 AD 帳戶加到本機 ADMIN 群組
第二點如果樓主不打算讓一般PC開共享，可以直接取消，但至少要給之後要登入這台PC的 AD 帳戶 POWER USER 權限

這些設定可以用 POWER SHELL 寫 SCRIPT 之後用 GPO 下去發布
上面這些本機設定都完成之後，你就可以把 DOMAIN USERS 從 DOMAIN ADMIN 群組拿掉了

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

lion_inin

iT邦新手 1 級 ‧ 2021-04-28 11:18:29

在使用者PC上的power user 裡，加上他們的帳戶

然後你把你自己的帳戶先加到你電腦裡面的administrator。

這樣你把administrator 裡的domain user 拿掉後，domain 帳號還是可以登入pc(但沒有管理者權限，且只能登入到你規定的那台pc上)。你自己一樣也能登入且因為在administrator裡，所以你依然有管理者的權限。

回應
分享
檢舉

登入發表回應

納貝

iT邦新手 1 級 ‧ 2021-04-30 10:47:11

本機電腦裡的Local Administrators群組裡的Domain Users
代表所有domain users登入後都是可以拿到這台電腦的admin權限，不論你Domain administrators群組裡有沒有包含Domain Users都不會影響!

網域控制器上的Domain Administrators群組裡的Domain Users
就像你說的，你本機的Local Administrators群組裡沒有包含Domain Administrators這個群組，所以雖然你有在網域控制器上有把domain users加入到Domain Administratos裡了，但是對本機電腦來說是沒有任何意義的。

下面是回答你的問題
如果我從網域的administrators群組刪掉domain users 會影響我將來登入網域內的電腦行使最高權限嗎??
答案是不會影響！

我覺得貴公司這樣做的理由
本來網域控制器的設計的最大好處就是有點類似軍隊管理的概念，讓某某人有什麼特權在冇些地方做什麼某些事情，而貴公司這麼做等於是直接bypass這個功能，可能除了這功能外，貴公司比較重視的是網域控制器的其他功能，例如：稽核線索功能、為了Outlook而需要每個人的帳戶、需要控管上下班時間用電腦等等的。
直接bypass群組權限概念也不是沒有好處，就是職責架構會變得很單純，就是每個人都可以做到任何事情！至少在工作交替的時候，不需要考慮系統權限上的過度問題