各位先進大佬們好
小弟最近被指派要把公司的AD架構整個重建
舊有AD架設的時候是以前的主管買設備的時候請廠商免費幫忙弄的,所以現在也沒辦法請廠商支援
當時跟著架設的老員工也都不再了,只能從頭開始摸
公司規模大約有2500~2800台電腦,使用者登入上沒有細分到個人使用者的登入,是以單位進行登入 (例如說總務室的人全都是登總務室,工務組的人全都登工務組等等)
目前新的AD已經架設起來了(windows srever 2016),在建立使用者的時候碰到一些設定不是很確定要怎麼處理
因為資安法的關係,一些單位必須要控制登入錯誤幾次就鎖定帳號 (比如說總務室:密碼錯誤三次就鎖定10分鐘之類)
有在 "Active Directory 使用者和電腦" 的 USER 裡面設定了一個 "總務室-ADMIN" 的群組跟 "總務室" 的使用者,在總務室-ADMIN群組的成員選項有將總務室的使用者加入,隸屬於administrators,群組領域為全域,群組類型為安全性
在 "樹系群組管理原則" 中的網域欄位底下建立一個 "總務室" 的組織單位,並且設定了一個專屬給總務室的policy、啟用GPO連結、在委派的選項中將總務室-ADMIN的群組加入,並且設定為這個容器及所有仔容器
但是測試起來,電腦加進新網域之後,可以正確登入總務室的使用者,輸入密碼錯誤之後卻不會被鎖定(密碼錯誤的鎖定設置在總務室的group policy裡面,"電腦設定>原則>Windows設定>安全性設定>帳戶原則>帳戶鎖定原則" 裡面設定為帳戶鎖定閥值 3次、帳戶鎖定時間 10分鐘)
設定完之後有在AD上使用 gpupdate /force 進行強制刷新,但是沒有成功
目前電腦還沒有進行嚴格控管 (比如說使用者可以在工務組登入總務室的帳戶,但是會是全新的WINDOWS預設環境,電腦的本機管理權限群組也不會有總務室)
想詢問我應該如何設置才能夠依照各個不同的單位進行帳戶鎖定管理?
之前開會上面的大人物想試試看有沒有可能改成登入者改成員工本人而非單位,然後他在其他電腦也都能登入,而且要能夠在其他電腦登入後都變成他喜歡的電腦環境 (例如常用捷徑、桌布等個人化設定),電腦登出後要將這些資料刪除,要讓這些資料都存在於機房內,這個要求是否能夠做到?
之後還會需要根據各種不同的登入環境進行程式的派送安裝 (現行的方法是開機後會執行SERVER上寫好的BAT檔,但是經常發現使用者開機登入後BAT檔不會跑,需要登出再登入才會正常執行,是否有其他方式可以改善?
追加補充
我們公司人員主要分成兩種,
一種人會是在辦公室的固定座位,電腦也是個人電腦,所以不會有會需要用到其他電腦的問題
另一種是沒有辦公室,會到處跑得不固定人員,他們會使用其他單位的公區公用電腦,主要也不會有個人資料,大多都是查找文獻跟寫報告然後上傳到SERVER裡面
VDI就可以做到,同時這也是WFH其中一個解決方案
登入者改成員工本人而非單位,然後他在其他電腦也都能登入,而且要能夠在其他電腦登入後都變成他喜歡的電腦環境 (例如常用捷徑、桌布等個人化設定),電腦登出後要將這些資料刪除,要讓這些資料都存在於機房內,這個要求是否能夠做到?
"你在其他電腦登入時,你原本自己電腦上的檔案也會過來嗎?"
這個功能 NT 時代就有了,只是對伺服器還有網路的要求很重,但可以針對某些使用者做這個設定,那功能叫做 "漫遊設定檔"
官網說明,可以參考一下
https://learn.microsoft.com/zh-tw/windows-server/storage/folder-redirection/deploy-roaming-user-profiles
因為我們公司這邊有些單位是有個人電腦的,有些單位是流動單位,會到處跑跟使用其他單位的公用電腦,主要會有資料的也都是有個人電腦的單位,就是老闆想給到處跑的少部分人員方便
gcodc09997 那就得給這些要到處跑的人設定漫遊設定檔
然後這些公用電腦要開登入權限給這些人,這些都是基本操作,不需要用VDI
以前NT時代,假如DC有上WAN的,有些人甚至可以在不同國家使用相同的設定檔
NT都是25年以上的系統了,那個時代就有的東西,現在怎麼可能沒有
密碼問題解了,預設密碼GPO一份,PSO多份然後套群組去用吧
預設domain user可以登入任何電腦,除非你用GPO做了限制"本機登入"
要注意的是如果你用GPO將該使用者或者群組設定成該電腦的管理者群組的話
限制本機登入的設定會失效,因為本機登入無法限制administrators群組身份
帳戶本身雖然可以限制登入的裝置名稱,但是要大量設定要用指令才方便
使用者環境問題,有人提過了漫遊設定檔,注意如果你每次登出都刪除本機資料,
那每次都入都要重Server上面重新下載,除非你有限制漫遊檔的大小
開機執行BAT,那邊不是給你部屬程式用的,
在Windows開機的時候如果網域服務慢了點起來,直接略過不執行是常有的
除非你有在GPO設定等待網域環境初始化完成之後,才允許使用者登入,
改善方法請乖乖去用工作排程Task Scheduler到那邊去設定你的部屬程式跟啟動方式
2500台不是小數目,OU跟AD Group還有GPO三者要很熟悉才能管理好吧
如果不趕時間的話就慢慢整理練功吧,GPO還有WMI可以做一些篩選設定,記得學。
目前是還不著急,因為上面的命令還沒正式下來,只是要我們先提前開始準備,然後我們公司這邊目前AD架設十幾年來都沒有正確的用過GPO,派送東西都是用使用者帳戶那邊去設定的登入指令檔案
所以經常發生電腦已經開好到桌面了,但是更新檔沒有跑的問題
另外想請教幾個問題,
你提到的限制本機登入,是指我在GPO限制 甲使用者只有在 A B兩台電腦登入,乙使用者只能在B C兩台電腦登入 這樣子嗎?
"設定成該電腦的管理者群組" 的意思是指在本機電腦管理>本機使用者群組>administrators群組 將使用者加進此成員 的意思嗎?
允許規則或者拒絕規則挑一種使用,都要也行,拒絕規則優先允許
通常是設定成群組允許或者群組拒絕,這樣方便動態調整人員
但是規則是無法限制本機管理者群組(administrators)
只要使用者直接或者間接拿到了該裝置的(administrators)權限
本機登入的規則就是給(administrators)的成員有特權就對了
因為如果發生什麼意外,唯一還能做登入電腦的只剩下管理者
管理者群組如果也被規則擋在門外,那電腦只能重灌什麼資料都不能救
想再請教一下
突然看到這篇發問
發問者非常有勇氣