iT邦幫忙

2

請教,關於AD架設及使用者設定的基本設定

  • 分享至 

  • xImage

各位先進大佬們好
小弟最近被指派要把公司的AD架構整個重建
舊有AD架設的時候是以前的主管買設備的時候請廠商免費幫忙弄的,所以現在也沒辦法請廠商支援
當時跟著架設的老員工也都不再了,只能從頭開始摸

公司規模大約有2500~2800台電腦,使用者登入上沒有細分到個人使用者的登入,是以單位進行登入 (例如說總務室的人全都是登總務室,工務組的人全都登工務組等等)

目前新的AD已經架設起來了(windows srever 2016),在建立使用者的時候碰到一些設定不是很確定要怎麼處理
因為資安法的關係,一些單位必須要控制登入錯誤幾次就鎖定帳號 (比如說總務室:密碼錯誤三次就鎖定10分鐘之類)
有在 "Active Directory 使用者和電腦" 的 USER 裡面設定了一個 "總務室-ADMIN" 的群組跟 "總務室" 的使用者,在總務室-ADMIN群組的成員選項有將總務室的使用者加入,隸屬於administrators,群組領域為全域,群組類型為安全性
在 "樹系群組管理原則" 中的網域欄位底下建立一個 "總務室" 的組織單位,並且設定了一個專屬給總務室的policy、啟用GPO連結、在委派的選項中將總務室-ADMIN的群組加入,並且設定為這個容器及所有仔容器

但是測試起來,電腦加進新網域之後,可以正確登入總務室的使用者,輸入密碼錯誤之後卻不會被鎖定(密碼錯誤的鎖定設置在總務室的group policy裡面,"電腦設定>原則>Windows設定>安全性設定>帳戶原則>帳戶鎖定原則" 裡面設定為帳戶鎖定閥值 3次、帳戶鎖定時間 10分鐘)
設定完之後有在AD上使用 gpupdate /force 進行強制刷新,但是沒有成功

目前電腦還沒有進行嚴格控管 (比如說使用者可以在工務組登入總務室的帳戶,但是會是全新的WINDOWS預設環境,電腦的本機管理權限群組也不會有總務室)

想詢問我應該如何設置才能夠依照各個不同的單位進行帳戶鎖定管理?
之前開會上面的大人物想試試看有沒有可能改成登入者改成員工本人而非單位,然後他在其他電腦也都能登入,而且要能夠在其他電腦登入後都變成他喜歡的電腦環境 (例如常用捷徑、桌布等個人化設定),電腦登出後要將這些資料刪除,要讓這些資料都存在於機房內,這個要求是否能夠做到?
之後還會需要根據各種不同的登入環境進行程式的派送安裝 (現行的方法是開機後會執行SERVER上寫好的BAT檔,但是經常發現使用者開機登入後BAT檔不會跑,需要登出再登入才會正常執行,是否有其他方式可以改善?

追加補充
我們公司人員主要分成兩種,
一種人會是在辦公室的固定座位,電腦也是個人電腦,所以不會有會需要用到其他電腦的問題
另一種是沒有辦公室,會到處跑得不固定人員,他們會使用其他單位的公區公用電腦,主要也不會有個人資料,大多都是查找文獻跟寫報告然後上傳到SERVER裡面

看更多先前的討論...收起先前的討論...
關於你後面提到大人物的需求,我覺得VDI (虛擬桌面基礎設施)可以看看是否符合需求
AD 的管理從人到電腦都可以做管理,重點是你要怎麼弄

OU 的規劃,GPO的設定,2500 台啊,大哥,不是25台,有想過你只要搞錯會發生什麼問題嘛,最簡單的電腦加入新網域之後,你知道會發生什麼事,第一個就是電腦會建立新的使用者設定檔,除非經過特別的設定,不會去使用原本的設定檔,這些有衡量過 ?

USMT 請先了解一下,光是設定檔更換網域跟檔案權限更新就會花去不少時間
不做USMT,我不知道樓主到時候怎麼面對 2500 人的質問,每個人都問我的桌面,我的檔案,我的郵件我的OOOXXX跑哪了,沒想過,這邊先給樓主提個醒

Active Directory 使用者和電腦
貴司顯然有分部門,那有做了OU 管理,把相同部門的放在同一個OU,指派OU的管理人
針對OU使用的電腦做權限上的調整,例如要求的該OU的使用者是該OU電腦的本機管理者
但我個人是建議OU的管理者可以登入全OU的電腦,但OU的人只能登入自己的電腦

資安要求 GCB,我想樓主要問的是這個
GCB 他有規範說明也有說明該如何設定,哪些原則是全體遵循,那些只在部門內
這些都有規範,樓主可以自己去參考

還有很多地方要注意,包括 DNS、DHCP等等基本的網路服務,如果有服務對外,你還要把這些設定做好,我是不知道樓主重建是不是有換網域名稱,如果有,其實要設定的地方很多,網路上也都有教材,如果沒換,那要注意的地方也很多,網路上也有教材可以看,建議多找找資料,看別人的案例分享,思考自己操作不足的部分,詳細訂好計畫,再逐步去執行,2500台,加油,這個如果你1個月內能搞完,你就算是一個TOP SE了
spplkksyy iT邦新手 1 級 ‧ 2023-07-01 14:36:55 檢舉
帳號鎖定的問題分成Server端和Client(Local)端,
套用到Client的GPO只能管離線登入(連不到AD時可以驗證上次登入成功的密碼),
AD帳號在線登入是在Server上驗證自然要在Server上設定錯幾次要鎖多久。
目前密碼的部分知道原因了 AD的GPO密碼原則只能設定預設狀態(全域),如果要個別設定的話要使用Password Settings objects (PSO)
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
allenlwh
iT邦高手 1 級 ‧ 2023-06-30 15:32:46

VDI就可以做到,同時這也是WFH其中一個解決方案

登入者改成員工本人而非單位,然後他在其他電腦也都能登入,而且要能夠在其他電腦登入後都變成他喜歡的電腦環境 (例如常用捷徑、桌布等個人化設定),電腦登出後要將這些資料刪除,要讓這些資料都存在於機房內,這個要求是否能夠做到?

1
IT 癡
iT邦高手 1 級 ‧ 2023-06-30 15:33:33
  1. 前一大段,就正規 AD 管理是錯誤的,AD 管理本應要到 "人",權限才能分明與分類,全部歸工務組,那是否工務組長才看的到的文件,整個工務組都看得到了?你還是要去買一套 AD 管理的書籍研讀,之後有問題再上來詢問較佳
    https://www.books.com.tw/products/0010913810
  2. "之前開會上面的大人物想試試看有沒有可能改成登入者改成員工本人而非單位,然後他在其他電腦也都能登入,而且要能夠在其他電腦登入後都變成他喜歡的電腦環境 (例如常用捷徑、桌布等個人化設定),電腦登出後要將這些資料刪除,要讓這些資料都存在於機房內,這個要求是否能夠做到?"。這部分貞的建議採購 VDI 架構才能實現,不然以你來說吧,你在其他電腦登入時,你原本自己電腦上的檔案也會過來嗎?不會吧,所以需要 VDI .........
看更多先前的回應...收起先前的回應...

"你在其他電腦登入時,你原本自己電腦上的檔案也會過來嗎?"
這個功能 NT 時代就有了,只是對伺服器還有網路的要求很重,但可以針對某些使用者做這個設定,那功能叫做 "漫遊設定檔"
官網說明,可以參考一下
https://learn.microsoft.com/zh-tw/windows-server/storage/folder-redirection/deploy-roaming-user-profiles

因為我們公司這邊有些單位是有個人電腦的,有些單位是流動單位,會到處跑跟使用其他單位的公用電腦,主要會有資料的也都是有個人電腦的單位,就是老闆想給到處跑的少部分人員方便

gcodc09997 那就得給這些要到處跑的人設定漫遊設定檔
然後這些公用電腦要開登入權限給這些人,這些都是基本操作,不需要用VDI
以前NT時代,假如DC有上WAN的,有些人甚至可以在不同國家使用相同的設定檔
NT都是25年以上的系統了,那個時代就有的東西,現在怎麼可能沒有

aaron3399 iT邦好手 1 級 ‧ 2023-06-30 17:05:44 檢舉

大人物的需求,若用RDS不適合嗎?

RDS 要買授權吧,樓主不知道有沒有買,除非打算用第三方的,但第三方遇到AD,那個也是要錢,而且絕對比MS的貴很多,大多每年都要繳保護費的,還不如漫遊設定檔方便

目前上面的人是不太願意額外花錢..... 有跟組長先提到 VDI 不過評估一下公司內一些員工的使用習慣 (把東西都放桌面) 公司的網路流量可能扛不住

0
zero
iT邦好手 1 級 ‧ 2023-07-04 17:36:25

密碼問題解了,預設密碼GPO一份,PSO多份然後套群組去用吧


預設domain user可以登入任何電腦,除非你用GPO做了限制"本機登入"

要注意的是如果你用GPO將該使用者或者群組設定成該電腦的管理者群組的話

限制本機登入的設定會失效,因為本機登入無法限制administrators群組身份

帳戶本身雖然可以限制登入的裝置名稱,但是要大量設定要用指令才方便


使用者環境問題,有人提過了漫遊設定檔,注意如果你每次登出都刪除本機資料,

那每次都入都要重Server上面重新下載,除非你有限制漫遊檔的大小


開機執行BAT,那邊不是給你部屬程式用的,

在Windows開機的時候如果網域服務慢了點起來,直接略過不執行是常有的

除非你有在GPO設定等待網域環境初始化完成之後,才允許使用者登入,

改善方法請乖乖去用工作排程Task Scheduler到那邊去設定你的部屬程式跟啟動方式


2500台不是小數目,OU跟AD Group還有GPO三者要很熟悉才能管理好吧

如果不趕時間的話就慢慢整理練功吧,GPO還有WMI可以做一些篩選設定,記得學。

看更多先前的回應...收起先前的回應...

目前是還不著急,因為上面的命令還沒正式下來,只是要我們先提前開始準備,然後我們公司這邊目前AD架設十幾年來都沒有正確的用過GPO,派送東西都是用使用者帳戶那邊去設定的登入指令檔案
所以經常發生電腦已經開好到桌面了,但是更新檔沒有跑的問題

另外想請教幾個問題,
你提到的限制本機登入,是指我在GPO限制 甲使用者只有在 A B兩台電腦登入,乙使用者只能在B C兩台電腦登入 這樣子嗎?
"設定成該電腦的管理者群組" 的意思是指在本機電腦管理>本機使用者群組>administrators群組 將使用者加進此成員 的意思嗎?

zero iT邦好手 1 級 ‧ 2023-07-05 17:26:49 檢舉

允許規則或者拒絕規則挑一種使用,都要也行,拒絕規則優先允許

通常是設定成群組允許或者群組拒絕,這樣方便動態調整人員

但是規則是無法限制本機管理者群組(administrators)

只要使用者直接或者間接拿到了該裝置的(administrators)權限

本機登入的規則就是給(administrators)的成員有特權就對了

因為如果發生什麼意外,唯一還能做登入電腦的只剩下管理者

管理者群組如果也被規則擋在門外,那電腦只能重灌什麼資料都不能救

https://ithelp.ithome.com.tw/upload/images/20230705/20022284FrrYax0441.jpg

想再請教一下

  1. 如果我設定了允許本機登入,是否代表我沒有設定的非administrators群組的使用者無法登入?
  2. 因為公司內部的軟體目前更新是使用CMD將檔案從SERVER上下載至使用者電腦的D槽,有發現如果沒有將使用者登入帳號加進administrators群組的話,CMD那邊會跳出需要輸入網域帳號密碼的問題,如果之後不將使用者帳號加進administrators群組的話是否可以直接複製? 或是有其他權限要調整?
0
bernie
iT邦新手 4 級 ‧ 2023-07-11 10:07:15

突然看到這篇發問

發問者非常有勇氣

碰到不懂的東西除了自學以外,不是本來就該求助專業人士嗎?
總不能不懂裝懂硬上吧

bernie iT邦新手 4 級 ‧ 2023-07-11 13:22:19 檢舉

你應該找專業SI~
我怕你搞死自己

問題是公司內沒有這個職務
上面只是丟了一個事情下來要你評估跟實作

我要發表回答

立即登入回答