請問各位大大,在網域底下的電腦A,已經將某位user01加進電腦A的[本機使用者和群組]裡面的Administrators(圖1),讓他有權限可以裝實驗用軟體,但user A很調皮的將其他人都加進來。
請問要怎麼設定讓他有軟體安裝權限,但不能加入其他人到本機使用者和群組裡面的Administrators?
可否圖文並茂教學,先謝謝各位了。
另外,我目前只能透過GPMC定期覆蓋掉那台的[本機使用者和群組]名單(圖2),但這做法還是不全面。
已邀請的邦友 {{ invite_list.length }}/5
比較簡單的做法有兩個
1.像上面 窮嘶發發發 寫的,將使用者讀取AD帳戶物件的權限取消掉,預設情況下會有權限
雖然如果知道帳戶的話,還是可以手動強制寫入,權限一樣會生效,但使用者通常沒這知識
2.另外一種做法是,將稽核權限打開,設定一個工作排程跑腳本,只要權限有異動就觸發
利用腳本將你覺得不合法的帳戶移除掉,這樣使用者加了,幾秒後就被移除了
你圖片中的GPO控管方法只能覆蓋跟修改已知的帳戶,沒辦法做更細節的處理方案
抱歉我沒辦法替你圖文教學,你可以搜尋這邊論壇的AD權限相關文章,我相信非常多可以學
至於稽核權限與腳本開發,這牽扯到你會不會寫程式,如果不會的話你要學一下問AI
這個需求算比較簡單的部份,按照目前AI的使用情況,AI還算有辦法處理這簡單類的需求
你只需要耐心地慢慢跟AI溝通,你應該都能找到一些常見的解法,這邊AI指的是chatgpt
請問如何設定禁止列出網域成員,我在AD管理底下找出那位user01,並在安全性標籤中移除了所以跟網域有關的權限,並在那台電腦gpupdate /force後重開機,user01還是可以搜尋出網域成員名稱
你搞錯方向了,禁止功能要在AD上設定該帳戶禁止存取清單內容,
依造規劃可以設定在帳戶,群組,組織單位,樹系任何一個地方
不是在該帳戶身上設定權限,當你在非AD的裝置上登入後,
你的帳戶與電腦是用戶端,AD是伺服器服務端,
你是要禁止用戶端存取的是服務端的資源(AD),
例如:AD目錄一定都會有的Users組織單位好了,
假設要禁止一般網域使用者群組讀取該組織單位的任何資源,
應該要設定權限在Users這個組織單位,
而不是設定在網域使用者群組,因為這時候你是用戶端而非服務端
AD 裡面物件43個,當然這是AD主機上看到的
在Users組織單位設定網域使用者群組禁止列出清單的權限
這時候在任何網域的電腦上登入後,想要針對Users搜尋帳戶或群組
就再也無法透過搜尋方式列出裡面的內容,
這時候你操作的電腦與登入的帳戶都是歸屬於用戶端的身份
當然使用相同原理的任何方法都會被阻擋,不管你有沒有圖形介面
必須透過自定義的身份才能跳過,AD管理要精細就是水很深要花時間去學習才行
Zero 您好,我嘗試建了一個組織單位名為**[TEST2],[TEST2]組織單位底下新建一位使用者[testuser1],並對該組織單位[TEST2]**權限設定Domain Users拒絕列出清單內容,這樣是搜尋不到了,但連網域管理員自己都搜尋不到。
而且Active Directory管理中 [TEST2]組織單位底下的人員都會被隱藏。
你不是要禁止"很皮的user A"嗎?
為何要禁止範例給的群組?
直接在組織單位設定禁止user A不就好了嗎
或者自己建一個群組再把user A加入那個群組去
用行政手段管理比較快吧,把利害說清楚,講不聽:
1.高層支持你,就處分他(但要先告知,免得未教而殺)。
2.高層不支持你,換其他聽話的人當管理者(都不聽話自己管)。
iThome鐵人賽
看影片追技術
看更多
