作者 主題: 請教關於AD管理者的權限如何限制  (閱讀 9587 次)

0 會員 與 1 訪客 正在閱讀本文。

ask9975

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
請教關於AD管理者的權限如何限制
« 於: 2010-05-02 22:57 »
敝人資訊部門希望導入AD環境,但是其他部門的使用者非常反彈,因為他們目前用本機管理員很自由,
也擔心加入網域後被別人使用網域帳號登入,看到自己電腦其他磁碟裡的資料。


1.
目前在下採用domain user限制登入主機的方式,限定domain user只能登入自己的PC來控管,
網域管理員密碼由資訊及政風長官各持一半,一般人員僅有管理網域帳號的權限(但還是很大)
但是長官要求讓「AD維護人員」(也就是可以限定哪個user只能登入哪台PC的管理者)也無法登入別人的主機,
此條件我認為有矛盾,但長官說其他部門會不接受,因此請大家給些建議,是否有其他解決方案可以管理網域帳號又不能登入他人PC。

 

2.
如果方式1實在不可行,那就要考慮是否能在本機上做資料存取的限制
因此想跟各位高手請教,我如何用限制加入網域的共用PC,讓每個登入檔有自己的資料空間?
講白話一點,就是別人用網域帳號登入我的電腦時,如何讓他無法存取我放在D槽的檔案?

謝謝

jackychien1

  • 憂鬱的高中生
  • ***
  • 文章數: 90
    • 檢視個人資料
回覆: 請教關於AD管理者的權限如何限制
« 回覆 #1 於: 2010-05-03 08:41 »
1.domain admin 本來就可以進入域內電腦 

2.user password 不需持有吧  給個預設密碼 讓他們第一次登入時自己設定  忘記密碼  再重設就好

   



 

ask9975

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
回覆: 請教關於AD管理者的權&
« 回覆 #2 於: 2010-05-03 10:50 »
1.domain admin 本來就可以進入域內電腦 

2.user password 不需持有吧  給個預設密碼 讓他們第一次登入時自己設定  忘記密碼  再重設就好

   



 
首先感謝您的回答,但冒昧請教您是不是沒有看完敝人的內容?

1.domain admin本來就可以進入域內電腦,所以要請教各位如何委派出一個"AD維護人員",是可以維護網域帳號,但無法登入他人主機的?
   當然這個需求有些矛盾,所以想請問各位高手在自己環境中是否有其他解決方案?

2.請問與user PW...有何關聯?
« 上次編輯: 2010-05-03 11:08 由 ask9975 »

jackychien1

  • 憂鬱的高中生
  • ***
  • 文章數: 90
    • 檢視個人資料
回覆: 請教關於AD管理者的權限如何限制
« 回覆 #3 於: 2010-05-03 11:17 »
抱歉  我早上有看錯  當作我灌水吧
你的需求  應該使用OU委派可以達到


lethal

  • 可愛的小學生
  • *
  • 文章數: 3
    • 檢視個人資料
回覆: 請教關於AD管理者的權限如何限制
« 回覆 #4 於: 2010-05-03 22:16 »
如果要有帳號維護權限,又不能登入別人的主機,那就只好用程式解決了。
可以去搜尋 ADSI 寫個管理介面。

吉他之繩

  • 憂鬱的高中生
  • ***
  • 文章數: 175
    • 檢視個人資料
回覆: 請教關於AD管理者的權限如何限制
« 回覆 #5 於: 2010-05-04 23:36 »
需求1的問題通常是以委派解決。
使用者常常看到你在維修時使用domain admin的帳號就可以進入他們的電腦當然不安,所以管理者也要用一般使用者帳號來管理。而這樣做變成你常要幫他們做像是密碼重設的事情無法解決(因為你也沒有權限),所以把這些碰到他們電腦的權限委派出去給他們單位,我們一般稱為資安種子。交給資安種子這樣疑慮就減低了,因為他們的需求就是要看到你不去碰他們的電腦。

這樣應該沒有需求2的問題了。因為當所有人都是user,登入進去後看到的畫面不一樣,權限也不足以觀看其他網域使用者的檔案文件。

很多機關都這樣,使用者喜歡把自己的管理者帳號密碼告訴鄰居好同事,但是卻擔心不認識的管理者會近來偷看他們的檔案?偷看通常是自己人才會幹。幹的才多。不過人都是這樣想,正常啦。

apage

  • 活潑的大學生
  • ***
  • 文章數: 337
    • 檢視個人資料
回覆: 請教關於AD管理者的權限如何限制
« 回覆 #6 於: 2010-05-20 01:03 »
提供一般觀點...

如果是PC,不用擔心AD的Domain Admins 登錄他們電腦,
1.因為在他們工作時, windows xp 或者 vista 等os 無法接受兩個 user 同時登錄,不用怕被監看
2.桌面環境不一樣,只能看到檔案實體,辦公室應用程式因為有user profile的關係也沒辦法直接用
若實在擔心實體檔案,只要把excel,doc等檔案加上密碼保護就很安全了.

我的筆記
啊,就我的筆記阿...
-----以下兩個是屍體-----
AegisHK
Aegis
eAthena屍體
eathena

jacktseng

  • 鑽研的研究生
  • *****
  • 文章數: 934
    • 檢視個人資料
回覆: 請教關於AD管理者的權限如何限制
« 回覆 #7 於: 2010-05-21 01:37 »
提供一般觀點...
如果是PC,不用擔心AD的Domain Admins 登錄他們電腦,
1.因為在他們工作時, windows xp 或者 vista 等os 無法接受兩個 user 同時登錄,不用怕被監看
2.桌面環境不一樣,只能看到檔案實體,辦公室應用程式因為有user profile的關係也沒辦法直接用
若實在擔心實體檔案,只要把excel,doc等檔案加上密碼保護就很安全了.

1.登入不是只有本機登入,如果透過網芳登入,基本上只要有權限.想看啥就看啥


damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
回覆: 請教關於AD管理者的權限如何限制
« 回覆 #8 於: 2010-05-26 14:44 »
這樣的環境,不適合導入ad,沒有對administrator有一定程度的信任之前,就不用浪費時間導入ad了

acmdy88

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
回覆: 請教關於AD管理者的權限如何限制
« 回覆 #9 於: 2010-07-20 13:56 »
AD管理中的AD帳戶項,有針對用戶的登入主機管理及時間管理