“AD域控管理组成员定义”的版本间的差异

来自DeerGrove Wiki
跳转至: 导航搜索
第5行: 第5行:
 
** 只要是Domain Admins组的成员均可访问本地计算机,而且具备"完全控制"的权限。
 
** 只要是Domain Admins组的成员均可访问本地计算机,而且具备"完全控制"的权限。
 
** 为了加强计算机的安全,对于敏感的计算机,建议将Domain Admins组从Administrators组中删除。
 
** 为了加强计算机的安全,对于敏感的计算机,建议将Domain Admins组从Administrators组中删除。
* Enterprise admins是根域中存在的两个全局安全组之一
+
* Enterprise admins是根域中存在的两个全局安全组之一,该组成员能够修改Active Directory的计划,该计划将影响到Forest中所有的域。
 
** Enterprise Admins:企业管理组,可以对活动目录中整个林作修改,例如添加子域(Domain admins组中的成员也可以添加子域)。
 
** Enterprise Admins:企业管理组,可以对活动目录中整个林作修改,例如添加子域(Domain admins组中的成员也可以添加子域)。
 
** Schema Admins:架构管理组:可以对活动目录整个林做架构修改,也就是用户或组的一些属性选项卡之类的架构
 
** Schema Admins:架构管理组:可以对活动目录整个林做架构修改,也就是用户或组的一些属性选项卡之类的架构
 +
 +
* Domain users权限:
 +
** 为了更好的对客户端权限进行管理和控制,只赋予终端用户Domain User组的权限。
 +
** 但有些需要Local Administrator权限的软件就无法安装和运行。为满足特殊情况使用需求,建议办法是:
 +
# 所有软件都安装在固定的Program Files目录,并通组策略赋予Program Files目录Domain Users组完全控制权限
 +
# 通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限
 +
# 通过组策略赋予Domain Users组system32目录完全控制权限
 +
通过以上3个地方的修改,90%的软件都可以正常运行了。
 +
对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。

2019年6月5日 (三) 14:47的版本


  • Domain admins 在域中相当于管理员
    • 当计算机加入到域后,默认将"Domain Admins"组赋予了本地系统管理员的权限。也就是说,在计算机添加到域,成为域的成员主机的过程中,系统将会自动把"Domain Admins"域组添加到本地的Administrators组中。
    • 只要是Domain Admins组的成员均可访问本地计算机,而且具备"完全控制"的权限。
    • 为了加强计算机的安全,对于敏感的计算机,建议将Domain Admins组从Administrators组中删除。
  • Enterprise admins是根域中存在的两个全局安全组之一,该组成员能够修改Active Directory的计划,该计划将影响到Forest中所有的域。
    • Enterprise Admins:企业管理组,可以对活动目录中整个林作修改,例如添加子域(Domain admins组中的成员也可以添加子域)。
    • Schema Admins:架构管理组:可以对活动目录整个林做架构修改,也就是用户或组的一些属性选项卡之类的架构
  • Domain users权限:
    • 为了更好的对客户端权限进行管理和控制,只赋予终端用户Domain User组的权限。
    • 但有些需要Local Administrator权限的软件就无法安装和运行。为满足特殊情况使用需求,建议办法是:
  1. 所有软件都安装在固定的Program Files目录,并通组策略赋予Program Files目录Domain Users组完全控制权限
  2. 通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限
  3. 通过组策略赋予Domain Users组system32目录完全控制权限

通过以上3个地方的修改,90%的软件都可以正常运行了。 对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。