“AD域控管理及实际应用中的问题集锦”的版本间的差异
| 第1行: | 第1行: | ||
[[category:IS]] | [[category:IS]] | ||
| + | =部分定义= | ||
* domain user获取远程登录域控权限 | * domain user获取远程登录域控权限 | ||
# 隶属于: Remote desktop users | # 隶属于: Remote desktop users | ||
| 第14行: | 第15行: | ||
通过以上3个地方的修改,90%的软件都可以正常运行了。 | 通过以上3个地方的修改,90%的软件都可以正常运行了。 | ||
对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。 | 对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。 | ||
| + | |||
| + | =应用实绩= | ||
| + | # OU中建立的Enterprise admins账户可以删除OU中Domain Admins的账户,包括重置、禁用等,因此,E-Admins拥有OU完全管理权限。 | ||
| + | # 建立一个Domain Admins,用于安装软件,但不可访问域控,不可本地登录。目的:用做IT安装域用户本机软件的临时账户,避免domain admins账户泄露,导致域控风险。 | ||
| + | ## 账户建立,隶属于中增加:domain admins | ||
| + | ## gpmc.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝本地登录 (添加用户名) | ||
| + | ## gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝本地登录 (添加用户名) | ||
| + | ## gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝从网络访问这台计算机 (添加用户名) | ||
| + | ## 完成 | ||
2020年3月19日 (四) 13:38的版本
部分定义
- domain user获取远程登录域控权限
- 隶属于: Remote desktop users
- secpol.msc 本地—控制面板—用户权限管理—远程桌面共享中加入:用户名
- domqin user管理域用户帐户修改、新增、删除
- 隶属于 account operators
- Domain users软件安装和使用权限的开启设置
- 所有软件都安装在固定的Program Files目录,并通组策略赋予Program Files目录Domain Users组完全控制权限
- 通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限
- 通过组策略赋予Domain Users组system32目录完全控制权限
通过以上3个地方的修改,90%的软件都可以正常运行了。 对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。
应用实绩
- OU中建立的Enterprise admins账户可以删除OU中Domain Admins的账户,包括重置、禁用等,因此,E-Admins拥有OU完全管理权限。
- 建立一个Domain Admins,用于安装软件,但不可访问域控,不可本地登录。目的:用做IT安装域用户本机软件的临时账户,避免domain admins账户泄露,导致域控风险。
- 账户建立,隶属于中增加:domain admins
- gpmc.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝本地登录 (添加用户名)
- gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝本地登录 (添加用户名)
- gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝从网络访问这台计算机 (添加用户名)
- 完成
